Microsoft Defender 포털
Microsoft의 통합 보안 SecOps 플랫폼은 Microsoft Defender 포털에서 Microsoft 보안 서비스를 결합합니다.
포털은 온-프레미스 및 다중 클라우드 자산에서 위반 전 및 위반 후 보안을 모니터링, 관리 및 구성할 수 있는 단일 위치를 제공합니다.
- 위반 전 보안: 조직 보안 태세를 사전에 시각화, 평가, 수정 및 모니터링하여 보안 위험 및 공격 노출 영역을 줄입니다.
- 위반 후 보안: 조직 자산에 대한 실시간 및 새로운 사이버 보안 위협을 지속적으로 모니터링, 탐지, 조사 및 대응합니다.
포털 서비스
Defender 포털은 많은 Microsoft 보안 서비스를 결합합니다.
| 서비스 | 세부 정보 |
|---|---|
|
Microsoft Defender XDR 사이버 보안 위협을 감지하고 대응합니다. |
Defender XDR 엔터프라이즈 전체에서 통합 위협 방지를 제공하기 위해 Defender 포털에 함께 제공되는 서비스 제품군이 포함되어 있습니다. Defender XDR 서비스는 엔드포인트 및 디바이스, ID, 이메일, 앱 및 OT/IoT 자산에서 위협 데이터 및 신호를 수집, 상관 관계 및 분석합니다. 포털에서 보안 경고 및 인시던트 검토, 조사 및 대응, 공격 자동 중단, 위협을 사전에 헌팅할 수 있습니다. Defender 포털에서 Defender XDR 대해 자세히 알아보세요. |
|
Microsoft Sentinel 자동화 및 오케스트레이션을 사용하여 대규모로 보안 데이터를 수집, 분석 및 관리합니다. |
Microsoft Sentinel Defender 포털의 Defender XDR 완전히 통합되어 공격 중단, 통합 엔터티 및 인시던트, SOC 최적화와 같은 추가 위협 방지 기능을 제공합니다. 자세한 내용은 Defender 포털의 Microsoft Sentinel 참조하세요. |
|
Microsoft Defender 위협 인텔리전스 SOC 작업에 위협 인텔리전스를 통합합니다. |
Defender 위협 인텔리전스 플랫폼은 Defender XDR 및 Microsoft Sentinel 포함된 위협 인텔리전스 기능을 확장합니다. 여러 원본에서 데이터를 수집하여 위협 인텔리전스 신호 및 데이터 풀을 제공합니다. 보안 팀은 이 데이터를 사용하여 악의적인 활동을 이해하고, 공격을 분석하고, 보안 위협을 헌팅합니다. |
|
Microsoft 보안 노출 관리 보안 위험을 사전에 줄입니다. |
보안 노출 관리 사용하여 조직의 공격 노출 영역을 줄이고 보안 태세를 수정합니다. 자산 및 데이터를 지속적으로 검색하여 비즈니스 자산 전체에서 보안에 대한 포괄적인 보기를 얻을 수 있습니다. 보안 노출 관리 제공하는 추가 데이터 컨텍스트를 사용하면 보안의 취약한 영역을 명확하게 시각화, 분석 및 수정할 수 있습니다. |
|
Microsoft Defender for Cloud 클라우드 워크로드를 보호합니다. |
클라우드용 Defender 는 다중 클라우드 보안 태세를 개선하고 위협으로부터 클라우드 워크로드를 보호합니다. 클라우드용 Defender는 Defender 포털에 통합되어 클라우드 보안 경고에 대한 통합 보기와 조사를 위한 단일 위치를 제공합니다. |
포털 액세스
Defender 포털 권한 페이지에서 다음 방법을 사용하여 사용자 액세스를 구성합니다.
| 메서드 | 세부 정보 |
|---|---|
| 전역 Microsoft Entra 역할 | 다음 전역 Microsoft Entra 역할이 있는 계정은 Microsoft Defender XDR 기능 및 데이터에 액세스할 수 있습니다.
|
| 사용자 지정 역할 | 사용자 지정 역할을 사용하여 특정 데이터, 작업 및 기능에 대한 액세스를 허용합니다. 사용자 지정 역할은 세분화된 액세스를 제어하며 Microsoft Entra 전역 역할과 함께 사용할 수 있습니다. |
| 통합 RBAC | RBAC(통합 역할 기반 액세스 제어)는 Defender 포털 및 포털 내의 서비스에서 사용자 권한을 제어하기 위한 권한 관리 모델을 제공합니다. |
Microsoft Sentinel 권한
Microsoft의 통합 SecOps 플랫폼에 온보딩하면 기존 Azure RBAC 권한이 Defender 포털의 Microsoft Sentinel 기능을 사용하는 데 사용됩니다.
