보안 권장 사항 검토
클라우드용 Microsoft Defender에서 리소스 및 워크로드는 Azure 구독, GCP 계정 및 GCP 프로젝트에서 사용하도록 설정된 기본 제공 및 사용자 지정 보안 표준을 기준으로 평가됩니다. 이러한 평가에 따라 보안 권장 사항은 보안 문제를 수정하고 보안 상태를 개선하기 위한 실질적인 단계를 제공합니다.
클라우드용 Defender는 익스플로잇 가능성과 조직에 대한 잠재적인 비즈니스 영향을 고려하면서 환경의 위험을 평가하는 동적 엔진을 적극적으로 활용합니다. 엔진은 리소스 구성, 네트워크 연결, 보안 태세 등 환경 상황에 따라 결정되는 각 리소스의 위험 요소를 기반으로 보안 권장 사항의 우선 순위를 지정합니다.
필수 조건
- 환경에서 Defender CSPM을 사용하도록 설정해야 합니다.
참고 항목
권장 사항은 기본적으로 클라우드용 Defender에 포함되어 있지만 환경에서 Defender CSPM을 사용하도록 설정하지 않으면 위험 우선 순위를 볼 수 없습니다.
권장 사항 세부 정보 검토
권장 사항을 해결하는 데 필요한 프로세스를 이해하기 전에 권장 사항과 관련된 모든 세부 정보를 검토하는 것이 중요합니다. 권장 사항을 확인하기 전에 모든 권장 사항 세부 정보가 올바른지 확인하는 것이 좋습니다.
권장 사항의 세부 정보를 검토하는 방법:
Azure Portal에 로그인합니다.
클라우드용 Defender>권장 사항으로 이동합니다.
권장 사항을 선택합니다.
권장 사항 페이지에서 세부 정보를 검토합니다.
- 위험 수준 - 인터넷 노출, 중요한 데이터, 수평 이동 등과 같은 환경 리소스 컨텍스트를 고려한 기본 보안 문제의 익스플로잇 가능성 및 비즈니스 영향입니다.
- 위험 요소 - 권장 사항의 영향을 받는 리소스의 환경적 요소이며, 기본 보안 문제의 악용 가능성과 비즈니스에 미치는 효과에 영향을 줍니다. 위험 요인의 예로는 인터넷 노출, 중요한 데이터, 수평 이동 가능성 등이 있습니다.
- 리소스 - 영향을 받은 리소스의 이름입니다.
- 상태 - 권장 사항의 상태입니다. 예를 들어, 할당되지 않음, 적시, 기한 초과 등이 있습니다.
- 설명 - 보안 문제에 대한 간단한 설명입니다.
- 공격 경로 - 공격 경로 수입니다.
- 범위 - 영향을 받는 구독 또는 리소스입니다.
- 새로 고침 - 권장 사항의 새로 고침 간격입니다.
- 마지막 변경 날짜 - 이 권장 사항이 마지막으로 변경된 날짜입니다.
- 심각도 - 권장 사항의 심각도(높음, 보통 또는 낮음)입니다. 자세한 내용은 아래에 있습니다.
- 소유자 - 이 권장 사항에 할당된 사람입니다.
- 기한 - 권장 사항을 해결해야 하는 할당된 날짜입니다.
- 전술 및 기술 - MITRE ATT&CK에 매핑된 전술 및 기술입니다.
권장 사항 탐색
권장 사항과 상호 작용하기 위해 많은 작업을 수행할 수 있습니다. 옵션이 제공되지 않는 경우 권장 사항과 관련이 없는 것입니다.
권장 사항을 탐색하는 방법:
Azure Portal에 로그인합니다.
클라우드용 Defender>권장 사항으로 이동합니다.
권장 사항을 선택합니다.
권장 사항에서 다음 작업을 수행할 수 있습니다.
Azure Resource Graph Explorer 쿼리를 사용하여 영향을 받는 리소스에 대한 자세한 정보를 보려면 쿼리 열기를 선택합니다.
정책 정의 보기를 선택하여 기본 권장 사항(관련 있는 경우)에 대한 Azure Policy 항목을 봅니다.
