필수 구성 요소 및 지원
이 문서에서는 Microsoft 보안 노출 관리 사용하기 위한 요구 사항 및 필수 구성 요소를 설명합니다.
권한
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 사용하여 권한 관리
Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 사용하면 노출 관리에 대한 특정 권한이 있는 사용자 지정 역할을 만들 수 있습니다. 이러한 권한은 Defender XDR 통합 RBAC 권한 모델의 보안 상태 범주 아래에 있으며 이름이 지정됩니다.
- 읽기 전용 액세스를 위한 노출 관리(읽기)
- 노출 관리 환경을 관리하기 위한 액세스에 대한 노출 관리(관리)
노출 관리에서 더 중요한 작업을 수행하려면 권한 부여 및 설정 범주 아래에 있는 핵심 보안 설정(관리) 권한이 필요합니다.
노출 관리 데이터 및 작업에 액세스하려면 여기에 언급된 권한이 있는 Defender XDR 통합 RBAC의 사용자 지정 역할이 Microsoft 보안 노출 관리 데이터 원본에 할당되어야 합니다.
Microsoft Defender XDR 통합 RBAC를 사용하여 보안 점수 권한을 관리하는 방법에 대한 자세한 내용은 MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.
다음 표에서는 사용자가 각 사용 권한으로 액세스하거나 수행할 수 있는 작업을 강조 표시합니다.
사용 권한 이름 | 작업 |
---|---|
노출 관리(읽기) | 모든 노출 관리 환경에 액세스하고 사용 가능한 모든 데이터에 대한 읽기 액세스 |
노출 관리(관리) | 읽기 액세스 외에도 사용자는 이니셔티브 대상 점수를 설정하고, 메트릭 값을 편집하고, 권장 사항을 관리할 수 있습니다(수행해야 하는 특정 작업과 관련된 추가 권한이 필요할 수 있습니다). |
핵심 보안 설정(관리) | 외부 공격 Surface Management 이니셔티브에 공급업체 연결 또는 변경 |
전체 Microsoft 보안 노출 관리 액세스하려면 사용자 역할이 엔드포인트용 모든 Defender 디바이스 그룹에 액세스해야 합니다. 일부 organization 디바이스 그룹에 대한 액세스 권한이 제한된 사용자는 다음을 수행할 수 있습니다.
- 전역 노출 인사이트 데이터에 액세스합니다.
- scope 내에서만 메트릭, 권장 사항, 이벤트 및 이니셔티브 기록에서 영향을 받는 자산을 봅니다.
- scope 내의 공격 경로에서 디바이스를 봅니다.
- 액세스 권한이 있는 디바이스 그룹에 대한 보안 노출 관리 공격 표면 맵 및 고급 헌팅 스키마(ExposureGraphNodes 및 ExposureGraphEdges)에 액세스합니다.
참고
시스템> 설정> Microsoft Defender XDR중요한 자산 관리에 대한 관리 권한을 사용하여 액세스하려면 사용자가 엔드포인트용 모든 Defender 디바이스 그룹에 액세스할 수 있어야 합니다.
Microsoft Entra ID 역할을 사용하여 액세스
Microsoft Defender XDR 통합 RBAC 권한으로 액세스를 관리하는 대신 Microsoft Entra ID 역할을 사용하여 Microsoft 보안 노출 관리 데이터 및 작업에 액세스할 수도 있습니다. 보안 노출 관리 작업 영역을 만들려면 하나 이상의 전역 관리 또는 보안 관리 있는 테넌트가 필요합니다.
모든 권한을 사용하려면 다음 Microsoft Entra ID 역할 중 하나가 필요합니다.
- 전역 관리(읽기 및 쓰기 권한)
- 보안 관리(읽기 및 쓰기 권한)
- 보안 연산자 (읽기 및 제한된 쓰기 권한)
- 전역 읽기 권한자(읽기 권한)
- 보안 읽기 권한자(읽기 권한)
사용 권한 수준은 표에 요약되어 있습니다.
