다음을 통해 공유

클라우드 자산 인벤토리

클라우드용 Microsoft Defender 자산 인벤토리 페이지에서는 클라우드용 Defender에 연결된 리소스의 보안 상태를 확인할 수 있습니다. Azure, AWS 및 GCP에서 클라우드 인프라에 대한 통합된 컨텍스트 보기를 제공합니다. 상태 데이터, 디바이스 작업 및 위험 신호를 단일 인터페이스에 통합하면서 워크로드, 중요도 및 검사 상태별로 자산을 분류합니다. 클라우드용 Defender는 구독에 연결된 리소스의 보안 상태를 정기적으로 검사하여 잠재적인 보안 취약점을 찾아내고, 즉시 적용 가능한 권장 사항을 제시합니다. 활성 권장 사항은 보안 상태 개선을 위해 해결 가능한 권장 사항을 의미합니다.

클라우드용 Defender는 연결된 리소스에 대한 보안 상태를 정기적으로 분석합니다. 리소스에 연결된 활성 보안 권장 사항 또는 보안 경고가 있는 경우, 해당 리소스는 인벤토리에 표시됩니다.

Azure Portal에서 자산 인벤토리에 액세스

Azure Portal에서 Microsoft Defender for Cloud>인벤토리로 이동합니다.

인벤토리 페이지에서는 다음에 대한 정보를 확인할 수 있습니다.

  • 연결된 리소스. 클라우드용 Defender를 사용하여 연결된 리소스를 빠르게 확인하세요.
  • 전체 보안 상태: 클라우드용 Defender를 통해 연결된 Azure, AWS, GCP 리소스의 총 개수, 환경별 리소스 개수, 비정상 리소스 개수를 포함한 보안 상태 요약을 명확하게 확인할 수 있습니다.
  • 권장 사항, 경고: 특정 리소스의 상태를 자세히 살펴보고, 해당 리소스에 대한 활성 보안 권장 사항과 보안 경고를 확인합니다.
  • 위험 우선 순위 지정: 위험 기반 권장 사항은 데이터 민감도, 인터넷 노출, 수평적 이동 가능성 및 잠재적 공격 경로와 같은 요소를 고려하여 위험 수준을 권장 사항에 할당합니다.
  • 위험 우선순위 지정은 Defender CSPM 플랜을 사용할 때 활용할 수 있는 기능입니다.
  • 소프트웨어. 설치된 애플리케이션으로 리소스를 검토할 수 있습니다. 소프트웨어 인벤토리를 활용하려면 Defender 클라우드 보안 형상 관리(CSPM) 계획 또는 서버용 Defender 계획을 활성화해야 합니다.

인벤토리는 Azure Resource Graph (ARG) 를 통해 대규모 데이터에 대한 쿼리 및 검색을 수행합니다. KQL 을 사용하면 인벤토리를 쿼리하여 심층적인 사용자 지정 인사이트를 얻을 수 있습니다.

인벤토리 검토

  1. Azure Portal의 Defender용 클라우드에서 Inventory를 선택합니다. 기본적으로 리소스는 활성화된 보안 권장 사항의 수를 기준으로 정렬됩니다.
  2. 사용 가능한 설정을 확인합니다.
    • 검색 기능에서 무료 텍스트 검색을 활용하여 원하는 리소스를 찾을 수 있습니다.
    • 전체 리소스: 클라우드용 Defender에 연결된 총 리소스 수를 나타냅니다.
    • 비정상 리소스는 활성화된 보안 권장 사항과 경고가 있는 리소스 수를 보여줍니다.
    • 환경별 리소스 수: Azure, AWS, GCP 리소스의 총합입니다.
  3. 자세한 정보를 드릴다운할 리소스를 선택하세요.
  4. 리소스의 Resource Health 페이지에서 리소스 정보를 확인하세요.
    • 권장 사항 탭에는 활성화된 보안 권장 사항이 위험 순으로 나열됩니다. 각 권장 사항을 드릴다운하여 세부 정보와 수정 옵션을 확인할 수 있습니다.
    • 경고 탭에는 관련된 보안 경고가 표시됩니다.

