Microsoft의 통합 보안 운영 플랫폼 계획 개요
이 문서에서는 Microsoft의 보안 제품을 엔드 투 엔드 보안 운영(SecOps)을 위한 Microsoft의 통합 보안 운영 플랫폼에 배포할 계획을 세우는 활동을 간략하게 설명합니다. Microsoft 플랫폼에서 SecOps를 통합하여 위험을 줄이고, 공격을 방지하고, 사이버 위협을 실시간으로 탐지 및 방해하고, AI 강화 보안 기능으로 빠르게 대응할 수 있도록 Microsoft Defender 포털에서 모두 지원합니다.
배포 계획
Microsoft의 통합 SecOps 플랫폼은 의 Microsoft Defender XDR, Microsoft Sentinel, Microsoft 보안 노출 관리 및 Microsoft Security Copilot 같은 서비스를 결합합니다. Microsoft Defender 포털.
배포를 계획하는 첫 번째 단계는 사용하려는 서비스를 선택하는 것입니다.
기본 필수 구성 요소로서 클라우드 및 온-프레미스 리소스를 포함하여 Microsoft 및 비 Microsoft 서비스 및 솔루션을 모두 모니터링하고 보호하기 위해 Microsoft Defender XDR 및 Microsoft Sentinel 모두 필요합니다.
다음 서비스 중 어느 것을 배포하여 엔드포인트, ID, 이메일 및 애플리케이션에 보안을 추가하여 정교한 공격에 대한 통합된 보호를 제공합니다.
Microsoft Defender XDR 서비스에는 다음이 포함됩니다.
| 서비스 | 설명 |
|---|---|
| ID용 Microsoft Defender | Microsoft Entra ID 같은 온-프레미스 Active Directory 및 클라우드 ID에서 위협을 식별, 검색 및 조사합니다. |
| Office 365용 Microsoft Defender | 전자 메일 메시지, URL 링크 및 Office 365 협업 도구로 인한 위협으로부터 보호합니다. |
| 엔드포인트용 Microsoft Defender | 엔드포인트 디바이스를 모니터링하고 보호하고, 디바이스 위반을 감지 및 조사하고, 보안 위협에 자동으로 대응합니다. |
| IoT용 Microsoft Defender 엔터프라이즈 IoT 모니터링 | IoT 디바이스에 대한 IoT 디바이스 검색 및 보안 값을 모두 제공합니다. |
| Microsoft Defender 취약성 관리 | 자산 및 소프트웨어 인벤토리를 식별하고 디바이스 상태를 평가하여 보안 취약성을 찾습니다. |
| Microsoft Defender for Cloud Apps | SaaS 클라우드 앱에 대한 액세스를 보호하고 제어합니다. |
microsoft의 통합 SecOps 플랫폼의 일부로 Microsoft Defender 포털에서 지원되지만 Microsoft Defender XDR 사용이 허가되지 않은 다른 서비스는 다음과 같습니다.
| 서비스 | 설명 |
|---|---|
| Microsoft 보안 노출 관리 | 회사 자산 및 워크로드 전반에 걸친 보안 태세에 대한 통합 보기를 제공하여 보안 컨텍스트를 사용하여 자산 정보를 보강합니다. |
| Microsoft Security Copilot | 보안 작업을 향상시키기 위한 AI 기반 인사이트 및 권장 사항을 제공합니다. |
| Microsoft Defender for Cloud | 고급 위협 탐지 및 대응을 사용하여 다중 클라우드 및 하이브리드 환경을 보호합니다. |
| Microsoft Defender 위협 인텔리전스 | 중요한 데이터 원본을 집계하고 보강하여 IOC(손상 지표)를 관련 문서, 행위자 프로필 및 취약성과 상호 연결하여 위협 인텔리전스 워크플로를 간소화합니다. |
| Microsoft Entra ID Protection | 로그인 시도에서 위험 데이터를 평가하여 환경에 대한 각 로그인의 위험을 평가합니다. |
서비스 필수 구성 요소 검토
Microsoft의 통합 보안 운영 플랫폼을 배포하기 전에 사용하려는 각 서비스에 대한 필수 구성 요소를 검토합니다. 다음 표에서는 필수 구성 요소에 대한 서비스 및 링크를 나열합니다.
