위협 방지 및 XDR 구현
제로 트러스트 채택 지침의 일환으로 이 문서에서는 사이버 공격으로부터 조직을 보호하는 방법과 이로 인한 비용 및 평판 손실에 대해 설명합니다. 이 문서는 위반 비즈니스 시나리오로 인한 비즈니스 피해 방지 또는 감소의 일부이며, 진행 중인 사이버 공격을 탐지 및 저지하고 위반으로 인한 비즈니스 피해를 최소화하기 위해 위협 방지 및 XDR(eXtended Detection and Response) 인프라를 만드는 방법에 중점을 둡니다.
위반 가정 제로 트러스트 지침 원칙의 요소:
분석을 사용하여 가시성을 확보하고, 위협 탐지를 촉진하고, 방어를 개선합니다.
이 문서에서 설명합니다.
폭발 반경 및 세그먼트 액세스 최소화
보안 위반 방지 및 복구 인프라 구현 문서에 설명되어 있습니다.
엔드 투 엔드 암호화 확인
보안 위반 방지 및 복구 인프라 구현 문서에 설명되어 있습니다.
이 문서에서는 보안 태세를 이미 현대화한 것으로 가정합니다.
위협 방지 및 XDR 구현을 위한 채택 주기
이 문서에서는 Azure에 대한 클라우드 채택 프레임워크 동일한 수명 주기 단계(전략, 계획, 준비, 채택 및 관리)를 사용하지만 제로 트러스트 맞게 조정된 보안 위반 비즈니스 시나리오의 위협 방지 및 XDR 요소 구현을 안내합니다.
다음 표는 접근성 있는 일러스트레이션 버전입니다.
| 전략 정의 | 계획 | 준비 | 채택 | 제어 및 관리 |
|---|---|---|---|---|
| 결과 조직 맞춤 전략적 목표 |
관련자 팀 기술 계획 기술 준비 상태 |
평가 테스트 파일럿 |
디지털 자산에서 증분 방식으로 구현 | 추적 및 측정 모니터링 및 검색 성숙도 반복 |
제로 트러스트 채택 프레임워크 개요에서 제로 트러스트 채택 주기에 대해 자세히 알아보세요.
"위반으로 인한 비즈니스 손상 방지 또는 감소" 비즈니스 시나리오에 대한 자세한 내용은 다음을 참조하세요.
전략 단계 정의
전략 정의 단계는 노력을 정의하고 공식화하는 데 중요합니다. 이 시나리오의 "이유"를 공식화합니다. 이 단계에서는 비즈니스, IT, 운영 및 전략적 관점을 통해 시나리오를 이해합니다. 시나리오에서 성공을 측정할 결과를 정의하여 보안이 증분적이고 반복적인 여정임을 이해합니다.
이 문서에서는 많은 조직과 관련된 동기 및 결과를 제안합니다. 이러한 제안을 사용하여 고유한 요구 사항에 따라 조직의 전략을 연마할 수 있습니다.
위협 방지 및 XDR을 구현하기 위한 동기
위협 방지 및 XDR을 구현하는 동기는 간단하지만 조직의 여러 부분에는 이 작업을 수행하기 위한 다른 인센티브가 있습니다. 다음 표에서는 이러한 동기 중 일부를 요약합니다.
| 지역 | 동기 |
|---|---|
| 비즈니스 요구 사항 | 정상적인 비즈니스 활동을 수행하거나 몸값을 위해 보유되는 조직의 능력에 영향을 미치거나 중단하지 않도록 하려면 사이버 보험 비용을 낮추고 규제 벌금을 방지합니다. |
| IT 요구 사항 | 보안 운영(SecOps) 팀이 비즈니스에 중요한 자산을 보호하기 위해 통합 방어 도구 집합을 만들고 기본 지원합니다. 통합 및 보고는 자산 클래스 및 기술 전반에 걸쳐 발생해야 하며 예측 가능한 보안 결과를 제공하는 데 필요한 노력을 줄여야 합니다. |
| 운영 요구 사항 | 사전에 탐지하고 공격에 대한 대응을 통해 비즈니스 프로세스를 실시간으로 작동하도록 합니다. |
| 전략적 요구 사항 | 공격 피해 및 비용을 최소화하고 기본 고객 및 파트너와 함께 조직의 명성을 얻을 수 있습니다. |
위협 방지 및 XDR 구현 결과
제로 트러스트 전체 목표를 "절대 신뢰하지 않고 항상 확인"에 적용하면 환경에 상당한 보호 계층이 추가됩니다. 관련된 모든 팀에 대해 적절한 보호 균형을 맞출 수 있도록 달성하고자 하는 결과를 명확히 하는 것이 중요합니다. 다음 표에서는 위협 방지 및 XDR을 구현하기 위한 제안된 목표와 결과를 제공합니다.