- Azure Portal Microsoft Sentinel 사용자에 대한 역할 및 권한을 관리합니다.
- 모든 Azure RBAC 변경 내용은 Defender 포털에 반영됩니다.
자세한 내용은 Microsoft Sentinel 역할 및 권한을 참조하세요.
포털에서 작업
홈페이지에서 보기는 구독에 포함된 서비스에 따라 결정됩니다. 액세스 설정은 포털 권한을 기반으로 합니다.
| 기능 | 세부 정보 |
|---|---|
| 홈페이지 | 홈페이지에서는 환경의 보안 상태를 볼 수 있습니다. 활성 위협, 위험에 처한 리소스 및 모든 보안 상태 요약을 검토합니다. 최신 스냅샷 dashboard 사용하고 필요에 따라 세부 정보로 드릴다운합니다. |
| 포털 알림 | 포털 알림은 업데이트, 이벤트, 완료 또는 진행 중인 작업, 경고 및 오류를 비롯한 중요한 정보를 최신 상태로 유지합니다. 알림은 알림 패널에서 생성된 시간을 기준으로 정렬되며 가장 최근 항목이 먼저 표시됩니다. 자세한 내용은 경고 알림 구성을 참조하세요. |
| 검색 | 포털을 검색하면 검색어와 관련된 섹션별로 결과가 분류됩니다. 검색은 포털 내, Microsoft Tech Community 및 Microsoft Learn 설명서의 결과를 제공합니다. 검색 기록은 브라우저에 저장되며 30일 동안 액세스할 수 있습니다. |
| 가이드 투어 | 엔드포인트 보안 관리 또는 전자 메일 및 공동 작업 보안 관리에 대한 안내를 확인하세요. |
| 새로운 기능 | Microsoft Defender XDR 블로그의 최신 업데이트에 대해 알아봅니다. |
| 커뮤니티 | 기술 커뮤니티의 Microsoft 보안 토론 공간에서 다른 사용자로부터 알아봅니다. |
| 카드 추가 | 홈 페이지를 사용자 지정하여 가장 중요한 정보를 가져옵니다. |
노출 관리
노출 관리에서 보안 상태, 노출 및 위험의 전반적인 상태를 검토합니다.
| 기능 | 세부 정보 |
|---|---|
| 노출 관리 개요 | 이 dashboard 인터넷 연결 디바이스 및 중요한 자산을 포함하여 디바이스 및 클라우드 리소스를 빠르게 볼 수 있습니다. 주요 보안 이니셔티브가 얼마나 잘 수행되고 있는지 알아보고 고부가가치 취약성에 대한 상위 메트릭으로 드릴다운합니다. 다양한 유형의 리소스에 대한 노출 수준을 얻고 시간에 따른 보안 진행 상황을 추적합니다. |
| 공격 표면 | 공격 표면 맵을 사용하여 노출 데이터를 시각화합니다. 맵에서 리소스 및 연결을 탐색하고 드릴다운하여 특정 자산에 집중합니다. 공격 경로 관리 dashboard 경로의 초크 포인트 및 중요한 자산과 함께 공격자가 악용할 수 있는 organization 전체의 잠재적 공격 경로를 검토합니다. |
| 노출 인사이트 | 리소스 및 워크로드에서 집계된 보안 태세 데이터 및 인사이트를 검토하고 탐색합니다. 가장 중요한 보안 프로젝트에 대한 자세 및 준비 상태를 평가하고 시간이 지남에 따라 프로젝트 메트릭을 추적합니다. 노출 문제를 해결하기 위한 보안 권장 사항을 가져옵니다. |
| 보안 점수 | Microsoft 보안 점수에 따라 자세 메트릭을 검토합니다. |
| 데이터 커넥터 | 타사 제품을 보안 노출 관리 연결하고 새 커넥터를 요청합니다. |
자세한 내용은 Microsoft 보안 노출 관리 참조하세요.
