Microsoft Sentinel 및 Defender XDR을 사용한 제로 트러스트 보안

• 적용 대상:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Defender XDR은 Microsoft Sentinel을 보완하는 XDR 솔루션입니다. XDR은 클라우드 애플리케이션, 이메일 보안, ID 및 액세스 관리와 같은 여러 서비스에서 원시 원격 분석 데이터를 가져옵니다.

XDR은 AI(인공 지능) 및 기계 학습을 사용하여 자동 분석, 조사 및 실시간 응답을 수행합니다. 또한 보안 경고를 더 큰 인시던트와 상호 연결하여 보안 팀이 공격에 대한 가시성을 높이고 분석가가 위협 위험 수준을 측정하는 데 도움이 되도록 인시던트 우선 순위를 지정합니다.

Microsoft Sentinel을 사용하면 기본 제공 커넥터 및 업계 표준을 사용하여 많은 보안 원본에 연결할 수 있습니다. AI를 사용하면 여러 원본에 걸쳐 있는 여러 낮은 충실도 신호의 상관 관계를 지정하여 랜섬웨어 킬 체인 및 우선 순위가 지정된 경고의 전체 보기를 만들 수 있습니다.

일반적인 공격 순서

이 섹션에서는 피싱 공격과 관련된 일반적인 공격 시나리오와 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트에 대응하는 방법을 설명합니다.

다이어그램은 각 공격 단계를 감지하는 Microsoft 보안 제품과 공격 신호 및 SIEM 데이터가 Microsoft Defender XDR 및 Microsoft Sentinel로 흐르는 방법을 보여 줍니다.

다음은 공격에 대한 요약입니다.

공격 단계	검색 서비스 및 신호 원본	배치된 방어
1. 공격자가 피싱 이메일을 보냅니다.	Office 365용 Microsoft Defender	사서함을 악의적인 사칭 피싱 공격으로부터 보호할 수 있는 고급 안티 피싱 기능으로 보호합니다.
2. 사용자가 첨부 파일을 엽니다.	Office 365용 Microsoft Defender	Office 365용 Microsoft Defender 안전한 첨부 파일 기능은 더 많은 위협 검색(폭발)을 위해 격리된 환경에서 첨부 파일을 엽니다.
3. 첨부 파일이 맬웨어를 설치합니다.	엔드포인트용 Microsoft Defender	클라우드 제공 보호 및 동작 기반/추론/실시간 바이러스 백신 보호와 같은 차세대 보호 기능을 사용하여 맬웨어로부터 엔드포인트를 보호합니다.
4. 맬웨어가 사용자 자격 증명을 도용합니다.	Microsoft Entra ID와 Microsoft Entra ID 보호	사용자 동작 및 활동을 모니터링하고, 횡적 이동을 검색하고, 비정상적인 활동을 경고하여 ID를 보호합니다.
5. 공격자가 Microsoft 365 앱 및 데이터에서 횡적으로 이동	Cloud Apps용 Microsoft Defender	클라우드 앱에 액세스하는 사용자의 비정상적인 활동을 검색할 수 있습니다.
6. 공격자가 SharePoint 폴더에서 중요한 파일을 다운로드합니다.	Cloud Apps용 Microsoft Defender	SharePoint에서 파일의 대량 다운로드 이벤트를 검색하고 응답할 수 있습니다.

Microsoft Sentinel 작업 영역을 Defender 포털에 온보딩한 경우 SIEM 데이터는 Microsoft Defender 포털에서 직접 Microsoft Sentinel에서 사용할 수 있습니다.

Microsoft Sentinel 및 Microsoft Defender XDR을 사용한 인시던트 대응

일반적인 공격을 관찰한 후 인시던트 대응에 Microsoft Sentinel 및 Microsoft Defender XDR을 사용합니다.

Defender 포털에 등록했는지 여부에 따라 작업 영역에 대한 관련 탭을 선택합니다.

Defender 포털

Microsoft Sentinel을 Defender 포털에 온보딩한 후 다른 Microsoft Defender XDR 인시던트처럼 Microsoft Defender 포털에서 직접 모든 인시던트 대응 단계를 완료합니다. 지원되는 단계에는 심사부터 조사 및 해결까지 모든 것이 포함됩니다.

Defender 포털에서만 사용할 수 없는 기능은 Microsoft Defender 포털의 Microsoft Sentinel 영역을 사용합니다.

자세한 내용은 Microsoft Sentinel 및 Microsoft Defender XDR 사용하여 인시던트에대응을 참조하세요.

Azure 포털

다음 고급 프로세스를 사용하여 Microsoft Defender XDR과 함께 Azure Portal에서 Microsoft Sentinel을 사용하여 인시던트에 대응합니다.

1. Microsoft의 Sentinel 포털에서 인시던트를 우선 순위를 정하십시오.
2. Microsoft Defender 포털로 이동하여 조사를 시작합니다.
3. 필요한 경우 Microsoft Sentinel 포털에서 조사를 계속합니다.
4. Microsoft Sentinel 포털에서 인시던트 해결

다음 다이어그램은 Microsoft Sentinel에서 검색 및 심사로 시작하는 프로세스를 보여줍니다.

자세한 내용은 Microsoft Sentinel 및 Microsoft Defender XDR 사용하여 인시던트에대응을 참조하세요.

관련 콘텐츠

자세한 내용은 통합 SIEM 및 XDR 인시던트 응답을 참조하세요.

Defender 포털

Microsoft 365에서 제로 트러스트 원칙을 적용하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Microsoft 365 사용하여 제로 트러스트 배포 계획
• Microsoft 365용 ID 인프라 배포하기
• 제로 트러스트 아이디 및 디바이스 액세스 구성
• Microsoft Intune 사용하여 디바이스 관리
• Microsoft Defender XDR 시험 운영 및 배포
• Microsoft Priva 및 Microsoft Purview 사용하여 데이터 개인 정보 보호 및 데이터 보호 관리
• Microsoft 365와 제로 트러스트 모델에 맞춘 SaaS 앱 통합

자세한 내용은 SIEM 및 XDR 대한권장 학습을 참조하세요.

Azure에 제로 트러스트 원칙을 적용하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Azure IaaS 개요
• Azure 스토리지
• 가상 머신
• 스포크 가상 네트워크
• 허브 가상 네트워크
• Azure PaaS 서비스와 스포크형 가상 네트워크
• Azure Virtual Desktop
• Azure Virtual WAN
• Amazon Web Services에서의 IaaS 애플리케이션