| 보안 서비스 | 필수 구성 요소에 연결 |
|---|---|
| 통합 SecOps에 필요 | |
| Office용 Microsoft Defender XDR 및 Microsoft Defender | Microsoft Defender XDR 필수 구성 요소 |
| Microsoft Sentinel | Microsoft Sentinel 배포하기 위한 필수 구성 요소 |
| 선택적 Microsoft Defender XDR 서비스 | |
| ID용 Microsoft Defender | Microsoft Defender for Identity 필수 구성 요소 |
| 엔드포인트용 Microsoft Defender | 엔드포인트용 Microsoft Defender 배포 설정 |
| IoT용 Microsoft Defender 사용하여 엔터프라이즈 모니터링 | Enterprise IoT 보안을 위한 필수 구성 요소 |
| Microsoft Defender 취약성 관리 | Microsoft Defender 취약성 관리 대한 필수 구성 요소 & 권한 |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps 시작 |
| Microsoft Defender 포털에서 지원되는 기타 서비스 | |
| Microsoft 보안 노출 관리 | 필수 구성 요소 및 지원 |
| Microsoft Security Copilot | 최소 요구 사항 |
| Microsoft Defender for Cloud | 동일한 섹션에서 다중 클라우드 보호 및 기타 문서 계획을 시작합니다. |
| Microsoft Defender 위협 인텔리전스 | Defender 위협 인텔리전스의 필수 구성 요소 |
| Microsoft Entra ID Protection | Microsoft Entra ID Protection 필수 구성 요소 |
Log Analytics 작업 영역 아키텍처 계획
Microsoft의 통합 SecOps 플랫폼을 사용하려면 Microsoft Sentinel Log Analytics 작업 영역을 사용하도록 설정해야 합니다. 단일 Log Analytics 작업 영역은 많은 환경에 충분할 수 있지만 많은 조직에서 비용을 최적화하고 다양한 비즈니스 요구 사항을 더 잘 충족하기 위해 여러 작업 영역을 만듭니다. Microsoft의 통합 SecOps 플랫폼은 단일 작업 영역만 지원합니다.
Microsoft Sentinel 사용하도록 설정할 Log Analytics 작업 영역을 디자인합니다. 데이터 수집 및 스토리지에 대한 규정 준수 요구 사항 및 Microsoft Sentinel 데이터에 대한 액세스를 제어하는 방법과 같은 매개 변수를 고려합니다.
자세한 내용은 다음 항목을 참조하세요.
Microsoft Sentinel 비용 및 데이터 원본 계획
Microsoft의 통합 SecOps 플랫폼은 Microsoft Defender for Cloud Apps 및 클라우드용 Microsoft Defender 같은 자사 Microsoft 서비스에서 데이터를 수집합니다. Microsoft Sentinel 데이터 커넥터를 추가하여 환경의 다른 데이터 원본으로 범위를 확장하는 것이 좋습니다.
데이터 원본 확인
데이터를 수집할 전체 데이터 원본 집합과 배포 예산 및 타임라인 정확하게 프로젝팅하는 데 도움이 되는 데이터 크기 요구 사항을 결정합니다. 비즈니스 사용 사례 검토 중 또는 이미 있는 현재 SIEM을 평가하여 이 정보를 확인할 수 있습니다. SIEM이 이미 있는 경우 데이터를 분석하여 가장 많은 값을 제공하는 데이터 원본을 이해하고 Microsoft Sentinel 수집해야 합니다.
예를 들어 다음과 같은 권장 데이터 원본을 사용할 수 있습니다.
Azure 서비스: 다음 서비스 중 일부가 Azure에 배포된 경우 다음 커넥터를 사용하여 이러한 리소스의 진단 로그를 Microsoft Sentinel 보냅니다.
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- 네트워크 보안 그룹
- Azure-Arc 서버
로그를 기본 Log Analytics 작업 영역으로 전달하도록 Azure Policy 설정하는 것이 좋습니다. 자세한 내용은 Azure Policy 사용하여 대규모 진단 설정 만들기를 참조하세요.
가상 머신: 온-프레미스 또는 로그를 수집해야 하는 다른 클라우드에서 호스트되는 가상 머신의 경우 다음 데이터 커넥터를 사용합니다.
