Microsoft Defender XDR 보안 서비스를 사용하여 두 번째 방어 계층 빌드

많은 조직이 Azure 및 온-프레미스에서 호스트되는 리소스를 사용하여 하이브리드 환경에서 작동합니다. VM(가상 머신), Azure 애플리케이션 및 Microsoft Entra ID와 같은 대부분의 Azure 리소스는 Azure의 기본 제공 보안 서비스를 사용하여 보호될 수 있습니다.

또한, 조직에서는 종종 Microsoft 365를 구독하여 사용자에게 Word, Excel, PowerPoint 및 Exchange Online과 같은 애플리케이션을 제공합니다. Microsoft 365는 또한 가장 널리 사용되는 일부 Azure 리소스에 대한 추가 보안 계층을 빌드하는 데 사용할 수 있는 보안 서비스를 제공합니다.

Microsoft 365 보안 서비스를 효과적으로 활용하려면 주요 용어와 Microsoft 365 서비스의 구조를 이해하는 것이 중요합니다. 총 5개의 시리즈 중 네 번째 문서에서는 특히 이전 문서에서 다룬 개념을 바탕으로 이러한 주제를 좀 더 자세히 살펴봅니다.

• IT 환경에 대한 위협 매핑
• Azure 보안 서비스를 사용하여 첫 번째 방어 계층 빌드

Microsoft 365 및 Office 365는 강력한 보안, 강한 안정성 및 향상된 사용자 생산성에 대한 조직의 요구 사항을 해결하도록 설계된 클라우드 기반 서비스입니다. Microsoft 365에는 Power Automate, Forms, Stream, Sway 및 Office 365와 같은 서비스가 포함되어 있습니다. 특히 Office 365에는 친숙한 생산성 애플리케이션 제품군이 포함되어 있습니다. 이 두 서비스의 구독 옵션에 대한 자세한 내용은 Microsoft 365 및 Office 365 플랜 옵션을 참조하세요.

Microsoft 365용으로 취득한 라이선스에 따라 Microsoft 365용 보안 서비스를 받을 수도 있습니다. 이러한 보안 서비스를 Microsoft 365 Defender XDR라고 하며 다음과 같은 여러 서비스를 제공합니다.

• 엔드포인트용 Microsoft Defender(MDE)
• ID 아키텍처용 Microsoft Defender
• Office 365용 Microsoft Defender (MDO)
• Microsoft Defender for Cloud Apps (MDA)

• "security.microsoft.com"을 통해 액세스하는 "Microsoft Defender for Cloud Apps"은 "portal.azure.com"을 통해 액세스하는 또 다른 보안 솔루션인 "클라우드용 Microsoft Defender"과 다릅니다.

다음 다이어그램은 전체 서비스가 나열되지는 않았지만 Microsoft 365가 제공하는 솔루션과 주요 서비스의 관계를 보여 줍니다.

잠재적인 사용 사례

사람들은 종종 Microsoft 365 보안 서비스와 IT 사이버 보안에서의 역할에 대해 혼란스러워합니다. 이러한 혼동의 주요 원인은 클라우드용 Microsoft Defender(이전의 Azure Security Center) 및 Defender for Cloud Apps(이전의 Microsoft Cloud App Security)와 같은 일부 Azure 보안 서비스를 포함하여 이름의 유사성에서 비롯됩니다.

그러나 혼란은 용어를 넘어갑니다. 일부 서비스는 비슷한 보호 기능을 제공하지만 리소스는 다릅니다. 예를 들어 Defender for Identity와 Azure Identity Protection은 모두 ID 서비스를 보호하지만 Defender for Identity는 온-프레미스 ID(Active Directory 도메인 Services 및 Kerberos 인증을 통해)를 보호하는 반면, Azure Identity Protection은 클라우드 ID를 보호합니다(Microsoft Entra ID 및 OAuth 인증을 통해).

이러한 예제에서는 Microsoft 365 보안 서비스가 Azure 보안 서비스와 어떻게 다른지 이해하는 것의 중요성을 강조합니다. 이러한 이해를 통해 IT 환경에 대한 강력한 보안 태세를 유지하면서 Microsoft 클라우드에서 보안 전략을 보다 효과적으로 계획할 수 있습니다. 이 문서는 이를 달성하는 데 도움이 되는 것을 목표로 합니다.

다음 다이어그램에서는 Microsoft Defender XDR 보안 서비스에 대한 실제 사용 사례를 제공합니다. 보호가 필요한 리소스, 환경에서 실행되는 서비스 및 일부 잠재적 위협을 보여 줍니다. Microsoft Defender XDR 서비스가 중간에 있어 이러한 위협으로부터 조직의 리소스를 보호합니다.

