파일럿 및 배포 Microsoft Defender for Cloud Apps

적용 대상:

• Microsoft Defender XDR

이 문서에서는 organization Microsoft Defender for Cloud Apps 파일럿하고 배포하기 위한 워크플로를 제공합니다. 이러한 권장 사항을 사용하여 Microsoft Defender XDR 엔드 투 엔드 솔루션의 일부로 Microsoft Defender for Cloud Apps 온보딩합니다.

이 문서에서는 프로덕션 Microsoft 365 테넌트가 있으며 이 환경에서 Microsoft Defender for Cloud Apps 파일럿하고 배포하고 있다고 가정합니다. 이 방법은 전체 배포를 위해 파일럿 중에 구성하는 모든 설정 및 사용자 지정을 유지 관리합니다.

Office 365용 Defender 위반으로 인한 비즈니스 피해를 방지하거나 줄여 제로 트러스트 아키텍처에 기여합니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위반 비즈니스로 인한 비즈니스 손상 방지 또는 감소를 참조하세요.

Microsoft Defender XDR 대한 엔드 투 엔드 배포

이 문서는 인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR 구성 요소를 배포하는 데 도움이 되는 시리즈의 문서 5/6입니다.

이 시리즈의 문서는 엔드 투 엔드 배포의 다음 단계에 해당합니다.

단계	링크
대답. 파일럿 시작	파일럿 시작
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포	- Defender for Identity 파일럿 및 배포 - 파일럿 및 배포 Office 365용 Defender - 엔드포인트용 Defender 파일럿 및 배포 - 파일럿 및 배포 Microsoft Defender for Cloud Apps(이 문서)
C. 위협 조사 및 대응	인시던트 조사 및 대응 연습

Defender for Cloud Apps 대한 워크플로 파일럿 및 배포

다음 다이어그램에서는 IT 환경에 제품 또는 서비스를 배포하는 일반적인 프로세스를 보여 줍니다.

먼저 제품 또는 서비스를 평가하고 organization 내에서 어떻게 작동하는지 평가합니다. 그런 다음 테스트, 학습 및 사용자 지정을 위해 프로덕션 인프라의 작은 하위 집합으로 제품 또는 서비스를 파일럿합니다. 그런 다음 전체 인프라 또는 organization 다룰 때까지 배포의 scope 점진적으로 늘입니다.

프로덕션 환경에서 Defender for Cloud Apps 파일럿 및 배포하기 위한 워크플로는 다음과 같습니다.

다음 단계를 따릅니다.

1. Defender for Cloud Apps 연결
2. 엔드포인트용 Microsoft Defender 통합
3. 방화벽 및 기타 프록시에 로그 수집기 배포
4. 파일럿 그룹 만들기
5. 클라우드 앱 검색 및 관리
6. 조건부 액세스 앱 제어 구성
7. 클라우드 앱에 세션 정책 적용
8. 추가 기능 사용해 보기

각 배포 단계에 권장되는 단계는 다음과 같습니다.

배포 단계	설명
평가	Defender for Cloud Apps 제품 평가를 수행합니다.
파일럿	프로덕션 환경에서 적합한 클라우드 앱 하위 집합에 대해 1-4단계 및 5-8단계를 수행합니다.
배포 후	나머지 클라우드 앱에 대해 5-8단계를 수행하여 파일럿 사용자 그룹에 대한 범위를 조정하거나 파일럿을 넘어 확장하고 모든 사용자 계정을 포함하도록 사용자 그룹을 추가합니다.

해커로부터 organization 보호

Defender for Cloud Apps 자체적으로 강력한 보호를 제공합니다. 그러나 Microsoft Defender XDR 다른 기능과 결합되면 Defender for Cloud Apps 공유 신호에 데이터를 제공하여 공격을 중지하는 데 도움이 됩니다.

다음은 사이버 공격의 예와 Microsoft Defender XDR 구성 요소가 이를 감지하고 완화하는 데 어떻게 도움이 되는지에 대한 예입니다.