소프트웨어 인벤토리 검토

클라우드용 Microsoft Defender의 자산 인벤토리 페이지에서 주요 기능을 보여주는 스크린샷입니다.

  1. 설치된 애플리케이션 선택
  2. 값에서필터링할 앱을 선택합니다.
  • 전체 리소스: 클라우드용 Defender에 연결된 리소스의 총 개수입니다.
  • 비정상 리소스: 구현 가능한 활성 보안 권장 사항이 있는 리소스입니다. 보안 권장 사항 구현에 대한 자세한 내용을 확인해 보세요.
  • 환경별 리소스 수: 이는 각 환경의 리소스 수를 나타냅니다.
  • 등록되지 않은 구독: 선택한 범위에서 Azure 클라우드용 Microsoft Defender에 아직 연결되지 않은 구독을 나타냅니다.
  1. 클라우드용 Defender를 연결하면 해당 앱을 실행하는 리소스가 나타납니다. 빈 옵션은 엔드포인트용 Defender/Defender를 사용할 수 없는 컴퓨터를 나타냅니다.

인벤토리 필터링

필터를 적용하면 요약 값이 쿼리 결과에 따라 즉시 업데이트됩니다.

도구 내보내기

CSV 보고서 다운로드 - 선택한 필터 옵션으로 검색된 결과를 CSV 파일로 내보냅니다.

쿼리 열기 - 쿼리 자체를 Azure Resource Graph (ARG) 로 내보내어 Kusto 쿼리 언어 (KQL) 쿼리를 추가적으로 구체화하거나 저장, 수정합니다.

자산 인벤토리는 어떻게 작동하나요?

소프트웨어 인벤토리 데이터는 Resource Graph Explorer에서 미리 정의된 필터 외에 다른 방법으로도 탐색할 수 있습니다.

ARG는 대규모로 쿼리를 하는 기능을 갖춘 효율적인 리소스 탐색을 제공하도록 설계되었습니다.

Kusto 쿼리 언어 (KQL)을 사용하면 자산 인벤토리가 클라우드용 Defender와 상호 참조되어 다른 리소스 속성과 함께 심층적인 인사이트를 빠르게 생성할 수 있습니다.

자산 인벤토리를 사용하는 방법

  1. 클라우드용 Defender의 사이드바에서 인벤토리를 선택합니다.

  2. 특정 리소스를 표시하려면 이름별 필터 상자를 사용하고, 특정 리소스에 집중하려면 필터를 사용하세요.

    기본적으로 리소스는 활성화된 보안 권장 사항의 수를 기준으로 정렬됩니다.

    Important

    각 필터 옵션은 현재 선택한 구독 정보 다른 필터의 선택 항목을 기준으로 적용됩니다.

    예시로, 구독을 하나만 선택했을 때, 해당 구독에 해결해야 할 보안 권장 사항이 있는 리소스가 없다면(비정상 리소스 0개), 권장 사항 필터에는 옵션이 나타나지 않습니다.

  3. 보안 결과 에 포함된 필터를 사용하려면 취약성 결과 ID, 보안 검사 또는 CVE 이름에 텍스트를 자유롭게 입력하여 영향을 받는 리소스를 필터링합니다.

    보안 결과 필터를 설정하는 방법을 보여주는 스크린샷입니다.

    보안 결과태그 필터에서는 단일 값만 사용할 수 있습니다. 값을 두 개 이상 사용하려면 필터 추가 기능을 사용하면 됩니다.

  4. 현재 선택한 필터 옵션을 Resource Graph 탐색기에서 쿼리로 확인하려면 쿼리 열기를 선택하면 됩니다.

    ARG의 인벤토리 쿼리.

  5. 만약 특정 필터를 적용한 후 페이지를 열어두었다면, 클라우드용 Defender는 해당 결과를 자동으로 갱신하지 않습니다. 페이지를 수동으로 새로 고침하지 않는 한, 리소스 변경 사항이 결과에 영향을 미치지 않습니다.

인벤토리 내보내기

  1. 필터링된 인벤토리를 CSV 형식으로 저장하려면 CSV 보고서 다운로드를 선택하세요.

