다음을 통해 공유

데이터 커넥터에서 값 가져오기

  • 아티클

Microsoft 보안 노출 관리 모든 디지털 자산의 보안 태세 데이터를 통합하여 공격 노출 영역을 매핑하고 가장 큰 위험에 처한 영역에 보안 노력을 집중할 수 있습니다. Microsoft 제품의 데이터는 노출 관리에 연결되면 자동으로 수집되며 외부 데이터 원본에서 더 많은 데이터 커넥터를 추가할 수 있습니다.

가져온 자산 및 데이터 형식

외부 제품에 연결하려는 의도는 모든 디지털 자산 및 공격 표면에 영향을 미칠 수 있는 모든 보안 컨텍스트에서 완전한 가시성을 만드는 것입니다. 이러한 목적을 위해 다음 자산 유형, 컨텍스트 보강 및 취약성 정보가 수집됩니다.

  • 디바이스
  • 클라우드 자산
  • 취약점
  • 자산 중요도 정보
  • 자산 위험 평가
  • 네트워크 세부 정보
  • 노출 인사이트(예: 인터넷 노출)
  • 사용자(미래)
  • SaaS 앱(미래)

자산 정보 및 보안 컨텍스트는 노출 관리로 가져오고 통합되어 모든 디지털 자산에서 보안 상태를 포괄적으로 볼 수 있습니다. 현재 지원되는 외부 데이터 원본에는 Qualys, Rapid7 InsightVM, Tenable Vulnerability Management 및 ServiceNow CMDB가 포함됩니다.

커넥터에서 수집된 데이터는 정규화되어 노출 그래프 및 디바이스 인벤토리에 통합됩니다. 노출 관리는 얻은 귀중한 컨텍스트와 인사이트를 사용하여 공격 표면에 대한 보다 정확한 평가를 생성하고 노출 위험에 대한 심층적인 이해를 제공합니다. 이 데이터는 디바이스 인벤토리, 공격 표면 맵 및 고급 헌팅과 같은 노출 그래프 탐색 도구 및 커넥터에서 수집한 보강 데이터를 기반으로 검색되는 공격 경로 내에서 사용할 수 있습니다.

결국 이 데이터는 특정 기준에 대한 노출 위험을 측정하는 보안 메트릭을 강화하는 역할을 하며 워크로드 또는 특정 위협 영역과 관련된 노출 위험을 측정하는 광범위한 조직 이니셔티브에도 영향을 줍니다.

검색 원본이 있는 디바이스 인벤토리의 스크린샷

외부 데이터 커넥터를 사용할 경우의 이점은 다음과 같습니다.

  • 노출 그래프 내에서 정규화
  • 디바이스 인벤토리 향상
  • 매핑 관계
  • 새 공격 경로 공개
  • 포괄적인 공격 표면 가시성 제공
  • 자산 중요도 통합
  • 비즈니스 애플리케이션 또는 운영 소속을 사용하여 컨텍스트 보강
  • 공격 맵 도구를 통해 시각화
  • KQL을 통한 고급 헌팅 쿼리 사용 살펴보기

디바이스 인벤토리의 커넥터 데이터

디바이스 인벤토리에 각 디바이스에 대한 검색 원본이 표시됩니다. 이 원본은 이 디바이스에 대한 보고서를 받은 제품입니다. 여기에는 MDE, MDC 및 MDI와 같은 Microsoft 보안 제품과 Qualys 또는 ServiceNow CMDB와 같은 외부 데이터 원본도 포함될 수 있습니다. 인벤토리 내에서 하나 이상의 검색 원본을 필터링하여 해당 원본에 의해 특별히 검색된 디바이스를 볼 수 있습니다.

검색 원본이 강조 표시된 디바이스 인벤토리의 스크린샷 ":::

중요 자산 관리

중요한 자산을 식별하는 것은 organization 가장 중요한 자산이 데이터 침해 및 운영 중단의 위험으로부터 보호되도록 하는 데 핵심적인 역할을 합니다.

자산의 중요도에 대한 보강 정보는 해당 외부 제품에서 계산된 중요도 평가를 기반으로 데이터 커넥터에서 검색됩니다. 이 데이터를 수집할 때 중요 자산 관리에는 타사 제품에서 검색된 중요도 값을 각 자산에 대한 노출 관리 중요도 값으로 변환하는 기본 제공 규칙이 포함되어 있습니다. 이러한 분류를 보고 중요한 자산 관리 환경에서 이러한 분류를 사용하거나 사용하지 않도록 설정할 수 있습니다.

중요한 자산 관리의 데이터 커넥터 정보 스크린샷

노출 그래프

외부 데이터 제품에서 검색된 자산 및 보강 데이터를 탐색하려면 노출 그래프에서 이 정보를 볼 수도 있습니다. 공격 표면 맵 내에서 커넥터에서 검색한 자산을 나타내는 노드를 볼 수 있으며, 기본 제공 아이콘에는 각 자산에 대한 검색 원본이 표시됩니다.

표시된 노출 그래프의 데이터 커넥터 스크린샷

자산에 대한 측면 창을 열어 각 자산에 대한 커넥터에서 검색된 자세한 데이터를 볼 수도 있습니다.

노출 그래프의 데이터 커넥터 스크린샷

노출 그래프 쪽 창의 데이터 커넥터 스크린샷

고급 헌팅

외부 데이터 원본에서 검색되고 수집된 데이터를 탐색하려면 고급 헌팅의 노출 그래프에서 쿼리를 실행할 수 있습니다.

예제:

이 쿼리는 ServiceNow CMDB에서 검색된 모든 자산과 자세한 메타데이터를 반환합니다.

ExposureGraphNodes
| where NodeProperties contains ("serviceNowCmdbAssetInfo")
| extend SnowInfo = NodeProperties.rawData.serviceNowCmdbAssetInfo

이 쿼리는 Qualys에서 검색된 모든 자산을 반환합니다.

ExposureGraphNodes
| where EntityIds contains ("QualysAssetId")

이 쿼리는 수집된 자산에 대해 Rapid7에서 보고한 모든 취약성(CVE)을 반환합니다.

ExposureGraphEdges
| where EdgeLabel == "affecting"
| where tostring(EdgeProperties.rawData.reportInfo.reportedBy) == "rapid7"
| project AssetName = TargetNodeName, CVE = SourceNodeName

이 쿼리는 수집된 자산에 대해 Tenable이 보고한 모든 취약성(CVE)을 반환합니다.

ExposureGraphEdges
| where EdgeLabel == "affecting"
| where tostring(EdgeProperties.rawData.reportInfo.reportedBy) == "tenable"
| project AssetName = TargetNodeName, CVE = SourceNodeName

참고

작동하지 않거나 결과를 생성하지 않는 AH(고급 헌팅) 쿼리 문제를 해결하는 경우 "reportedBy" 필드는 대/소문자를 구분합니다. 예를 들어 유효한 값에는 "rapid7", "tenable" 등이 포함됩니다.

공격 경로

보안 노출 관리 외부 커넥터의 데이터를 포함하여 자산 및 워크로드에서 수집된 데이터를 기반으로 공격 경로를 자동으로 생성합니다. 공격 시나리오를 시뮬레이션하고 공격자가 악용할 수 있는 취약성과 약점을 식별합니다.

사용자 환경에서 공격 경로를 탐색할 때 경로의 그래픽 보기를 기반으로 이 공격 경로에 기여한 검색 원본을 볼 수 있습니다.

검색 원본을 사용하여 연결 경로의 스크린봇

다음 단계