보안 경고 이해
클라우드용 Microsoft Defender에는 다양한 리소스 종류에 대한 다양한 경고가 있습니다. 클라우드용 Defender는 Azure에 배포된 리소스와 온-프레미스 및 하이브리드 클라우드 환경에 배포된 리소스에 대해 경고를 생성합니다. 보안 경고는 고급 검색으로 트리거되며 클라우드용 Defender에서만 제공됩니다.
오늘날의 위협에 대한 대응
지난 20년 동안 위협 환경에 중요한 변경 내용이 있었습니다. 과거에 회사는 일반적으로 “자신의 능력”을 확인하는데 주로 관심이 있던 개별 공격자가 웹 사이트를 손상하는 것에 대해서만 걱정했습니다. 오늘날의 공격자는 훨씬 더 정교하며 조직적입니다. 특정 금융 및 전략적 목표가 있는 경우가 많습니다. 또한 국가 또는 조직 범죄로 자금 지원을 받으므로 사용 가능한 리소스가 더 많아졌습니다.
이렇게 변화하는 현실로 인해 공격자가 전에 없이 전문적이 수준이 되었습니다. 공격자는 더 이상 웹 손상에 관심이 없습니다. 이제는 오픈 마켓에서 현금을 생성하거나 특정 비즈니스, 정치 또는 군사적 지위를 활용하는데 사용할 수 있는 정보, 금융 계좌, 프라이빗 데이터를 도용하는 데 관심이 있습니다. 금융 목적의 공격자보다 더욱 걱정되는 것은 인프라 및 사용자에게 해를 입히기 위해 네트워크를 위반하는 공격자입니다.
이에 대한 대응으로 조직은 종종 알려진 공격 서명을 검색하여 엔터프라이즈 경계 또는 엔드포인트 방어에 집중하는 다양한 지점 솔루션을 배포합니다. 이러한 솔루션은 보안 분석가에게 심사 및 조사를 요구하는 대용량의 낮은 신뢰 경고를 생성하는 경향이 있습니다. 대부분의 조직은 이러한 경고에 응답하는 데 필요한 시간 및 전문 지식이 부족하므로 많은 경고가 해결되지 않습니다.
또한 공격자는 많은 서명 기반 방어를 무너뜨리고 클라우드 환경에 적응하기 위해 메서드를 발전시켜 왔습니다. 새로운 위협 요소를 보다 신속하게 식별하고 감지 및 대응을 신속하게 처리하기 위해 새로운 접근 방식이 필요합니다.
보안 경고 및 보안 인시던트란 무엇인가요?
경고는 리소스에 대한 위협을 탐지할 때 클라우드용 Defender에서 생성하는 알림입니다. 클라우드용 Defender는 경고의 우선 순위를 지정하여 문제를 빠르게 조사하는 데 필요한 정보와 함께 경고를 나열합니다. 클라우드용 Defender는 공격을 해결하는 방법에 대한 권장 사항도 제공합니다.
보안 인시던트는 각 경고를 개별적으로 나열하는 것이 아닌 관련 경고의 컬렉션입니다. 클라우드용 Defender는 클라우드 스마트 경고 상관 관계를 사용하여 다양한 경고와 낮은 충실도 신호를 보안 인시던트와 상호 연결합니다.
클라우드용 Defender는 보안 인시던트를 사용하여 공격 캠페인 및 모든 관련 경고에 대한 단일 보기를 제공합니다. 이 보기에서 공격자의 행위와 영향을 받는 리소스를 신속히 이해할 수 있습니다. 자세한 내용은 클라우드 스마트 경고상관 관계를 참조하세요.
클라우드용 Defender는 위협을 어떻게 탐지하나요?
Microsoft 보안 연구원은 지속적으로 위협을 지켜보고 있습니다. 클라우드 및 온-프레미스를 망라하는 Microsoft의 글로벌 입지로 포괄적인 원격 분석 세트에 액세스할 수 있습니다. 광범위하고 다양한 데이터 세트의 컬렉션을 통해 온라인 서비스뿐 아니라 해당 온-프레미스 소비자 및 엔터프라이즈 제품에서도 새로운 공격 패턴 및 추세를 검색할 수 있습니다. 결과적으로 클라우드용 Defender는 공격자가 새 익스플로잇 및 점점 더 정교해지는 익스플로잇을 릴리스하므로 검색 알고리즘을 신속하게 업데이트할 수 있습니다. 이 방법을 사용하면 빠르게 변하는 위협 환경과 보조를 맞추며 대응할 수 있습니다.