  2. Resource Graph Explorer에서 쿼리를 저장하려면 쿼리 열기를 선택하세요. 쿼리를 저장하려면 다른 이름으로 저장 또는 쿼리 저장 메뉴에서 쿼리 이름과 설명을 입력하고, 쿼리의 공개 여부를 선택하세요.

    ARG의 인벤토리 쿼리.

리소스 변경 사항은 페이지를 수동으로 새로 고침하지 않으면 결과에 반영되지 않습니다.

소프트웨어 인벤토리에 액세스

소프트웨어 인벤토리에 액세스하려면 다음 플랜 중 하나가 필요합니다.

다음은 Azure Resource Graph Explorer를 통해 소프트웨어 인벤토리 데이터에 액세스하여 탐색하는 예제입니다.

  1. Azure Resource Graph Explorer를 엽니다.

    이 스크린샷에서는 Azure Resource Graph Explorer** 의 권장 사항 페이지를 시작하는 방법을 확인할 수 있습니다.

  2. 구독 범위 securityresources/softwareinventories를 선택합니다.

  3. 다음 쿼리를 입력하고(또는 사용자 지정하거나 직접 작성) 쿼리 실행을 선택합니다.

쿼리 예제

설치된 소프트웨어의 기본 목록을 생성하려면:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=properties.version

버전 번호를 기준으로 필터링하려면:

securityresources
| where type == "microsoft.security/softwareinventories"
| project id, Vendor=properties.vendor, Software=properties.softwareName, Version=tostring(properties.    version)
| where Software=="windows_server_2019" and parse_version(Version)<=parse_version("10.0.17763.1999")

소프트웨어 제품을 조합하여 컴퓨터를 찾으려면:

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = properties.azureVmId
| where properties.softwareName == "apache_http_server" or properties.softwareName == "mysql"
| summarize count() by tostring(vmId)
| where count_ > 1

소프트웨어 제품과 다른 보안 권장 사항을 조합하려면:

(이 예제에서는 MySQL이 설치되고 관리 포트가 노출된 컴퓨터)

securityresources
| where type == "microsoft.security/softwareinventories"
| extend vmId = tolower(properties.azureVmId)
| where properties.softwareName == "mysql"
| join (
    securityresources
| where type == "microsoft.security/assessments"
| where properties.displayName == "Management ports should be closed on your virtual machines" and properties.status.code == "Unhealthy"
| extend vmId = tolower(properties.resourceDetails.Id)
) on vmId

다음 단계

이 문서에서는 Microsoft Defender XDR 포털 내에서 클라우드용 Microsoft Defender의 통합 클라우드 자산 인벤토리를 사용하여 다중 클라우드 인프라를 관리하고 모니터링하는 방법을 설명합니다.

비고

이 기능은 현재 미리 보기로 제공되고 있습니다. 현재 간격 및 제한 사항에 대한 자세한 내용은 알려진 제한 사항을 참조하세요.

개요

클라우드 자산 인벤토리는 Azure, AWS 및 GCP 환경에서 클라우드 인프라에 대한 통합된 컨텍스트 보기를 제공합니다. 상태 데이터, 디바이스 작업 및 위험 신호를 단일 인터페이스에 통합하면서 워크로드, 중요도 및 검사 상태별로 자산을 분류합니다.

Defender 포털의 클라우드 자산 인벤토리 스크린샷

주요 기능

통합 멀티 클라우드 가시성

  • 포괄적인 적용 범위: Azure, AWS, GCP 및 기타 지원되는 플랫폼에서 모든 클라우드 자산 보기
  • 일관된 인터페이스: 다중 클라우드 자산 관리를 위한 단일 창
  • 실시간 동기화: 연결된 모든 클라우드 환경에서 최신 자산 정보
  • 플랫폼 간 관계: 여러 클라우드 공급자의 자산 간 종속성 및 연결 이해

워크로드별 인사이트

인벤토리는 워크로드 유형별로 구성되며 각각 맞춤형 표시 유형 및 데이터를 제공합니다.