| 목표 | 결과 |
|---|---|
| 비즈니스 결과 | 위협 방지는 비즈니스 중단, 몸값 지불 또는 규제 벌금과 관련된 최소한의 비용을 초래합니다. |
| 거버넌스 | 위협 방지 및 XDR 도구가 배포되고, 변화하는 사이버 보안 환경, 발생하는 위협 및 인시던트 대응 자동화를 위해 SecOps 프로세스가 업데이트됩니다. |
| 조직적 복원력 | 보안 위반 방지 및 복구와 사전 위협 방지 사이에서 조직은 공격으로부터 신속하게 복구하고 향후 해당 유형의 공격을 방지할 수 있습니다. |
| 보안 | 위협 방지는 전반적인 보안 요구 사항 및 정책에 통합됩니다. |
계획 단계
채택 계획은 제로 트러스트 전략의 원칙을 실행 가능한 계획으로 변환합니다. 조직 팀은 채택 계획을 사용하여 기술 활동을 안내하고 조직의 비즈니스 전략에 부합할 수 있습니다.
비즈니스 리더 및 팀과 함께 정의한 동기와 결과는 조직에 대한 "이유"를 지원하고 전략의 North Star가 됩니다. 다음으로 목표를 달성하기 위한 기술 계획이 제공됩니다.
위협 방지 및 XDR 구현을 위한 기술 채택에는 다음이 포함됩니다.
Microsoft에서 제공하는 XDR 도구 모음을 다음으로 설정합니다.
인시던트 대응을 수행하여 공격을 감지하고 저지합니다.
위협을 사전에 헌팅합니다.
알려진 공격을 자동으로 감지하고 대응합니다.
Microsoft Defender XDR 및 Microsoft Sentinel 통합
인시던트 대응 및 복구를 위한 SecOps 프로세스 및 프로시저 정의
위협 방지 및 XDR 구현에는 다음을 비롯한 몇 가지 관련 작업도 포함됩니다.
- XDR 도구를 사용하여 보안 위반 방지 및 복구 문서에서 구현한 중요 비즈니스용 리소스와 허니팟 리소스를 모두 모니터링하여 공격자가 실제 리소스를 공격하기 전에 자신의 존재를 표시하도록 유도합니다.
- 최신 공격 및 해당 방법을 인식하도록 SecOps 팀을 발전시키고 있습니다.
많은 조직에서 다음 표에 요약된 이러한 배포 목표에 대해 4단계로 구성된 접근 방식을 취할 수 있습니다.
| 스테이지 1 | 스테이지 2 | 3단계 | 스테이지 4 |
|---|---|---|---|
| XDR 도구를 켭니다. - 엔드포인트용 Defender - Office 365용 Defender - Microsoft Entra ID Protection - Defender for Identity - 클라우드용 Defender 앱 Microsoft Defender XDR을 사용하여 위협 조사 및 대응 |
클라우드용 Defender 켜기 SecOps에 대한 내부 프로세스 정의 XDR 도구를 사용하여 중요 비즈니스용 및 허니팟 리소스 모니터링 |
Defender for IoT 켜기 Microsoft Sentinel 작업 영역 디자인 및 XDR 신호 수집 위협 요소를 사전에 헌팅하기 |
조직에서 SecOps를 분야로 발전 자동화를 활용하여 SecOps 분석가의 부하 감소 |
이 단계적 접근 방식이 조직에 적합한 경우 다음을 사용할 수 있습니다.
이 다운로드 가능한 PowerPoint 슬라이드 데크는 비즈니스 리더 및 기타 이해 관계자를 위해 이러한 단계와 목표를 통해 진행 상황을 제시하고 추적할 수 있습니다. 다음은 이 비즈니스 시나리오에 대한 슬라이드입니다.