조사 및 응답
조사 및 대응 섹션은 보안 인시던트 조사 및 기업 전체의 위협에 대응하기 위한 단일 위치를 제공합니다.
인시던트 및 경고 조사
Defender 포털의 단일 위치와 단일 큐에서 보안 인시던트 관리 및 조사 인시던트 및 경고 큐에는 서비스 전체의 현재 보안 인시던트 및 경고가 표시됩니다.
| 기능 | 세부 정보 |
|---|---|
| 인시던트 | 인시던트 dashboard 최신 인시던트 목록을 검토하고 심각도가 높은 인시던트의 우선 순위를 지정합니다. 각 인시던트 그룹은 공격을 구성하는 상호 관련된 경고 및 관련 데이터를 그룹화합니다. 인시던트를 드릴다운하여 관련 경고, 디바이스, 사용자, 조사 및 증거에 대한 정보를 포함하여 전체 공격 스토리를 가져옵니다. |
| 경고 |
경고 dashboard 경고를 검토합니다. 경고는 위협 탐지 활동에 대응하여 포털 서비스에서 발급한 신호입니다. 통합 경고 큐에는 지난 7일 동안의 신규 및 진행 중인 경고가 표시되며, 가장 최근의 경고가 맨 위에 표시됩니다. 필요에 따라 조사할 경고를 필터링합니다. |
자세한 내용은 Microsoft Defender 포털의 인시던트 및 경고를 참조하세요.
위협에 대한 헌팅
헌팅 영역을 사용하면 보안 이벤트 및 데이터를 사전에 검사하여 알려진 위협과 잠재적 위협을 찾을 수 있습니다.
| 기능 | 세부 정보 |
|---|---|
| 지능형 헌팅 | 최대 30일의 원시 데이터를 탐색하고 쿼리합니다. 단계별 쿼리 도구를 사용하여 쿼리하거나, 샘플 쿼리를 사용하거나, Kusto 쿼리 언어(KQL)을 사용하여 고유한 쿼리를 빌드할 수 있습니다. |
| 사용자 지정 검색 규칙 | 이벤트 및 시스템 상태를 사전에 모니터링하고 대응하는 사용자 지정 검색 규칙을 만듭니다. 사용자 지정 검색 규칙을 사용하여 보안 경고 또는 자동 응답 작업을 트리거합니다. |
자세한 내용은 고급 헌팅 및 사용자 지정 검색 개요를 사용하여 위협 사전 헌팅을 참조하세요.
보류 중인 위협 수정 검토
위협 방지 활동으로 인해 위협을 수정하는 작업이 발생합니다. 작업을 자동화하거나 수동으로 수행할 수 있습니다. 승인 또는 수동 개입이 필요한 작업은 알림 센터에서 사용할 수 있습니다.
| 기능 | 세부 정보 |
|---|---|
| 알림 센터 | 주의가 필요한 작업 목록을 검토합니다. 한 번에 하나씩 또는 대량으로 작업을 승인하거나 거부합니다. 작업 기록을 검토하여 수정을 추적할 수 있습니다. |
| 제출 | 의심되는 스팸, URL, 전자 메일 문제 등을 Microsoft에 제출합니다. |
자세한 내용은 자동 조사 및 응답 및알림 센터를 참조하세요.
파트너 카탈로그
파트너 카탈로그 섹션에서는 Defender 파트너에 대한 정보를 제공합니다.
Defender 포털은 다음과 같은 유형의 파트너 통합을 지원합니다.
- 효과적인 위협 방지를 통해 사용자를 보호하는 데 도움이 되는 타사 통합.
- 검색, 조사 및 위협 인텔리전스 기능을 향상시키는 전문 서비스입니다.
위협 인텔리전스
포털의 위협 인텔리전스 섹션에서 활성 및 지속적인 위협 캠페인에 대한 직접적인 가시성을 얻고 Defender 위협 인텔리전스 플랫폼에서 제공하는 위협 인텔리전스 정보에 액세스합니다.
| 기능 | 세부 정보 |
|---|---|
| 위협 분석 | 현재 organization 관련된 위협에 대해 알아봅니다. 위협 심각도를 평가하고, 특정 위협 보고서로 드릴다운하고, 수행할 ID 작업을 수행합니다. 다양한 유형의 위협 분석 보고서를 사용할 수 있습니다. |
| Intel 프로필 | 위협 행위자, 도구 및 알려진 취약성으로 구성된 큐레이팅된 위협 인텔리전스 콘텐츠를 검토합니다. |
| Intel Explorer | 위협 인텔리전스 정보를 검토하고 드릴다운하여 검색 및 조사합니다. |
| Intel 프로젝트 | 프로젝트를 검토하고 만들어 관심 지표와 조사에서 손상 지표를 구성합니다. 프로젝트에는 연결된 아티팩트와 이름, 설명, 협력자 및 모니터링 프로필의 자세한 기록이 포함됩니다. |
자세한 내용은 위협 분석을 참조하세요.