  • Virtual Machines: 보안 상태 및 취약성 데이터를 사용하여 클라우드 공급자 간 인스턴스 컴퓨팅
  • 데이터 리소스: 규정 준수 및 노출 인사이트를 사용하는 데이터베이스, 스토리지 계정 및 데이터 서비스
  • 컨테이너: 보안 검색 결과가 있는 Kubernetes 클러스터, 컨테이너 인스턴스 및 컨테이너 레지스트리
  • AI/ML 서비스: 거버넌스 및 보안 컨텍스트를 사용하는 인공 지능 및 기계 학습 리소스
  • API: 노출 분석을 사용하는 REST API, 서버리스 함수 및 통합 서비스
  • DevOps 리소스: 보안 인사이트를 사용하는 CI/CD 파이프라인, 리포지토리 및 개발 도구
  • ID 리소스: 서비스 계정, 관리 ID 및 액세스 제어 구성 요소
  • 서버리스: 함수, 논리 앱 및 이벤트 기반 컴퓨팅 리소스

고급 필터링 및 범위 지정

  • 영구 범위 지정: 환경 전반에서 일관된 필터링을 위해 클라우드 범위 활용
  • 다차원 필터링: 환경, 워크로드, 위험 수준, 규정 준수 상태 등을 필터링합니다.
  • 검색 기능: 포괄적인 검색 기능을 통한 빠른 자산 검색
  • 저장된 뷰: 다양한 운영 요구 사항에 맞게 사용자 지정 필터링된 보기 만들기 및 유지 관리

자산 분류 및 메타데이터

자산 중요도 분류

자산은 다음을 기준으로 자동으로 분류됩니다.

  • 비즈니스 영향: 자산 유형, 종속성 및 조직의 중요도에 따라 결정됨
  • 보안 상태: 구성, 취약성 및 규정 준수 상태 기반
  • 위험 요소: 인터넷 노출, 데이터 민감도 및 액세스 패턴 포함
  • 사용자 지정 분류: 사용자 정의 중요도 규칙 및 수동 재정의

커버리지 상태 표시기

각 자산에는 적용 범위 정보가 표시됩니다.

  • 보호됨: 클라우드용 전체 Defender 보호 사용
  • 부분: 일부 보안 기능이 사용하도록 설정되고 다른 기능은 업그레이드에 사용할 수 있습니다.
  • 보호되지 않음: 클라우드용 Defender 보호 없음, 온보딩 필요
  • 제외됨: 모니터링 또는 보호에서 명시적으로 제외됨

상태 및 위험 신호

통합 위험 지표는 포괄적인 자산 컨텍스트를 제공합니다.

  • 보안 경고: 활성 보안 인시던트 및 위협 검색
  • 취약성: 알려진 보안 약점 및 필수 패치
  • 규정 준수 상태: 규정 및 정책 준수 평가
  • 노출 메트릭: 인터넷 접근성, 권한 있는 액세스 및 공격 노출 영역 데이터

클라우드 인벤토리에 액세스

  1. Microsoft Defender 포털로 이동합니다.
  2. 기본 탐색에서 자산>클라우드 선택
  3. 포커스가 있는 보기에 워크로드별 탭을 사용합니다.
    • 모든 자산: 모든 워크로드 유형에 대한 포괄적인 보기
    • VM: 가상 머신별 인벤토리 및 인사이트
    • 데이터: 데이터베이스 및 스토리지를 포함한 데이터 리소스
    • 컨테이너: 컨테이너와 쿠버네티스 리소스
    • AI: 인공 지능 및 기계 학습 서비스
    • API: API 및 통합 서비스
    • DevOps: 개발 및 배포 파이프라인 리소스
    • ID: ID 및 액세스 관리 구성 요소
    • 서버리스: 함수 및 이벤트 기반 컴퓨팅 리소스

필터를 효과적으로 사용

  • 환경 필터링: 특정 클라우드 공급자(Azure, AWS, GCP)를 선택하거나 모든 환경 보기
  • 범위 필터링: 조직 경계 관리를 위한 클라우드 범위 적용
  • 위험 기반 필터링: 즉각적인 주의가 필요한 고위험 또는 노출된 자산에 집중
  • 워크로드 필터링: 특정 유형의 클라우드 리소스로 결과 좁히기
  • 상태 필터링: 보호 상태, 준수 상태 또는 상태 표시기별로 필터링

검색 및 탐색

  • 텍스트 검색: 이름, 리소스 ID 또는 메타데이터 특성별로 자산 찾기
  • 태그 기반 검색: 클라우드 공급자 태그 및 레이블을 사용하여 자산 찾기
  • 고급 쿼리: 복잡한 필터 조합을 사용하여 정확한 자산 검색
  • 내보내기 기능: 보고 및 분석을 위해 필터링된 결과 내보내기

자산 세부 정보 및 인사이트

포괄적인 자산 정보

각 자산은 다음을 비롯한 자세한 정보를 제공합니다.