이 Excel 통합 문서는 소유자를 할당하고 이러한 단계, 목표 및 해당 작업에 대한 진행 상황을 추적합니다. 이 비즈니스 시나리오의 워크시트는 다음과 같습니다.
조직 이해
기술 구현에 권장되는 이 단계적 접근 방식은 조직 이해 연습에 대한 컨텍스트를 제공하는 데 도움이 될 수 있습니다.
모든 비즈니스 시나리오에 대한 제로 트러스트 채택 수명 주기의 기본 단계에는 인벤토리를 작성하고 SecOps 팀의 현재 상태를 결정하는 것이 포함됩니다. 이 비즈니스 시나리오의 경우 다음을 수행해야 합니다.
- 현재 XDR 도구, 통합 및 인시던트 대응을 위한 자동화 사용의 인벤토리를 작성합니다.
- 인시던트 대응 및 복구 절차 및 프로세스를 검토합니다.
- 허니팟 리소스의 배포를 검토합니다.
- 보안 분석가의 준비 상태와 추가 기술 교육 또는 개발이 필요한지 여부를 결정합니다.
조직 계획 및 맞춤
위협 방지 및 XDR을 구현하는 기술 작업은 위협 탐지 및 대응을 담당하는 조직의 보안 팀에 속하며, 주로 현재 위협 환경을 이해하고 XDR 도구를 사용하여 공격을 감지하고 신속하게 대응할 수 있는 일선 보안 분석가가 담당합니다.
이 표에는 결과를 결정하고 추진하기 위해 스폰서쉽 프로그램 및 프로젝트 관리 계층 구조를 빌드할 때 권장되는 역할이 요약되어 있습니다.
| 프로그램 리더 및 기술 소유자 | 책임 |
|---|---|
| CISO, CIO 또는 데이터 보안 디렉터 | 경영진 스폰서쉽 |
| 데이터 보안의 프로그램 리더 | 결과 및 팀 간 협업 추진 |
| 보안 설계자 | 인시던트 대응 전략 및 사례, XDR 도구 및 인프라 및 SecOps 팀 진화에 대한 조언 |
| SecOps 잠재 고객 | 조직에서 인시던트 대응 절차, XDR 인프라 구성, 인시던트 대응 자동화 및 SecOps 분야 구현 |
| IT 잠재 고객에 대한 보안 | 중요 비즈니스용 및 허니팟 리소스에 대한 조언, 구현 및 관리 |
이 채택 콘텐츠에 대한 리소스의 PowerPoint 데크에는 사용자 고유의 조직에 맞게 사용자 지정할 수 있는 관련자 보기가 포함된 다음 슬라이드가 포함되어 있습니다.
기술 계획 및 기술 준비
기술 작업에 착수하기 전에 Microsoft는 기능, 함께 작동하는 방법 및 이 작업에 접근하기 위한 모범 사례를 파악하는 것이 좋습니다.
제로 트러스트 위반을 가정하므로 위반에 대비해야 합니다. NIST, ISO 27001, CIS 또는 MITRE를 기반으로 하는 위반 대응 프레임워크를 채택하여 조직에 대한 위반 또는 사이버 공격의 영향을 줄입니다.
다음 표에는 보안 팀이 기술을 습득하는 데 도움이 되는 몇 가지 Microsoft 교육 리소스가 포함되어 있습니다.
| 리소스 | 설명 |
|---|---|
| 모듈: Microsoft Defender XDR을 사용하여 인시던트 완화 | Microsoft Defender XDR 포털에서 Microsoft Defender XDR 제품군의 인시던트 및 경고에 대한 통합 보기를 제공하는 방법을 알아봅니다. |
| 학습 경로: Microsoft Defender XDR을 사용하여 위협 완화 | Microsoft Defender XDR의 기본 제공 오케스트레이션 및 자동화를 통해 도메인 전체의 위협 데이터를 분석하고 위협에 신속하게 대응합니다. |
| 모듈: 최신 운영 사례를 사용하여 안정성 향상: 인시던트 대응 | 효율적인 인시던트 대응의 기본 사항과 이런 대응을 가능하게 하는 Azure 도구를 알아보세요. |
| 모듈: 교육: Microsoft Sentinel의 보안 인시던트 관리 | Microsoft Sentinel 이벤트 및 엔터티에 대해 알아보고 인시던트 해결 방법을 알아봅니다. |
스테이지 1
1단계 배포 목표에는 기본 Microsoft XDR 도구를 사용하도록 설정하고 인시던트 대응을 위해 도구의 신호를 단일 포털에 통합하는 Microsoft Defender XDR을 사용하는 것이 포함됩니다.