아키텍처

Microsoft Defender XDR이라고 하는 Microsoft의 XDR(확장 검색 및 응답) 솔루션은 여러 보안 도구와 서비스를 통합하여 엔드포인트, ID, 이메일, 애플리케이션 및 클라우드 환경에서 통합된 보호, 검색 및 응답을 제공합니다. 고급 위협 인텔리전스, 자동화 및 AI 기반 분석을 결합하여 정교한 사이버 위협을 실시간으로 감지하고 대응하여 보안 팀이 위험을 신속하게 완화하고 공격의 영향을 줄일 수 있습니다. Microsoft Defender XDR은 다양한 원본의 보안 데이터를 통합하여 조직이 전체 IT 인프라에서 포괄적이고 간소화된 방어를 달성할 수 있도록 지원합니다.

다음 다이어그램은 Microsoft Defender XDR 보안 서비스를 나타내는 DEFENDER라는 레이블이 지정된 계층을 보여 줍니다. 이러한 서비스를 IT 환경에 추가하면 환경에 대한 더 나은 방어를 빌드하는 데 도움이 됩니다. Defender 계층의 서비스는 Azure 보안 서비스와 함께 작동할 수 있습니다.

이 아키텍처의 Visio 파일을 다운로드합니다.

©2021 The MITRE Corporation. 이 저작물은 The MITRE Corporation의 허가를 받아 복제 및 배포되었습니다.

워크플로

1. 엔드포인트에 대한 Microsoft Defender

   엔드포인트용 Defender는 기업의 엔드포인트를 보호하고 네트워크가 고급 위협을 방지, 검색, 조사 및 대응하도록 설계되었습니다. Azure 및 온-프레미스에서 실행되는 VM에 대한 보호 계층을 만듭니다. 보호할 수 있는 항목에 대한 자세한 내용은 엔드포인트용 Microsoft Defender를 참조하세요.

2. Microsoft Defender for Cloud 앱

   이전에는 Microsoft Cloud Application Security로 알려진 클라우드용 Defender Apps는 여러 배포 모드를 지원하는 CASB(클라우드 액세스 보안 브로커)입니다. 이러한 모드에는 로그 컬렉션, API 커넥터 및 역방향 프록시가 포함됩니다. 다양한 가시성, 데이터 이동 제어 및 정교한 분석을 제공하여 모든 Microsoft 및 타사 클라우드 서비스에서의 사이버 위협을 식별하고 대처합니다. Cloud Apps 및 온-프레미스에서 실행되는 일부 앱에 대한 보호 및 위험 완화를 제공합니다. 또한 해당 앱에 액세스하는 사용자를 위한 보호 계층을 제공합니다. 자세한 내용은 클라우드용 Microsoft Defender Apps 개요를 참조하세요.

   Azure, 온-프레미스 및 기타 클라우드에서 실행되는 서버, 앱, 스토리지 계정 및 기타 리소스의 보안 태세에 대한 권장 사항과 점수를 제공하는 클라우드용 Microsoft Defender와 클라우드용 Defender Apps를 혼동하지 않는 것이 중요합니다. 클라우드용 Defender는 이전의 두 서비스인 Azure Security Center와 Azure Defender를 통합합니다.

3. Office용 Microsoft Defender

   Office 365용 Defender는 이메일 메시지, 링크(URL) 및 협업 도구로 인한 악의적인 위협으로부터 조직을 보호합니다. 이메일 및 협업을 보호합니다. 라이선스에 따라 자동화 및 시뮬레이션(학습용)뿐만 아니라 위반 후 조사, 헌팅 및 응답을 추가할 수 있습니다. 라이선스 옵션에 대한 자세한 내용은 Office 365용 Microsoft Defender 보안 개요를 참조하세요.

4. Microsoft Defender for Identity

   Defender for Identity는 온-프레미스 Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 사용자의 조직을 대상으로 한 악의적인 내부자 작업을 식별하고 검색하고 조사하는 클라우드 기반 보안 솔루션입니다. 온-프레미스에서 실행되는 AD DS(Active Directory Domain Services)를 보호합니다. 이 서비스는 클라우드에서 실행되지만 온-프레미스에서 ID를 보호합니다. Defender for Identity의 이전 이름은 Azure Advanced Threat Protection입니다. 자세한 내용은 Microsoft Defender for Identity란?를 참조하세요.

