경고 수정 및 응답 자동화

  • 7분

클라우드용 Defender의 개요 페이지에서 페이지 맨 위에 있는 클라우드용 Defender 탭 또는 사이드바의 링크를 선택합니다.

Screenshot of the Defender for Cloud Alerts list page.

보안 경고 목록에서 경고를 선택합니다. 사이드 창이 열리고 영향을 받는 모든 리소스 및 경고에 대한 설명이 표시됩니다.

Screenshot of the Defender for Cloud Alert Details Flyout.

자세한 내용을 보려면 전체 세부 정보 보기를 선택합니다.

보안 경고 페이지의 왼쪽 창에는 보안 경고의 제목, 심각도, 상태, 작업 시간, 의심스러운 활동 설명, 영향을 받는 리소스에 대한 높은 수준의 정보가 표시됩니다. 영향을 받는 리소스 옆에는 리소스와 관련된 Azure 태그가 있습니다. 태그를 사용하여 경고를 조사할 때 리소스의 조직 컨텍스트를 유추합니다.

오른쪽 창에는 문제를 조사하는 데 도움을 주도록 경고에 대한 자세한 정보를 포함하는 경고 정보 탭(IP 주소, 파일, 프로세스 등)이 포함되어 있습니다.

Screenshot of the Defender for Cloud Alert Detail page.

또한 오른쪽 창에는 작업하기 탭이 있습니다. 이 탭을 이용해 보안 경고와 관련된 추가 작업을 하세요. 작업은 다음과 같습니다.

  • 위협 완화-보안 경고에 대하여 수동으로 수정할 수 있는 단계를 제공합니다.

  • 향후 공격 방지-공격 노출 영역을 줄이고 보안 상태를 높이며 이후 공격을 방지하는 데 도움이 되는 보안 권장 사항을 제공합니다.

  • 자동 응답 트리거-보안 경고에 대한 대응으로 논리 앱을 트리거하는 옵션을 제공합니다.

  • 유사한 경고 표시 안 함-경고가 조직과 관련이 없는 경우 유사한 특성을 가진 경고는 표시하지 않는 옵션을 제공합니다.

Screenshot of the Defender for Cloud Alert Take Action tab.

응답 자동화

모든 보안 프로그램에는 인시던트 응답을 위한 여러 워크플로가 포함되어 있습니다. 이러한 프로세스에는 관련 이해 관계자에게 알리고, 변경 관리 프로세스를 시작하고, 특정 수정 단계를 적용하는 것이 포함될 수 있습니다. 보안 전문가는 가능한 한 해당 절차의 여러 단계를 자동화할 것을 권장합니다. Azure 자동화를 통해 오버헤드를 줄입니다. 또한 자동화는 프로세스 단계가 미리 정의된 요구 사항에 따라 빠르고 일관되게 수행되도록 하여 보안을 향상할 수 있습니다.

이 기능은 보안 경고 및 권장 사항에 대한 Azure Logic Apps를 트리거할 수 있습니다. 예를 들어, 경고가 발생하는 경우 클라우드용 Defender에서 특정 사용자에게 메일을 보내도록 할 수 있습니다.

논리 앱을 생성된 뒤 자동으로 실행되는 시간을 정의합니다.

클라우드용 Defender의 사이드바에서 워크플로 자동화를 선택합니다.

이 페이지에서 새 자동화 규칙을 만들거나 기존 규칙을 사용, 사용 안 함 또는 삭제할 수 있습니다.

새로운 워크플로를 정의하려면 워크플로 자동화 추가를 선택합니다.

새로운 자동화에 대한 옵션이 포함된 창이 나타납니다. 여기에서 다음을 입력할 수 있습니다.

  • 자동화에 대한 이름 및 설명입니다.

  • 자동 워크플로를 시작하는 트리거입니다. 예를 들어, 당신은 “SQL”을 포함하는 보안 경고가 생성될 때, 논리 앱을 실행하려고 할 수 있습니다.

  • 트리거 조건이 충족될 때 실행되는 논리 앱입니다.

Screenshot of the Defender for Cloud Workflow Automation Add a workflow.

작업 섹션에서 새 항목 생성를 선택하여 논리 앱 생성 프로세스를 시작합니다.

Azure Logic Apps로 이동합니다.

  • 이름, 리소스 그룹, 위치를 입력하고 생성를 선택합니다.

  • 새 논리 앱에서는 보안 범주 내의 기본 제공 및 미리 정의된 템플릿을 선택할 수 있습니다. 또는 해당 프로세스가 트리거될 때 발생하는 이벤트의 사용자 지정 흐름을 정의할 수 있습니다.

논리 앱 디자이너는 다음 클라우드용 Defender 트리거를 지원합니다.

  • 클라우드용 Defender 권장 사항이 만들어지거나 트리거되는 경우 - 논리 앱이 더 이상 사용되지 않거나 대체되는 권장 사항에 의존하는 경우 자동화가 중지됩니다. 다음으로, 트리거를 업데이트해야 합니다. 권장 사항에 대한 변경 내용을 추적하려면 클라우드용 Defender 릴리스 정보를 참조하세요.

  • 클라우드용 Defender 경고를 만들거나 트리거할 때 관심 있는 심각도 수준의 경고만 관련되도록 트리거를 사용자 지정 할 수 있습니다.

Screenshot of the Logic App U I and a sample logic app.

논리 앱을 정의한 후 워크플로 자동화 정의 창(‘워크플로 자동화 추가’)으로 돌아갑니다. 새로 고침을 선택하여 새 논리 앱을 선택할 수 있는지 확인합니다.

논리 앱을 선택하여 자동화를 저장합니다. 논리 앱 드롭다운은 위에서 언급한 지원 클라우드용 Defender 커넥터를 포함하는 논리 앱만 표시합니다.

수동으로 논리 앱을 트리거합니다.

보안 경고나 권장 사항을 볼 때 Azure Logic Apps를 수동으로 실행할 수도 있습니다.

논리 앱을 수동으로 실행하려면, 경고 또는 권장 사항을 연 다음, 논리 앱 트리거를 선택합니다.