적용 대상:
- [Microsoft Defender XDR](/defender-xdr/microsoft-365-defender.md
- [클라우드용 Microsoft Defender](/azure/defender-for-cloud/
클라우드용 Microsoft Defender는 Microsoft Defender XDR(확장 검색 및 응답)과 통합됩니다. 이 통합을 통해 보안 팀은 Microsoft Defender 포털 내에서 Defender for Cloud 경고 및 인시던트에 액세스할 수 있습니다. 이 통합은 클라우드 리소스, 디바이스 및 ID를 포괄하는 조사에 대한 보다 풍부한 컨텍스트를 제공합니다.
Microsoft Defender XDR과의 파트너 관계를 통해 보안 팀은 클라우드 환경에서 발생하는 의심스럽고 악의적인 이벤트를 포함하여 공격에 대한 전체 그림을 가져올 수 있습니다. 보안 팀은 경고와 인시던트의 즉각적인 상관 관계를 통해 이 목표를 달성할 수 있습니다.
Microsoft Defender XDR은 보호, 검색, 조사 및 응답 기능을 결합한 포괄적인 솔루션을 제공합니다. 이 솔루션은 디바이스, 이메일, 협업, ID 및 클라우드 앱에 대한 공격으로부터 보호합니다. 검색 및 조사 기능은 이제 클라우드 엔터티로 확장되어 보안 운영 팀에 단일 창을 제공하여 운영 효율성을 크게 개선합니다.
인시던트 및 경고는 이제 Microsoft Defender XDR의 공용 API의 일부입니다. 이 통합을 통해 단일 API를 사용하여 보안 경고 데이터를 모든 시스템으로 내보낼 수 있습니다. 클라우드용 Microsoft Defender는 사용자에게 가능한 최고의 보안 솔루션을 제공하기 위해 최선을 다하고 있으며, 이번 통합은 해당 목표를 달성하기 위한 중요한 단계입니다.
필수 조건
Microsoft Defender 포털에서 Defender for Cloud 경고에 대한 액세스는 어떤 Defender for Cloud 계획을 사용하도록 설정하느냐에 따라 달라집니다. 다양한 클라우드용 Defender 계획 보호에 대해 자세히 알아봅니다.
비고
Defender for Cloud 경고 및 상관 관계를 볼 수 있는 권한은 전체 테넌트에 대해 자동으로 수행됩니다. 특정 구독 보기는 지원되지 않습니다. 경고 구독 ID 필터를 사용하여 경고 및 인시던트 큐에서 특정 클라우드용 Defender 구독과 연결된 Defender for Cloud 경고를 볼 수 있습니다. 필터에 대해 자세히 알아보세요.
통합은 클라우드용 Defender에 적절한 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어) 역할을 적용해야만 사용할 수 있습니다. Defender XDR 통합 RBAC 없이 클라우드용 Defender 서비스의 경고 및 상관 관계를 보려면 Azure Active Directory의 전역 관리자 또는 보안 관리자 권한이 있어야 합니다.
Microsoft Defender XDR 조사 경험
다음 표에서는 클라우드용 Defender 경고가 포함된 Microsoft Defender XDR의 검색 및 조사 환경에 대해 설명합니다.
| 영역 | 설명 |
|---|---|
| 사건 | 모든 클라우드용 Defender 인시던트는 Microsoft Defender XDR에 통합됩니다. - 인시던트 큐에서 클라우드 리소스 자산 검색이 지원됩니다. - 공격 사례 그래프에는 클라우드 리소스가 표시됩니다. - 인시던트 페이지의 자산 탭에는 클라우드 리소스가 표시됩니다. - 각 가상 머신에는 관련된 모든 경고 및 작업이 포함된 자체 엔터티 페이지가 있습니다. 다른 Defender 워크로드에서 발생한 인시던트는 중복되지 않습니다. |
| 경고 | 다중 클라우드, 내부 및 외부 공급자의 경고를 포함한 모든 클라우드용 Defender 경고는 Microsoft Defender XDR에 통합되어 있습니다. 클라우드용 Defender 경고는 Microsoft Defender XDR 경고 큐에 표시됩니다. Microsoft Defender XDR cloud resource 자산은 경고의 자산 탭에 표시됩니다. 리소스는 Azure, Amazon 또는 Google Cloud 리소스로 명확하게 식별됩니다. 클라우드용 Defender 경고는 테넌트에 자동으로 연결됩니다. 다른 Defender 워크로드의 경고는 중복되지 않습니다. |
| 경고 및 인시던트 상관 관계 | 경고와 인시던트는 자동으로 상호 관련되어 보안 운영 팀이 클라우드 환경의 전체 공격 스토리를 이해할 수 있도록 강력한 컨텍스트를 제공합니다. |
| 위협 감지 | 정밀하고 효과적인 위협 감지를 보장하기 위해 가상 엔터티와 디바이스 엔터티를 정확하게 일치시킵니다. |
| Unified API | 이제 클라우드용 Defender 경고 및 인시던트가 Microsoft Defender XDR의 공용 API에 포함되어 고객이 하나의 API를 사용하여 보안 경고 데이터를 다른 시스템으로 내보낼 수 있습니다. |
비고
클라우드용 Defender의 정보 경고는 관련성이 높고 심각도가 높은 경고에 집중할 수 있도록 Microsoft Defender 포털에 통합되지 않습니다. 이 전략은 인시던트 관리를 간소화하고 경고 피로를 줄입니다.
