Microsoft의 통합 SecOps 플랫폼에서 위협 탐지
사이버 보안 위협은 현재 기술 환경에서 풍부합니다. 많은 소음은 보안 운영 센터에서 사용할 수있는 신호의 지속적인 유령과 풍부한 신호에 의해 생성됩니다. Microsoft의 통합 SecOps 플랫폼은 실행 가능한 위협과 노이즈를 구분합니다. Microsoft의 통합 SecOps 플랫폼의 각 서비스는 제공하는 솔루션의 안색과 일치하도록 미세 조정된 자체 검색을 추가하고 모든 것을 단일 dashboard 통합합니다.
Microsoft Defender 포털에 있는 Microsoft의 통합 SecOps 플랫폼은 클라우드용 Microsoft Defender XDR, Microsoft Sentinel 및 Microsoft Defender 경고 및 인시던트의 형태로 검색을 함께 가져옵니다.
Microsoft Defender 포털에서 위협 탐지
보안 팀은 가양성 제거를 위해 포커스와 명확성이 필요합니다. Microsoft Defender 포털은 지원되는 모든 Microsoft 보안 및 규정 준수 솔루션의 경고 및 인시던트 상관 관계를 지정하고 병합하며 클라우드용 Microsoft Sentinel 및 Microsoft Defender 통해 외부 솔루션의 위협 탐지를 통합합니다. 이러한 신호의 상관 관계와 병합은 풍부한 컨텍스트와 우선 순위를 제공합니다. 예를 들어 AiTM(Adversary-in-The-Middle) 피싱 공격에는 여러 원본에 흩어져 있는 위협 퍼즐 조각이 있을 수 있습니다. Defender 포털은 공격을 방해하고 위협을 수정하기 위한 단계별 대응을 제공하면서 이러한 부분을 공격 스토리에 통합합니다.
다음 이미지는 전체 AiTM 공격 스토리에 대한 개별 검색 원본을 포함하여 여러 서비스의 신호를 상호 연결하는 dashboard 인시던트를 보여 줍니다.
지원되는 각 Microsoft 보안 제품은 Defender 포털로 스트리밍할 수 있는 더 많은 신호를 잠금 해제합니다. 이러한 신호를 함께 연결하고 우선 순위를 지정하는 방법에 대한 자세한 내용은 Microsoft Defender 포털의 인시던트 및 경고를 참조하세요.
Microsoft Defender XDR 위협 탐지
Defender XDR 데이터 분석 및 위협 탐지의 추가 계층을 제공하는 고유한 상관 관계 기능이 있습니다. 다음 표에서는 지원되는 보안 서비스를 조정하여 솔루션의 특성과 일치하는 위협을 감지하는 방법에 대한 예제를 제공합니다.
| Defender XDR 서비스 | 위협 탐지 전문 분야 |
|---|---|
| 엔드포인트용 Microsoft Defender | Microsoft Defender 바이러스 백신은 모바일 디바이스, 데스크톱 등과 같은 엔드포인트에서 동작 기반 및 추론 분석으로 다형성 맬웨어를 검색합니다. |
| Office 365용 Microsoft Defender | 이메일, Teams 및 OneDrive에서 피싱, 맬웨어, 무기화된 링크 등을 검색합니다. |
| ID용 Microsoft Defender | 온-프레미스 및 클라우드 ID 모두에서 권한 상승, 횡적 이동, 검색, 방어 회피, 지속성 등을 검색합니다. |
| Microsoft Defender for Cloud Apps | 클라우드 애플리케이션에서 UEBA(사용자 및 엔터티 동작 분석)를 통해 의심스러운 활동을 검색합니다. |
| Microsoft Defender 취약성 관리 | 조사에 의미 있는 컨텍스트를 제공하는 디바이스의 취약성을 검색합니다. |
| Microsoft Entra ID Protection | 불가능한 이동, 확인된 위협 행위자 IP, 유출된 자격 증명, 암호 스프레이 등과 같은 로그인과 관련된 위험을 감지합니다. |
| Microsoft 데이터 손실 방지 | Microsoft 365 서비스, Office 애플리케이션, 엔드포인트 등에서 중요한 정보의 과잉 공유 및 반출과 관련된 위험 및 동작을 검색합니다. |
자세한 내용은 Microsoft Defender XDR?을 참조하세요.