Defender for Cloud Apps 불가능한 이동, 자격 증명 액세스 및 비정상적인 다운로드, 파일 공유 또는 메일 전달 활동과 같은 비정상적인 동작을 검색하고 이러한 동작을 Defender for Cloud Apps 표시합니다. Defender for Cloud Apps 해커의 횡적 이동과 중요한 데이터의 반출을 방지하는 데에도 도움이 됩니다.

Microsoft Defender XDR 모든 Microsoft Defender 구성 요소의 신호를 상호 연결하여 전체 공격 스토리를 제공합니다.

CASB 등으로 역할 Defender for Cloud Apps

CASB(클라우드 액세스 보안 브로커)는 사용자가 어디에 있든 사용 중인 디바이스에 관계없이 엔터프라이즈 사용자와 사용하는 클라우드 리소스 간에 실시간으로 액세스를 중개하는 게이트키퍼 역할을 합니다. SaaS(Software as a Service) 앱은 하이브리드 작업 환경에서 유비쿼터스이며 SaaS 앱과 저장하는 중요한 데이터를 보호하는 것은 조직에 큰 과제입니다.

회사 경계 외부의 회사 리소스에 액세스하는 직원과 결합된 앱 사용의 증가로 인해 새로운 공격 벡터도 도입되었습니다. 이러한 공격에 효과적으로 대처하기 위해 보안 팀은 기존의 CASB(클라우드 액세스 보안 브로커)의 scope 넘어 클라우드 앱 내에서 데이터를 보호하는 접근 방식이 필요합니다.

Microsoft Defender for Cloud Apps SaaS 애플리케이션에 대한 전체 보호를 제공하여 다음 기능 영역에서 클라우드 앱 데이터를 모니터링하고 보호할 수 있도록 지원합니다.

• 섀도 IT 검색, 클라우드 앱 사용에 대한 가시성, 클라우드 내 어디서나 앱 기반 위협에 대한 보호, 정보 보호 및 규정 준수 평가와 같은 기본 CASB(클라우드 액세스 보안 브로커) 기능.

• SaaS SSPM(보안 태세 관리) 기능을 사용하여 보안 팀이 organization 보안 태세를 개선할 수 있습니다.

• 고급 위협 방지는 Microsoft의 XDR(확장 검색 및 대응) 솔루션의 일부로, 고급 공격의 전체 킬 체인에서 신호와 가시성의 강력한 상관 관계를 가능하게 합니다.

• 앱 간 보호- 핵심 위협 시나리오를 중요한 데이터 및 리소스에 대한 권한과 권한이 있는 OAuth 지원 앱으로 확장합니다.

클라우드 앱 검색 방법

Defender for Cloud Apps 없으면 organization 사용하는 클라우드 앱은 관리되지 않고 보호되지 않습니다. 사용자 환경에서 사용되는 클라우드 앱을 검색하려면 다음 방법 중 하나 또는 둘 다를 구현할 수 있습니다.

• 엔드포인트용 Microsoft Defender 통합하여 Cloud Discovery를 빠르게 시작하고 실행합니다. 이 네이티브 통합을 통해 Windows 10 및 Windows 11 디바이스의 클라우드 트래픽에 대한 데이터 수집을 즉시 시작할 수 있습니다.
• 네트워크에 연결된 모든 디바이스에서 액세스하는 모든 클라우드 앱을 검색하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포합니다. 이 배포는 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps 보냅니다. Defender for Cloud Apps 기본적으로 더 많은 기능을 위해 일부 타사 프록시와 통합됩니다.

이 문서에는 두 방법 모두에 대한 지침이 포함되어 있습니다.

1단계. Defender for Cloud Apps 연결

라이선스를 확인하고 Defender for Cloud Apps 연결하려면 빠른 시작: Microsoft Defender for Cloud Apps 시작을 참조하세요.