XDR 도구 켜기
XDR 도구의 핵심 제품군부터 시작하여 디바이스, ID 및 클라우드 기반 애플리케이션에 대한 공격으로부터 조직을 보호합니다.
| 리소스 | 설명 |
|---|---|
| 엔드포인트에 대한 Microsoft Defender | 엔터프라이즈 네트워크가 노트북, 휴대폰, 태블릿, PC, 액세스 지점, 라우터 및 방화벽을 포함할 수 있는 디바이스에 대한 고급 위협을 방지, 감지, 조사 및 대응하는 데 도움이 되는 엔터프라이즈 엔드포인트 보안 플랫폼입니다. |
| Office 365용 Defender | 전자 메일, 링크(URLS), 첨부 파일 및 공동 작업 도구의 위협으로부터 보호하는 Microsoft 365 또는 Office 365 구독에 원활하게 통합됩니다. |
| Microsoft Entra ID 보호 | 조직은 ID 기반 위험을 감지, 조사 및 수정할 수 있습니다. 이러한 ID 기반 위험은 액세스 결정을 내리기 위해 Entra 조건부 액세스와 같은 도구에 추가로 공급되거나 추가 조사 및 상관 관계를 위해 SIEM(보안 정보 및 이벤트 관리) 도구로 다시 공급될 수 있습니다. |
| Defender for Identity | 온-프레미스 Active Directory 및 클라우드 ID의 신호를 활용하여 조직을 대상으로 하는 고급 위협을 더 잘 식별, 감지 및 조사할 수 있습니다. |
| 클라우드용 Defender 앱 | SaaS 애플리케이션에 대한 모든 보호를 제공하여 클라우드 앱 데이터를 모니터링하고 보호할 수 있습니다. |
Microsoft Defender XDR을 사용하여 위협 조사 및 대응
이제 기본 XDR 도구를 사용하도록 설정했으므로 Microsoft Defender XDR 및 해당 포털을 사용하여 경고 및 인시던트 분석 및 의심스러운 사이버 공격에 대한 인시던트 대응을 수행할 수 있습니다.
| 리소스 | 설명 |
|---|---|
| Microsoft 365 XDR을 보안 작업에 통합 | Microsoft Defender XDR에서 도구의 일상적인 작업 및 수명 주기 관리를 최적화하기 위해 SecOps 팀과의 통합을 신중하게 계획합니다. |
| Microsoft Defender XDR을 사용한 인시던트 대응 | Microsoft Defender XDR을 사용하여 경고 및 인시던트 분석 및 SecOps 절차 및 프로세스에 모범 사례를 통합하는 방법입니다. |
| Microsoft Defender XDR을 사용하여 인시던트 조사 | 네트워크에 영향을 주는 경고를 분석하고, 그 의미를 이해하고, 효과적인 수정 계획을 고안할 수 있도록 증거를 대조하는 방법입니다. |
| 모듈: Microsoft Defender XDR을 사용하여 인시던트 완화 | Microsoft Defender XDR 포털에서 Microsoft Defender XDR 제품군의 인시던트 및 경고에 대한 통합 보기를 제공하는 방법을 알아봅니다. |
| 학습 경로: Microsoft Defender XDR을 사용하여 위협 완화 | Microsoft Defender XDR의 기본 제공 오케스트레이션 및 자동화를 통해 도메인 전체의 위협 데이터를 분석하고 위협에 신속하게 대응합니다. |
스테이지 2
이 단계에서는 Azure 및 온-프레미스 리소스에 대해 추가 XDR 도구를 사용하도록 설정하고, Microsoft 위협 방지 및 XDR 서비스에 대한 SecOps 프로세스 및 절차를 만들거나 업데이트하고, 중요 비즈니스용 및 허니팟 리소스를 모니터링하여 위반 초기에 사이버 공격자를 감지합니다.
