SOC(보안 운영 센터)에서 Microsoft Defender XDR 이해

  • 3분

다음 그래픽은 최신 SOC(보안 운영 센터)에서 Microsoft Defender XDR과 Microsoft Sentinel이 어떻게 통합되는지 개략적으로 보여 줍니다.

보안 작업의 계층 및 기술을 보여 주는 다이어그램

보안 운영 모델 - 기능 및 도구

개별 사용자 및 팀에 대한 책임 할당은 조직 규모 등 여러 요인에 따라 달라지지만 보안 운영은 몇 가지 고유한 기능으로 구성됩니다. 각 기능/팀에는 주요 포커스 영역이 있으며, 효과적이기 위해서는 다른 기능 및 외부 팀과 긴밀하게 협력해야 합니다. 이 다이어그램은 정규 조직의 팀이 있는 전체 모델을 보여 줍니다. 소규모 조직에서는 이러한 기능이 단일 역할 또는 팀으로 결합되거나, IT 운영(기술 역할)에 의해 수행되거나, 리더십/대리인(인시던트 관리)에 의해 임시 기능으로 수행되는 경우가 많습니다.

참고

이러한 팀은 각각 고유한 특수 기술을 가지고 있기 때문에 주로 계층 번호가 아닌 팀 이름으로 분석가를 지칭하며, 이는 가치의 순위/계층 구조가 아닙니다.

함수 및 도구를 사용하는 보안 작업 모델을 보여 주는 다이어그램

심사 및 자동화

먼저 사후 경고 처리부터 시작합니다.

  • 자동화 – 자동화를 통해 알려진 종류의 인시던트를 거의 실시간으로 해결합니다. 이러한 인시던트는 조직에서 여러 번 경험한 잘 정의된 공격입니다.

  • 심사(계층 1) – 심사 분석가는 여전히 (신속한) 인간의 판단이 필요한 잘 알려진 대규모 인시던트 유형을 신속하게 수정하는 데 초점을 맞춥니다. 이러한 기능은 자동화된 수정 워크플로를 승인하고 조사(계층 2) 팀으로 에스컬레이션 또는 협의가 필요한 비정상적이거나 흥미로운 항목을 식별하는 작업을 수행하는 경우가 많습니다.

    심사 및 자동화에 대한 주요 학습:

    • 90% 진양성 - 분석가가 많은 오경보에 대응할 필요가 없도록 분석가가 응답해야 하는 경고 피드에 대해 품질 표준을 90% 진양성으로 설정하는 것이 좋습니다.
    • 경고 비율 – Microsoft의 사이버 방어 운영 센터 경험에서 XDR 경고는 대부분 고품질 경고를 생성하며 나머지는 사용자가 보고한 문제, 클래식 로그 쿼리 기반 경고, 기타 소스에서 나옵니다.
    • 자동화는 이러한 분석가에게 권한을 부여하고 수동 노력의 부담을 줄이는 데 도움이 되므로 심사 팀의 핵심 지원 요소입니다(예: 자동화된 조사를 제공하고 이 인시던트에 대해 자동으로 빌드된 수정 시퀀스를 승인하기 전에 사용자 검토를 요청).
    • 도구 통합 - Microsoft의 CDOC에서 수정 시간을 개선한 가장 강력한 시간 절약 기술 중 하나는 XDR 도구를 Microsoft Defender XDR에 통합하여 분석가가 엔드포인트, 메일, ID 등에 대한 단일 콘솔을 갖도록 하는 것입니다. 이러한 통합을 통해 분석가는 심각한 손상을 끼치기 전에 공격자 피싱 이메일, 맬웨어 및 손상된 계정을 신속하게 검색하고 정리할 수 있습니다.
    • 집중 - 이러한 팀은 모든 유형의 기술 및 시나리오에 대해 신속한 해결을 유지할 수 없으므로 몇 가지 기술 영역 및/또는 시나리오에만 집중합니다. 대부분의 경우 이메일, 엔드포인트 AV 경고(조사에 들어가는 EDR과 대비) 및 사용자 보고서에 대한 최초 응답과 같은 사용자 생산성이 이에 해당됩니다.