   Microsoft Entra ID에서 제공하고 클라우드에서 기본적으로 실행되는 ID에 대한 보호가 필요한 경우 Microsoft Entra ID 보호를 고려합니다.

5. Intune(이전의 Microsoft Endpoint Manager의 일부임)

Microsoft Intune은 조직의 디바이스, 앱, 데이터를 관리하고 보호하는 클라우드 기반 서비스입니다. 이를 통해 IT 관리자는 랩톱, 스마트폰 및 태블릿과 같은 회사 디바이스를 사용하는 방법을 제어하여 보안 정책을 준수할 수 있습니다. Intune을 사용하면 조건부 액세스 및 원격 초기화와 같은 기능을 사용하여 디바이스 구성을 적용하고, 소프트웨어를 배포하고, 모바일 애플리케이션을 관리하고, 회사 데이터를 보호할 수 있습니다. 보안 원격 작업을 사용하도록 설정하고, BYOD(회사 소유 및 개인) 디바이스를 모두 관리하고, Windows, iOS, Android 및 macOS와 같은 다양한 플랫폼에서 데이터 보안을 보장하는 데 특히 유용합니다.

Endpoint Manager의 일부였던 또 다른 서비스는 Configuration Manager입니다. Configuration Manager는 네트워크에 있고 직접 연결되거나 인터넷을 통해 연결된 클라이언트 및 서버 컴퓨터를 관리할 수 있는 온-프레미스 관리 솔루션입니다. 클라우드 기능을 사용하도록 설정하여 Configuration Manager를 Intune, Microsoft Entra ID, 엔드포인트용 Defender 및 기타 클라우드 서비스와 통합할 수 있습니다. 이를 사용하여 앱, 소프트웨어 업데이트 및 운영 체제를 배포합니다. 또한 규정 준수 모니터링, 개체 쿼리, 실시간 클라이언트 작업 등을 수행할 수 있습니다. 사용 가능한 모든 서비스에 대해 알아보려면 Microsoft Endpoint Manager 개요를 참조하세요.

위협 예의 공격 순서

다이어그램에 이름이 지정된 위협은 일반적인 공격 순서를 따릅니다.

1. 공격자는 맬웨어가 첨부된 피싱 이메일을 보냅니다.

2. 최종 사용자가 첨부된 맬웨어를 엽니다.

3. 맬웨어는 사용자 모르게 백 엔드에 설치됩니다.

4. 설치된 맬웨어는 일부 사용자의 자격 증명을 훔칩니다.

5. 공격자는 자격 증명을 사용하여 중요한 계정에 대한 액세스 권한을 얻습니다.

6. 자격 증명이 상승된 권한을 가진 계정에 대한 액세스를 제공하는 경우 공격자는 추가 시스템을 손상시킵니다.

다이어그램은 또한 Microsoft Defender XDR 서비스가 이러한 공격을 모니터링하고 완화할 수 있는 DEFENDER라는 레이블이 지정된 계층에 표시됩니다. 이는 Defender가 다이어그램에 표시된 리소스의 추가 보호를 제공하기 위해 Azure 보안 서비스와 함께 작동하는 추가 보안 계층을 제공하는 방법의 예입니다. 잠재적인 공격이 IT 환경을 어떻게 위협하는지에 대한 자세한 내용은 이 시리즈의 두 번째 문서인 IT 환경에 대한 위협 매핑을 참조하세요. Microsoft Defender XDR에 대한 자세한 내용은 Microsoft Defender XDR를 참조하세요.

Microsoft Defender XDR 보안 서비스 액세스 및 관리

다음 다이어그램은 현재 사용 가능한 포털과 서로 간의 관계를 보여 줍니다. 이 문서에 대한 업데이트 시 일부 포털은 이미 사용되지 않을 수 있습니다.

Security.microsoft.com은 Office 365용 Microsoft Defender(1), 엔드포인트용 Defender(2), Office용 Defender(3), Defender for Identity(5), 앱용 Defender(4) 및 Microsoft Sentinel의 기능을 제공하기 때문에 현재 사용할 수 있는 가장 중요한 포털입니다.

Microsoft Sentinel에는 Azure Portal(portal.azure.com)에서만 실행되는 몇 가지 기능이 있음을 언급하는 것이 중요합니다.

마지막으로 endpoint.microsoft.com은 주로 Intune 및 Configuration Manager뿐만 아니라 Endpoint Manager의 일부인 다른 서비스에 대한 기능도 제공합니다. security.microsoft.com 및 endpoint.microsoft.com은 엔드포인트에 대한 보안 보호 기능을 제공하기 때문에 (9) 엔드포인트에 대한 뛰어난 보안 태세를 제공하기 위해 서로 간에 많은 상호 작용이 있습니다.