- AMA를 사용하여 이벤트 Windows 보안
- 엔드포인트용 Defender를 통한 이벤트(서버용)
- Syslog
네트워크 가상 어플라이언스/온-프레미스 원본: 네트워크 가상 어플라이언스 또는 CEF(Common Event Format) 또는 SYSLOG 로그를 생성하는 다른 온-프레미스 원본의 경우 다음 데이터 커넥터를 사용합니다.
- AMA를 통한 Syslog
- AMA를 통한 CEF(Common Event Format)
자세한 내용은 데이터 커넥터 우선 순위를 참조하세요.
예산 계획
계획된 각 시나리오에 대한 비용 영향을 고려하여 Microsoft Sentinel 예산을 계획합니다. 예산이 Microsoft Sentinel 및 Azure Log Analytics, 배포될 플레이북 등에 대한 데이터 수집 비용을 충당해야 합니다. 자세한 내용은 다음 항목을 참조하세요.
역할 및 권한 계획
Microsoft Entra RBAC(역할 기반 액세스 제어)를 사용하여 보안 운영 팀 내에서 역할을 만들고 할당하여 Microsoft의 통합 SecOps 플랫폼에 포함된 서비스에 대한 적절한 액세스 권한을 부여합니다.
Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어) 모델은 관리자가 여러 보안 솔루션에서 사용자 권한을 제어할 수 있는 하나의 중앙 위치를 제공하는 단일 권한 관리 환경을 제공합니다. 자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.
다음 서비스의 경우 사용 가능한 다양한 역할을 사용하거나 사용자 지정 역할을 만들어 사용자가 보고 수행할 수 있는 작업을 세밀하게 제어할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
| 보안 서비스 | 역할 요구 사항에 연결 |
|---|---|
| 통합 SecOps에 필요 | |
| Microsoft Defender XDR | Microsoft Entra 전역 역할을 사용하여 Microsoft Defender XDR 대한 액세스 관리 |
| Microsoft Sentinel | Microsoft Sentinel 역할 및 권한 |
| 선택적 Microsoft Defender XDR 서비스 | |
| ID용 Microsoft Defender | ID용 Microsoft Defender 역할 그룹 |
| Office 365용 Microsoft Defender | Microsoft Defender 포털에서 권한 Office 365용 Microsoft Defender |
| 엔드포인트용 Microsoft Defender | 엔드포인트용 Microsoft Defender 배포에 대한 역할 및 권한 할당 |
| Microsoft Defender 취약성 관리 | Microsoft Defender 취약성 관리 관련 사용 권한 옵션 |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps 대한 관리자 액세스 구성 |
| Microsoft Defender 포털에서 지원되는 기타 서비스 | |
| Microsoft 보안 노출 관리 | Microsoft 보안 노출 관리 대한 권한 |
| Microsoft Defender for Cloud | 사용자 역할 및 권한 |
제로 트러스트 활동 계획
Microsoft의 통합 SecOps 플랫폼은 다음 원칙을 포함하는 Microsoft의 제로 트러스트 보안 모델의 일부입니다.
| 원리 | 설명 |
|---|---|
| 명시적으로 확인 | 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. |
| 최소 권한 액세스 사용 | JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. |
| 위반 가정 | 폭발 반경 및 세그먼트 액세스를 최소화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협 탐지를 촉진하며 방어를 향상시키세요. |
제로 트러스트 보안은 네트워크 세분화를 활용하고, 횡적 이동을 방지하고, 최소 권한 액세스를 제공하고, 고급 분석을 사용하여 위협을 감지하고 대응하여 최신 디지털 환경을 보호하도록 설계되었습니다.
Microsoft의 통합 SecOps 플랫폼에서 제로 트러스트 원칙을 구현하는 방법에 대한 자세한 내용은 다음 서비스에 대한 제로 트러스트 콘텐츠를 참조하세요.
- Microsoft Defender XDR
- Microsoft Sentinel
- Microsoft Defender for Identity
- Office 365용 Microsoft Defender
- 엔드포인트용 Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft 보안 노출 관리
- Microsoft Defender for Cloud
- Microsoft Security Copilot
- Microsoft Entra ID Protection