자산
자산 페이지에서는 디바이스, 사용자, 사서함 및 앱을 포함하여 검색되고 보호된 자산에 대한 통합 보기를 제공합니다. 각 유형의 총 자산 수를 검토하고 특정 자산 세부 정보로 드릴다운합니다.
| 기능 | 세부 정보 |
|---|---|
| 장치 |
디바이스 인벤토리 페이지에서 액세스 권한이 있는 각 테넌트에서 검색된 디바이스에 대한 개요를 가져옵니다. 유형별로 디바이스를 검토하고 고위험 또는 중요한 디바이스에 집중합니다. 컨텍스트에 대한 태그를 추가하여 디바이스를 논리적으로 그룹화하고 평가하지 않으려는 디바이스를 제외합니다. 디바이스에 대한 자동 조사를 시작합니다. |
| ID | 사용자 및 계정 인벤토리에 대한 요약을 가져옵니다. |
자세한 내용은 디바이스 엔터티 페이지 및 사용자 엔터티 페이지를 참조하세요.
Microsoft Sentinel
Defender 포털에서 Microsoft Sentinel 기능에 액세스합니다.
| 기능 | 세부 정보 |
|---|---|
| 검색 | 로그를 검색하고 과거 검색에 액세스합니다. |
| 위협 관리 |
통합 문서를 사용하여 연결된 데이터를 시각화하고 모니터링합니다. 인시던트 조사 및 엔터티를 사용하여 경고를 분류합니다. 위협을 사전에 헌팅 하고 Notebook을 사용하여 조사에 전력을 공급합니다. 위협 인텔리전스 를 위협 탐지에 통합하고 분석 및 인시던 트에서 MITRE ATT&CK 프레임워크를 사용합니다 . |
| 콘텐츠 관리 |
콘텐츠 허브에서 OOTB(기본 제공) 콘텐츠를 검색하고 설치합니다. 사용자 지정 콘텐츠를 수동으로 배포하고 업데이트하는 대신 Microsoft Sentinel 리포지토리를 사용하여 CI/CD(연속 통합 및 배달)를 위해 외부 원본 시스템에 연결합니다. |
| 구성 | 데이터 커넥터를 사용하여 데이터 수집. 관심 목록을 만들어 데이터 원본을 상호 연결하고 구성합니다. 수집된 데이터를 쿼리하고 분석하는 분석 규칙을 설정합니다. 위협 대응을 자동화합니다. |
자세한 내용은 Microsoft Defender포털의 Microsoft Sentinel 및 Microsoft Sentinel 참조하세요.
ID
Defender 포털의 ID 섹션에서 사용자 및 계정 상태를 모니터링하고 Defender for Identity를 사용하여 ID 관련 위험을 사전에 관리합니다.
| 기능 | 세부 정보 |
|---|---|
| ITDR dashboard |
ITDR(ID 위협 탐지 및 대응) dashboard 사용자 및 계정의 보안 상태에 대한 인사이트와 실시간 데이터를 가져옵니다. 이 dashboard Defender for Identity 배포에 대한 정보, 높은 권한의 ID에 대한 정보 및 ID 관련 인시던트에 대한 정보를 포함합니다. Defender for Identity 작업 영역에 문제가 있는 경우 상태 문제 페이지에서 발생합니다. |
| 상태 문제 | Defender for Identity 전역 또는 센서 기반 상태 문제가 이 페이지에 표시됩니다. |
| 도구 | Defender for Identity를 관리하는 데 도움이 되는 일반적인 도구에 액세스합니다. |
자세한 내용은 Microsoft Defender for Identity 참조하세요.
