다음을 통해 공유


Microsoft의 통합 SecOps 플랫폼 배포

Microsoft의 통합 보안 운영 플랫폼은 Microsoft Defender 포털, Microsoft Sentinel 및 기타 Microsoft Defender 서비스의 기능을 결합합니다. 이 플랫폼은 organization 보안 태세에 대한 포괄적인 보기를 제공하고 organization 전체에서 위협을 감지, 조사 및 대응하는 데 도움이 됩니다.

Microsoft 보안 노출 관리 및 Microsoft Threat Intelligence는 필수 조건을 충족하는 모든 환경에서 필요한 권한으로 구성된 사용자에게 제공됩니다.

필수 구성 요소

Microsoft Defender XDR 서비스 배포

Microsoft Defender XDR 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender 등의 서비스 간에 주요 기능을 통합하여 인시던트 대응을 통합합니다. Microsoft Defender for Cloud Apps 및 Microsoft Defender for Identity. 이 통합 환경은 Microsoft Defender 포털에서 액세스할 수 있는 강력한 기능을 추가합니다.

  1. 필요한 권한이 있는 적격 고객이 Microsoft Defender 포털을 방문하면 Microsoft Defender XDR 자동으로 켜집니다. 자세한 내용은 Microsoft Defender XDR 켜기를 참조하세요.

  2. Microsoft Defender XDR 서비스를 배포하여 계속합니다. 다음 순서를 사용하는 것이 좋습니다.

    1. Microsoft Defender for Identity 배포합니다.

    2. Office 365용 Microsoft Defender 배포합니다.

    3. 엔드포인트용 Microsoft Defender 배포합니다. 사용자 환경과 관련된 IoT 디바이스에 대한Microsoft Defender 취약성 관리 및/또는 엔터프라이즈 모니터링을 추가합니다.

    4. Microsoft Defender for Cloud Apps 배포합니다.

Microsoft Entra ID Protection 구성

Microsoft Defender XDR Microsoft Entra ID Protection 신호를 수집하고 포함할 수 있습니다. 이 신호는 수십억 번의 로그인 시도에서 위험 데이터를 평가하고 환경에 대한 각 로그인의 위험을 평가합니다. Microsoft Entra ID Protection 데이터는 조건부 액세스 정책을 구성하는 방법에 따라 계정 액세스를 허용하거나 방지하기 위해 Microsoft Entra ID 사용됩니다.

보안 태세를 강화하고 통합 보안 작업에 Microsoft Entra 신호를 추가하도록 Microsoft Entra ID Protection 구성합니다. 자세한 내용은 Microsoft Entra ID Protection 정책 구성을 참조하세요.

클라우드용 Microsoft Defender 배포

Microsoft Defender for Cloud는 클라우드 리소스에 대한 통합 보안 관리 환경을 제공하며 Microsoft Defender XDR 신호를 보낼 수도 있습니다. 예를 들어 먼저 Azure 구독을 클라우드용 Microsoft Defender 연결한 다음 다른 클라우드 환경으로 이동하는 것이 좋습니다.

자세한 내용은 Azure 구독 연결을 참조하세요.

Microsoft Security Copilot 온보딩

고급 AI 기능을 활용하여 보안 작업을 향상시키기 위해 Microsoft Security Copilot 온보딩합니다. Security Copilot 위협 탐지, 조사 및 대응을 지원하여 잠재적 위협을 미리 방지하는 데 도움이 되는 실행 가능한 인사이트와 권장 사항을 제공합니다. Security Copilot 사용하여 일상적인 작업을 자동화하고, 인시던트 감지 및 대응 시간을 줄이고, 보안 팀의 전반적인 효율성을 향상시킵니다.

자세한 내용은 Security Copilot 시작을 참조하세요.

작업 영역 및 온보딩을 Microsoft Sentinel 설계

Microsoft Sentinel 사용하는 첫 번째 단계는 아직 없는 경우 Log Analytics 작업 영역을 만드는 것입니다. 단일 Log Analytics 작업 영역은 많은 환경에 충분할 수 있지만 많은 조직에서 비용을 최적화하고 다양한 비즈니스 요구 사항을 더 잘 충족하기 위해 여러 작업 영역을 만듭니다. Microsoft의 통합 보안 운영 플랫폼은 단일 작업 영역만 지원합니다.

  1. Microsoft Sentinel 리소스 및 컬렉션에 대한 역할 기반 액세스를 격리할 수 있는 거버넌스 목적으로 보안 리소스 그룹을 만듭니다.
  2. 보안 리소스 그룹에 Log Analytics 작업 영역을 만들고 Microsoft Sentinel 온보딩합니다.

자세한 내용은 온보딩 Microsoft Sentinel 참조하세요.

역할 및 권한 구성

이전에 준비한 액세스 계획에 따라 사용자를 프로비전합니다. 제로 트러스트 원칙을 준수하려면 RBAC(역할 기반 액세스 제어)를 사용하여 전체 환경에 대한 액세스를 제공하는 대신 각 사용자에게 허용되고 관련된 리소스에 대한 사용자 액세스만 제공하는 것이 좋습니다.

자세한 내용은 다음 항목을 참조하세요.

통합 SecOps에 온보딩

Microsoft Sentinel Defender 포털에 온보딩할 때 인시던트 관리 및 고급 헌팅과 같은 Microsoft Defender XDR 기능을 통합하여 통합된 SecOps 플랫폼을 만듭니다.