클라우드용 Microsoft Defender 켜기
클라우드용 Microsoft Defender 다양한 사이버 위협 및 취약성으로부터 클라우드 기반 애플리케이션을 보호하도록 설계된 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼)입니다. Azure, 하이브리드 클라우드 및 온-프레미스 워크로드 보호 및 보안에 클라우드용 Microsoft Defender 사용합니다.
| 리소스 | 설명 |
|---|---|
| Microsoft Defender for Cloud | 설명서 집합을 시작합니다. |
| 클라우드용 Microsoft Defender 대한 보안 경고 및 인시던트 | 클라우드용 Microsoft Defender Security를 사용하여 Azure, 하이브리드 클라우드 및 온-프레미스 워크로드에 대한 인시던트 대응을 수행합니다. |
| 모듈: 클라우드용 Microsoft Defender 사용하여 보안 경고 수정 | Azure, 하이브리드 클라우드 및 온-프레미스 워크로드에 대한 위협을 찾고 위험을 수정하는 방법을 알아봅니다. |
| 학습 경로: 클라우드용 Microsoft Defender 사용하여 위협 완화 | Azure, 하이브리드 클라우드 및 온-프레미스 워크로드에서 고급 위협을 감지, 조사 및 대응하는 방법을 알아봅니다. |
SecOps에 대한 내부 프로세스 정의
Microsoft XDR 도구를 사용하는 경우 해당 도구가 SecOps 프로세스 및 프로시저에 통합되어 있는지 확인합니다.
| 리소스 | 설명 |
|---|---|
| 인시던트 대응 개요 | 조직에서 활성 공격 캠페인을 사전에 조사하고 수정합니다. |
| 인시던트 대응 계획 | 이 문서를 검사 목록으로 사용하여 SecOps 팀이 사이버 보안 인시던트에 대응할 수 있도록 준비합니다. |
| 일반적인 공격 인시던트 대응 플레이북 | 악의적인 사용자가 매일 사용하는 일반적인 공격 방법에 대한 자세한 지침은 다음 문서를 참조하세요. |
| Microsoft 365 XDR을 보안 작업에 통합 | Microsoft Defender XDR에서 일상적인 작업 및 수명 주기 관리 도구를 최적화하기 위해 SecOps 팀과의 통합을 신중하게 계획합니다. |
| 사이버 보안 팀을 준비하는 데 도움이 되는 6가지 탁상 연습 | CIS(인터넷 보안 센터)에서 제공하는 이러한 연습을 사용하여 SecOps 팀을 준비합니다. |
XDR 도구를 사용하여 중요 비즈니스용 및 허니팟 리소스 모니터링
배포된 허니팟 리소스는 사이버 공격자의 대상으로 작용하며 실제 대상으로 이동하기 전에 활동을 조기에 감지하고 비즈니스 손상을 입힐 수 있습니다. 위협 탐지 및 헌팅의 일부를 중요 비즈니스용 리소스와 허니팟 리소스 모두 모니터링에 집중합니다.
| 리소스 | 설명 |
|---|---|
| Microsoft Defender XDR을 사용한 인시던트 대응 | Microsoft Defender XDR을 사용하여 중요 비즈니스용 리소스 및 허니팟 리소스에 영향을 주는 경고로 인시던트 발견 |
| 클라우드용 Microsoft Defender 대한 보안 경고 및 인시던트 | 클라우드용 Microsoft Defender 사용하여 Azure, 하이브리드 클라우드 및 온-프레미스 워크로드와 같은 중요 비즈니스용 및 허니팟 리소스에 대한 고급 검색에 의해 트리거되는 경고를 검색합니다. |
3단계
이 단계에서는 Defender for IoT를 사용하도록 설정하고 Microsoft Defender XDR을 Microsoft Sentinel과 통합한 다음 결합된 위협 방지 및 XDR 인프라를 사용하여 위협을 사전에 헌팅합니다.
