보안 권장 사항 검토

클라우드용 Microsoft Defender에서 리소스 및 워크로드는 Azure 구독, AWS(Amazon Web Services) 계정 및 GCP(Google Cloud Platform) 프로젝트에서 사용하도록 설정된 기본 제공 및 사용자 지정 보안 표준에 대해 평가됩니다. 이러한 평가에 따라 보안 권장 사항은 보안 문제를 수정하고 보안 상태를 개선하기 위한 실질적인 단계를 제공합니다.

Defender for Cloud는 악용 가능성과 조직에 미치는 잠재적 비즈니스 영향을 고려하면서 환경의 위험을 평가하는 동적 엔진을 사전에 사용합니다. 엔진은 각 리소스의 위험 요소에 따라 보안 권장 사항의 우선 순위를 지정합니다. 환경의 컨텍스트는 이러한 위험 요소를 결정합니다. 이 컨텍스트에는 리소스의 구성, 네트워크 연결 및 보안 태세가 포함됩니다.

필수 조건

• 사용자 환경에서 Defender CSPM(Cloud Security Posture Management)을 사용하도록 설정 해야 합니다.

권장 사항 페이지 검토

권장 사항을 해결하는 데 필요한 프로세스를 이해하기 전에 권장 사항과 관련된 모든 세부 정보를 검토합니다. 권장 사항을 확인하기 전에 모든 권장 사항 세부 정보가 올바른지 확인합니다.

권장 사항의 세부 정보를 검토하려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.

2. Defender for Cloud>권장 사항으로 이동합니다.

3. 권장 사항을 선택합니다.

4. 권장 사항 페이지에서 다음 세부 정보를 검토합니다.

   • 위험 수준 - 인터넷 노출, 중요한 데이터, 횡적 이동 등과 같은 환경 리소스 컨텍스트를 고려하여 기본 보안 문제의 취약성 및 비즈니스 효과입니다.
   • 위험 요소 - 권장 사항의 영향을 받는 리소스의 환경 요소로, 기본 보안 문제의 취약성 및 비즈니스 효과에 영향을 줍니다. 위험 요소의 예로는 인터넷 노출, 중요한 데이터 및 횡적 이동 가능성이 있습니다.
   • 리소스 - 영향을 받는 리소스의 이름입니다.
   • 상태 - 할당되지 않음, 정시 또는 연체와 같은 권장 사항의 상태입니다.
   • 설명 - 보안 문제에 대한 간략한 설명입니다.
   • 공격 경로 - 공격 경로 수입니다.
   • 범위 - 영향을 받는 구독 또는 리소스입니다.
   • 신선도 - 권장 사항의 신선도 간격입니다.
   • 마지막 변경 날짜 - 이 권장 사항이 마지막으로 변경된 날짜입니다.
   • 심각도 - 권장 사항의 심각도(높음, 보통 또는 낮음)입니다. 자세한 내용이 제공됩니다.
   • 소유자 - 권장 사항에 할당된 사람입니다.
   • 기한 - 권장 사항을 해결하기 위한 할당된 기한입니다.
   • 전술 및 기술 - MITRE ATT&CK에 매핑된 전술 및 기술입니다.

권장 사항 살펴보기

다양한 작업을 수행하여 권장 사항과 상호 작용할 수 있습니다. 옵션을 사용할 수 없는 경우 권장 사항과 관련이 없습니다.

권장 사항을 탐색하려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.

2. Defender for Cloud>권장 사항으로 이동합니다.

3. 권장 사항을 선택합니다.

4. 권장 사항에서 다음 작업을 수행할 수 있습니다.

   • 쿼리 열기를 선택하여 Azure Resource Graph Explorer 쿼리를 사용하여 영향을 받는 리소스에 대한 자세한 정보를 봅니다.

   • 정책 정의 보기를 선택하여 관련 있는 경우 기본 권장 사항에 대한 Azure Policy 항목을 봅니다.