포털에 즉시 연결할 수 없는 경우 방화벽의 허용 목록에 IP 주소를 추가해야 할 수 있습니다. 자세한 내용은 Defender for Cloud Apps 대한 기본 설정을 참조하세요.

여전히 문제가 있는 경우 네트워크 요구 사항을 검토하세요.

2단계: 엔드포인트용 Microsoft Defender 통합

Microsoft Defender for Cloud Apps 기본적으로 엔드포인트용 Microsoft Defender 통합됩니다. 통합은 Cloud Discovery의 롤아웃을 간소화하고, 회사 네트워크를 넘어 Cloud Discovery 기능을 확장하며, 디바이스 기반 조사를 가능하게 합니다. 이 통합은 IT 관리형 Windows 10 및 Windows 11 디바이스에서 액세스하는 클라우드 앱 및 서비스를 보여줍니다.

이미 엔드포인트용 Microsoft Defender 설정한 경우 Defender for Cloud Apps 통합을 구성하는 것은 Microsoft Defender XDR 토글입니다. 통합이 켜져 있으면 Defender for Cloud Apps 돌아가서 Cloud Discovery 대시보드에서 풍부한 데이터를 볼 수 있습니다.

이러한 작업을 수행하려면 엔드포인트용 Microsoft Defender Microsoft Defender for Cloud Apps 통합을 참조하세요.

3단계: 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기 배포

• 네트워크에 연결된 모든 디바이스에서 적용하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포하여 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps 보냅니다. 자세한 내용은 연속 보고서에 대한 자동 로그 업로드 구성을 참조하세요.

• Defender for Cloud Apps 인기 있는 클라우드 앱에 대한 기본 제공 앱 커넥터를 제공합니다. 이러한 커넥터는 앱 공급자의 API를 사용하여 이러한 앱이 organization 사용되는 방식을 보다 잘 파악하고 제어할 수 있도록 합니다. 자세한 내용은 앱 연결을 참조하여 Microsoft Defender for Cloud Apps 사용하여 표시 유형 및 제어를 가져옵니다.

• 다음 SWG(보안 웹 게이트웨이) 중 하나를 사용하는 경우 Defender for Cloud Apps 원활한 배포 및 통합을 제공합니다.

  • Zscaler
  • iboss
  • 코라타 주
  • Menlo 보안
  • 시스템 열기

자세한 내용은 클라우드 앱 검색 개요를 참조하세요.

4단계. 파일럿 그룹 만들기 - 파일럿 배포를 특정 사용자 그룹으로 범위 지정

Microsoft Defender for Cloud Apps 배포를 scope 수 있습니다. 범위 지정을 사용하면 앱에 대해 모니터링하거나 모니터링에서 제외할 특정 사용자 그룹을 선택할 수 있습니다. 사용자 그룹을 포함하거나 제외할 수 있습니다.

자세한 내용은 배포 범위를 특정 사용자 또는 사용자 그룹으로 범위를 참조하세요.

5단계. 클라우드 앱 검색 및 관리

Defender for Cloud Apps 최대 보호 용량을 제공하려면 organization 모든 클라우드 앱을 검색하고 사용 방법을 관리해야 합니다.

클라우드 앱 검색

클라우드 앱 사용을 관리하는 첫 번째 단계는 organization 사용되는 클라우드 앱을 검색하는 것입니다. 다음 다이어그램에서는 클라우드 검색이 Defender for Cloud Apps 작동하는 방법을 보여 줍니다.

이 그림에는 네트워크 트래픽을 모니터링하고 organization 사용되는 클라우드 앱을 검색하는 데 사용할 수 있는 두 가지 방법이 있습니다.

1. Cloud App Discovery는 기본적으로 엔드포인트용 Microsoft Defender 통합됩니다. 엔드포인트용 Defender는 IT 관리형 Windows 10 및 Windows 11 디바이스에서 액세스되는 클라우드 앱 및 서비스를 보고합니다.