  • 기본 메타데이터: 리소스 이름, ID, 위치 및 만들기 타임스탬프
  • 구성 세부 정보: 현재 설정, 정책 및 적용된 구성
  • 보안 상태: 준수 상태, 취약성 평가 및 보안 권장 사항
  • 위험 평가: 노출 분석, 위협 인텔리전스 및 위험 점수 매기기
  • 관계: 환경 전반의 종속성, 연결 및 관련 리소스

보안 권장 사항 통합

자산은 관련 보안 권장 사항에 직접 연결됩니다.

  • 구성 개선 사항: 잘못된 구성 및 강화 기회
  • 취약성 수정: 패치 관리 및 보안 업데이트
  • 액세스 제어: ID 및 권한 최적화
  • 네트워크 보안: 방화벽 규칙, 네트워크 세분화 및 노출 감소

인시던트 대응 워크플로

인벤토리는 다음을 통해 보안 작업을 지원합니다.

  • 경고 상관 관계: 더 빠른 조사를 위해 보안 경고를 특정 자산에 연결
  • 응답 작업: 수정 워크플로 및 응답 기능에 직접 액세스
  • 법의학 지원: 인시던트 조사 및 분석을 위한 자세한 자산 컨텍스트
  • 자동화 통합: 보안 오케스트레이션 및 자동화된 응답을 위한 API 액세스

노출 관리와 통합

공격 경로 시각화

인벤토리의 자산은 공격 경로 분석과 통합됩니다.

  • 경로 참여: 특정 자산이 포함된 공격 경로 확인
  • 초크 지점 식별: 중요한 수렴 지점인 자산 강조 표시
  • 대상 분류: 일반적인 공격 대상인 자산 식별
  • 진입점 분석: 초기 액세스 기회를 제공하는 자산 이해

중요한 자산 관리

인벤토리는 중요한 자산 워크플로를 지원합니다.

  • 자동 분류: 미리 정의된 규칙에 따라 자산이 자동으로 위험으로 분류될 수 있습니다.
  • 수동 지정: 보안 팀은 수동으로 자산을 중요 자산으로 지정할 수 있습니다.
  • 중요도 상속: 자산 관계는 중요도 분류에 영향을 줄 수 있습니다.
  • 보호 우선 순위: 중요한 자산은 향상된 모니터링 및 보호를 받습니다.

취약성 관리 통합

클라우드 자산은 취약성 관리와 원활하게 연결됩니다.

  • 통합 취약성 보기: 통합 대시보드에서 클라우드 및 엔드포인트 취약성 모두 보기
  • 위험 기반 우선 순위 지정: 취약성은 자산 컨텍스트 및 비즈니스 영향에 따라 우선 순위가 지정됩니다.
  • 수정 추적: 클라우드 환경에서 취약성 수정 진행률 모니터링
  • 규정 준수 보고: 클라우드 및 엔드포인트 데이터를 포함하는 취약성 보고서 생성

보고 및 분석

내장 보고서

  • 적용 범위 보고서: 클라우드 자산 전체에서 Defender for Cloud 배포 평가
  • 위험 평가: 다중 클라우드 환경에서 포괄적인 위험 분석
  • 규정 준수 대시보드: 모든 클라우드 자산에서 규정 준수 상태 추적
  • 추세 분석: 시간에 따른 보안 상태 변경 모니터링

사용자 지정 분석

  • 고급 헌팅: 사용자 지정 분석을 위해 KQL을 사용하여 클라우드 자산 데이터 쿼리
  • API 액세스: 사용자 지정 보고 및 통합을 위한 인벤토리 데이터에 대한 프로그래밍 방식 액세스
  • 내보내기 기능: 외부 분석을 위해 다양한 형식으로 자산 데이터 내보내기
  • 대시보드 통합: 클라우드 자산 인벤토리 데이터를 사용하여 사용자 지정 대시보드 만들기

