다음을 통해 공유

인프라 통합

  • 아티클

인프라는 조직의 IT 서비스를 지원하는 데 필요한 하드웨어, 소프트웨어, 마이크로 서비스, 네트워킹 인프라 및 시설로 구성됩니다. 제로 트러스트 인프라 솔루션은 이러한 서비스에 대한 보안 위협을 평가, 모니터링 및 방지합니다.

제로 트러스트 인프라 솔루션은 인프라 리소스에 대한 액세스가 명시적으로 확인되고, 최소 권한 액세스 원칙을 사용하여 액세스 권한을 부여하며, 위반을 가정하고 인프라에서 보안 위협을 찾고 수정하는 메커니즘을 마련하여 제로 트러스트 원칙을 지원합니다.

이 지침은 Microsoft 제품과 통합하여 인프라 보안 솔루션을 향상하려는 소프트웨어 공급자 및 기술 파트너를 위한 것입니다.

인프라용 제로 트러스트 통합 가이드

이 통합 가이드에는 클라우드용 Microsoft Defender 통합 클라우드 워크로드 보호 계획, Microsoft Defender for ... (서버, 컨테이너, 데이터베이스, 스토리지, App Services 등)와 통합하기 위한 전략 및 지침이 포함되어 있습니다.

이 지침에는 가장 인기 있는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동 대응), EDR(엔드포인트 검색 및 대응) 및 ITSM(IT 서비스 관리) 솔루션과의 통합이 포함되어 있습니다.

제로 트러스트 및 클라우드용 Defender

제로 트러스트 인프라 배포 지침에서는 인프라에 대한 제로 트러스트 전략의 주요 스테이지를 제공합니다. 이는 다음과 같습니다.

  1. 선택한 표준 및 정책으로 규정 준수 평가
  2. 격차가 발견될 때마다 구성 강화
  3. JIT(Just-In-Time) VM 액세스 등의 다른 강화 도구 사용
  4. 위협 탐지 및 보호 설정
  5. 위험한 동작을 자동으로 차단하고 플래그를 지정하고 보호 조치 수행

인프라 배포 지침에서 설명한 목표는 클라우드용 Defender의 핵심 요소와 명확하게 대응됩니다.

제로 트러스트 목표 클라우드용 Defender 기능
규정 준수 평가 클라우드용 Defender 모든 구독에는 자동으로 기본 보안 이니셔티브할당된 MCSB(Microsoft 클라우드 보안 벤치마크)가 있습니다.
보안 점수 도구규정 준수 대시보드를 사용하면 고객의 보안 태세를 심도 싶게 이해할 수 있습니다.
구성 강화 구독에 보안 이니셔티브를 할당하고 보안 점수를 검토하면 클라우드용 Defender 기본 제공되는 강화 권장 사항으로 연결됩니다. 클라우드용 Defender 리소스의 규정 준수 상태 주기적으로 분석하여 잠재적인 보안 오류 및 약점을 식별합니다. 그런 다음, 해당 문제를 수정하는 방법에 관한 권장 사항을 제공합니다.
강화 메커니즘 사용 보안 잘못된 구성에 대한 일회성 수정뿐만 아니라 클라우드용 Defender 다음과 같은 리소스를 더욱 강화하는 기능이 포함되어 있습니다.
JIT(Just-In-Time) VM(가상 머신) 액세스
적응형 네트워크 강화
적응형 애플리케이션 제어.
위협 감지 설정 클라우드용 Defender 위협 감지 및 대응을 위한 통합 클라우드 워크로드 보호 계획을 제공합니다. 이 계획은 고급, 지능형, Azure, 하이브리드 및 다중 클라우드 리소스 및 워크로드를 보호합니다.
Microsoft Defender 계획 중 하나인 서버용 Defender에는 엔드포인트용 Microsoft Defender이티브 통합이 포함됩니다.
클라우드용 Microsoft Defender 소개에서 자세히 알아보세요.
의심스러운 동작 자동 차단 클라우드용 Defender의 강화 권장 사항 중 상당수는 거부 옵션을 제공합니다. 이 기능을 사용하면 정의된 강화 조건을 충족하지 않는 리소스 생성을 방지할 수 있습니다. 적용/거부 추천 사항을 사용하여 구성 오류 방지에서 자세히 알아보세요.
의심스러운 동작에 자동으로 플래그 지정 클라우드용 Microsoft Defender 보안 경고는 고급 검색에 의해 트리거됩니다. 클라우드용 Defender는 경고의 우선 순위를 지정하여 문제를 빠르게 조사하는 데 필요한 정보와 함께 경고를 나열합니다. 클라우드용 Defender는 공격을 해결하는 데 도움이 되는 자세한 단계도 제공합니다. 사용 가능한 전체 경고 목록은 보안 경고 - 참조 가이드에서 확인하세요.

