이 솔루션 가이드에서는 Microsoft XDR(확장 검색 및 대응) 도구를 설정하는 방법과 조직에서 사이버 보안 공격에 더 빠르게 대응하고 수정할 수 있도록 Microsoft Sentinel과 통합하는 방법을 보여 줍니다.
Microsoft Defender XDR은 Microsoft 365 환경에서 신호, 위협 및 경고 데이터를 자동으로 수집, 상관 관계 및 분석하는 XDR 솔루션입니다.
Microsoft Sentinel은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공하는 클라우드 네이티브 솔루션입니다. Microsoft Sentinel과 Microsoft Defender XDR은 조직이 최신 공격 방어에 도움이 되는 포괄적인 솔루션을 제공합니다.
이 지침은 다음과 같은 방법으로 제로 트러스트의 원칙을 매핑하여 제로 트러스트 아키텍처를 개선하는 데 도움이 됩니다.
| 제로 트러스트 원칙 | "에 의해 만난" |
|---|---|
| 명시적으로 확인 | Microsoft Sentinel은 환경 전체에서 데이터를 수집하고 위협 및 변칙을 분석하여 조직 및 모든 자동화가 확인된 데이터에 대해 작동할 수 있도록 합니다. Microsoft Defender XDR은 사용자, ID, 디바이스, 앱 및 전자 메일에서 확장 검색 및 응답을 제공합니다. Microsoft Defender XDR에서 캡처한 위험 기반 신호를 사용하여 위험 기반 트래픽 차단 또는 권한 부여와 같은 작업을 수행하도록 Microsoft Sentinel 자동화를 구성합니다. |
| 최소 권한 액세스 사용 | Microsoft Sentinel은 UEBA 엔진을 통해 비정상적인 활동을 검색합니다. 보안 시나리오가 빠르게 변화함에 따라 위협 인텔리전스는 Microsoft 및 타사 공급자로부터 데이터를 가져와 새로운 위협을 감지하고 컨텍스트화합니다. Microsoft Defender XDR에는 ID 위험에 따라 사용자를 차단하는 Microsoft Entra ID Protection이 포함되어 있습니다. 추가 분석 및 자동화를 위해 관련 데이터를 Microsoft Sentinel에 공급합니다. |
| 침해 발생을 가정하다 | Microsoft Defender XDR은 위협 및 취약성에 대한 환경을 지속적으로 검사합니다. Microsoft Sentinel은 수집된 데이터 및 동작 추세를 분석하여 기업 전체에서 의심스러운 활동, 변칙 및 다단계 위협을 검색합니다. Microsoft Defender XDR과 Microsoft Sentinel은 조사, 디바이스 격리 및 데이터 격리를 비롯한 자동화된 수정 작업을 구현합니다. Microsoft Entra 조건부 액세스에 대한 신호로 디바이스 위험을 사용합니다. |
Microsoft Defender XDR 시작
Microsoft Defender XDR 배포는 조직 내에서 인시던트 검색 및 대응 기능을 구축하기 위한 좋은 시작점입니다. Defender XDR은 Microsoft 365 E5에 포함되어 있으며 Microsoft 365 E5 평가판 라이선스를 사용하여 시작할 수도 있습니다. Defender XDR은 Microsoft Sentinel 또는 일반 SIEM 도구와 통합할 수 있습니다.
자세한 내용은 Microsoft Defender XDR을 파일럿하여 배포하는 방법을 참조하세요.
Microsoft Sentinel 및 XDR 아키텍처
Microsoft Sentinel 고객은 다음 방법 중 하나를 사용하여 Microsoft Sentinel을 Microsoft Defender XDR 서비스와 통합할 수 있습니다.
Microsoft Sentinel을 Defender 포털에 온보딩하여 통합 보안 작업을 위해 Microsoft Defender XDR과 함께 사용합니다. Defender 포털에서 Defender 인시던트, 경고, 취약성 및 보안 데이터와 함께 Microsoft Sentinel 데이터를 직접 봅니다.
Microsoft Sentinel 데이터 커넥터를 사용하여 Microsoft Defender XDR 서비스 데이터를 Microsoft Sentinel로 수집합니다. Azure Portal에서 Microsoft Sentinel 데이터를 봅니다.
이 지침 센터에서는 두 방법 모두에 대한 정보를 제공합니다. 작업 영역을 Defender 포털에 온보딩한 경우 사용합니다. 그렇지 않으면 달리 명시되지 않는 한 Azure Portal을 사용합니다.
다음 그림에서는 Microsoft의 XDR 솔루션이 Defender 포털에서 Microsoft Sentinel과 통합되는 방법을 보여 줍니다.
이 다이어그램에서
- 전체 조직에서 신호의 인사이트는 Microsoft Defender XDR 및 클라우드용 Microsoft Defender에 공급됩니다.
- Microsoft Sentinel은 다중 클라우드 환경을 지원하고 타사 앱 및 파트너와 통합합니다.
- Microsoft Sentinel 데이터는 조직의 데이터와 함께 Microsoft Defender 포털로 수집됩니다.