2. 네트워크에 연결된 모든 디바이스에서 적용하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 설치하여 엔드포인트에서 데이터를 수집합니다. 수집기는 분석을 위해 이 데이터를 Defender for Cloud Apps 보냅니다.

Cloud Discovery dashboard 확인하여 organization 사용 중인 앱을 확인합니다.

클라우드 검색 dashboard organization 클라우드 앱이 사용되는 방식에 대한 더 많은 인사이트를 제공하도록 설계되었습니다. 사용 중인 앱의 종류, 공개 경고 및 organization 앱의 위험 수준에 대한 개요를 한눈에 확인할 수 있습니다.

자세한 내용은 클라우드 검색 dashboard 사용하여 검색된 앱 보기를 참조하세요.

클라우드 앱 관리

클라우드 앱을 검색하고 organization 이러한 앱을 사용하는 방법을 분석한 후 선택한 클라우드 앱 관리를 시작할 수 있습니다.

이 그림에서 일부 앱은 사용이 허가됩니다. 제재는 앱을 관리하기 시작하는 간단한 방법입니다. 자세한 내용은 검색된 앱 관리를 참조하세요.

6단계. 조건부 액세스 앱 제어 구성

구성할 수 있는 가장 강력한 보호 중 하나는 조건부 액세스 앱 제어입니다. 이 보호를 사용하려면 Microsoft Entra ID 통합해야 합니다. 이를 통해 승인한 클라우드 앱에 관련 정책(예: 정상 디바이스 필요)을 포함한 조건부 액세스 정책을 적용할 수 있습니다.

다단계 인증 및 기타 조건부 액세스 정책을 적용하기 위해 Microsoft Entra 테넌트에서 SaaS 앱을 이미 추가했을 수 있습니다. Microsoft Defender for Cloud Apps 기본적으로 Microsoft Entra ID 통합됩니다. Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하도록 Microsoft Entra ID 정책을 구성하기만 하면 됩니다. 이렇게 하면 Defender for Cloud Apps 통해 이러한 관리되는 SaaS 앱의 네트워크 트래픽을 프록시로 라우팅하므로 Defender for Cloud Apps 이 트래픽을 모니터링하고 세션 컨트롤을 적용할 수 있습니다.

이 그림의 내용:

• SaaS 앱은 Microsoft Entra 테넌트와 통합됩니다. 이 통합을 통해 Microsoft Entra ID 다단계 인증을 포함한 조건부 액세스 정책을 적용할 수 있습니다.
• SaaS 앱이 Defender for Cloud Apps 트래픽을 전송하도록 Microsoft Entra ID 정책이 추가됩니다. 정책은 이 정책을 적용할 SaaS 앱을 지정합니다. Microsoft Entra ID 이러한 SaaS 앱에 적용되는 조건부 액세스 정책을 적용한 후 Microsoft Entra ID Defender for Cloud Apps 통해 세션 트래픽을 지시(프록시)합니다.
• Defender for Cloud Apps 이 트래픽을 모니터링하고 관리자가 구성한 모든 세션 제어 정책을 적용합니다.

Microsoft Entra ID 추가되지 않은 Defender for Cloud Apps 사용하여 클라우드 앱을 검색하고 승인했을 수 있습니다. 이러한 클라우드 앱을 Microsoft Entra 테넌트와 조건부 액세스 규칙의 scope 추가하여 조건부 액세스 앱 제어를 활용할 수 있습니다.

Microsoft Defender for Cloud Apps 사용하여 SaaS 앱을 관리하는 첫 번째 단계는 이러한 앱을 검색한 다음 Microsoft Entra 테넌트에서 추가하는 것입니다. 검색에 대한 도움이 필요한 경우 네트워크에서 SaaS 앱 검색 및 관리를 참조하세요. 앱을 검색한 후 이러한 앱을 Microsoft Entra 테넌트에 추가합니다.

다음 작업을 사용하여 이러한 앱을 관리할 수 있습니다.