클라우드용 Defender를 사용하여 Azure PaaS 서비스 보호

구독에서 클라우드용 Defender 사용하도록 설정되고 사용 가능한 모든 리소스 유형에 대해 Defender 워크로드 보호 계획을 사용하도록 설정하면 Microsoft Threat Intelligence에서 제공하는 지능형 위협 보호 계층이 Azure Key Vault, Azure Storage, Azure DNS 및 기타 Azure PaaS 서비스의 리소스를 보호합니다. 전체 목록은 지원 매트릭스에 나열된 PaaS 서비스를 참조하세요.

Azure Logic Apps

Azure Logic Apps를 사용하면 자동화된 확장 가능한 워크플로, 비즈니스 프로세스 및 엔터프라이즈 오케스트레이션을 빌드하여 클라우드 서비스 및 온-프레미스 시스템의 앱과 데이터를 통합할 수 있습니다.

클라우드용 Defender의 워크플로 자동화 기능을 사용하면 클라우드용 Defender 트리거에 대한 응답을 자동화할 수 있습니다.

위협이 발견될 때 자동화된 일관적인 방식으로 정의하고 대응할 수 있는 좋은 방법입니다. 예를 들어 관련자에게 알리려면 변경 관리 프로세스를 시작하고, 위협이 감지되면 특정 수정 단계를 적용합니다.

SIEM, SOAR 및 ITSM 솔루션과 클라우드용 Defender 통합

클라우드용 Microsoft Defender는 가장 널리 사용되는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동화 응답) 및 ITSM(IT 서비스 관리) 솔루션으로 보안 경고를 스트리밍할 수 있습니다.

다음과 같은 Azure 네이티브 도구를 사용하면 현재 사용 중인 가장 인기 있는 모든 솔루션에서 경고 데이터를 볼 수 있습니다.

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • IBM의 QRadar
  • ServiceNow
  • ArcSight
  • Power BI
  • Palo Alto Networks

Microsoft Sentinel

클라우드용 Defender는 Sentinel, Microsoft의 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동 대응) 솔루션과 기본적으로 통합됩니다.

다음과 같은 두 가지 방법으로 클라우드용 Defender 데이터를 Microsoft Sentinel에 표시할 수 있습니다.

Microsoft Graph Security API를 사용하여 경고 스트리밍

클라우드용 Defender는 기본적으로 Microsoft Graph Security API와 통합되어 있습니다. 따라서 구성할 필요가 없고 추가 비용도 발생하지 않습니다.

이 API를 사용하여 전체 테넌트(및 기타 여러 Microsoft 보안 제품의 데이터)에서 타사 SIEM 및 기타 인기 있는 플랫폼으로 경고를 스트리밍할 수 있습니다.

Microsoft Graph Security API에 대해 자세히 알아보기

Azure Monitor를 사용하여 경고 스트리밍

클라우드용 Defender의 연속 내보내기 기능을 사용하여 Azure Event Hubs를 통해 클라우드용 Defender를 Azure Monitor와 연결하고, 경고를 ArcSight, SumoLogic, Syslog 서버, LogRhythm, Logz.io Cloud Observability Platform 및 기타 모니터링 솔루션으로 스트리밍합니다.