- SecOps 팀은 Microsoft Defender 포털에서 Microsoft Sentinel 및 Microsoft Defender XDR로 식별된 위협을 분석하고 대응할 수 있습니다.
주요 기능
Microsoft Sentinel 및 Defender XDR 기능을 사용하여 인시던트를 관리하기 위한 제로 트러스트 접근 방식을 구현합니다. Defender 포털에 온보딩된 작업 영역의 경우 Defender 포털에서 Microsoft Sentinel을 사용합니다.
| 능력 또는 기능 | 설명 | 제품 |
|---|---|---|
| AIR(자동 조사 & 응답) | AIR 기능은 경고를 조사하고 침해를 해결하기 위해 즉각적인 조치를 취하도록 설계되었습니다. AIR 기능은 경보 볼륨을 크게 줄여 보안 운영이 보다 정교한 위협 및 기타 고가치 이니셔티브에 집중할 수 있도록 합니다. | Microsoft Defender XDR |
| 지능형 헌팅 | 고급 헌팅은 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 네트워크에서 이벤트를 사전에 검사하여 위협 지표 및 엔터티를 찾을 수 있습니다. 데이터에 대한 유연한 액세스를 통해 알려진 위협과 잠재적인 위협 모두에 대해 제한 없이 헌팅할 수 있습니다. | Microsoft Defender XDR |
| 사용자 지정 파일 표시기 | 잠재적으로 악의적인 파일 또는 의심되는 맬웨어를 금지하여 조직에서 공격이 추가로 전파되는 것을 방지합니다. | Microsoft Defender XDR |
| 클라우드 검색 | Cloud Discovery는 엔드포인트용 Defender에서 수집한 트래픽 로그를 분석하고 클라우드 앱 카탈로그에 대해 식별된 앱을 평가하여 규정 준수 및 보안 정보를 제공합니다. | 클라우드 앱용 Microsoft Defender |
| 사용자 지정 네트워크 표시기 | IP 및 URL 또는 도메인에 대한 지표를 만들어 사용자 고유의 위협 인텔리전스를 기반으로 IP, URL 또는 도메인을 허용하거나 차단할 수 있습니다. | Microsoft Defender XDR |
| EDR(엔드포인트 검색 및 응답) 블록 | MDAV(Microsoft Defender 바이러스 백신)가 기본 바이러스 백신 제품이 아니며 수동 모드에서 실행 중인 경우 악성 아티팩트로부터 추가된 보호를 제공합니다. 블록 모드의 EDR은 백그라운드에서 작동하여 EDR 기능에 의해 검색된 악의적인 아티팩트를 수정합니다. | Microsoft Defender XDR |
| 디바이스 응답 기능 | 디바이스를 격리하거나 조사 패키지를 수집하여 감지된 공격에 신속하게 대응 | Microsoft Defender XDR |
| 실시간 응답 | 라이브 응답은 보안 운영 팀이 원격 셸 연결을 사용하여 디바이스(컴퓨터라고도 함)에 즉시 액세스할 수 있도록 합니다. 이를 통해 심층 조사 작업을 수행하고 즉각적인 대응 조치를 취하여 식별된 위협을 실시간으로 즉시 포함할 수 있습니다. | Microsoft Defender XDR |
| 클라우드 애플리케이션 보안 | 다중 클라우드 및 다중 파이프라인 환경에서 코드 수준에서 보안 관리를 통합하는 DevSecOps(개발 보안 작업) 솔루션 | 클라우드용 Microsoft Defender |
| 보안 태세 강화 | 위반을 방지하기 위해 수행할 수 있는 작업을 표시하는 CSPM(클라우드 보안 태세 관리) 솔루션 | 클라우드용 Microsoft Defender |
| 클라우드 워크로드 보호 | 서버, 컨테이너, 스토리지, 데이터베이스, 기타 워크로드에 대한 특정 보호를 사용하는 CWPP(클라우드 워크로드 보호 플랫폼) | 클라우드용 Microsoft Defender |
| UEBA(사용자 및 엔터티 동작 분석) | 사용자, 호스트, IP 주소 및 애플리케이션과 같은 조직 엔터티의 동작 분석 | Microsoft Sentinel |
| 융해 | 확장 가능한 기계 학습 알고리즘을 기반으로 하는 상관 관계 엔진입니다. 킬 체인의 다양한 단계에서 관찰되는 비정상적인 동작과 의심스러운 활동의 조합을 식별하여 APT(고급 영구 위협)라고도 하는 다단계 공격을 자동으로 감지합니다. | Microsoft Sentinel |
| 위협 인텔리전스 | Microsoft 타사 공급자를 사용하여 데이터를 보강하여 사용자 환경에서 활동, 경고 및 로그에 대한 추가 컨텍스트를 제공합니다. | Microsoft Sentinel |
| 자동화 | 자동화 규칙은 다양한 시나리오에서 적용할 수 있는 작은 규칙 집합을 정의하고 조정할 수 있도록 하여 Microsoft Sentinel을 사용하여 자동화를 중앙에서 관리하는 방법입니다. | Microsoft Sentinel |
| 변칙 규칙 | 변칙 규칙 템플릿은 기계 학습을 사용하여 특정 유형의 비정상적인 동작을 검색합니다. | Microsoft Sentinel |