실제 위협을 탐지하고 거짓 긍정을 줄이기 위해 클라우드용 Defender는 Azure 리소스 및 네트워크에서 로그 데이터를 수집, 분석 및 통합합니다. 또한 방화벽 및 엔드포인트 보호 솔루션처럼 연결된 파트너 솔루션과도 연동합니다. 클라우드용 Defender는 이 정보를 분석하며, 종종 여러 원본의 정보를 상호 연결하여 위협을 식별합니다.
클라우드용 Defender는 서명 기반 방법을 훨씬 넘어서는 고급 보안 분석을 사용합니다. 수동 접근 방법을 사용하고 공격의 발전을 예측하여 식별할 수 없는 위협을 감지하도록 전체 클라우드 패브릭에 대한 이벤트를 평가하는 데 빅 데이터 및 Machine Learning 기술의 돌파구를 활용합니다. 이러한 보안 분석은 다음과 같습니다.
통합된 위협 인텔리전스: Microsoft는 방대한 글로벌 위협 인텔리전스가 있습니다. 원격 분석 결과는 Azure, Office 365, Microsoft CRM online, Microsoft Dynamics AX, outlook.com, MSN.com, Microsoft DCU(Digital Crimes Unit), MSRC(Microsoft 보안 대응 센터) 등의 여러 소스에서 얻습니다. 또한, 연구자들은 주요 클라우드 서비스 공급자 간에 공유하는 위협 인텔리전스 정보와 제3자가 제공하는 피드를 받습니다. 클라우드용 Defender는 이 정보를 사용하여 알려진 악의적 행위자의 위협에 대해 경고할 수 있습니다.
동작 분석: 동작 분석은 알려진 패턴의 컬렉션에 대해 데이터를 분석하고 비교하는 기술입니다. 그러나 이러한 패턴은 단순한 서명이 아닙니다. 해당 패턴은 대량 데이터 세트에 적용되는 복잡한 기계 학습 알고리즘을 통해 결정됩니다. 또한 전문 분석가가 악의적인 행동을 신중하게 분석하여 결정합니다. 클라우드용 Defender는 동작 분석을 사용하여 가상 머신 로그, 가상 네트워크 디바이스 로그, 패브릭 로그 및 기타 원본의 분석을 기준으로 손상된 리소스를 식별할 수 있습니다.
변칙 검색: 클라우드용 Defender는 변칙 검색을 사용하여 위협을 식별합니다. 동작 분석(큰 데이터 세트에서 파생되며 알려진 패턴에 따라 결정)과 달리 변칙 검색은 좀 더 “맞춤형”이며 배포에만 적용되는 기준에 중점을 둡니다. 배포에 대한 정상적인 활동을 결정하기 위해 기계 학습이 적용됩니다. 그런 다음, 규칙을 생성하여 보안 이벤트를 나타낼 수 있는 이상 조건을 정의합니다.
경고는 어떻게 분류되나요?
클라우드용 Defender는 경고에 심각도를 할당하여 사용자가 경고에 대응하는 우선순위를 정하는 데 도움을 주므로 리소스가 손상되면 즉시 해당 내용을 파악할 수 있습니다. 심각도는 클라우드용 Defender에서 경고를 실행하는데 사용된 탐색 또는 분석의 신뢰도와 경고를 유발한 활동 이면에 악의적인 의도가 있었다는 신뢰 수준을 기준으로 합니다.
높음: 리소스가 손상될 가능성이 높습니다. 지금 즉시 리소스를 살펴보아야 합니다. 클라우드용 Defender는 악의적인 의도와 경고 발급을 위해 사용된 결과를 높이 신뢰합니다. 예를 들어, 경고는 로그인 정보를 훔치기 위해 사용되는 일반적인 도구인 Mimikatz와 같은 알려진 악성 도구가 실행되는지 검색합니다.
