편집

다음을 통해 공유

Azure 및 Microsoft Defender XDR 보안 서비스 통합

Microsoft Sentinel
Azure Monitor
Microsoft Defender for Cloud
Azure Log Analytics
Azure Network Watcher

솔루션 아이디어

이 문서는 솔루션 아이디어 설명입니다. 클라우드 설계자는 이 지침을 사용하여 이 아키텍처의 일반적인 구현을 위한 주요 구성 요소를 시각화할 수 있습니다. 이 문서를 시작점으로 사용하여 워크로드의 특정 요구 사항에 맞는 잘 설계된 솔루션을 디자인할 수 있습니다.

Microsoft 365 및 Azure에서 사용할 수 있는 보안 기능을 사용하여 조직의 IT 보안 태세를 강화할 수 있습니다. 이 시리즈의 다섯 번째이자 마지막 문서에서는 Microsoft Defender XDR 및 Azure 모니터링 서비스를 사용하여 이러한 보안 기능을 통합하는 방법을 설명합니다.

이 문서는 다음과 같이 시리즈의 이전 문서를 기반으로 합니다.

  1. Azure 모니터링을 사용하여 보안 구성 요소 통합에서는 Azure와 Microsoft 365 Defender XDR의 보안 서비스를 통합하는 방법에 대한 전반적인 보기를 제공합니다.

  2. IT 환경에 대한 위협 매핑에서는 온-프레미스 및 Microsoft 클라우드 서비스를 모두 사용하는 하이브리드 IT 환경의 예에 대해 일반적인 위협, 전술 및 기술의 예를 매핑하는 방법을 설명합니다.

  3. Azure 보안 서비스를 사용하여 첫 번째 방어 계층 빌드에서는 Azure Security Benchmark 버전 3에 따라 Azure 환경을 보호하기 위한 첫 번째 방어 계층을 만드는 일부 Azure 보안 서비스의 예를 매핑합니다.

  4. Microsoft Defender XDR 보안 서비스를 사용하여 두 번째 방어 계층 빌드에서는 IT 환경에 대한 일련의 공격 예와 Microsoft Defender XDR를 사용하여 다른 보호 계층을 추가하는 방법을 설명합니다.

아키텍처

IT 환경, 위협 및 보안 서비스를 보여 주는 이 5개 문서 시리즈의 전체 참조 아키텍처 다이어그램.

이 아키텍처의 Visio 파일을 다운로드합니다.

©2021 The MITRE Corporation. 이 저작물은 The MITRE Corporation의 허가를 받아 복제 및 배포되었습니다.

이 다이어그램에서는 전체 아키텍처 참조를 보여 줍니다. 여기에는 IT 환경의 예, 전술에 따라 설명되는 위협 예 세트(파란색) 및 MITRE ATT&CK 매트릭스에 따른 기술(텍스트 상자)이 포함됩니다. MITRE ATT&CK 매트릭스는 IT 환경에 대한 위협 매핑에서 설명합니다.

다이어그램은 몇 가지 중요한 서비스를 강조 표시합니다. Azure Network Watcher 및 Application Insights와 같은 일부 서비스는 특정 서비스에서 데이터를 캡처하는 데 집중합니다. Log Analytics(Azure Monitor 로그라고도 함) 및 Microsoft Sentinel과 같은 다른 서비스는 네트워크, 컴퓨팅 또는 애플리케이션과 관련된 다양한 서비스에서 데이터를 수집, 저장 및 분석할 수 있기 때문에 핵심 서비스 역할을 합니다.

다이어그램의 중심에는 두 개의 보안 서비스 계층과 특정 Azure 모니터링 서비스 전용 계층이 있으며, 모두 Azure Monitor를 통해 통합됩니다(다이어그램의 왼쪽에 표시됨). 이 통합의 핵심 구성 요소는 Microsoft Sentinel입니다.

이 다이어그램의 핵심 모니터링 서비스모니터 계층에서 보여 주는 서비스는 다음과 같습니다.

