Az - Defender

Reading time: 5 minutes

Microsoft Defender for Cloud

Microsoft Defender for Cloud는 Azure, 온프레미스 및 멀티 클라우드 환경을 아우르는 포괄적인 보안 관리 솔루션입니다. 이는 Cloud-Native Application Protection Platform (CNAPP)으로 분류되며, Cloud Security Posture Management (CSPM)와 Cloud Workload Protection (CWPP) 기능을 결합합니다. 그 목적은 조직이 클라우드 리소스의 잘못된 구성 및 취약점을 찾고, 전반적인 보안 태세를 강화하며, Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), 하이브리드 온프레미스 설정 등에서 진화하는 위협으로부터 워크로드를 보호하는 것입니다.

실질적으로 Defender for Cloud는 보안 모범 사례 및 기준에 따라 리소스를 지속적으로 평가하고, 가시성을 위한 통합 대시보드를 제공하며, 고급 위협 탐지를 사용하여 공격에 대한 경고를 보냅니다. 주요 이점으로는 클라우드 전반에 걸친 보안의 통합된 보기, 침해를 방지하기 위한 실행 가능한 권장 사항, 보안 사고의 위험을 줄일 수 있는 통합된 위협 보호가 포함됩니다. AWS와 GCP 및 기타 SaaS 플랫폼을 네이티브로 지원하고 Azure Arc를 온프레미스 서버에 사용함으로써 모든 환경에 대해 한 곳에서 보안을 관리할 수 있도록 보장합니다.

주요 기능

• 권장 사항: 이 섹션은 지속적인 평가를 기반으로 한 실행 가능한 보안 권장 사항 목록을 제공합니다. 각 권장 사항은 식별된 잘못된 구성 또는 취약점을 설명하고 수정 단계를 제공하여 보안 점수를 개선하기 위해 무엇을 수정해야 하는지 정확히 알 수 있습니다.
• 공격 경로 분석: 공격 경로 분석은 클라우드 리소스 전반에 걸친 잠재적 공격 경로를 시각적으로 매핑합니다. 취약점이 어떻게 연결되고 악용될 수 있는지를 보여줌으로써, 이러한 경로를 이해하고 차단하여 침해를 방지하는 데 도움을 줍니다.
• 보안 경고: 보안 경고 페이지는 실시간 위협 및 의심스러운 활동에 대한 알림을 제공합니다. 각 경고에는 심각도, 영향을 받는 리소스 및 권장 조치와 같은 세부 정보가 포함되어 있어, 새로운 문제에 신속하게 대응할 수 있도록 보장합니다.
• 탐지 기술은 위협 인텔리전스, 행동 분석 및 이상 탐지를 기반으로 합니다.
• 모든 가능한 경고는 https://learn.microsoft.com/en-us/azure/defender-for-cloud/alerts-reference에서 찾을 수 있습니다. 이름과 설명을 기반으로 경고가 무엇을 찾고 있는지 알 수 있습니다(우회하기 위해).
• 자산 목록: 자산 목록 섹션에서는 환경 전반에 걸쳐 모니터링되는 모든 자산의 포괄적인 목록을 찾을 수 있습니다. 각 리소스의 보안 상태를 한눈에 볼 수 있어, 수정이 필요한 보호되지 않거나 위험한 자산을 신속하게 식별하는 데 도움을 줍니다.
• 클라우드 보안 탐색기: 클라우드 보안 탐색기는 클라우드 환경을 검색하고 분석하기 위한 쿼리 기반 인터페이스를 제공합니다. 숨겨진 보안 위험을 발견하고 리소스 간의 복잡한 관계를 탐색하여 전반적인 위협 탐지 능력을 향상시킵니다.
• 워크북: 워크북은 보안 데이터를 시각화하는 대화형 보고서입니다. 미리 구축된 템플릿이나 사용자 정의 템플릿을 사용하여 트렌드를 모니터링하고, 준수를 추적하며, 시간에 따른 보안 점수의 변화를 검토하여 데이터 기반 보안 결정을 쉽게 만듭니다.
• 커뮤니티: 커뮤니티 섹션은 동료, 전문가 포럼 및 모범 사례 가이드와 연결해 줍니다. 다른 사람의 경험에서 배우고, 문제 해결 팁을 찾고, 최신 Defender for Cloud 개발 사항을 파악하는 데 유용한 자원입니다.
• 문제 진단 및 해결: 이 문제 해결 허브는 Defender for Cloud의 구성 또는 데이터 수집과 관련된 문제를 신속하게 식별하고 해결하는 데 도움을 줍니다. 플랫폼이 효과적으로 작동하도록 보장하기 위해 안내된 진단 및 솔루션을 제공합니다.
• 보안 태세: 보안 태세 페이지는 전체 보안 상태를 단일 보안 점수로 집계합니다. 클라우드의 어떤 영역이 강하고 개선이 필요한지에 대한 통찰력을 제공하여 환경의 빠른 건강 검진 역할을 합니다.
• 규제 준수: 이 대시보드는 리소스가 산업 표준 및 규제 요구 사항을 얼마나 잘 준수하는지를 평가합니다. PCI DSS 또는 ISO 27001과 같은 벤치마크에 대한 준수 점수를 보여주어, 격차를 파악하고 감사에 대한 수정 사항을 추적하는 데 도움을 줍니다.
• 워크로드 보호: 워크로드 보호는 특정 리소스 유형(서버, 데이터베이스 및 컨테이너 등)의 보안에 중점을 둡니다. 활성화된 Defender 계획을 표시하고 각 워크로드에 대한 맞춤형 경고 및 권장 사항을 제공하여 보호를 강화합니다. 특정 리소스에서 악의적인 행동을 찾아낼 수 있습니다.
• 특정 서비스에서 Enable Microsoft Defender for X 옵션도 있습니다.
• 데이터 및 AI 보안 (미리보기): 이 미리보기 섹션에서 Defender for Cloud는 데이터 저장소 및 AI 서비스에 대한 보호를 확장합니다. 보안 격차를 강조하고 민감한 데이터를 모니터링하여 데이터 저장소와 AI 플랫폼이 위협으로부터 안전하게 보호되도록 합니다.
• 방화벽 관리자: 방화벽 관리자는 Azure Firewall과 통합되어 네트워크 보안 정책에 대한 중앙 집중식 보기를 제공합니다. 방화벽 배포를 관리하고 모니터링하는 것을 간소화하여 가상 네트워크 전반에 걸쳐 보안 규칙이 일관되게 적용되도록 보장합니다.
• DevOps 보안: DevOps 보안은 개발 파이프라인 및 코드 저장소와 통합되어 소프트웨어 생애 주기 초기에 보안을 내장합니다. 코드 및 구성의 취약점을 식별하는 데 도움을 주어, 개발 프로세스에 보안이 내장되도록 합니다.

