Microsoft 보안 노출 관리 중요 비즈니스용 자산을 안전하고 사용할 수 있게 유지합니다. 중요한 자산은 SOC 팀이 organization 보안 태세를 개선하기 위한 노력의 우선 순위를 지정하는 데 도움이 됩니다. 중요한 자산에 집중하면 가장 중요한 자산이 데이터 침해 및 운영 중단의 위험으로부터 보호됩니다. 이 문서에서는 중요한 자산으로 작업하는 방법을 설명합니다.
자산 중요도
자산 중요도는 organization 운영 및 보안 태세에 대한 자산의 중요성을 측정한 것입니다. 사이버 역할, 프로덕션 컨텍스트 및 시스템 또는 하위 시스템의 조합을 반영합니다.
자산은 다음과 같은 네 가지 수준의 중요도로 분류됩니다.
- 매우 높음 - 매우 높은 중요도 자산은 비즈니스의 생존과 연속성에 필수적입니다. 그들의 타협은 치명적인 결과를 초래할 수 있습니다.
- 높음 - 중요도가 높은 자산은 organization 핵심 운영에 매우 중요합니다. 그들의 타협은 상당한 혼란으로 이어질 수 있습니다.
- 중간 - 중간 중요도 자산은 보통 영향을 미치며 특정 함수 또는 프로세스에 영향을 줄 수 있습니다.
- 낮 음 - 낮은 중요도 자산은 손상된 경우 비즈니스 운영 및 보안에 미치는 영향을 최소화합니다.
중요도에 따라 자산을 이해하고 분류하면 보안 작업의 우선 순위를 지정하고 가장 중요한 자산이 최고 수준의 보호를 받을 수 있습니다.
영향 분석 및 크라운 보석 분석은 중요한 자산을 식별하고 우선 순위를 지정하는 데 필수적인 방법론입니다. NIST(국립표준기술원)는 NIST IR 8179에서 찾을 수 있는 중요도 분석에 대한 지침을 제공합니다.
NIST CSF(사이버 보안 프레임워크) 800-53은 ID.AM-05 https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/에 설명된 대로 자산 관리 및 중요도 분석에 대한 지침을 강조합니다.
참고
자산에 여러 분류 규칙이 적용되는 경우 중요도가 가장 높은 규칙이 우선합니다. 이 분류는 자산이 해당 규칙의 조건을 더 이상 충족하지 않을 때까지 계속 적용되며, 이 시점에서 해당되는 다음 분류 수준으로 자동으로 되돌리기.
필수 구성 요소
시작하기 전에 Microsoft 보안 노출 관리 중요한 자산 작업에 대한 다음 요구 사항을 충족하는지 확인합니다.
- 시작하기 전에 노출 관리의 중요한 자산 관리에 대해 알아봅니다.
- 중요한 자산 작업에 필요한 권한을 검토합니다.
- MSEM 사용 사례를 지원하기 위한 보안 원격 분석의 경우 엔드포인트에서 엔드포인트용 Microsoft Defender 에이전트 버전 10.3740.XXXX 이상을 실행해야 합니다. 엔드포인트용 Defender 새로운 기능 페이지에 나열된 대로 최신 에이전트 버전을 사용하는 것이 좋습니다.
다음과 같이 디바이스가 실행 중인 에이전트 버전을 검사 수 있습니다.
특정 디바이스에서 C:\Program Files\Windows Defender Advanced Threat Protection의 MsSense.exe 파일을 찾습니다. 파일을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 세부 정보 탭에서 파일 버전을 검사.
여러 디바이스의 경우 다음과 같이 고급 헌팅 Kusto 쿼리를 실행하여 디바이스 센서 버전을 검사 것이 더 쉽습니다.
DeviceInfo | project DeviceName, ClientVersion
중요한 자산 검토
다음과 같이 중요한 자산을 검토합니다.
Microsoft Defender 포털에서 설정 > Microsoft XDR > 규칙 > 중요 자산 관리를 선택합니다.
중요 자산 관리 페이지에서 분류의 자산 수, 자산의 켜기 또는 해제 여부, 중요도 수준을 포함하여 미리 정의된 사용자 지정 중요 자산 분류를 검토합니다.
참고
자산 디바이스 > 중요 자산 분류에서 >중요한 자산을 볼 수도 있습니다. 또한 노출 인사이트 -> 이니셔티브에서 중요한 자산 보호 이니셔티브를 볼 수 있습니다.
미리 정의된 새 분류 요청
연구 개발 팀에 새로운 분류를 제안하면 에코시스템 전체에 적용할 수 있는 분류 및 역할을 포함하도록 기본 제공 검색을 확장하는 데 도움이 됩니다. 이렇게 하면 제품이 크게 향상되고 Microsoft는 모든 작업을 수행합니다.