| 예약된 쿼리 | Microsoft Sentinel에서 수집한 로그를 통해 의심스러운 활동 체인, 알려진 위협을 검색하는 Microsoft 보안 전문가가 작성한 기본 제공 규칙입니다. | Microsoft Sentinel |
| NRT(근 실시간) 규칙 | NRT 규칙은 가능한 한 up-to정보를 제공하도록 1분마다 한 번씩 실행되도록 설계된 예약된 규칙의 제한된 집합입니다. | Microsoft Sentinel |
| 사냥 | 보안 분석가가 보안 앱 또는 예약된 분석 규칙에 의해 검색되지 않은 새로운 변칙을 사전에 파악할 수 있도록 Microsoft Sentinel의 기본 제공 헌팅 쿼리는 네트워크에 이미 있는 데이터에서 문제를 찾기 위해 올바른 질문을 하도록 안내합니다. | Microsoft Sentinel Defender 포털에 온보딩된 작업 영역의 경우 Microsoft Defender 포털 고급 헌팅 기능을 사용합니다. |
| Microsoft Defender XDR 커넥터 | Microsoft Defender XDR 커넥터는 로그 및 인시던트와 Microsoft Sentinel을 동기화합니다. | Microsoft Defender XDR 및 Microsoft Sentinel |
| 데이터 커넥터 | Microsoft Sentinel에서 분석을 위해 데이터 수집을 허용합니다. | Microsoft Sentinel |
| 콘텐츠 허브 솔루션 -Zero 트러스트(TIC 3.0) | 제로 트러스트(TIC 3.0)에는 통합 문서, 분석 규칙 및 플레이북이 포함되어 있으며, 이 플레이북은 제로 트러스트 원칙의 자동화된 시각화를 제공하고, 트러스트 인터넷 연결 프레임워크로 교차 안내하여 조직이 시간이 지남에 따라 구성을 모니터링할 수 있도록 지원합니다. | Microsoft Sentinel |
| SOAR(보안 오케스트레이션, 자동화 및 응답) | 보안 위협에 대응하여 자동화 규칙 및 플레이북을 사용하면 SOC의 효율성이 향상되고 시간과 리소스가 절약됩니다. | Microsoft Sentinel |
| SOC 최적화 | 특정 위협에 대한 적용 범위 격차를 해소하고 보안 가치를 제공하지 않는 데이터에 대한 수집 속도를 강화합니다. | Microsoft Sentinel Defender 포털에 온보딩된 작업 영역의 경우 Microsoft Defender 포털에서 SOC 최적화를 사용합니다. |
이 솔루션의 내용
이 솔루션은 Microsoft Sentinel 및 Microsoft Defender XDR 구현을 안내하여 보안 운영 팀이 제로 트러스트 접근 방식을 사용하여 인시던트를 수정하는 데 도움이 됩니다. 구현에는 다음 단계가 포함됩니다.
| 단계 | 설명 |
|---|---|
| 1. Microsoft Defender XDR 서비스 파일럿 및 배포 | 먼저 Microsoft Defender XDR 서비스를 파일럿하여 조직 전체에서 배포를 완료하기 전에 해당 기능과 기능을 평가할 수 있습니다. |
| 2. 배포 계획 | 그런 다음, XDR 서비스 및 Microsoft Sentinel의 작업 영역을 포함하여 전체 SIEM 및 XDR 배포를 계획합니다. |
| 3. XDR 도구 설정 및 작업 영역 설계 | 이 단계에서는 사용자 환경에서 사용하기로 결정한 XDR 서비스를 배포하고, SIEM 및 XDR 솔루션을 지원하기 위해 Microsoft Sentinel 및 기타 서비스를 배포합니다. Azure Portal에서 작업하려는 경우 Microsoft Sentinel을 Microsoft Defender 포털에 연결하는 단계를 건너뜁니다. 이 단계는 Microsoft Sentinel Defender 포털을 사용하려는 경우에만 관련이 있으며 Azure Portal에서 인시던트에 대응하려는 경우에는 관련이 없습니다. |
| 4. 인시던트 대응 | 마지막으로 Defender 포털에 온보딩했는지 여부에 따라 인시던트에 응답합니다. - Defender 포털에서 인시던트에 대응하기 - Azure Portal에서 인시던트에 응답 |
관련 콘텐츠
자세한 내용은 Microsoft Sentinel 및 Defender XDR을 사용한 제로 트러스트 보안 및 포털 관련 콘텐츠를 참조하세요.
Microsoft 365에서 제로 트러스트 원칙을 적용하는 방법에 대한 자세한 내용은 다음을 참조하세요.
- Microsoft 365를 사용한 제로 트러스트 배포 계획
- Microsoft 365용 ID 인프라 배포하기
- 제로 트러스트 ID 및 디바이스 액세스 구성
- Microsoft Intune 사용하여 디바이스 관리
- Microsoft Priva 및 Microsoft Purview 사용하여 데이터 개인 정보 보호 및 데이터 보호 관리
- Microsoft 365와 제로 트러스트 모델에 맞춘 SaaS 앱 통합