스토리지용 Microsoft Defender(클래식) 개요
참고 항목
새로운 스토리지용 Microsoft Defender 계획으로 업그레이드합니다. 여기에는 맬웨어 검사 및 중요한 데이터 위협 감지와 같은 새로운 기능이 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 보다 예측 가능한 가격 구조를 제공합니다. 또한 모든 새 스토리지용 Defender 기능은 새 계획에서만 릴리스됩니다. 새 계획으로 마이그레이션하는 것은 간단한 프로세스입니다. 클래식 계획에서 마이그레이션하는 방법은 여기를 참조하세요. 트랜잭션당 또는 스토리지별 계정 가격 책정과 함께 스토리지용 Defender(클래식)를 사용하는 경우 이러한 기능 및 가격 책정에 액세스하려면 새 스토리지용 Defender(클래식) 계획으로 마이그레이션해야 합니다. 새 스토리지용 Defender 계획으로 마이그레이션할 때의 이점에 대해 알아봅니다.
스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 고급 위협 탐지 기능 및 Microsoft 위협 인텔리전스 데이터를 사용하여 상황에 맞는 보안 경고를 제공합니다. 이러한 경고에는 검색된 위협을 완화하고 향후 공격을 방지하는 단계도 포함됩니다.
스토리지용 Microsoft Defender(클래식)는 구독 수준(권장됨) 또는 리소스 수준에서 사용하도록 설정할 수 있습니다.
스토리지용 Defender(클래식)는 Azure Blob Storage, Azure Files 및 Azure Data Lake Storage 서비스에서 생성된 데이터 스트림을 지속적으로 분석합니다. 잠재적으로 악의적인 활동이 감지되면 보안 경고가 생성됩니다. 이러한 경고는 클라우드용 Microsoft Defender에서 표시됩니다. 여기에는 관련 조사 단계, 수정 작업, 보안 권장 사항과 더불어 의심스러운 활동의 세부 정보가 제공됩니다.
Azure Blob Storage의 분석된 데이터에는 Get Blob
, Put Blob
, Get Container ACL
, List Blobs
, Get Blob Properties
와 같은 작업 유형이 포함됩니다. 분석된 Azure Files 작업 유형의 예제에는 Get File
, Create File
, List Files
, Get File Properties
및 Put Range
가 포함됩니다.
스토리지용 Defender(클래식)는 Storage 계정 데이터에 액세스하지 않으며 성능에 영향을 주지 않습니다.
필드의 클라우드용 Defender 비디오 시리즈에서 이 비디오를 보고 자세히 알아볼 수 있습니다.
스토리지용 Defender(클래식)에 대한 자세한 설명을 확인하려면 일반적으로 묻는 질문을 참조하세요.
가용성
측면 | 세부 정보 |
---|---|
릴리스 상태: | GA(일반 공급) |
가격 책정: | 스토리지용 Microsoft Defender(클래식)는 가격 책정 페이지에 표시된 대로 요금이 청구됩니다. |
보호된 스토리지 형식: | Blob Storage(표준/프리미엄 StorageV2, 블록 Blob) Azure Files(REST API 및 SMB를 통해) Azure Data Lake Storage Gen2(계층 구조 네임스페이스를 사용하도록 설정된 표준/프리미엄 계정) |
클라우드: | 상용 클라우드 Azure Government 21Vianet에서 운영하는 Microsoft Azure 연결된 AWS 계정 |
스토리지용 Microsoft Defender(클래식)의 이점은 무엇인가요?
스토리지용 Defender(클래식)에서는 다음을 제공합니다.
Azure 네이티브 보안 - 한 번의 클릭으로 스토리지용 Defender(클래식)는 Azure Blob, Azure Files 및 Data Lakes에 저장된 데이터를 보호합니다. Azure 네이티브 서비스인 스토리지용 Defender(클래식)는 Azure에서 관리하는 모든 데이터 자산에 중앙 집중화된 보안을 제공하며 Microsoft Sentinel과 같은 다른 Azure 보안 서비스와 통합됩니다.
다양한 검색 제품군 - Microsoft 위협 인텔리전스로 구동되는 스토리지용 Defender(클래식)의 검색은 인증되지 않은 액세스, 손상된 자격 증명, 소셜 엔지니어링 공격, 데이터 반출, 권한 남용, 악의적인 콘텐츠 등의 주요 스토리지 위협을 다룹니다.
대규모 응답 - Defender for Cloud의 자동화 도구를 사용하면 식별된 위협을 더 쉽게 예방하고 대응할 수 있습니다. Defender for Cloud 트리거에 대한 응답 자동화에서 자세히 알아보세요.
클라우드 기반 스토리지 서비스의 보안 위협
Microsoft 보안 연구원은 스토리지 서비스의 공격 표면을 분석했습니다. Storage 계정은 데이터 손상, 중요한 콘텐츠 노출, 악의적인 콘텐츠 배포, 데이터 반출, 무단 액세스 등의 영향을 받을 수 있습니다.
