다음을 통해 공유

중요한 자산 관리 개요

Microsoft 보안 노출 관리 중요 비즈니스용 자산의 식별 및 우선 순위를 간소화하여 위험 관리자와 SOC 팀이 가장 중요한 곳에 노력을 집중하고 전반적인 공격 표면 위험을 줄일 수 있도록 합니다. 자산 분류는 조직 컨텍스트를 반영하도록 수동으로 미세 조정할 수 있는 독점 분류자를 통해 구동됩니다. 이 문서에서는 중요 자산 보호 프레임워크 내에서 자산을 식별하고 분류하는 데 사용되는 기본 메커니즘에 대해 자세히 설명합니다.

  • Microsoft Defender XDR 중요한 자산을 자동으로 검색하고 분류하여 식별을 간소화하고 즉각적인 보호를 가능하게 합니다.
  • 보안 팀은 먼저 중요한 자산 및 시스템에 집중하기 위해 보안 조사, 자세 권장 사항 및 수정 단계의 우선 순위를 지정할 수 있습니다.

미리 정의된 분류

보안 노출 관리 디바이스, ID 및 클라우드 리소스를 포함하는 자산에 대해 미리 정의된 중요 자산 분류의 기본 카탈로그를 제공합니다. 미리 정의된 분류는 다음과 같습니다.

  • 파일 서버 및 도메인 컨트롤러와 같은 중요한 사이버 보안 자산
  • 중요한 데이터가 있는 데이터베이스
  • Power Users와 같은 ID 그룹
  • 권한 있는 역할 관리자와 같은 사용자 역할

또한 사용자 지정 중요 자산을 만들어 노출 및 위험을 평가할 때 organization 중요한 것으로 간주하는 우선 순위를 지정할 수 있습니다.

중요한 자산 식별

중요한 자산은 다음과 같은 다양한 방법으로 식별할 수 있습니다.

  • 자동: 이 솔루션은 고급 분석을 사용하여 미리 정의된 분류에 따라 organization 내에서 중요한 자산을 자동으로 식별합니다. 이렇게 하면 식별 프로세스가 간소화되어 보호 강화 및 즉각적인 주의가 필요한 자산을 정확히 파악할 수 있습니다.
  • 사용자 지정 쿼리를 사용하는 경우: 사용자 지정 쿼리를 작성하면 고유한 기준에 따라 organization "크라운 보석"을 정확히 파악할 수 있습니다. 세분화된 제어를 통해 보안 노력이 필요한 위치에 정확하게 집중할 수 있도록 할 수 있습니다.
  • 수동으로:
    • 중요도 수준으로 정렬된 디바이스 인벤토리 의 자산을 검토하고 주의가 필요한 자산을 식별합니다.
    • 자동으로 분류된 자산을 검토하고 승인하지만 신뢰도는 낮습니다.

자산 분류

중요 비즈니스용 자산을 정의하고 식별하면 자산 정보가 포함된 자산 중요도가 표시됩니다. 자산 중요도는 고급 헌팅, 디바이스 인벤토리 및 중요한 자산이 포함된 공격 경로와 같은 Defender 포털의 다른 환경에 통합됩니다.

예를 들어 디바이스 인벤토리에 중요도 수준이 표시됩니다.

디바이스 인벤토리 창의 스크린샷 이미지에는 중요도 수준 섹션에 대한 강조가 포함되어 있습니다.

또 다른 예에서는 공격 표면 맵에서 위협에 대한 노출을 찾고 초크 지점을 식별할 때 자산 아이콘을 둘러싼 후광 색과 크라운 표시기를 시각적으로 높은 위험 수준을 나타냅니다.

다른 연결의 컨텍스트에서 노출 맵에 표시된 자산의 스크린샷 지도에 있는 두 디바이스는 높은 위험 수준을 표시합니다.

자산 분류 작업

다음과 같이 중요한 자산 설정을 사용할 수 있습니다.

  • 사용자 지정 분류 만들기: organization 맞게 디바이스, ID 및 클라우드 리소스에 대한 새 중요 자산 분류를 만들 수 있습니다.
    • 쿼리 작성기를 사용하여 새 분류를 정의합니다. 예를 들어 특정 명명 규칙이 중요한 디바이스를 정의하는 쿼리를 빌드할 수 있습니다.
    • 중요한 자산 분류 쿼리를 만드는 것은 관심 있는 모든 자산이 식별되지 않는 제한된 경우에 유용합니다.
  • 분류에 자산 추가: 중요한 자산 분류에 자산을 수동으로 추가할 수 있습니다.
  • 위험 수준 수정: organization 위험 프로필에 따라 위험 수준을 편집하도록 선택할 수 있습니다.
  • 사용자 지정 분류 편집: 사용자 지정 분류를 편집, 삭제 및 해제할 수 있습니다. 미리 정의된 분류는 수정할 수 없습니다. "끄기" 규칙 기능은 미리 정의된 쿼리에 사용할 수 있습니다. 그러나 특정 문제로 인해 일부 사용자에게 표시되지 않을 수 있습니다.

중요한 자산 검토

중요한 자산 분류 논리는 Microsoft Defender 워크로드 및 타사 통합의 자산 동작을 사용합니다. 다른 논리를 구현하려면 규칙을 끄고 시나리오에 적합한 사용자 지정 규칙을 만듭니다.

분류와 일치하는 일부 자산이 중요도 임계값을 충족하지 못할 수 있습니다. 예를 들어 자산은 도메인 컨트롤러일 수 있지만 비즈니스에 중요한 것으로 간주되지 않을 수 있습니다. 자산 검토 기능을 사용하여 이러한 자산을 정의된 분류에 추가합니다. 이 기능을 사용하면 organization 특정 중요도 기준에 따라 자산을 포함할 수 있습니다.

중요 자산 보호 이니셔티브

중요 자산 보호 이니셔티브는 중요 비즈니스용 시스템 및 자산의 우선 순위를 지정하는 데 도움이 되며, SOC 팀이 복원력, 모니터링 및 인시던트 대응을 향상시키는 데 집중합니다. 이 이니셔티브는 Microsoft Defender 포털의 Exposure Insights 이니셔티브 섹션에서 사용할 수 있습니다.

  • 이 이니셔티브는 중요한 자산의 보안 복원력을 지속적으로 모니터링하여 보호 조치의 효과에 대한 실시간 인사이트를 제공합니다. 이니셔티브 점수를 사용하여 다양한 환경에서 중요한 자산의 보안 복원력을 비교하여 더 많은 초점과 개선이 필요한 영역을 식별할 수 있습니다.
  • 이 이니셔티브는 organization 내의 모든 중요한 자산에 대한 가시성을 제공하고, 중요한 자산 검색의 잠재적 격차를 식별하고, 그에 따라 분류를 미세 조정합니다. 이 이니셔티브는 중요한 자산 및 해당 보안 복원력에 대한 정보를 단일 보기로 통합합니다. 이 포괄적인 보고서를 사용하면 정보에 입각한 결정을 내리고 중요한 자산을 보호하기 위한 사전 조치를 취할 수 있습니다.

다음 단계

중요한 자산을 분류합니다.