작업 수행:
수정 - 영향을 받는 리소스에 대한 보안 문제를 해결하는 데 필요한 수동 단계에 대한 설명입니다. 수정 옵션이 있는 권장 사항의 경우 제안된 수정 사항을 리소스에 적용하기 전에 수정 논리 보기를 선택할 수 있습니다.
소유자 및 기한 할당: 권장 사항에 대한 거버넌스 규칙이 켜져 있는 경우 소유자와 기한을 할당할 수 있습니다.
예외: 권장 사항에서 리소스를 제외하거나 사용 안 함 규칙을 사용하여 특정 결과를 사용하지 않도록 설정할 수 있습니다.
워크플로 자동화: 이 권장 사항을 사용하여 트리거할 논리 앱을 설정합니다.
결과에서 심각도별로 관련 결과를 검토할 수 있습니다.
Graph에서 공격 경로를 포함하여 위험 우선 순위 지정에 사용되는 모든 컨텍스트를 보고 조사할 수 있습니다. 공격 경로에서 노드를 선택하여 선택한 노드의 세부 정보를 볼 수 있습니다.
추가 세부 정보를 보려면 노드를 선택합니다.
Insights를 선택합니다.
취약성 드롭다운 메뉴에서 취약성을 선택하여 세부 정보를 확인합니다.
(선택 사항) 관련 권장 사항 페이지를 보려면 취약성 페이지 열기를 선택합니다.
제목별로 그룹 권장 사항
클라우드용 Defender의 권장 사항 페이지를 사용하면 제목별로 권장 사항을 그룹화할 수 있습니다. 이 기능은 특정 보안 문제로 인해 여러 리소스에 영향을 미치는 권장 사항을 수정하려는 경우에 유용합니다.
제목별로 권장 사항을 그룹화하려면:
Azure Portal에 로그인합니다.
클라우드용 Defender>권장 사항으로 이동합니다.
제목별로 그룹화를 선택합니다.
할당된 권장 사항 관리
클라우드용 Defender는 권장 사항 소유자 또는 작업 기한을 지정할 수 있도록 권장 사항에 대한 거버넌스 규칙을 지원합니다. 거버넌스 규칙은 권장 사항에 대한 책임 및 SLA를 보장하는 데 도움이 됩니다.
- 권장 사항은 기한이 경과할 때까지 정시로 나열되고 기한 초과로 변경됩니다.
- 권장 사항이 만료되기 전에는 권장 사항이 보안 점수에 영향을 주지 않습니다.
- 기한이 지난 권장 사항이 보안 점수에 계속 영향을 미치지 않는 유예 기간을 적용할 수도 있습니다.
거버넌스 규칙 구성에 대해 자세히 알아보세요.
할당된 권장 사항을 관리하는 방법:
Azure Portal에 로그인합니다.
클라우드용 Defender>권장 사항으로 이동합니다.
필터 추가>소유자를 선택합니다.
사용자 항목을 선택합니다.
적용을 선택합니다.
권장 사항 결과에서 영향을 받는 리소스, 위험 요소, 공격 경로, 기한 및 상태를 포함한 권장 사항을 검토합니다.
권장 사항을 선택하여 추가로 검토합니다.
작업 수행>소유자 및 기한 변경에서 할당 편집을 선택하여 필요한 경우 권장 사항 소유자 및 기한을 변경합니다.
- 기본적으로 리소스 소유자는 할당된 권장 사항을 나열하는 메일을 매주 수신합니다.
- 새 수정 날짜를 선택하는 경우 근거에서 해당 날짜까지 수정해야 하는 이유를 지정합니다.
- 메일 알림 설정에서 다음을 수행할 수 있습니다.
- 소유자에게 전송되는 기본 주간 메일을 재정의합니다.
- 미해결/연체 작업 목록을 매주 소유자에게 알립니다.
- 미해결 작업 목록을 소유자의 직접 관리자에게 알립니다.
저장을 선택합니다.
참고 항목
예상 완료 날짜를 변경해도 권장 사항의 기한은 변경되지 않지만 보안 파트너는 지정된 날짜까지 리소스를 업데이트할 계획임을 확인할 수 있습니다.