   • 권장 사항의 영향을 받는 모든 리소스를 보려면 모든 리소스에 대한 권장 사항 보기를 선택합니다.

5. 조치를 취하세요

   • 수정: 영향을 받는 리소스의 보안 문제를 해결하는 데 필요한 수동 단계에 대한 설명입니다. 수정 옵션을 사용하는 권장 사항의 경우 리소스에 제안된 수정 사항을 적용하기 전에 수정 논리 보기를 선택할 수 있습니다.

   • 권장 사항 소유자 및 기한 설정: 권장 사항에 대해 거버넌스 규칙을 사용하도록 설정한 경우 소유자와 기한을 할당할 수 있습니다.

   • 예외: 권장 사항에서 리소스를 제외하거나 사용 안 함 규칙을 사용하여 특정 결과를 사용하지 않도록 설정할 수 있습니다.

   • 워크플로 자동화: 권장 사항을 사용하여 트리거할 논리 앱을 설정합니다.

   

6. 결과에서 심각도별로 관련 결과를 검토할 수 있습니다.

   

7. Graph에서 공격 경로를 포함하여 위험 우선 순위 지정에 사용되는 모든 컨텍스트를 보고 조사할 수 있습니다. 공격 경로에서 노드를 선택하여 선택한 노드의 세부 정보를 볼 수 있습니다.

   

8. 노드를 선택하여 자세한 정보를 봅니다.

   

9. Insights를 선택합니다.

10. 취약성 드롭다운 메뉴에서 취약성을 선택하여 세부 정보를 확인합니다.

    

11. (선택 사항) 취약성 페이지 열기 를 선택하여 연결된 권장 사항 페이지를 봅니다.

12. 권장 사항 수정.

제목별 그룹 권장 사항

Defender for Cloud의 권장 사항 페이지에서는 제목별로 권장 사항을 그룹화할 수 있습니다. 이 기능은 특정 보안 문제로 인해 여러 리소스에 영향을 주는 권장 사항을 수정하려는 경우에 유용합니다.

제목별로 권장 사항을 그룹화하려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.

2. Defender for Cloud>권장 사항으로 이동합니다.

3. 제목별로 그룹을 선택합니다.

   

할당된 권장 사항 관리

Defender for Cloud는 권장 사항에 대한 거버넌스 규칙을 지원하여 권장 사항 소유자 또는 작업 기한을 할당합니다. 거버넌스 규칙은 권장 사항에 대한 책임 및 SLA를 보장하는 데 도움이 됩니다.

• 권장 사항은 정시로 나열되다가, 기한이 지나면 연체로 변경됩니다.
• 권장 사항이 지연되기 전에는 보안 점수에 영향을 주지 않습니다.
• 지연된 권장 사항이 보안 점수에 영향을 주지 않는 유예 기간을 적용할 수도 있습니다.

거버넌스 규칙 구성에 대해 자세히 알아봅니다.

할당된 권장 사항을 관리하려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.

2. Defender for Cloud>권장 사항으로 이동합니다.

3. 필터 추가>소유자를 선택합니다.

4. 사용자 항목을 선택합니다.

5. 적용을 선택합니다.

6. 권장 사항 결과에서 영향을 받는 리소스, 위험 요소, 공격 경로, 기한 및 상태를 포함한 권장 사항을 검토합니다.

7. 권장 사항을 선택하여 추가로 검토합니다.

8. 작업> 수행소유자 및 기한 변경에서 할당 편집을 선택하여 필요한 경우 권장 사항 소유자 및 기한을 변경합니다.     - 기본적으로 리소스 소유자는 할당된 권장 사항을 나열하는 주간 이메일을 받습니다.     - 새 수정 날짜를 선택하는 경우 Justification에서 해당 날짜까지 수정 이유를 지정합니다.     - 전자 메일 알림 설정에서 다음을 수행할 수 있습니다. - 소유자에게 보내는 기본 주간 이메일 설정을 변경합니다.         - 열려 있는/연체된 작업 목록을 사용하여 매주 소유자에게 알립니다.         - 열려 있는 작업 목록을 소유자의 직접 관리자에게 알립니다.