Microsoft Sentinel 위협 탐지
Defender 포털에 연결된 Microsoft Sentinel 많은 수의 Microsoft 및 비 Microsoft 원본에서 데이터 수집을 사용할 수 있지만 거기서 멈추지 않습니다. Microsoft Sentinel 위협 관리 기능을 사용하면 환경에 대한 위협을 감지하고 구성하는 데 필요한 도구를 얻을 수 있습니다.
| 위협 관리 기능 | 검색 기능 | 자세한 내용 |
|---|---|---|
| MITRE ATT&CK 적용 범위 | 위협 탐지 범위를 구성하고 격차를 이해합니다. | MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해 |
| 분석 | 규칙은 지속적으로 데이터를 파헤쳐 경고 및 인시던트 생성 및 Defender 포털에서 해당 신호를 통합합니다. | 기본 제공 위협 검색 |
| 관심 목록 | 사용자 환경에서 의미 있는 관계를 큐레이팅하여 검색의 품질 및 우선 순위를 개선합니다. | Microsoft Sentinel 관심 목록 |
| 통합 문서 | 시각적 인사이트를 사용하여 위협 검색, 특히 데이터 수집의 상태를 모니터링하고 적절한 위협 탐지를 방지하는 간격을 이해합니다. | 통합 문서를 사용하여 데이터 시각화 |
| 요약 규칙 | 낮은 보안 값 데이터에서 위협을 감지하도록 시끄러운 대용량 로그를 최적화합니다. | 네트워크 데이터에 대한 위협 인텔리전스 일치에 대한 경고 생성 |
자세한 내용은 Microsoft Defender 포털에 Microsoft Sentinel 연결을 참조하세요.
클라우드 위협 탐지를 위한 Microsoft Defender
클라우드용 Defender는 고급 보안 분석을 사용하여 클라우드 자산을 지속적으로 모니터링하여 경고 및 인시던트 생성을 위한 위협 탐지를 제공합니다. 이러한 신호는 상관 관계 및 심각도 분류를 위해 Defender 포털에 직접 통합됩니다. 클라우드용 Defender에서 사용하도록 설정된 각 계획은 Defender 포털로 스트리밍되는 검색 신호에 추가됩니다. 자세한 내용은 Microsoft Defender XDR 경고 및 인시던트 를 참조하세요.
클라우드용 Defender는 다양한 워크로드에서 위협을 감지합니다. 다음 표에서는 검색하는 위협의 몇 가지 예를 제공합니다. 특정 경고에 대한 자세한 내용은 보안 경고 참조 목록을 참조하세요.
| 클라우드용 Defender 계획 | 위협 탐지 전문 분야 |
|---|---|
| 서버용 Defender | 맬웨어 방지 오류, 파일리스 공격, 암호화 마이닝 및 랜섬웨어 공격, 무차별 암호 대입 공격 등을 기반으로 Linux 및 Windows에 대한 위협을 검색합니다. |
| 스토리지용 Defender | 피싱 콘텐츠 및 맬웨어 배포, 의심스러운 액세스 및 검색, 비정상적인 데이터 추출 등을 검색합니다. |
| 컨테이너용 Defender | 위험한 노출, 악성 또는 암호화 마이닝 활동, 웹 셸 활동, 사용자 지정 시뮬레이션 등에 대한 제어 평면 및 워크로드 런타임의 위협을 검색합니다. |
| 데이터베이스용 Defender | SQL 삽입, 퍼지, 비정상적인 액세스, 무차별 암호 대입 시도 등을 감지합니다. |
| API용 Defender | 트래픽의 의심스러운 급증, 악의적인 IP로부터의 액세스, API 엔드포인트의 검색 및 열거 기술 등을 검색합니다. |
| AI 위협 방지 | 탈옥 시도, 중요한 데이터 노출, 손상된 AI 등에 대한 생성 AI 애플리케이션의 위협을 감지합니다. |
자세한 내용은 보안 경고 및 인시던트 를 참조하세요.