다음과 같이 미리 정의된 새 분류를 요청합니다.
- 중요 자산 관리 페이지에서 새 분류 제안을 선택합니다.
- 보고 싶은 분류를 입력한 다음 요청 제출을 선택합니다.
사용자 지정 분류 만들기
사용자 지정 분류를 사용하면 역할 할당 논리 및 중요도 수준을 미세 조정하여 organization 중요도 정책에 맞게 조정할 수 있습니다. 예를 들어 특정 네트워크의 자산을 분류하거나 기본값과 다른 중요도 수준을 가져야 하는 자산 유형을 분류합니다.
다음과 같이 사용자 지정 분류를 만듭니다.
중요 자산 관리 페이지에서 새 분류 만들기를 선택합니다.
중요한 자산 분류 만들기 페이지에서 다음 정보를 완료하여 분류 조건을 설정합니다.
- 이름 - 새 분류 이름입니다.
- 설명 - 새 분류 설명입니다.
-
쿼리 작성기
- 쿼리 작성기를 사용하여 instance "특정 명명 규칙을 사용하여 모든 디바이스를 중요로 표시"하는 새 분류를 정의합니다.
- 디바이스, ID 또는 클라우드 리소스별로 정의된 하나 이상의 부울 필터를 추가합니다.
조건을 설정한 후 다음을 선택합니다.
다음 페이지에서 영향을 받는 자산을 미리 보기하고 중요도 수준을 할당합니다.
참고
Microsoft Defender 포털에서 새 사용자 지정 중요 자산 분류를 만들 때 쿼리 작성기에서는 ID 기반 규칙에 대한 AD(Active Directory) 그룹만 지원합니다. 현재 Microsoft Entra ID 그룹은 지원되지 않습니다.
중요한 자산 수준 설정
다음과 같이 수준을 설정합니다.
중요 자산 관리 페이지에서 중요한 자산 분류를 선택합니다.
개요 탭에서 원하는 중요도 수준을 선택합니다.
저장을 선택합니다.
참고
디바이스 인벤토리에서 위험 수준을 수동으로 설정할 수 있습니다. 자산 전반에 걸쳐 위험 수준을 광범위하게 적용할 수 있는 중요도 규칙을 만드는 것이 좋습니다.
사용자 지정 분류 편집
다음과 같이 사용자 지정 분류를 편집합니다.
- 중요 자산 관리 페이지에서 수정할 분류를 찾습니다. 사용자 지정 분류만 편집하거나 삭제할 수 있습니다.
- 편집, 삭제 또는 끄기를 선택합니다.
미리 정의된 분류에 자산 추가
중요 자산 관리 페이지에서 관련 자산 분류를 선택합니다. 보류 중인 승인 열은 자동 분류 임계값을 충족하지 않고 사용자 승인이 필요한 자산이 있는 분류를 찾는 데 도움이 됩니다.
현재 중요한 것으로 간주되는 분류의 모든 자산을 보려면 자산 탭을 선택합니다.
분류에 적합하지만 임계값을 벗어난 자산을 승인하려면 보류 중인 승인으로 이동합니다.
나열된 자산을 검토합니다. 추가할 자산 옆에 있는 더 하기 단추를 선택합니다.
참고
보류 중인 승인 은 검토할 자산이 있는 경우에만 표시됩니다.
중요도 수준을 변경하고 모든 자산에 대한 분류를 해제할 수 있습니다. 사용자 지정 중요 자산을 편집하고 삭제할 수도 있습니다.
미리 정의된 분류에서 승인된 자산 제거
중요 자산 관리 페이지에서 관련 자산 분류를 선택합니다.
현재 중요한 것으로 간주되는 분류의 모든 자산을 보려면 자산 탭을 선택합니다.
제거할 자산 옆에 있는 X 를 선택합니다.
중요도별 정렬
디바이스 인벤토리에서 디바이스를 선택합니다.
중요도 수준별로 정렬하여 중요도가 "매우 높은" 수준의 중요 비즈니스용 자산을 봅니다.
중요한 자산에 대한 권장 사항 우선 순위 지정
보안 권장 사항의 우선 순위를 지정하고 중요한 자산에 집중하기 위한 수정 단계를 돕기 위해 Microsoft Defender 포털의 보안 권장 사항 페이지에서 권장 사항에 대해 노출된 중요한 자산의 합계를 볼 수 있습니다.
노출된 중요 자산의 합계를 보려면 보안 권장 사항 페이지로 이동합니다.
다음 단계
공격 경로 시뮬레이션에 대해 알아봅니다.