9. 저장을 선택합니다.

Azure Resource Graph에서 권장 사항 검토

Azure Resource Graph를 사용하여 KQL(Kusto Query Language)을 작성하여 여러 구독에서 Defender for Cloud 보안 상태 데이터를 쿼리할 수 있습니다. Azure Resource Graph는 데이터를 보고, 필터링하고, 그룹화하고, 정렬하여 클라우드 환경에서 대규모로 쿼리하는 효율적인 방법을 제공합니다.

Azure Resource Graph에서 권장 사항을 검토하려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.

2. Defender for Cloud>권장 사항으로 이동합니다.

3. 권장 사항을 선택합니다.

4. 쿼리 열기를 선택합니다.

5. 다음 두 가지 방법 중 하나로 쿼리를 열 수 있습니다.

   • 영향을 받는 리소스를 반환하는 쿼리 - 이 권장 사항의 영향을 받는 모든 리소스 목록을 반환합니다.
   • 쿼리 반환 보안 결과 - 권장 사항에서 찾은 모든 보안 문제 목록을 반환합니다.

6. 실행 쿼리를 선택합니다.

   

7. 결과를 검토합니다.

권장 사항은 어떻게 분류되는가?

Defender for Cloud의 모든 보안 권장 사항에는 세 가지 심각도 등급 중 하나가 제공됩니다.

• 높은 심각도: 공격자가 시스템 또는 데이터에 무단으로 액세스하기 위해 악용할 수 있는 중요한 보안 취약성을 나타내므로 이러한 권장 사항을 즉시 해결합니다. 심각도가 높은 권장 사항의 예로는 컴퓨터의 보호되지 않는 비밀, 지나치게 허용되는 인바운드 NSG 규칙, 신뢰할 수 없는 레지스트리에서 이미지를 배포할 수 있는 클러스터, 스토리지 계정 또는 데이터베이스에 대한 무제한 공용 액세스 등이 있습니다.

• 보통 심각도: 이러한 권장 사항은 적시에 해결해야 하지만 즉각적인 주의가 필요하지 않을 수 있는 잠재적인 보안 위험을 나타냅니다. 중간 심각도 권장 사항의 예로는 중요한 호스트 네임스페이스를 공유하는 컨테이너, 관리 ID를 사용하지 않는 웹앱, 인증 중에 SSH 키가 필요하지 않은 Linux 머신, 90일 동안 비활성 상태인 후 시스템에 남아 있는 사용되지 않는 자격 증명 등이 있습니다.

• 심각도가 낮음: 이러한 권장 사항은 편의상 해결할 수 있는 비교적 사소한 보안 문제를 나타냅니다. 심각도가 낮은 권장 사항의 예로는 Microsoft Entra ID를 위해 로컬 인증을 사용하지 않도록 설정해야 하는 필요성, 엔드포인트 보호 솔루션의 상태 문제, 네트워크 보안 그룹을 따르지 않는 모범 사례 또는 보안 인시던트 감지 및 대응을 어렵게 만들 수 있는 잘못 구성된 로깅 설정 등이 있습니다.

조직의 내부 보기는 Microsoft의 특정 권장 사항 분류와 다를 수 있습니다. 따라서 각 권장 사항을 신중하게 검토하고 이를 해결하는 방법을 결정하기 전에 보안 태세에 미치는 잠재적 영향을 고려하는 것이 좋습니다.

예시

이 예제에서 이 권장 사항 세부 정보 페이지에는 영향을 받는 15개의 리소스가 표시됩니다.

기본 쿼리를 열고 실행하면 Azure Resource Graph Explorer는 이 권장 사항에 대해 영향을 받는 동일한 리소스를 반환합니다.

다음 단계