Defender for IoT 켜기
IoT(사물 인터넷)는 OT(운영 기술)와 IoT 네트워크를 사용하는 수십억 개의 연결된 디바이스를 지원합니다. IoT/OT 디바이스 및 네트워크는 특수 프로토콜을 사용하여 빌드되는 경우가 많으며 보안보다 운영 과제의 우선 순위를 지정할 수 있습니다. Microsoft Defender for IoT는 IoT 및 OT 디바이스, 취약성 및 위협을 구체적으로 식별하기 위해 빌드된 통합 보안 솔루션입니다.
| 리소스 | 설명 |
|---|---|
| Microsoft Defender for IoT | 설명서 집합을 시작합니다. |
| 모듈: Microsoft Defender for IoT 소개 | Defender for IoT 구성 요소 및 기능 및 OT 및 IoT 디바이스 보안 모니터링을 지원하는 방법에 대해 알아봅니다. |
| 학습 경로: Microsoft Defender for IoT를 사용하여 IoT 솔루션 보안 향상 | IoT 솔루션의 각 수준에서 적용되는 보안 고려 사항과 처음부터 보안 문제를 해결하도록 구성할 수 있는 Azure 서비스 및 도구에 대해 알아봅니다. |
Microsoft Sentinel 작업 영역 디자인 및 XDR 신호 수집
Microsoft Sentinel은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공하는 클라우드 네이티브 솔루션입니다. Microsoft Sentinel과 Microsoft Defender XDR은 함께 조직이 최신 사이버 공격을 방어하는 데 도움이 되는 포괄적인 솔루션을 제공합니다.
| 리소스 | 설명 |
|---|---|
| 제로 트러스트 Microsoft Sentinel 및 Microsoft Defender XDR 구현 | 제로 트러스트 원칙도 통합하는 이 솔루션 설명서를 시작하세요. |
| 모듈: Microsoft Defender XDR을 Microsoft Sentinel에 커넥트 | Microsoft Defender XDR에 대한 Microsoft Sentinel 커넥터에서 제공하는 구성 옵션 및 데이터에 대해 알아봅니다. |
| Microsoft Sentinel 작업 영역 설계 | Microsoft Sentinel 작업 영역을 디자인하고 구현하는 방법을 알아봅니다. |
| Microsoft Sentinel에서 데이터 원본 수집 및 인시던트 검색 구성 | Microsoft Sentinel 작업 영역으로 데이터 수집을 위해 데이터 커넥터를 구성하는 방법을 알아봅니다. |
| 모듈: 데이터 커넥터를 사용하여 Microsoft Sentinel에 데이터 커넥트 | Microsoft Sentinel에 사용할 수 있는 데이터 커넥터에 대한 개요를 확인합니다. |
위협 요소를 사전에 헌팅하기
XDR 및 SIEM 인프라가 준비되었으므로 SecOps 팀은 이미 피해를 입은 공격에 사후 대응하는 대신 사용자 환경에서 진행 중인 위협을 적극적으로 찾아낼 수 있습니다.
| 리소스 | 설명 |
|---|---|
| Microsoft Defender XDR에서 고급 헌팅을 사용하여 위협 사전에 헌팅 | Microsoft Defender XDR을 사용하여 위협 헌팅을 위한 설명서 집합을 시작합니다. |
| Microsoft Sentinel로 위협 찾기 | Microsoft Sentinel을 사용하여 위협 헌팅을 위한 설명서 집합을 시작합니다. |
| 모듈: Microsoft Sentinel을 사용하여 위협 헌팅 | Microsoft Sentinel 쿼리를 사용하여 위협 동작을 사전에 식별하는 방법을 알아봅니다. |
스테이지 4
이 단계에서는 SecOps를 조직의 분야로 발전시키고 Microsoft Defender XDR 및 Microsoft Sentinel의 기능을 사용하여 알려진 공격 또는 이전 공격에 대한 인시던트 대응을 자동화합니다.
조직에서 SecOps를 분야로 발전
여러 복잡한 악성 이벤트, 특성 및 컨텍스트 정보는 고급 사이버 보안 공격으로 구성됩니다. 이러한 활동 중 의심스러운 활동을 식별하고 결정하는 것은 어려운 작업일 수 있습니다. 업계와 관련된 알려진 특성 및 비정상적인 활동에 대한 지식은 관찰된 동작이 의심스럽다고 판단할 시기를 파악하는 데 기본 사항입니다.