XDR의 고급 헌팅
Microsoft Defender XDR의 고급 헌팅 기능은 클라우드용 Defender 경고 및 인시던트를 포함하도록 확장되었습니다. 이 통합을 통해 보안 팀은 단일 쿼리로 모든 클라우드 리소스, 디바이스 및 ID를 쿼리할 수 있습니다.
Microsoft Defender XDR의 고급 쿼리 환경은 보안 팀이 환경 전반에서 위협을 쿼리하기 위한 사용자 지정 쿼리를 만들 수 있는 유연성을 제공하도록 설계되었습니다. 클라우드용 Defender 경고 및 인시던트와의 통합을 통해 보안 팀은 클라우드 리소스, 디바이스 및 ID 전반에서 위협을 헌팅할 수 있습니다.
고급 헌팅의 CloudAuditEvents 테이블을 사용하면 컨트롤 플레인 이벤트를 조사 및 검색하고 의심스러운 Azure Resource Manager 및 Kubernetes(KubeAudit) 컨트롤 플레인 활동을 표시하는 사용자 지정 검색을 만들 수 있습니다.
고급 헌팅의 CloudProcessEvents 테이블을 사용하면 프로세스 세부 정보에 대한 세부 정보가 포함된 정보를 사용하여 클라우드 인프라에서 호출되는 의심스러운 활동에 대한 사용자 지정 검색을 심사, 조사 및 만들 수 있습니다.
Microsoft Sentinel 고객
Microsoft Defender XDR 인시던트 통합및 클라우드용 Defender 경고를 수집하는 Microsoft Sentinel 고객은 중복 경고 및 인시던트 방지를 위해 다음 단계를 수행해야 합니다.
Microsoft Sentinel에서 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 데이터 커넥터를 구성합니다. 이 데이터 커넥터는 Microsoft Sentinel 콘텐츠 허브에서 사용할 수 있는 클라우드용 Microsoft Defender 솔루션에 포함되어 있습니다.
테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 데이터 커넥터는 모든 구독의 경고 수집을 Microsoft Defender XDR 인시던트 커넥터를 통해 스트리밍되는 테넌트 기반 클라우드용 Defender 인시던트와 동기화합니다. 클라우드용 Defender 인시던트는 테넌트의 모든 구독에 대해 연관시켜 관리됩니다.
Defender 포털에서 여러 Microsoft Sentinel 작업 영역을 사용하는 경우 상관 관계가 있는 Defender for Cloud 인시던트가 기본 작업 영역으로 스트리밍됩니다. 자세한 내용은 Defender 포털의 여러 Microsoft Sentinel 작업 영역을 참조하세요.
중복 경고를 방지하려면 구독 기반 클라우드(레거시) 데이터 커넥터의 연결을 끊습니다.
클라우드용 Defender 경고에서 인시던트를 만드는 데 사용된 모든 분석 규칙, 즉 예약(일반 쿼리 형식) 또는 Microsoft 보안(인시던트 만들기) 규칙을 해제합니다.
필요한 경우 자동화 규칙을 사용하여 시끄러운 인시던트를 닫거나 Defender 포털의 기본 제공 튜닝 기능을 사용하여 특정 경고를 억제합니다.
Microsoft Defender XDR 인시던트가 Microsoft Sentinel에 통합되어 있고 구독 기반 설정을 유지하고 테넌트 기반 동기화를 방지하려면 Microsoft Defender XDR에서 인시던트 및 경고를 동기화하지 않도록 옵트아웃합니다.
Microsoft Defender 포털에서 설정 > Microsoft Defender XDR로 이동합니다.
경고 서비스 설정에서 클라우드용 Microsoft Defender 경고를 찾습니다.
경고 없음을 선택하여 모든 클라우드용 Defender 경고를 끕니다. 이 옵션을 선택하면 Microsoft Defender XDR에 대한 새 Defender for Cloud 경고 수집이 중지됩니다. 이전에 수집한 경고는 경고 또는 인시던트 페이지에 남아 있습니다.
자세한 내용은 다음을 참조하세요.
- Microsoft Defender XDR 통합을 사용하여 클라우드용 Microsoft Defender 인시던트를 수집하기
- 기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리