작업 | 전역 관리자 | 전역 읽기 권한자 | 보안 관리자 | 보안 운영자 | 보안 읽기 권한자 |
---|---|---|---|---|---|
다른 사용자에게 사용 권한 부여 | ✔ | - | - | - | - |
Microsoft Defender 외부 공격 표면 관리(EASM) 이니셔티브에 organization 온보딩 | ✔ | ✔ | ✔ | ✔ | ✔ |
이니셔티브를 즐겨찾기로 표시 | ✔ | ✔ | ✔ | ✔ | ✔ |
이니셔티브 대상 점수 설정 | ✔ | - | ✔ | - | - |
일반 이니셔티브 보기 | ✔ | ✔ | ✔ | ✔ | ✔ |
메트릭/권장 사항 공유 | ✔ | ✔ | ✔ | ✔ | ✔ |
메트릭 가중치 편집 | ✔ | - | ✔ | - | - |
메트릭 내보내기(PDF) | ✔ | ✔ | ✔ | ✔ | ✔ |
메트릭 보기 | ✔ | ✔ | ✔ | ✔ | ✔ |
자산 내보내기(메트릭/권장 사항) | ✔ | ✔ | ✔ | ✔ | ✔ |
권장 사항 관리 | ✔ | - | ✔ | - | - |
권장 사항 보기 | ✔ | ✔ | ✔ | ✔ | ✔ |
이벤트 내보내기 | ✔ | ✔ | ✔ | ✔ | ✔ |
중요도 수준 변경 | ✔ | - | ✔ | ✔ | - |
중요 자산 규칙 설정 | ✔ | - | ✔ | - | - |
중요도 규칙 만들기 | ✔ | - | ✔ | - | - |
중요도 규칙 켜기/끄기 | ✔ | - | ✔ | ✔ | - |
노출 그래프 데이터에 대한 쿼리 실행 | ✔ | ✔ | ✔ | ✔ | ✔ |
데이터 커넥터 구성 | ✔ | ✔ | ✔ | ||
데이터 커넥터 보기 | ✔ | ✔ | ✔ | ✔ | ✔ |
브라우저 요구 사항
Microsoft Edge, Internet Explorer 11 또는 HTML 5 호환 웹 브라우저를 사용하여 Microsoft Defender 포털에서 보안 노출 관리 액세스할 수 있습니다.
중요 자산 분류
시작하기 전에 보안 노출 관리 중요한 자산 관리에 대해 알아봅니다.
중요한 자산 작업에 필요한 권한을 검토합니다.
중요한 자산을 분류할 때 엔드포인트용 Defender 센서 이상 버전 10.3740.XXXX를 실행하는 디바이스를 지원합니다. 엔드포인트용 Defender 새로운 기능 페이지에 나열된 대로 최신 센서 버전을 실행하는 것이 좋습니다.
다음과 같이 디바이스가 실행되는 센서 버전을 검사 수 있습니다.
특정 디바이스에서 C:\Program Files\Windows Defender Advanced Threat Protection의 MsSense.exe 파일을 찾습니다. 파일을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 세부 정보 탭에서 파일 버전을 검사.
여러 디바이스의 경우 다음과 같이 고급 헌팅 Kusto 쿼리를 실행하여 디바이스 센서 버전을 검사 것이 더 쉽습니다.
DeviceInfo | project DeviceName, ClientVersion
데이터 새로 고침, 보존 및 관련 기능
현재 자사 Microsoft 제품에서 지원되는 데이터를 수집하고 처리하여 원본 제품에서 프로덕션한 후 72시간 이내에 그래프 데이터를 기반으로 구축된 엔터프라이즈 노출 그래프 및 적용 가능한 Microsoft 보안 노출 관리 환경 내에서 사용할 수 있습니다.
Microsoft 제품 데이터는 엔터프라이즈 노출 그래프 및/또는 Microsoft 보안 노출 관리 14일 이내에 보존됩니다. Microsoft 제품에서 받은 최신 데이터 스냅샷 보존되며 기록 데이터는 저장되지 않습니다.
일부 엔터프라이즈 노출 그래프 및/또는 Microsoft 보안 노출 관리 환경 데이터는 고급 헌팅을 통해 쿼리할 수 있으며 고급 헌팅 서비스 제한 사항이 적용됩니다.
향후 다음을 포함하여 이러한 매개 변수의 일부 또는 전부를 수정할 권리가 있습니다.
- 데이터 수집 빈도 및 새로 고침: 일부 또는 모든 Microsoft 데이터 원본에 대한 현재 72시간 대기 시간(데이터 수집 빈도 감소)을 늘릴 수 있습니다.
- 데이터 보존 기간: 현재 14일 데이터 보존 기간을 줄일 수 있습니다.
- 서비스 기능: 엔터프라이즈 노출 그래프 및/또는 Microsoft 보안 노출 관리 데이터를 기반으로 하는 서비스의 특정 기능, 기능 또는 기능을 변경, 제한 또는 중단할 수 있습니다.
- 데이터 쿼리 제한: 엔터프라이즈 노출 그래프 또는 Microsoft 보안 노출 관리 데이터에 대해 수행할 수 있는 데이터 쿼리의 수, 빈도 또는 형식에 제한을 적용할 수 있습니다.
우리는 서비스에 대한 중요한 변경 사항에 대한 사전 통지를 제공하기 위해 합리적인 노력을 기울일 것입니다. 그러나 사용자는 이러한 알림을 모니터링하는 데 전적으로 책임이 있음을 인정하고 동의합니다.
지원 받기
지원을 받으려면 Microsoft 보안 도구 모음에서 도움말 물음표 아이콘을 선택합니다.
Microsoft Tech 커뮤니티에 참여할 수도 있습니다.