  • Azure Monitor
  • Log Analytics
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Network Watcher
  • 트래픽 분석(Network Watcher의 일부)
  • 애플리케이션 정보
  • 스토리지 분석

워크플로

  1. Azure Monitor는 다양한 Azure 모니터링 서비스를 포함합니다. 여기에는 로그 관리, 메트릭 및 Application Insights가 포함됩니다. 경고를 사용하고 관리할 준비가 된 대시보드 컬렉션도 제공합니다. 자세한 내용은 Azure Monitor 개요를 참조하세요.

  2. 클라우드용 Microsoft Defender는 IT 환경에서 ISO 및 PCI와 같은 다양한 규제 표준을 준수하는 데 도움이 되는 VM(가상 머신), 스토리지, 애플리케이션 및 기타 리소스에 대한 권장 사항을 제공합니다. 이와 동시에 클라우드용 Defender는 환경의 보안을 추적하는 데 도움이 될 수 있는 시스템의 보안 상태에 대한 점수를 제공합니다. 클라우드용 Defender는 수집하고 분석하는 로그를 기반으로 하는 자동 경고도 제공합니다. 클라우드용 Defender는 이전에 Azure Security Center라고 했습니다. 자세한 내용은 클라우드용 Microsoft Defender를 참조하세요.

  3. Log Analytics는 가장 중요한 서비스 중 하나입니다. 경고, 인사이트 및 인시던트를 만드는 데 사용되는 모든 로그 및 경고를 저장해야 합니다. Microsoft Sentinel은 Log Analytics를 기반으로 하여 작동합니다. 기본적으로 Log Analytics에서 수집하는 모든 데이터는 Microsoft Sentinel에서 자동으로 사용할 수 있습니다. Log Analytics는 Azure Monitor 로그라고도 합니다. 자세한 내용은 Azure Monitor의 Log Analytics 개요를 참조하세요.

  4. Microsoft Sentinel은 Log Analytics의 외관처럼 작동합니다. Log Analytics는 다양한 원본의 로그와 경고를 저장하지만, Microsoft Sentinel은 다양한 원본에서 로그를 수집하도록 지원하는 API를 제공합니다. 이러한 원본에는 온-프레미스 VM, Azure VM, Microsoft Defender XDR의 경고 및 기타 서비스가 포함됩니다. Microsoft Sentinel은 IT 환경에서 발생하는 상황에 대한 인사이트를 제공하여 가양성을 방지하기 위해 로그의 상관 관계를 지정합니다. Microsoft Sentinel은 Microsoft 클라우드 서비스에 대한 보안 및 모니터링의 핵심입니다. Microsoft Sentinel에 대한 자세한 내용은 Microsoft Sentinel이란?을 참조하세요.

이 목록의 앞에 있는 서비스는 Azure, Office 365 및 온-프레미스 환경에서 작동하는 핵심 서비스입니다. 특정 리소스에 집중하는 서비스는 다음과 같습니다.

  1. Network Watcher는 메트릭을 모니터링, 진단 및 확인하고 Azure 가상 네트워크의 리소스에 대한 로그를 사용하거나 사용하지 않도록 설정하는 도구를 제공합니다. 자세한 내용은 Azure Network Watcher란?을 참조하세요.

  2. 트래픽 분석은 Network Watcher의 일부이며 NSG(네트워크 보안 그룹)의 로그를 기반으로 하여 작동합니다. 트래픽 분석은 Azure Virtual Network에서 아웃바운드 및 인바운드 연결의 메트릭을 집계할 수 있는 많은 대시보드를 제공합니다. 자세한 내용은 트래픽 분석을 참조하세요.

  3. Application Insights는 애플리케이션에 중점을 두고 다양한 플랫폼(예: .NET, Node.js, Java 및 Python)에 대한 지원을 포함하여 라이브 웹앱에 대한 확장 가능한 성능 관리 및 모니터링을 제공합니다. Application Insights는 Azure Monitor의 기능입니다. 자세한 내용은 Application Insights 개요를 참조하세요.

  4. Azure 스토리지 분석은 로깅을 수행하고 스토리지 계정에 대한 메트릭을 제공합니다. 해당 데이터를 사용하여 요청을 추적하고, 사용량 추세를 분석하고, 스토리지 계정과 관련된 문제를 진단할 수 있습니다. 자세한 내용은 Azure 스토리지 분석을 사용하여 로그 및 메트릭 데이터 수집을 참조하세요.