조사 및 인시던트 관리(계층 2)

이 팀은 심사(계층 1)의 문제에 대한 에스컬레이션 지점 역할을 하며 보다 정교한 공격자를 나타내는 경고를 직접 모니터링합니다. 특히 동작 경고를 트리거하는 경고, 중요 비즈니스용 자산과 관련된 특수 사례 경고 및 진행 중인 공격 캠페인에 대한 모니터링. 또한 사전 예방을 위해 이 팀은 심사 팀 경고 큐를 주기적으로 검토하고 XDR 도구를 사용하여 사전에 헌팅할 수 있습니다.

이 팀은 더 작은 규모의 더 복잡한 공격, 종종 인간 공격 작업자가 수행하는 다단계 공격에 대한 심층적인 조사를 제공합니다. 이 팀은 클라우드 호스팅 앱, VM, 컨테이너 및 Kubernetes, SQL 데이터베이스 등의 클라우드용 Microsoft Defender에서 생성된 경고를 포함하여 심사 팀 및 자동화의 프로세스를 문서화하기 위해 신규/익숙하지 않은 경고 유형을 안내합니다.

인시던트 관리 – 이 팀은 커뮤니케이션, 법률, 리더십 및 기타 비즈니스 이해 관계자와 같은 다른 팀과의 조정을 포함하여 인시던트 관리의 비기술적 측면을 담당합니다.

헌팅 및 인시던트 관리(계층 3)

이 팀은 사후 탐지를 통해 빠져나갔을 수 있는 공격자를 식별하고 주요 비즈니스에 영향을 미치는 이벤트를 처리하는 데 중점을 둔 다부서 팀입니다.

  • 헌팅 – 이 팀은 사전 예방을 위해 감지되지 않은 위협을 찾고, 사후 조사를 위한 에스컬레이션 및 고급 포렌식 기능을 지원하며, 경고/자동화를 구체화합니다. 이러한 팀은 대응 경고 모델보다는 가설 기반 모델 위주로 운영되며 빨간색/자주색 팀이 보안 운영과 연결되는 위치이기도 합니다.

모두 함께 적용하는 방법

이 모든 것이 어떻게 작동하는지 아이디어를 제공하기 위해 일반적인 인시던트 수명 주기를 따르도록 하겠습니다.

  1. 심사(계층 1) 분석가는 큐에서 맬웨어 경고를 클레임하고 조사합니다(예: Microsoft Defender XDR 콘솔 사용).
  2. 대부분의 심사 사례는 빠르게 수정되고 종결되지만, 이번에는 분석가가 맬웨어에 더 많은 관련/고급 수정이 필요할 수 있음을 관찰합니다(예: 디바이스 격리 및 정리). 심사는 조사를 주도하는 조사 분석가(계층 2)로 사례를 에스컬레이션합니다. 심사 팀은 계속 관여하고 자세히 알아볼 수 있는 옵션이 있습니다(조사 팀은 더 넓은 컨텍스트를 위해 Microsoft Sentinel 또는 다른 SIEM을 사용할 수 있음).
  3. 조사는 조사 결론을 확인(또는 추가로 심층 조사)하고 수정을 진행하여 사례를 종결합니다.
  4. 나중에 헌팅(계층 3)이 종결된 인시던트에서 심층 조사할 가치가 있는 공통점 또는 변칙을 검토하다가 이 사례를 발견할 수 있습니다.
    • 자동 수정에 적합할 수 있는 검색
    • 근본 원인이 공통적일 수 있는 여러 유사한 인시던트
    • 다른 잠재적인 프로세스/도구/경고 개선 한 사례에서 계층 3이 사례를 검토하여 사용자가 기술 사기를 당한 것을 발견했습니다. 사기꾼이 엔드포인트에서 관리자 수준 액세스를 얻었을 수 있기 때문에 이 탐지는 더 높은 우선 순위의 경고로 플래그가 지정되었습니다. 위험 노출이 더 높습니다.

위협 인텔리전스

위협 인텔리전스 팀은 다른 모든 기능(대규모 조직의 TIP(위협 인텔리전스 플랫폼) 사용)을 지원하기 위한 컨텍스트 및 인사이트를 제공합니다. 여기에는 다음과 같은 다양한 패싯이 포함될 수 있습니다.

  • 활성 인시던트에 대한 사후 기술 연구
  • 공격자 그룹, 공격 추세, 주요 프로필 공격, 새로운 기술에 대한 사전 기술 연구
  • 비즈니스 및 기술 프로세스 및 우선 순위를 알리기 위한 전략적 분석, 연구 및 인사이트
  • 기타