구성 요소

이 문서의 예제 아키텍처는 다음 Azure 구성 요소를 사용합니다.

• Microsoft Entra ID는 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID는 사용자가 Microsoft 365, Azure Portal 및 수천 개의 기타 SaaS 애플리케이션과 같은 외부 리소스에 액세스하는 데 도움이 됩니다. 또한 회사 인트라넷 네트워크의 앱과 같은 내부 리소스에 액세스하는 데 도움이 됩니다.

• Azure Virtual Network는 Azure의 프라이빗 네트워크의 기본 구성 요소입니다. Virtual Network를 사용하면 다양한 종류의 Azure 리소스에서 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다. Virtual Network는 확장성, 가용성 및 격리와 같은 Azure 인프라의 이점을 활용하는 가상 네트워크를 제공합니다.

• Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대한 대기 시간이 낮은 고성능 계층 4 부하 분산 서비스(인바운드 및 아웃바운드)입니다. 솔루션의 고가용성을 보장하면서 초당 수백만 개의 요청을 처리하도록 빌드되었습니다. Azure Load Balancer는 영역 중복으로, 가용성 영역에서 고가용성을 보장합니다.

• 가상 머신은 Azure에서 제공하는 여러 종류의 확장성 있는 주문형 컴퓨팅 리소스 중 하나입니다. Azure VM(가상 머신)은 가상화를 실행하는 물리적 하드웨어를 구입 및 유지 관리하지 않고도 가상화의 유연성을 제공합니다.

• AKS(Azure Kubernetes Service)는 컨테이너화된 애플리케이션을 배포하고 관리하는 완전 관리형 Kubernetes 서비스입니다. AKS는 서버리스 Kubernetes, CI/CD(연속 통합/지속적인 업데이트), 엔터프라이즈급 보안 및 거버넌스를 제공합니다.

• Azure Virtual Desktop은 원격 사용자에게 데스크톱을 제공하기 위해 클라우드에서 실행되는 데스크톱 및 앱 가상화 서비스입니다.

• Web Apps는 웹 애플리케이션, REST API 및 모바일 백 엔드를 호스트하는 HTTP 기반 서비스입니다. 원하는 언어로 개발할 수 있으며, Windows 및 Linux 기반 환경 모두에서 애플리케이션을 쉽게 실행하고 크기를 조정할 수 있습니다.

• Azure Storage는 개체, Blob, 파일, 디스크, 큐 및 테이블 스토리지를 포함하여 클라우드의 다양한 데이터 개체를 위한 고가용성의 대규모 확장성 및 내구성이 있는 보안 스토리지입니다. Azure Storage 계정에 기록된 모든 데이터는 서비스에 의해 암호화됩니다. Azure Storage는 데이터에 액세스할 수 있는 사용자를 자세히 제어할 수 있습니다.

• Azure SQL 데이터베이스는 업그레이드, 패치, 백업 및 모니터링과 같은 대부분의 데이터베이스 관리 기능을 처리하는 완전 관리형 PaaS 데이터베이스 엔진입니다. 사용자 개입 없이 이러한 기능을 제공합니다. SQL Database는 다양한 기본 제공 보안 및 규정 준수 기능을 제공하여 애플리케이션이 보안 및 규정 준수 요구 사항을 충족할 수 있도록 도와줍니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Rudnei Oliveira | 선임 고객 엔지니어

기타 기여자:

• Gary Moore | 프로그래머/작가
• Andrew Nathan | 선임 고객 엔지니어링 관리자

다음 단계

• Microsoft 365를 사용하여 위협 방지
• Microsoft Defender XDR를 사용하여 사이버 공격 감지 및 대응
• Microsoft Defender XDR 시작
• Microsoft 365에서 위협 인텔리전스 구현
• Microsoft 365를 사용하여 보안 관리
• Office 365용 Microsoft Defender를 사용하여 악의적인 위협으로부터 보호
• Microsoft Defender for Cloud for Identity를 사용하여 온-프레미스 ID 보호

관련 참고 자료

이 참조 아키텍처에 대한 자세한 내용은 이 시리즈의 다른 문서를 참조하세요.

• 1부: Azure 모니터링을 사용하여 보안 구성 요소 통합
• 2부: IT 환경에 대한 위협 매핑
• 3부: Azure 보안 서비스를 사용하여 첫 번째 방어 계층 빌드
• 5부: Azure와 Microsoft Defender XDR 보안 서비스 간의 통합