  5. 이 아키텍처 참조는 Microsoft 제로 트러스트를 기반으로 하므로 인프라 및 엔드포인트에 속한 서비스 및 구성 요소에는 특정 모니터링 서비스가 없습니다. Azure Monitor 로그 및 클라우드용 Defender는 VM 및 기타 컴퓨팅 서비스에서 로그를 수집, 저장 및 분석하는 주요 서비스입니다.

이 아키텍처의 핵심 구성 요소는 Microsoft Sentinel입니다. Azure 보안 서비스, Microsoft Defender XDR 및 Azure Monitor에서 생성되는 모든 로그와 경고를 통합합니다. Microsoft Sentinel이 구현되고 이 문서에 설명된 원본에서 로그 및 경고를 수신한 후에는 인사이트를 수집하고 IOC(손상 지표)를 검색하기 위해 쿼리를 해당 로그에 매핑해야 합니다. Microsoft Sentinel가 정보를 캡처하면 이 정보를 수동으로 조사하거나, 인시던트를 완화하거나 해결하도록 구성한 자동화된 응답을 트리거할 수 있습니다. 자동화된 작업에는 Microsoft Entra ID에서 사용자를 차단하거나 방화벽을 사용하여 IP 주소를 차단하는 작업이 포함될 수 있습니다.

Microsoft Sentinel에 대한 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

보안 및 모니터링 서비스에 액세스하는 방법

이 문서에 나와 있는 각 서비스에 액세스하는 방법에 대한 정보를 제공하는 목록은 다음과 같습니다.

  • Azure 보안 서비스. Azure Portal을 사용하여 이 문서 시리즈의 다이어그램에서 언급하는 모든 Azure 보안 서비스에 액세스할 수 있습니다. 포털에서 검색 기능을 사용하여 관심 있는 서비스를 찾아서 액세스합니다.

  • Azure Monitor Azure Monitor는 모든 Azure 구독에서 사용할 수 있습니다. Azure Portal에서 monitor를 검색하여 액세스할 수 있습니다.

  • 클라우드용 Defender. 클라우드용 Defender는 Azure Portal에 액세스하는 모든 사용자가 사용할 수 있습니다. 포털에서 클라우드용 Defender를 검색합니다.

  • Log Analytics. Log Analytics에 액세스하려면 기본적으로 존재하지 않으므로 먼저 포털에서 서비스를 만들어야 합니다. Azure Portal에서 Log Analytics 작업 영역을 검색한 다음, 만들기를 선택합니다. 만든 후에는 서비스에 액세스할 수 있습니다.

  • Microsoft Sentinel. Microsoft Sentinel은 Log Analytics를 기반으로 하여 작동하므로 먼저 Log Analytics 작업 영역을 만들어야 합니다. 다음으로, Azure Portal에서 sentinel을 검색합니다. 그런 다음, Microsoft Sentinel 내에서 사용하려는 작업 영역을 선택하여 서비스를 만듭니다.

  • 엔드포인트용 Microsoft Defender 엔드포인트용 Defender는 Microsoft Defender XDR의 일부입니다. https://security.microsoft.com을 통해 서비스에 액세스합니다. 이전 URL securitycenter.windows.com에서 변경된 내용입니다.

  • Microsoft Defender for Cloud Apps. 클라우드용 Defender 앱은 Microsoft 365의 일부입니다. https://portal.cloudappsecurity.com을 통해 서비스에 액세스합니다.

  • Office 365용 Microsoft Defender. Office 365용 Defender는 Microsoft 365의 일부입니다. 엔드포인트용 Defender에 사용되는 것과 동일한 포털인 https://security.microsoft.com을 통해 서비스에 액세스합니다. (이전 URL protection.office.com에서 변경된 내용입니다.)

  • Microsoft Defender for Identity. Defender for Identity는 Microsoft 365의 일부입니다. https://portal.atp.azure.com을 통해 서비스에 액세스합니다. Defender for Identity는 클라우드 서비스이지만 온-프레미스 시스템에서 ID도 보호해야 합니다.