제한 사항 및 고려 사항

현재 제한 사항

  • 실시간 업데이트: 일부 자산 변경은 인벤토리에 표시되기 전에 약간의 지연이 있을 수 있습니다.
  • 기록 데이터: 초기 출시 기간 동안 제한된 기록 자산 정보

성능 고려 사항

  • 대규모 환경: 필터링 및 범위 지정은 수천 개의 자산이 있는 환경에서 성능을 관리하는 데 도움이 됩니다.
  • 새로 고침 속도: 자산 데이터가 주기적으로 새로 고쳐집니다. 실시간 데이터에는 직접 클라우드 공급자 콘솔 액세스가 필요할 수 있습니다.
  • 네트워크 종속성: 인벤토리 기능을 사용하려면 클라우드 공급자 API에 대한 신뢰할 수 있는 연결이 필요합니다.

범위 지정 제한 사항

일부 자산은 정의된 클라우드 범위 외부에 나타날 수 있습니다.

  • 범위 간 종속성: 여러 범위에 걸친 관계가 있는 자산
  • 부동 자산: 세분화된 범위 지정을 지원하지 않는 특정 자산 유형
  • 상속된 사용 권한: 범위 외부의 부모 리소스에서 권한을 상속하는 자산

모범 사례

인벤토리 관리

  • 정기 검토: 정확도 및 완전성을 위해 자산 인벤토리를 주기적으로 검토합니다.
  • 태그 지정 전략: 더 나은 조직을 위해 클라우드 환경에서 일관된 태그 지정 구현
  • 범위 구성: 조직 구조와 일치하도록 적절한 클라우드 범위 설정
  • 필터 최적화: 효율적인 일상적인 작업을 위해 유용한 필터 조합 만들기 및 저장

보안 작업

  • 중요 자산 포커스: 중요 비즈니스용 자산의 모니터링 및 보호 우선 순위 지정
  • 위험 기반 접근 방식: 위험 지표를 사용하여 보안 주의 및 리소스 할당 안내
  • 통합 워크플로: 인시던트 대응 및 취약성 관리 프로세스에서 인벤토리 데이터 활용
  • 자동화 기회: 인벤토리 API를 사용하여 자동화할 수 있는 반복적인 작업 식별

인벤토리 검토

  1. Microsoft Defender 포털에서 Assets>Cloud로 이동합니다.

  2. 통합 클라우드 자산 개요를 검토합니다.

    • 연결된 모든 클라우드 환경의 총 리소스
    • 정상 및 비정상 리소스를 보여 주는 보안 상태 요약
    • Defender for Cloud의 보호 범위 메트릭 상태를 나타내는 Coverage metrics
    • 위험 수준별 자산을 보여 주는 위험 분포

  3. 워크로드별 탭을 사용하여 특정 자산 유형에 집중합니다.

    • 가상 머신 및 컴퓨팅 인스턴스에 대한 VM 선택
    • 데이터베이스 및 스토리지 리소스에 대한 데이터 선택
    • Kubernetes 및 관련 컨테이너 자산을 위해 컨테이너를 선택하십시오
    • AI 및 기계 학습 워크로드용 AI 선택
    • API 관리 및 엔드포인트에 대한 API 선택
    • 개발 파이프라인 리소스에 대한 DevOps 선택
    • ID 및 액세스 관리 자산에 대한 ID 선택
    • 서버리스 컴퓨팅과 기능에 대해 Serverless를 선택하세요.

  4. 글로벌 범위 필터를 적용하여 특정 클라우드 범위 또는 조직 경계에 집중

  5. 자산을 선택하여 자세한 정보를 확인합니다.

    • 위험 수준에 따라 우선 순위가 지정된 보안 권장 사항
    • 위협 탐지 통찰력과 함께하는 보안 경고
    • 가능한 공격 시나리오에서의 관여를 보여주는 공격 경로의 관여
    • 보안 표준에 대한 준수 상태
    • 인터넷 노출 및 횡적 이동 가능성을 포함한 위험 요소

다음 단계

  • Last updated on