Microsoft Defender EASM

Microsoft Defender External Attack Surface Management (EASM)는 조직의 인터넷에 노출된 자산(도메인, 서브도메인, IP 주소 및 웹 애플리케이션 포함)을 지속적으로 스캔하고 매핑하여 외부 디지털 발자국에 대한 포괄적이고 실시간 뷰를 제공합니다. 이는 알려진 발견 씨앗에서 시작하여 자동으로 관리되는 IT 자산과 그림자 IT 자산을 발견하는 고급 크롤링 기술을 활용합니다. EASM은 노출된 관리 인터페이스, 공개적으로 접근 가능한 저장소 버킷 및 다양한 CVE에 취약한 서비스와 같은 위험한 구성을 식별하여 보안 팀이 이러한 문제를 악용되기 전에 해결할 수 있도록 합니다. 또한, 지속적인 모니터링은 서로 다른 스캔 결과를 비교하여 노출된 인프라의 변화를 보여줄 수 있어 관리자가 수행된 모든 변경 사항을 인지할 수 있도록 합니다. 실시간 통찰력과 상세한 자산 목록을 제공함으로써 Defender EASM은 조직이 외부 노출에 대한 변화를 지속적으로 모니터링하고 추적할 수 있도록 합니다. 이는 심각도 및 맥락적 요소를 기반으로 발견 사항의 우선 순위를 정하는 위험 기반 분석을 사용하여, 수정 노력이 가장 중요한 곳에 집중되도록 보장합니다. 이러한 사전 예방적 접근 방식은 숨겨진 취약점을 발견하는 데 도움을 줄 뿐만 아니라, 새로운 노출이 발생할 때 경고하여 전반적인 보안 태세의 지속적인 개선을 지원합니다.