보통: 이 보안은 리소스가 손상되었을 수도 있음을 나타내는 의심스러운 활동을 나타냅니다. 클라우드용 Defender의 분석 또는 결과를 기반으로 한 신뢰도는 보통이며 악의적 의도가 있을 가능성은 보통부터 높음 사이입니다. 일반적으로 기계 학습 또는 변칙 기반 검색입니다. 비정상적인 위치에서의 로그인 시도를 예로 들 수 있습니다.
낮음: 이 보안은 무해한 양성 또는 차단된 공격일 수 있음을 나타냅니다.
클라우드용 Defender는 의도가 악의적이라고 확신하지 못하며 작업은 무해한 활동일 수 있습니다. 예를 들어, 로그 지우기는 공격자가 자신의 트랙을 숨기려는 경우 발생할 수 있는 동작이지만 대부분은 관리자가 수행하는 루틴 작업입니다.
클라우드용 Defender는 일반적으로 공격을 차단하더라도 살펴볼 가치가 있는 흥미로운 사례가 아닌 경우에는 사용자에게 알리지 않습니다.
정보 제공: 보안 인시던트로 드릴다운하거나 특정 경고 ID가 있는 REST API를 사용하는 경우 정보 알림만 표시됩니다. 인시던트는 일반적으로 여러 경고로 구성되며 그중 일부는 정보 제공만을 위해 표시될 수 있지만 다른 경고의 컨텍스트에서는 자세히 살펴볼 필요가 있습니다.
연속 모니터링 및 평가
클라우드용 Defender는 위협 환경의 변화를 지속적으로 모니터링하는 Microsoft 전체의 보안 연구 팀 및 데이터 과학 팀을 통해 이점을 얻을 수 있습니다. 다음 이니셔티브가 포함됩니다.
위협 인텔리전스 모니터링: 위협 인텔리전스에는 기존 또는 새로운 위협에 대한 메커니즘, 표시기, 영향 및 조치 가능한 조언이 포함됩니다. 이 정보는 보안 커뮤니티에서 공유되며, Microsoft는 내부 및 외부 소스에서 위협 인텔리전스 피드를 지속적으로 모니터링합니다.
신호 공유: Microsoft의 클라우드 및 온-프레미스 서비스, 서버 및 클라이언트 엔드포인트 디바이스의 광범위한 포트폴리오에 대한 보안 팀의 인사이트를 공유하고 분석합니다.
Microsoft 보안 전문가: 법정 분석 및 웹 공격 탐지와 같은 전문 보안 분야에서 Microsoft 팀과 지속적인 관계를 유지하며 활동합니다.
탐지 튜닝: 알고리즘은 실제 고객 데이터 세트에 대해 실행되며, 보안 연구원은 고객과 협력하여 결과의 유효성을 검사합니다. 기계 학습 알고리즘을 구체화하기 위해 참 및 거짓 긍정이 사용됩니다.
경고 유형의 이해
현재 경고 참조 목록에는 500가지 유형의 경고가 포함되어 있습니다. 참조 목록은 보안 경고 - 참조 가이드에서 검토할 수 있습니다.
각 경고 유형에는 설명, 심각도, MITRE ATT&CK 전술이 있습니다.
MITRE ATT&CK 전술
공격 의도를 파악하면 이벤트를 더욱 쉽게 조사하고 보고할 수 있습니다. 이러한 노력을 돕기 위해 클라우드용 Defender 경고에는 많은 경고가 포함된 MITRE 전술이 있습니다. 정찰에서 데이터 반출에 이르는 사이버 공격의 진행 과정을 설명하는 일련의 단계를 종종 "킬 체인(kill chain)"이라고 합니다.