  1. 콘텐츠 허브에서 Microsoft Sentinel 위한 Microsoft Defender XDR 솔루션을 설치합니다. 자세한 내용은 기본 제공 콘텐츠 배포 및 관리를 참조하세요.
  2. Microsoft Defender XDR 데이터 커넥터가 인시던트 및 경고를 수집하도록 설정합니다. 자세한 내용은 Microsoft Defender XDR Microsoft Sentinel 데이터 연결을 참조하세요.
  3. Microsoft의 통합 SecOps 플랫폼에 온보딩합니다. 자세한 내용은 Microsoft Defender Microsoft Sentinel 연결을 참조하세요.

시스템 구성 미세 조정

다음 Microsoft Sentinel 구성 옵션을 사용하여 배포를 미세 조정합니다.

상태 및 감사 사용

Microsoft Sentinel 설정 페이지에서 감사 및 상태 모니터링 기능을 켜서 지원되는 Microsoft Sentinel 리소스의 무결성을 모니터링하고 감사합니다. 최신 오류 이벤트 또는 성공에서 실패 상태로의 변경, 무단 작업 등의 상태 드리프트에 대한 인사이트를 얻고 이 정보를 사용하여 알림 및 기타 자동화된 작업을 만듭니다.

자세한 내용은Microsoft Sentinel 대한 감사 및 상태 모니터링 켜기를 참조하세요.

Microsoft Sentinel 콘텐츠 구성

배포를 계획할 때 선택한 데이터 원본에 따라 Microsoft Sentinel 솔루션을 설치하고 데이터 커넥터를 구성합니다. Microsoft Sentinel 다양한 기본 제공 솔루션 및 데이터 커넥터를 제공하지만 사용자 지정 커넥터를 빌드하고 CEF 또는 Syslog 로그를 수집하도록 커넥터를 설정할 수도 있습니다.

자세한 내용은 다음 항목을 참조하세요.

UEBA(사용자 및 엔터티 동작 분석) 사용

Microsoft Sentinel 데이터 커넥터를 설정한 후 사용자 엔터티 동작 분석을 사용하여 피싱 악용 및 랜섬웨어와 같은 공격으로 이어질 수 있는 의심스러운 동작을 식별할 수 있도록 해야 합니다. 자세한 내용은 Microsoft Sentinel UEBA 사용을 참조하세요.

대화형 및 장기 데이터 보존 설정

대화형 및 장기 데이터 보존을 설정하여 organization 장기적으로 중요한 데이터를 보존하도록 합니다. 자세한 내용은 대화형 및 장기 데이터 보존 구성을 참조하세요.

분석 규칙 사용

분석 규칙은 Microsoft Sentinel 중요하다고 생각하는 조건 집합을 사용하여 이벤트를 경고하도록 지시합니다. Microsoft Sentinel 기본 의사 결정은 UEBA(사용자 엔터티 동작 분석) 및 여러 데이터 원본의 데이터 상관 관계를 기반으로 합니다. Microsoft Sentinel 대한 분석 규칙을 설정하는 경우 연결된 데이터 원본, 조직 위험 및 MITRE 전술에 따라 사용 우선 순위를 지정합니다.

자세한 내용은 Microsoft Sentinel 위협 탐지를 참조하세요.

변칙 규칙 검토

Microsoft Sentinel 변칙 규칙은 기본적으로 사용할 수 있으며 기본적으로 사용하도록 설정됩니다. 변칙 규칙은 사용자, 호스트 등에서 비정상적인 동작에 플래그를 지정하기 위해 작업 영역의 데이터를 학습시키는 기계 학습 모델 및 UEBA를 기반으로 합니다. 각 규칙에 대한 변칙 규칙 및 변칙 점수 임계값을 검토합니다. 예를 들어 가양성 관찰하는 경우 규칙을 복제하고 임계값을 수정하는 것이 좋습니다.

자세한 내용은 변칙 검색 분석 규칙 작업을 참조하세요.

Microsoft Threat Intelligence 분석 규칙 사용

기본 제공 Microsoft Threat Intelligence 분석 규칙을 사용하도록 설정하고 이 규칙이 로그 데이터와 Microsoft에서 생성된 위협 인텔리전스와 일치하는지 확인합니다. Microsoft에는 방대한 위협 인텔리전스 데이터 리포지토리가 있으며, 이 분석 규칙은 해당 데이터의 하위 집합을 사용하여 SOC(보안 운영 센터) 팀이 심사할 높은 충실도 경고 및 인시던트 생성을 수행합니다.

중복 인시던트 방지

Microsoft Sentinel Microsoft Defender 연결하면 Microsoft Defender XDR 인시던트와 Microsoft Sentinel 간의 양방향 동기화가 자동으로 설정됩니다. 동일한 경고에 대해 중복 인시던트가 생성되지 않도록 하려면 엔드포인트용 Defender, Defender for Identity, Office 365용 Defender, Defender for Cloud Apps 및 를 포함하여 Microsoft Defender XDR 통합 제품에 대한 모든 Microsoft 인시던트 생성 규칙을 해제하는 것이 좋습니다. Microsoft Entra ID Protection.

자세한 내용은 Microsoft 인시던트 만들기 를 참조하세요.

MITRE ATT&CK 횡단 보도 수행

Fusion, Anomaly 및 Threat Intelligence 분석 규칙을 사용하도록 설정하면 MITRE Att&ck 횡단보도를 수행하여 성숙한 XDR(확장 검색 및 응답) 프로세스 구현을 가능하게 하고 완료할 남은 분석 규칙을 결정할 수 있습니다. 이렇게 하면 공격의 수명 주기 내내 탐지하고 대응할 수 있습니다.

자세한 내용은 보안 적용 범위 이해를 참조하세요.