Azure 리소스의 경고 대응

  • 11분

Key Vault에 대한 클라우드용 Defender 경고에 응답

Key Vault용 Defender 경고를 수신하면 다음 설명대로 경고를 조사하고 대응하는 것을 추천합니다. Key Vault용 Defender는 애플리케이션 및 자격 증명을 보호하므로 경고를 트리거한 애플리케이션이나 사용자에 대해 잘 알고 있는 경우에도 각 경고와 관련된 상황을 확인하는 것이 중요합니다.

Key Vault용 Defender에 대한 모든 경고는 다음 요소를 포함합니다.

  • 개체 ID

  • 의심스러운 리소스의 사용자 계정 이름 또는 IP 주소

연락처

  • 트래픽이 Azure 테넌트 내에서 시작되었는지를 확인합니다. 키 자격 증명 모음 방화벽이 활성화된 경우, 경고를 트리거한 사용자 또는 애플리케이션에 대한 액세스를 제공했을 가능성이 큽니다.

  • 트래픽의 소스를 확인할 수 없는 경우, 2단계로 넘어갑니다. 즉각적으로 위협을 완화하세요.

  • 테넌트에서 트래픽의 소스를 식별할 수 있는 경우, 애플리케이션의 사용자 또는 소유자에게 문의하세요.

즉각적인 위협 완화

사용자 또는 애플리케이션을 인식할 수 없거나 액세스 권한이 부여되지 않은 것으로 생각되는 경우, 다음을 수행합니다.

  • 트래픽이 인식할 수 없는 IP 주소에서 발생한 경우 다음을 수행합니다.

    • Azure Key Vault 방화벽 및 가상 네트워크 구성에 설명된 대로 Azure Key Vault 방화벽을 사용하도록 설정합니다.

    • 신뢰할 수 있는 리소스 및 가상 네트워크를 사용하여 방화벽을 구성합니다.

  • 경고의 소스가 권한이 없는 애플리케이션 또는 의심스러운 사용자인 경우, 다음을 수행합니다.

    • 키 자격 증명 모음의 액세스 정책 설정을 엽니다.

    • 해당 보안 주체를 제거하거나 보안 주체에서 수행할 수 있는 작업을 제한합니다.

  • 경고의 원본에 테넌트의 Microsoft Entra 역할이 있는 경우:

    • 관리자에게 문의하십시오.

    • Microsoft Entra 권한을 줄이거나 취소할 필요가 있는지 확인합니다.

영향 식별

영향이 완화된 경우, 키 자격 증명 모음에서 영향을 받은 비밀을 조사합니다.

  1. Azure Key Vault에서 “보안” 페이지를 열고 트리거된 경고를 확인합니다.

  2. 트리거된 특정 경고를 선택합니다. 액세스된 비밀 및 타임스탬프 목록을 검토합니다.

  3. 키 자격 증명 모음의 진단 로그가 사용하도록 설정된 경우, 필요에 따라 해당 호출자 IP, 사용자 계정 또는 개체 ID에 대한 이전 작업을 검토합니다.

작업 수행

의심스러운 사용자나 애플리케이션에서 액세스한 비밀, 키, 인증서 목록을 컴파일한 경우 해당 개체를 즉시 회전시켜야 합니다.

  • 영향을 받은 비밀은 키 자격 증명 모음에서 사용하지 않도록 설정하거나 삭제해야 합니다.

  • 특정 애플리케이션에서 자격 증명이 사용된 경우, 다음과 같이 수행합니다.

    • 애플리케이션의 관리자에게 손상된 자격 증명이 손상된 후 해당 자격 증명을 사용하는 환경에 대한 감사를 요청합니다.

    • 손상된 자격 증명이 사용된 경우, 애플리케이션 소유자는 액세스한 정보를 식별하여 영향을 완화해야 합니다.

Defender for DNS 경고에 응답

Defender for DNS 경고를 수신하면 다음 설명대로 경고를 조사하고 대응하는 것을 추천합니다. Defender for DNS는 모든 관련 리소스를 보호하므로 경고를 트리거한 애플리케이션이나 사용자에 대해 잘 알고 있는 경우에도 각 경고와 관련된 상황을 확인하는 것이 중요합니다.

연락처

리소스 소유자에게 문의하여 동작이 예상된 것인지 또는 의도한 것인지를 확인합니다.

  • 예상된 작업인 경우, 경고를 해제합니다.

  • 작업이 예상되지 않은 경우 다음 단계에 설명된 대로 리소스를 잠재적으로 손상 및 완화될 수 있는 것으로 처리합니다.

즉각적인 위협 완화

측면 이동을 방지하기 위해 네트워크에서 리소스를 격리합니다.

  • 수정 조언에 따라 리소스에서 전체 맬웨어 방지 검사를 실행합니다.

  • 리소스에 설치 및 실행 중인 소프트웨어를 검토하여 알 수 없거나 원치 않는 패키지를 제거합니다.

  • 머신을 알려진 정상 상태로 되돌리고 필요한 경우 운영 체제를 다시 설치하며 맬웨어가 없는 확인된 소스에서 소프트웨어를 복원합니다.

  • 머신에 대한 클라우드용 Defender 권장 사항을 해결하고 강조 표시된 보안 문제를 수정하여 향후 발생하는 위반을 방지합니다.

Defender for Resource Manager 경고에 응답

Defender for Resource Manager 경고를 수신하면 다음 설명대로 경고를 조사하고 대응하는 것을 추천합니다. Defender for Resource Manager는 연결된 모든 리소스를 보호하므로 경고를 트리거한 애플리케이션이나 사용자에 대해 잘 알고 있는 경우에도 각 경고와 관련된 상황을 확인하는 것이 중요합니다.

연락처

리소스 소유자에게 문의하여 동작이 예상된 것인지 또는 의도한 것인지를 확인합니다.

  • 예상된 작업인 경우, 경고를 해제합니다.

  • 예상되지 않은 작업인 경우, 다음 단계에 설명된 대로 관련 사용자 계정, 구독, 가상 머신을 손상된 것으로 처리하고 완화합니다.

즉각적인 위협 완화

  • 손상된 사용자 계정을 다음과 같이 재구성합니다.

    • 익숙하지 않은 경우, 위협 행위자가 생성된 것일 수 있으니 삭제합니다.

    • 친숙한 경우 인증 자격 증명을 변경합니다.

    • Azure 활동 로그를 사용하여 사용자가 수행한 모든 활동을 검토하고 의심스러운 모든 활동을 식별합니다.

  • 손상된 구독을 다음과 같이 재구성합니다.

    • 손상된 자동화 계정에서 익숙하지 않은 Runbook 제거

    • 구독에 대한 IAM 권한을 검토하고 익숙하지 않은 사용자 계정은 사용 권한을 제거

    • 구독에서 모든 Azure 리소스를 검토하고 익숙하지 않은 리소스는 삭제

    • 클라우드용 Defender에서 구독에 대한 보안 경고를 검토하고 조사

    • Azure 활동 로그를 사용하여 구독에서 수행된 모든 작업을 검토하고 의심스러운 작업을 식별

  • 손상된 가상 머신 재구성

    • 모든 사용자 암호 변경

    • 머신에서 전체 맬웨어 방지 검사 실행

    • 맬웨어가 없는 원본에서 이미지로 다시 설치