인시던트 대응 및 복구의 일상적인 작업을 넘어 SecOps 팀과 분야를 발전하려면 전문가 또는 고위 구성원이 더 큰 위협 환경을 이해하고 팀 전체에 해당 지식을 전파해야 합니다.
| 리소스 | 설명 |
|---|---|
| Microsoft Defender XDR의 위협 분석 | 조직과 가장 관련된 보고서에 Microsoft Defender XDR 포털(로그인 필요)의 위협 분석 대시보드를 사용합니다. |
| Microsoft Defender 위협 인텔리전스(Defender TI) | 이 기본 제공 플랫폼을 사용하여 위협 인프라 분석을 수행하고 위협 인텔리전스를 수집할 때 심사, 인시던트 대응, 위협 헌팅, 취약성 관리 및 사이버 위협 인텔리전스 분석가 워크플로를 간소화할 수 있습니다. |
| Microsoft 보안 블로그 | Microsoft Defender XDR 및 Microsoft Sentinel에 대한 보안 위협 및 새로운 기능 및 업데이트에 대한 최신 내용을 확인하세요. |
자동화를 활용하여 SecOps 분석가의 부하 감소
Microsoft Defender XDR 및 Microsoft Sentinel의 기능을 사용하여 인시던트 대응을 자동화하여 알려진 인시던트 및 예상된 인시던트를 검색 및 복구하고 SecOps 팀이 예기치 않은 공격 및 새로운 공격 방법에 더 집중할 수 있도록 합니다.
| 리소스 | 설명 |
|---|---|
| Microsoft Defender XDR의 자동화된 조사 및 응답 | Microsoft Defender XDR 설명서 집합을 시작합니다. |
| 자동화된 조사 및 수정 기능 구성 | 디바이스에 대한 공격의 경우 엔드포인트용 Microsoft Defender 설명서 집합을 시작합니다. |
| Microsoft Sentinel의 플레이북으로 위협 대응 자동화 | Microsoft Sentinel에서 플레이북을 사용하기 위한 설명서 집합을 시작합니다. |
클라우드 채택 계획
채택 계획은 성공적인 클라우드 채택을 위한 필수 요구 사항입니다. 위협 방지 및 XDR을 구현하기 위한 성공적인 채택 계획의 주요 특성은 다음과 같습니다.
- 전략 및 계획이 조정됩니다 . 온-프레미스 및 클라우드 인프라에서 위협 방지 및 공격 복구 기능을 테스트, 파일럿 및 롤아웃하기 위한 계획을 작성할 때 전략과 목표를 다시 검토하여 계획이 조정되도록 해야 합니다. 여기에는 공격 탐지 및 대응 및 자동화 사용에 대한 목표의 우선 순위 및 목표 마일스톤이 포함됩니다.
- 계획은 반복적입니다. 계획을 롤아웃하기 시작하면 XDR 환경 및 사용 중인 도구에 대해 많은 것을 배울 수 있습니다. 롤아웃의 각 단계에서 목표와 비교하여 결과를 다시 검토하고 계획을 미세 조정합니다. 예를 들어 절차 및 정책을 미세 조정하기 위해 이전 작업을 다시 검토하는 작업이 포함될 수 있습니다.
- SecOps 직원 교육은 잘 계획되어 있습니다. 보안 설계자부터 최전방 보안 분석가에 이르기까지 모두가 위협 방지, 탐지, 완화 및 복구 책임으로 성공할 수 있도록 교육을 받았습니다.
Azure에 대한 클라우드 채택 프레임워크 자세한 내용은 클라우드 채택 계획을 참조하세요.
준비 단계
이 문서에 나열된 리소스를 사용하여 계획의 우선 순위를 지정합니다. 위협 방지 및 XDR 구현 작업은 다중 계층 제로 트러스트 배포 전략의 계층 중 하나를 나타냅니다.
이 문서에서 권장되는 단계적 접근 방식에는 디지털 자산 전반에 걸쳐 체계적인 방식으로 위협 방지 작업을 연계하는 것이 포함됩니다. 이 단계에서는 계획의 이러한 요소를 다시 검토하여 모든 것이 준비되었는지 확인합니다.
- SecOps 팀은 Microsoft Defender XDR 및 Microsoft Sentinel에 대한 인시던트 대응 프로세스의 변경이 임박했음을 알 수 있습니다.
- SecOps 팀에 설명서 및 교육 리소스에 대한 알림이 제공됩니다.
- 분석가가 위협 헌팅 절차 및 지침 및 자동화 기술을 사용할 준비가 됨
- 허니팟 리소스가 제자리에 있습니다.
계획 단계에서는 가지고 있는 것과 원하는 위치 사이의 격차를 보여 줍니다. 이 단계를 사용하여 XDR 도구 및 해당 사용을 구현하고 테스트합니다. 예를 들어 SecOps 팀 리더는 다음을 수행할 수 있습니다.