  • Microsoft Endpoint Manager. Endpoint Manager는 Intune, Configuration Manager 및 기타 서비스의 새 이름입니다. https://endpoint.microsoft.com을 통해 액세스합니다. Microsoft Defender XDR에서 제공하는 서비스에 액세스하는 방법과 각 포털이 관련되는 방법에 대한 자세한 내용은 Microsoft Defender XDR 보안 서비스를 사용하여 두 번째 방어 계층 빌드를 참조하세요.

  • Azure Network Watcher. Azure Network Watcher에 액세스하려면 Azure Portal에서 watcher를 검색합니다.

  • 트래픽 분석. 트래픽 분석은 Network Watcher의 일부입니다. Network Watcher의 왼쪽 메뉴에서 액세스할 수 있습니다. 개별 네트워크 인터페이스 및 서브넷에서 구현되는 NSG를 기반으로 하여 작동하는 강력한 네트워크 모니터입니다. Network Watcher는 NSG에서 정보를 수집해야 합니다. 해당 정보를 수집하는 방법에 대한 지침은 자습서: Azure Portal을 사용하여 가상 머신 간의 네트워크 트래픽 로깅을 참조하세요.

  • Application Insight. Application Insight는 Azure Monitor의 일부입니다. 그러나 먼저 모니터링하려는 애플리케이션에 대해 만들어야 합니다. Web Apps와 같이 Azure에서 빌드된 일부 애플리케이션의 경우 Web Apps 프로비전에서 직접 Application Insight를 만들 수 있습니다. 액세스하려면 Azure Portal에서 monitor를 검색합니다. 모니터 페이지의 왼쪽 메뉴에서 애플리케이션을 선택합니다.

  • 스토리지 분석. Azure Storage는 동일한 스토리지 계정 기술을 기반으로 하여 다양한 유형의 스토리지를 제공합니다. 스토리지 계정에 따라 Blob, 파일, 테이블 및 큐를 찾을 수 있습니다. 스토리지 분석은 이러한 스토리지 서비스에서 사용할 광범위한 메트릭을 제공합니다. Azure Portal의 스토리지 계정에서 [스토리지 분석]에 액세스한 다음, 왼쪽 메뉴에서 진단 설정을 선택합니다. 해당 정보를 보낼 하나의 로그 분석 작업 영역을 선택합니다. 그런 다음, 인사이트에서 대시보드에 액세스할 수 있습니다. 모니터링되는 스토리지 계정의 모든 항목이 메뉴에 표시됩니다.

구성 요소

이 문서의 예제 아키텍처는 다음 Azure 구성 요소를 사용합니다.

  • Microsoft Entra ID는 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID는 사용자가 Microsoft 365, Azure Portal 및 수천 개의 기타 SaaS 애플리케이션과 같은 외부 리소스에 액세스하는 데 도움이 됩니다. 또한 회사 인트라넷 네트워크의 앱과 같은 내부 리소스에 액세스하는 데 도움이 됩니다.

  • Azure Virtual Network는 Azure의 프라이빗 네트워크의 기본 구성 요소입니다. Virtual Network를 사용하면 다양한 종류의 Azure 리소스에서 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다. Virtual Network는 확장성, 가용성 및 격리와 같은 Azure 인프라의 이점을 활용하는 가상 네트워크를 제공합니다.

  • Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대한 대기 시간이 낮은 고성능 계층 4 부하 분산 서비스(인바운드 및 아웃바운드)입니다. 솔루션의 고가용성을 보장하면서 초당 수백만 개의 요청을 처리하도록 빌드되었습니다. Azure Load Balancer는 영역 중복으로, 가용성 영역에서 고가용성을 보장합니다.

  • 가상 머신은 Azure에서 제공하는 여러 종류의 확장성 있는 주문형 컴퓨팅 리소스 중 하나입니다. Azure VM(가상 머신)은 가상화를 실행하는 물리적 하드웨어를 구입 및 유지 관리하지 않고도 가상화의 유연성을 제공합니다.