클라우드용 Defender에서 지원되는 킬 체인 의도는 MITRE ATT&CK 매트릭스의 버전 7을 기준으로 하며 아래 표에 설명되어 있습니다.
| 전술 | Description |
|---|---|
| 사전 공격 | 사전 공격은 악의적인 의도와 관계없이 특정 리소스에 액세스하려는 시도이거나, 공격 전에 정보를 수집하기 위해 대상 시스템에 액세스하려는 시도가 실패한 것일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 발생하며 대상 시스템을 검사하고 진입점을 식별하려는 시도로 감지됩니다. |
| 초기 액세스 | 초기 액세스는 공격자가 공격을 받는 리소스에 대 한 기반을 구축하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 보안 인증서 등과 같은 계산 호스트 및 리소스와 관계가 있습니다. 위협 행위자는 보통 이 단계 이후에 리소스를 제어할 수 있습니다. |
| 지속성 | 지속성은 위협 행위자에게 해당 시스템에 지속적인 현존을 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 위협 행위자는 종종 액세스 권한을 다시 얻기 위해 대체 백도어를 다시 시작하거나 제공하도록 시스템 재시작, 자격 증명 손실 또는 원격 액세스 도구가 필요한 기타 장애 등의 중단을 통해 시스템에 대한 액세스를 유지해야 합니다. |
| 권한 상승 | 권한 상승은 악의적 사용자가 시스템 또는 네트워크에서 더 높은 수준의 권한을 얻을 수 있는 작업의 결과입니다. 특정 도구나 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 대한 액세스 권한 또는 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 권한이 있는 사용자 계정도 권한 상승으로 간주할 수 있습니다. |
| DefenseEvasion | 방어 회피는 악의적 사용자가 감지나 기타 방어를 피하는 데 사용할 수 있는 기술로 구성됩니다. 때때로 이러한 작업은 특정 방어 또는 완화를 파괴하는 추가 이점이 있는 다른 범주의 기술과 동일(또는 변형)합니다. |
| 자격 증명 액세스 | 자격 증명 액세스는 엔터프라이즈 환경에서 사용되는 시스템, 도메인, 서비스 또는 자격 증명에 액세스하거나 이를 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에 액세스 권한이 충분하면 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다. |
| 검색 | 검색은 악의적 사용자가 시스템과 내부 네트워크에 대한 정보를 얻을 수 있는 기술로 구성됩니다. 악의적 사용자가 새로운 시스템에 액세스할 권한을 얻으면 제어할 수 있는 항목뿐만 아니라 해당 시스템에서 운영이 현재 목적 또는 전체 목표에 어떤 이점을 제공하는지에 자신을 맞춰야 합니다. 운영 체제는 이러한 타협 후 정보 수집 단계를 지원하는 많은 기본 도구를 제공합니다. |
| 측면 이동 | 측면 이동은 악의적 사용자가 네트워크를 통해 원격 시스템에 액세스하고 제어할 수 있는 기술로 구성되어 있지만 반드시 원격 시스템에서 도구를 실행할 수 있는 것은 아닙니다. 악의적 사용자는 측면 이동 기술을 이용해 원격 액세스 도구와 같은 추가 도구가 없어도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 도구의 원격 실행, 다른 시스템으로 피벗, 특정 정보 또는 파일에 액세스, 다른 자격 증명에 액세스 또는 영향을 유발하는 등 여러 가지 목적으로 측면 이동을 사용할 수 있습니다. |
| 실행 | 실행 기법은 로컬 또는 원격 시스템에서 악의적 사용자가 제어하는 코드를 실행하게 되는 기술을 나타냅니다. 이 기법은 네트워크의 원격 시스템에 대한 액세스 권한을 확장하기 위해 측면 이동과 함께 사용되는 경우가 많습니다. |
| 컬렉션 | 수집은 반출 전에 대상 네트워크에서 민감한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| 반출 | 반출은 악의적 사용자가 대상 네트워크에서 파일과 정보를 이동하게 만들거나 이동하는 데 도움이 되는 기술과 특성을 의미합니다. 또한 이 범주는 악의적 사용자가 반출할 정보를 찾을 수 있는 시스템이나 네트워크의 위치를 다룹니다. |
| 명령 및 제어 | 명령 및 제어 기법은 악의적 사용자가 대상 네트워크 내에서 제어되는 시스템과 통신하는 방법을 나타냅니다. |
| 영향 | 영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성이나 무결성을 직접적으로 줄입니다(비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작 포함). 이 이벤트는 종종 랜섬웨어, 변조, 데이터 조작 등과 같은 기술을 가리킵니다. |