Azure Resource Graph에서 권장 사항 검토
Azure Resource Graph를 사용하여 KQL(Kusto Query Language)를 작성하고 여러 구독에서 클라우드용 Defender 보안 상태 데이터를 쿼리할 수 있습니다. Azure Resource Graph는 데이터를 보고, 필터링하고, 그룹화하고, 정렬하여 클라우드 환경에서 대규모로 쿼리하는 효율적인 방법을 제공합니다.
Azure Resource Graph에서 권장 사항을 검토하는 방법:
Azure Portal에 로그인합니다.
클라우드용 Defender>권장 사항으로 이동합니다.
권장 사항을 선택합니다.
쿼리 열기를 선택합니다.
다음 두 가지 방법 중 하나로 쿼리를 열 수 있습니다.
- 영향을 받는 리소스를 반환하는 쿼리 - 이 권장 사항의 영향을 받는 모든 리소스 목록을 반환합니다.
- 보안 결과를 반환하는 쿼리 - 권장 사항에서 찾은 모든 보안 문제 목록을 반환합니다.
쿼리 실행을 선택합니다.
결과를 검토합니다.
권장 사항은 어떻게 분류되나요?
클라우드용 Defender의 모든 보안 권장 사항에는 세 가지 심각도 등급 중 하나가 할당됩니다.
높은 심각도: 이러한 권장 사항은 공격자가 시스템 또는 데이터에 무단으로 액세스하기 위해 악용할 수 있는 중요한 보안 취약성을 나타내므로 즉시 해결되어야 합니다. 높은 심각도 권장 사항의 예로는 컴퓨터에서 보호되지 않는 비밀, 과도하게 권한이 부여된 인바운드 NSG 규칙, 신뢰할 수 없는 레지스트리에서 이미지를 배포하도록 허용하는 클러스터, 스토리지 계정 또는 데이터베이스에 대한 제한 없는 퍼블릭 액세스 등이 발견된 경우입니다.
중간 심각도: 이러한 권장 사항은 적시에 해결해야 하지만 즉각적인 주의가 필요하지 않을 수 있는 잠재적 보안 위험을 나타냅니다. 중간 심각도 권장 사항의 예로는 중요한 호스트 네임스페이스를 공유하는 컨테이너, 관리 ID를 사용하지 않는 웹앱, 인증 중에 SSH 키가 필요하지 않은 Linux 컴퓨터, 90일 동안 비활성 상태인 이후 시스템에 남아 있는 미사용 자격 증명 등이 있습니다.
낮은 심각도: 이러한 권장 사항은 편의상 해결할 수 있는 비교적 사소한 보안 문제를 나타냅니다. 낮은 심각도 권장 사항의 예로는 Microsoft Entra ID를 위해 로컬 인증을 사용하지 않도록 설정해야 하는 필요성, 엔드포인트 보호 솔루션의 상태 문제, 네트워크 보안 그룹이 준수하지 않는 모범 사례 또는 보안 인시던트 감지 및 대응을 어렵게 만들 수 있는 로깅 설정 구성 오류 등이 포함될 수 있습니다.
물론 조직의 내부의 견해는 Microsoft의 특정 권장 사항 분류와 다를 수 있습니다. 따라서 항상 각 권장 사항을 신중하게 검토하고 이를 해결하는 방법을 결정하기 전에 보안 태세에 미치는 잠재적 영향을 고려하는 것이 좋습니다.
참고 항목
Defender CSPM 고객은 리소스 및 모든 관련 리소스의 컨텍스트를 활용하는 보다 동적인 위험 수준이 권장 사항에 표시되는 더욱 풍부한 분류 시스템에 액세스할 수 있습니다. 위험 우선 순위 지정에 대해 자세히 알아봅니다.
예시
예를 들어 이 권장 사항 세부 정보 페이지에는 15개의 영향을 받는 리소스가 표시됩니다.
기본 쿼리를 열고 실행하면 Azure Resource Graph Explorer에서 이 권장 사항에 대해 영향을 받는 동일한 15개의 리소스와 해당 상태를 반환합니다.