  • AKS(Azure Kubernetes Service)는 컨테이너화된 애플리케이션을 배포하고 관리하는 완전 관리형 Kubernetes 서비스입니다. AKS는 서버리스 Kubernetes, CI/CD(연속 통합/지속적인 업데이트), 엔터프라이즈급 보안 및 거버넌스를 제공합니다.

  • Azure Virtual Desktop은 원격 사용자에게 데스크톱을 제공하기 위해 클라우드에서 실행되는 데스크톱 및 앱 가상화 서비스입니다.

  • Web Apps는 웹 애플리케이션, REST API 및 모바일 백 엔드를 호스트하는 HTTP 기반 서비스입니다. 원하는 언어로 개발할 수 있으며, Windows 및 Linux 기반 환경 모두에서 애플리케이션을 쉽게 실행하고 크기를 조정할 수 있습니다.

  • Azure Storage는 개체, Blob, 파일, 디스크, 큐 및 테이블 스토리지를 포함하여 클라우드의 다양한 데이터 개체를 위한 고가용성의 대규모 확장성 및 내구성이 있는 보안 스토리지입니다. Azure Storage 계정에 기록된 모든 데이터는 서비스에 의해 암호화됩니다. Azure Storage는 데이터에 액세스할 수 있는 사용자를 자세히 제어할 수 있습니다.

  • Azure SQL 데이터베이스는 업그레이드, 패치, 백업 및 모니터링과 같은 대부분의 데이터베이스 관리 기능을 처리하는 완전 관리형 PaaS 데이터베이스 엔진입니다. 사용자 개입 없이 이러한 기능을 제공합니다. SQL Database는 다양한 기본 제공 보안 및 규정 준수 기능을 제공하여 애플리케이션이 보안 및 규정 준수 요구 사항을 충족할 수 있도록 도와줍니다.

솔루션 세부 정보

Azure에서 여러 모니터링 서비스를 제공하므로 처음에는 Azure의 모니터링 솔루션이 혼동될 수 있습니다. 그러나 각 Azure 모니터링 서비스는 이 시리즈에서 설명하는 보안 및 모니터링 전략에서 중요합니다. 이 시리즈의 문서에서는 다양한 서비스와 IT 환경에 대해 효과적인 보안을 계획하는 방법에 대해 설명합니다.

  1. Azure 모니터링을 사용하여 보안 구성 요소 통합
  2. IT 환경에 대한 위협 매핑
  3. Azure 보안 서비스를 사용하여 첫 번째 방어 계층 빌드
  4. Microsoft Defender XDR 보안 서비스를 사용하여 두 번째 방어 계층 빌드

잠재적인 사용 사례

이 참조 아키텍처는 Microsoft Cloud 보안 서비스에 대한 포괄적인 보기를 제공하고 이를 통합하여 최적의 보안 태세를 달성하는 방법을 보여 줍니다.

표시된 모든 보안 서비스를 구현할 필요는 없지만 이 예제와 아키텍처 다이어그램에 설명된 위협 맵은 고유한 위협 맵을 만들고 보안 전략을 계획하는 데 도움이 될 수 있습니다. 요구에 가장 적합한 Azure 보안 서비스 및 Microsoft Defender XDR 서비스를 선택합니다.

비용 최적화

이 문서 시리즈에 나와 있는 Azure 서비스의 가격 책정은 다양한 방법으로 계산됩니다. 일부 서비스는 무료이고, 일부는 각 사용에 대한 요금이 청구되며, 일부는 라이선스에 따라 요금이 청구됩니다. Azure 보안 서비스의 가격을 예측하는 가장 좋은 방법은 가격 계산기를 사용하는 것입니다. 계산기에서 관심 있는 서비스를 검색한 다음, 해당 서비스를 선택하여 서비스 가격을 결정하는 모든 변수를 가져옵니다.

Microsoft Defender XDR 보안 서비스는 라이선스에 따라 작동합니다. 라이선스 요구 사항에 대한 자세한 내용은 Microsoft Defender XDR 필수 구성 요소를 참조하세요.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

기타 기여자:

다음 단계

이 참조 아키텍처에 대한 자세한 내용은 이 시리즈의 다른 문서를 참조하세요.

Azure 아키텍처 센터의 관련 아키텍처는 다음 문서를 참조하세요.