이 문서에서는 클라우드용 Microsoft Defender에서 받을 수 있는 보안 경고 및 사용 가능한 모든 Microsoft Defender 계획을 나열하는 페이지의 링크를 제공합니다. 사용자 환경에 표시되는 경고는 보호 중인 리소스 및 서비스 및 사용자 지정 구성에 따라 달라집니다.
비고
Microsoft Defender 위협 인텔리전스 및 엔드포인트용 Microsoft Defender 의해 구동되는 최근에 추가된 경고 중 일부는 문서화되지 않았을 수 있습니다.
이 페이지에는 MITRE ATT&CK 매트릭스 버전 9와 일치하는 클라우드용 Microsoft Defender 킬 체인을 설명하는 테이블도 포함되어 있습니다.
비고
다른 원본의 경고가 표시되려면 시간이 다를 수 있습니다. 예를 들어 네트워크 트래픽을 분석해야 하는 경고는 가상 머신에서 실행되는 의심스러운 프로세스와 관련된 경고보다 더 오래 걸릴 수 있습니다.
범주별 보안 경고 페이지
- Windows 머신에 대한 경고
- Linux 머신에 대한 경고
- DNS에 대한 경고
- Azure VM 확장에 대한 경고
- Azure App Service에 대한 경고
- 컨테이너에 대한 경고 - Kubernetes 클러스터
- SQL Database 및 Azure Synapse Analytics에 대한 경고
- 오픈 소스 관계형 데이터베이스에 대한 경고
- Resource Manager에 대한 경고
- Azure Storage에 대한 경고
- Azure Cosmos DB에 대한 경고
- Azure 네트워크 계층에 대한 경고
- Azure Key Vault에 대한 경고
- Azure DDoS Protection에 대한 경고
- Defender for API에 대한 경고
- AI 워크로드에 대한 경고
- 사용되지 않는 보안 경고
MITRE ATT&CK 전술
공격의 의도를 이해하면 이벤트를 보다 쉽게 조사하고 보고할 수 있습니다. 이러한 노력을 돕기 위해 클라우드용 Microsoft Defender 경고에는 많은 경고가 포함된 MITRE 전술이 포함됩니다.
정찰에서 데이터 반출로 사이버 공격의 진행 상황을 설명하는 일련의 단계를 "킬 체인"이라고도 합니다.
Defender for Cloud의 지원되는 킬 체인 의도는 MITRE ATT&CK 매트릭스 버전 9 를 기반으로 하며 아래 표에 설명되어 있습니다.
| 방법 | ATT&CK 버전 | Description |
|---|---|---|
| 사전 공격 | 사전 공격(PreAttack )은 악의적인 의도에 관계없이 특정 리소스에 액세스하려는 시도이거나, 악용하기 전에 정보를 수집하기 위해 대상 시스템에 액세스하는 데 실패한 시도일 수 있습니다. 이 단계는 일반적으로 네트워크 외부에서 시작되어 대상 시스템을 검사하고 진입점을 식별하려는 시도로 검색됩니다. | |
| 초기 액세스 | V7, V9 | 초기 액세스는 공격자가 공격받은 리소스에 대한 발판을 마련하기 위해 관리하는 단계입니다. 이 단계는 사용자 계정, 인증서 등과 같은 컴퓨팅 호스트 및 리소스와 관련이 있습니다. 위협 행위자는 이 단계 후에 리소스를 제어할 수 있는 경우가 많습니다. |
| 지속성 | V7, V9 | 지속성은 위협 행위자에게 해당 시스템에 지속적인 존재를 제공하는 시스템에 대한 액세스, 작업 또는 구성 변경입니다. 위협 행위자는 시스템 다시 시작, 자격 증명 손실 또는 원격 액세스 도구를 다시 시작하거나 액세스 권한을 다시 얻을 수 있도록 대체 백도어를 제공해야 하는 기타 오류와 같은 중단을 통해 시스템에 대한 액세스를 유지 관리해야 하는 경우가 많습니다. |