잠재적인 보안 위험은 클라우드 기반 스토리지 서비스의 위협 매트릭스에 설명되어 있으며 사이버 공격에 채택된 전술 및 기술에 대한 기술 자료인 MITRE ATT&CK® 프레임워크를 기반으로 합니다.
스토리지용 Microsoft Defender(클래식)는 어떤 종류의 경고를 제공하나요?
보안 경고는 다음과 같은 시나리오(일반적으로 이벤트 후 1~2시간)에 대해 트리거됩니다.
위협 유형 | 설명 |
---|---|
계정에 대한 비정상적인 액세스 | 예를 들어 TOR 종료 노드에서의 액세스, 의심스러운 IP 주소, 비정상적인 애플리케이션, 비정상적인 위치, 인증되지 않은 익명 액세스입니다. |
계정의 비정상적인 동작 | 학습된 기준에서 벗어나는 동작입니다. 예를 들어 계정의 액세스 권한 변경, 비정상적인 액세스 검사, 비정상적인 데이터 탐색, Blob/파일의 비정상적인 삭제 또는 비정상적인 데이터 추출이 있습니다. |
해시 평판 기반 맬웨어 검색 | 전체 Blob/파일 해시를 기반으로 알려진 맬웨어를 검색합니다. 이렇게 하면 랜섬웨어, 바이러스, 스파이웨어, 계정에 업로드된 기타 맬웨어를 감지하고, 조직에 들어오지 못하게 하고, 더 많은 사용자 및 리소스로 확산되는 것을 방지할 수 있습니다. 해시 평판 분석의 제한 사항도 참조하세요. |
비정상적인 파일 업로드 | 계정에 업로드된 비정상적인 클라우드 서비스 패키지 및 실행 파일입니다. |
공개 표시 여부 | 컨테이너를 스캔하고 공개적으로 액세스할 수 있는 컨테이너에서 잠재적으로 중요한 데이터를 끌어와서 침입을 시도할 수 있습니다. |
피싱 캠페인 | Azure Storage에서 호스트되는 콘텐츠가 Microsoft 365 사용자에게 영향을 주는 피싱 공격의 일부로 식별되는 경우입니다. |
팁
모든 스토리지용 Defender(클래식) 경고의 포괄적인 목록은 경고 참조 페이지를 참조하세요. 특정 보안 경고는 새 스토리지용 Defender 계획에서만 액세스할 수 있으므로 필수 구성 요소를 검토해야 합니다. 참조 페이지의 정보는 검색 가능한 위협을 이해하려는 워크로드 소유자에게 유익하며 SOC(보안 운영 센터) 팀이 조사를 수행하기 전에 검색을 숙지할 수 있도록 합니다. 클라우드용 Defender 보안 경고의 내용과 클라우드용 Microsoft Defender의 보안 경고 관리 및 대응에서 경고를 관리하는 방법에 대해 자세히 알아봅니다.
경고에는 경고를 트리거한 인시던트의 세부 정보와 위협을 조사하고 완화하는 방법에 대한 권장 사항이 포함됩니다. 경고는 Microsoft Sentinel이나 기타 타사 SIEM 또는 기타 외부 도구로 내보낼 수 있습니다. SIEM, SOAR 또는 IT 클래식 배포 모델 솔루션으로 경고 스트림에서 자세히 알아보세요.
해시 평판 분석의 제한 사항
팁
업로드된 Blob에서 거의 실시간으로 맬웨어를 검사하려는 경우 새 스토리지용 Defender 계획으로 업그레이드하는 것이 좋습니다. 맬웨어 검사에 대해 자세히 알아보세요.
해시 평판은 심층적인 파일 검사가 아닙니다. - 스토리지용 Microsoft Defender(클래식)는 Microsoft 위협 인텔리전스에서 지원하는 해시 평판 분석을 사용하여 업로드된 파일이 의심스러운지 여부를 확인합니다. 위협 방지 도구는 업로드된 파일을 검사하지 않습니다. 오히려 Blob Storage 및 Files 서비스에서 생성된 원격 분석을 분석합니다. 그런 다음, 스토리지용 Defender(클래식)는 새로 업로드된 파일의 해시를 알려진 바이러스, 트로이 목마, 스파이웨어, 랜섬웨어의 해시와 비교합니다.
해시 평판 분석은 모든 파일 프로토콜 및 작업 유형에 대해 지원되지 않습니다. - 일부 데이터 로그에는 관련 Blob 또는 파일의 해시 값이 포함되어 있지만 전부는 아닙니다. 경우에 따라 데이터에 해시 값이 포함되지 않습니다. 따라서 알려진 맬웨어 업로드에 대해 일부 작업을 모니터링할 수 없습니다. 이러한 지원되지 않는 사용 사례의 예로는 SMB 파일 공유 및 블록 배치와 차단 목록 배치를 사용하여 Blob을 만드는 경우 등이 있습니다.
다음 단계
이 문서에서는 스토리지용 Microsoft Defender(클래식)에 대해 알아보았습니다.
- 스토리지용 Defender(클래식) 사용
- 스토리지용 Defender 클래식에 대한 일반적인 질문을 확인하세요.