- Microsoft Defender XDR용 XDR 도구를 사용하도록 설정하고 사용하여 현재 공격에 대한 인시던트 대응 수행
- 데이터 커넥터 및 작업 영역을 사용하여 Microsoft Defender XDR 및 Microsoft Sentinel 통합 구성
- SecOps 팀 프로시저 및 프로세스 정의 또는 구체화
- 알려진 공격을 감지하고 복구하기 위한 위협 및 자동화의 사전 식별을 위한 위협 헌팅 탐색 및 테스트
채택 단계
Microsoft는 위협 방지 및 XDR을 구현하는 연속적이고 반복적인 접근 방식을 권장합니다. 이렇게 하면 결과의 정확도를 높이기 위해 전략 및 정책을 구체화할 수 있습니다. 다음 단계를 시작하기 전에 한 단계가 완료될 때까지 기다릴 필요가 없습니다. 그 과정에서 반복하는 경우 각 단계의 요소를 구현하면 결과가 더 효과적입니다.
채택 단계의 기본 요소는 다음을 포함해야 합니다.
- Microsoft Defender XDR을 SecOps 팀에서 진행 중인 일상적인 인시던트 대응 워크플로의 일부로 만듭니다.
- Microsoft Defender XDR 통합과 함께 Microsoft Sentinel의 기능을 사용합니다.
- 알려진 공격을 해결하기 위해 자동화를 구현하고, SecOps 팀이 위협 헌팅을 수행할 수 있도록 하고, 팀의 분야를 미래 지향적이고 사이버 공격의 새로운 추세에 대비하도록 진화
단계 관리 및 관리
위협 방지 및 XDR 인프라를 사용하여 공격을 탐지하는 조직의 기능에 대한 거버넌스는 반복적인 프로세스입니다. 구현 계획을 신중하게 만들고 SecOps 팀에서 배포함으로써 기반을 만들었습니다. 다음 작업을 사용하여 이 기초에 대한 초기 거버넌스 계획 빌드를 시작할 수 있습니다.
| 목표 | 작업 |
|---|---|
| 추적 및 측정 | 소유자에게 인시던트 대응 절차, 위협 인텔리전스 수집 및 보급, 자동화 기본 테넌트와 같은 중요한 작업 및 책임을 할당합니다. 각 작업에 대한 날짜 및 일정을 사용하여 실행 가능한 계획을 만듭니다. |
| 모니터링 및 검색 | 일반적인 공격이나 이전 공격에 자동화를 사용하여 Microsoft Defender XDR 및 Microsoft Sentinel을 사용하여 보안 위협을 관리합니다. |
| 성숙도 반복 | 위험 및 사이버 위협 환경을 지속적으로 재평가하고 SecOps 절차, 책임, 정책 및 우선 순위를 변경합니다. |
다음 단계
이 비즈니스 시나리오의 경우:
제로 트러스트 채택 프레임워크의 추가 문서:
진행률 추적 리소스
제로 트러스트 비즈니스 시나리오의 경우 다음 진행률 추적 리소스를 사용할 수 있습니다.
| 진행률 추적 리소스 | 도움이 됩니다... | 대상 사용자 |
|---|---|---|
채택 시나리오 계획 단계 그리드 다운로드 가능한 Visio 파일 또는 PDF 
|
각 비즈니스 시나리오의 보안 향상 기능과 계획 단계의 단계 및 목표에 대한 노력 수준을 쉽게 이해할 수 있습니다. | 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자. |
제로 트러스트 채택 추적기 다운로드 가능한 PowerPoint 슬라이드 데크 
|
계획 단계의 단계 및 목표를 통해 진행 상황을 추적합니다. | 비즈니스 시나리오 프로젝트 리더, 비즈니스 리더 및 기타 이해 관계자. |
비즈니스 시나리오 목표 및 작업 다운로드 가능한 Excel 통합 문서 
|
소유권을 할당하고 계획 단계의 단계, 목표 및 작업을 통해 진행 상황을 추적합니다. | 비즈니스 시나리오 프로젝트 리드, IT 잠재 고객 및 IT 구현자. |
추가 리소스는 제로 트러스트 평가 및 진행률 추적 리소스를 참조하세요.