| 권한 상승 | V7, V9 | 권한 상승은 악의적 사용자가 시스템 또는 네트워크에 대해 더 높은 수준의 권한을 얻을 수 있도록 하는 작업의 결과입니다. 특정 도구 또는 작업을 수행하려면 더 높은 수준의 권한이 필요하며 작업 전체의 여러 지점에서 필요할 수 있습니다. 특정 시스템에 액세스하거나 악의적 사용자가 목표를 달성하는 데 필요한 특정 기능을 수행할 수 있는 권한이 있는 사용자 계정도 권한 상승으로 간주될 수 있습니다. |
| 방어 회피 | V7, V9 | 방어 회피는 악의적 사용자가 탐지를 회피하거나 다른 방어를 피하기 위해 사용할 수 있는 기술로 구성됩니다. 경우에 따라 이러한 작업은 특정 방어 또는 완화를 전복하는 추가 이점이 있는 다른 범주의 기술(또는 변형)과 동일합니다. |
| 자격 증명 액세스 | V7, V9 | 자격 증명 액세스는 엔터프라이즈 환경 내에서 사용되는 시스템, 도메인 또는 서비스 자격 증명에 액세스하거나 제어하는 기술을 나타냅니다. 악의적 사용자는 네트워크 내에서 사용하기 위해 사용자 또는 관리자 계정(로컬 시스템 관리자 또는 관리자 액세스 권한이 있는 도메인 사용자)으로부터 합법적인 자격 증명을 얻으려고 시도할 가능성이 높습니다. 네트워크 내에서 충분한 액세스 권한을 가진 악의적 사용자는 나중에 환경 내에서 사용할 계정을 만들 수 있습니다. |
| 검색 | V7, V9 | 발견은 적대자가 시스템 및 내부 네트워크에 대한 지식을 얻을 수 있도록 하는 기술로 구성됩니다. 공격자가 새로운 시스템에 액세스할 수 있게 되면 현재 제어할 수 있는 것과 해당 시스템에서 작동하는 것이 침입 중에 현재 목표 또는 전반적인 목표에 어떤 이점을 제공하는지 파악해야 합니다. 운영 체제는 이 손상 후 정보 수집 단계를 지원하는 많은 네이티브 도구를 제공합니다. |
| LateralMovement | V7, V9 | 횡적 이동은 악의적 사용자가 네트워크의 원격 시스템에 액세스하고 제어할 수 있도록 하는 기술로 구성되며, 반드시 원격 시스템에서 도구를 실행할 필요는 없습니다. 횡적 이동 기술을 사용하면 악의적 사용자가 원격 액세스 도구와 같은 더 많은 도구 없이도 시스템에서 정보를 수집할 수 있습니다. 악의적 사용자는 원격 도구 실행, 더 많은 시스템에 대한 피벗, 특정 정보 또는 파일에 대한 액세스, 더 많은 자격 증명에 대한 액세스 또는 영향을 주는 등 여러 가지 목적으로 횡적 이동을 사용할 수 있습니다. |
| 실행 | V7, V9 | 실행 전술은 로컬 또는 원격 시스템에서 악의적으로 제어되는 코드를 실행하는 기술을 나타냅니다. 이 전술은 종종 네트워크의 원격 시스템에 대한 액세스를 확장하기 위해 횡적 이동과 함께 사용됩니다. |
| 컬렉션 | V7, V9 | 컬렉션은 반출 전에 대상 네트워크에서 중요한 파일과 같은 정보를 식별하고 수집하는 데 사용되는 기술로 구성됩니다. 이 범주는 악의적 사용자가 유출할 정보를 찾을 수 있는 시스템 또는 네트워크의 위치도 다룹니다. |
| 명령 및 제어. | V7, V9 | 명령 및 제어 전술은 악의적 사용자가 대상 네트워크 내에서 제어하는 시스템과 통신하는 방법을 나타냅니다. |
| 유출 | V7, V9 | 반출은 적이 대상 네트워크에서 파일과 정보를 제거하는 데 사용하거나 도움이 되는 기술과 속성을 말합니다. 이 범주는 악의적 사용자가 유출할 정보를 찾을 수 있는 시스템 또는 네트워크의 위치도 다룹니다. |
| Impact | V7, V9 | 영향 이벤트는 주로 시스템, 서비스 또는 네트워크의 가용성 또는 무결성을 직접 줄이려고 합니다. 비즈니스 또는 운영 프로세스에 영향을 미치는 데이터 조작을 포함합니다. 이것은 종종 랜섬웨어, 훼손, 데이터 조작 등과 같은 기술을 말합니다. |
비고
미리 보기에 있는 알림의 경우 Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.