Azure Monitor를 사용하여 경고 스트리밍에 대해 자세히 알아보세요.

관리 그룹 수준에서 Azure Policy를 사용하여 이 작업을 수행할 수도 있습니다. 연속 내보내기 자동화 구성을 규모에 맞게 만들기를 참조하세요.

내보낸 데이터 형식의 이벤트 스키마를 보려면 Event Hubs 이벤트 스키마를 참조하세요.

EDR(엔드포인트 검색 및 대응) 솔루션과 클라우드용 Defender 통합

엔드포인트에 대한 Microsoft Defender

엔드포인트용 Microsoft Defender는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다.

서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender 대한 통합 라이선스가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다. 자세한 내용은 엔드포인트 보호를 참조하세요.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 클라우드용 Defender 표시되며 엔드포인트용 Defender 콘솔로 피벗하여 자세한 조사를 수행하고 공격 범위를 파악할 수 있습니다. 엔드포인트용 Microsoft Defender 대해 자세히 알아보세요.

기타 EDR 솔루션

클라우드용 Defender 지침에 따라 조직의 리소스를 보호하기 위한 강화 권장 사항을 제공합니다.MCSB(Microsoft 클라우드 보안 벤치마크). 벤치마크의 컨트롤 중 하나는 엔드포인트 보안: ES-1: EDR(엔드포인트 검색 및 대응)과 관련이 있습니다.

클라우드용 Defender에는 엔드포인트 보호를 사용하도록 설정했고 잘 실행되고 있는지 확인하는 두 가지 권장 사항이 있습니다. 이러한 권장 사항은 다음에서 EDR 솔루션의 현재 상태 및 작동 상태를 확인합니다.

  • Trend Micro
  • Symantec
  • McAfee
  • Sophos

클라우드용 Microsoft Defender의 엔드포인트 보호 평가 및 권장 사항에서 자세히 알아보세요.

하이브리드 및 다중 클라우드 시나리오에 제로 트러스트 전략 적용

클라우드 워크로드가 일반적으로 여러 클라우드 플랫폼에 걸쳐 있는 경우 클라우드 보안 서비스도 동일한 작업을 수행해야 합니다.

클라우드용 Microsoft Defender는 Azure, 온-프레미스, AWS(Amazon Web Services) 또는 GCP(Google Cloud Platform)에서 실행되는 워크로드를 보호합니다.

온-프레미스 머신과 클라우드용 Defender 통합

하이브리드 클라우드 워크로드를 보호하려면 온-프레미스 머신을 Azure Arc 지원 서버에 연결하여 클라우드용 Defender의 보호 범위를 확장하면 됩니다.

비 Azure 머신을 클라우드용 Defender에 연결에서 머신을 연결하는 방법을 알아보세요.

클라우드용 Defender를 다른 클라우드 환경과 통합

클라우드용 Defender에서 Amazon Web Services 머신의 보안 상태를 보려면 클라우드용 Defender에 AWS 계정을 온보딩합니다. 이렇게 하면 AWS 보안 허브와 클라우드용 Microsoft Defender 통합하여 클라우드용 Defender 권장 사항 및 AWS Security Hub 결과를 통합하고 AWS 계정을 클라우드용 Microsoft Defender 커넥트 설명한 대로 다양한 이점을 제공합니다.

클라우드용 Defender에서 Google Cloud Platform 머신의 보안 상태를 보려면 GCP 계정을 클라우드용 Defender에 온보딩합니다. 이렇게 하면 GCP 보안 명령 및 클라우드용 Microsoft Defender 통합하여 클라우드용 Defender 권장 사항 및 GCP 보안 명령 센터 결과를 통합하고 GCP 계정을 클라우드용 Microsoft Defender 커넥트 설명된 다양한 이점을 제공합니다..

다음 단계

클라우드용 Microsoft Defender 대한 자세한 내용은 전체 클라우드용 Defender 설명서를 참조하세요.