1. Microsoft Entra ID 새 조건부 액세스 정책을 만들고 조건부 액세스 앱 제어를 사용하도록 구성합니다. 이 구성은 요청을 Defender for Cloud Apps 리디렉션하는 데 도움이 됩니다. 하나의 정책을 만들고 이 정책에 모든 SaaS 앱을 추가할 수 있습니다.

2. 다음으로, Defender for Cloud Apps 세션 정책을 만듭니다. 적용하려는 각 컨트롤에 대해 하나의 정책을 만듭니다. 지원되는 앱 및 클라이언트를 포함한 자세한 내용은 Microsoft Defender for Cloud Apps 세션 정책 만들기를 참조하세요.

샘플 정책은 SaaS 앱에 대한 권장 Microsoft Defender for Cloud Apps 정책을 참조하세요. 이러한 정책은 모든 고객의 시작점으로 권장되는 공통 ID 및 디바이스 액세스 정책 집합을 기반으로 합니다.

7단계. 클라우드 앱에 세션 정책 적용

세션 정책이 구성되면 클라우드 앱에 적용하여 해당 앱에 대한 제어된 액세스를 제공합니다.

이 그림의 내용

• organization 사용자 및 디바이스에서 승인된 클라우드 앱에 대한 액세스는 Defender for Cloud Apps 통해 라우팅됩니다.
• 승인되지 않았거나 명시적으로 허가되지 않은 클라우드 앱은 영향을 받지 않습니다.

세션 정책을 사용하면 organization 클라우드 앱을 사용하는 방법에 매개 변수를 적용할 수 있습니다. 예를 들어 organization Salesforce를 사용하는 경우 관리되는 디바이스만 Salesforce에서 organization 데이터에 액세스할 수 있도록 하는 세션 정책을 구성할 수 있습니다. 더 간단한 예제는 더 엄격한 정책을 적용하기 전에 이 트래픽의 위험을 분석할 수 있도록 관리되지 않는 디바이스의 트래픽을 모니터링하는 정책을 구성하는 것입니다.

자세한 내용은 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 참조하세요.

8단계. 추가 기능 사용해 보기

다음 Defender for Cloud Apps 문서를 사용하여 위험을 검색하고 환경을 보호합니다.

• 의심스러운 사용자 활동 검색
• 위험한 사용자 조사
• 위험한 OAuth 앱 조사
• 중요한 정보 검색 및 보호
• 실시간으로 organization 모든 앱 보호
• 중요한 정보의 다운로드 차단
• 관리자 격리를 사용하여 파일 보호
• 위험한 작업 시 단계별 인증 필요

Microsoft Defender for Cloud Apps 데이터의 고급 헌팅에 대한 자세한 내용은 이 비디오를 참조하세요.

SIEM 통합

Defender for Cloud Apps Microsoft의 통합 보안 운영 플랫폼의 일부로 Microsoft Sentinel 통합하거나 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel 사용하면 organization 보안 이벤트를 보다 포괄적으로 분석하고 효과적이고 즉각적인 대응을 위해 플레이북을 빌드할 수 있습니다.

Microsoft Sentinel Defender for Cloud Apps 포함하여 Defender XDR 모든 신호를 Microsoft Sentinel 가져오는 XDR 데이터 커넥터에 대한 Microsoft Defender 포함합니다. Defender 포털을 SecOps(통합 보안 작업) 플랫폼으로 사용합니다.

자세한 내용은 다음 항목을 참조하세요.

• Microsoft Defender 포털에 Microsoft Sentinel 연결
• Microsoft Sentinel 통합
• 일반 SIEM 통합

다음 단계

Defender for Cloud Apps 수명 주기 관리를 수행합니다.

Microsoft Defender XDR 엔드 투 엔드 배포를 위한 다음 단계

Microsoft Defender XDR 사용하여 조사 및 응답을 사용하여 Microsoft Defender XDR 엔드 투 엔드 배포를 계속합니다.

팁

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.