끝점
포털의 엔드포인트 섹션에서 Microsoft Defender 취약성 관리 사용하여 자산 취약성을 모니터링하고 관리합니다.
| 기능 | 세부 정보 |
|---|---|
| 취약성 관리 | dashboard 취약성 상태를 검토합니다. 디바이스의 취약성 평가에 따라 권장 사항을 얻고 필요에 따라 수정합니다. 취약한 구성 요소, 인증서 및 하드웨어를 포함하여 조직 소프트웨어 인벤토리를 검토합니다. CVE 및 보안 권고를 검토합니다. 이벤트 타임라인 검토하여 취약성의 영향을 확인합니다. 보안 기준 평가를 사용하여 보안 벤치마크에 대해 디바이스를 평가합니다. |
| 연결된 응용 프로그램 | 엔드포인트용 Defender에 연결된 Microsoft Entra 애플리케이션에 대한 정보를 가져옵니다. |
| API 탐색기 | API 탐색기를 사용하여 사용 가능한 엔드포인트용 Defender API 엔드포인트에 대한 API 쿼리, 테스트 및 전송 요청을 생성하고 실행합니다. |
자세한 내용은 Microsoft Defender 취약성 관리 및 엔드포인트용 Microsoft Defender 참조하세요.
Email 및 공동 작업
Email & 협업 섹션에서는 Office 365용 Microsoft Defender 사용하여 이메일 및 협업 앱에 대한 보안 위협 및 응답을 모니터링, 조사 및 관리합니다.
| 기능 | 세부 정보 |
|---|---|
| 조사 | 자동화된 조사를 실행하고 검토합니다. |
| 탐색기 | 이메일 및 문서에 대한 위협을 헌팅, 조사 및 탐색합니다. 맬웨어, 피싱 및 캠페인을 비롯한 특정 유형의 위협을 드릴다운합니다. |
| 검토 | 격리된 항목 및 제한된 보낸 사람 관리 |
| 캠페인 | organization 대한 조정된 공격을 분석합니다. |
| 위협 추적기 | 저장된 쿼리와 추적된 쿼리를 검토하고 추세 캠페인을 따릅니다. |
| 정책 및 규칙 | 위협으로부터 보호하고 활동 경고를 수신하도록 보안 정책을 구성하고 관리합니다. |
자세한 내용은 Office 365용 Microsoft Defender 참조하세요.
클라우드 앱
클라우드 앱 섹션에서 보안을 검토하여 Microsoft Defender for Cloud Apps 사용하여 클라우드 앱에 대한 위험 및 노출을 최소화합니다.
| 기능 | 세부 정보 |
|---|---|
| 클라우드 검색 | 검색 보고서를 사용하여 클라우드 앱 보안에 대한 개요를 확인합니다. 샘플 보고서를 검토하고 새 보고서를 만듭니다. |
| 클라우드 앱 카탈로그 | 잘 알려진 클라우드 앱 및 관련 위험에 대한 개요를 확인하세요. 필요에 따라 앱을 제재하고 허가 취소할 수 있습니다. |
| OAuth 앱 | OAuth 앱에 대한 가시성을 가져옵니다. 앱을 검토하고 설정을 필터링하여 드릴다운합니다. |
| 활동 로그 | 클라우드 이름, IP 주소 및 관련 디바이스별로 연결된 앱 활동을 검토합니다. |
| 거버넌스 로그 | 거버넌스 작업을 검토합니다. |
| 정책 | 클라우드 앱에 대한 보안 정책을 구성합니다. |
자세한 내용은 Microsoft Defender for Cloud Apps 참조하세요.
SOC 최적화
SOC 최적화 페이지에서 보안 제어를 강화하여 위협 범위 격차를 해소하고 충실도가 높고 실행 가능한 권장 사항에 따라 데이터 수집 속도를 강화합니다. SOC 최적화는 사용자 환경에 맞게 조정되며 현재 적용 범위 및 위협 환경에 따라 조정됩니다.
자세한 내용은 보안 작업 최적화를 참조하세요.
보고서
보고서 페이지에서 모든 영역, 자산 및 워크로드의 보안 보고서를 검토합니다. 사용 가능한 보고서는 액세스 권한이 있는 보안 서비스에 따라 달라집니다.
재판
평가판 페이지에서 업그레이드 및 구매에 대한 결정을 내리는 데 도움이 되도록 설계된 평가판 솔루션을 검토합니다.
