다음을 통해 공유

보안 경고 관리 및 응답

Defender for Cloud는 Azure, 하이브리드 및 다중 클라우드 리소스, 네트워크 및 연결된 파트너 솔루션(예: 방화벽 및 엔드포인트 에이전트)의 로그 데이터를 수집, 분석 및 통합합니다. Defender for Cloud는 로그 데이터를 사용하여 실제 위협을 탐지하고 오탐을 줄입니다. 우선 순위가 지정된 보안 경고 목록은 문제를 신속하게 조사하는 데 필요한 정보 및 공격을 해결하기 위해 수행해야 하는 단계와 함께 Defender for Cloud에 표시됩니다.

이 문서에서는 Cloud용 Defender 경고를 보고 처리하고 리소스를 보호하는 방법을 보여 줍니다.

보안 경고를 심사할 때는 경고 심각도에 따라 경고의 우선 순위를 지정하여 더 높은 심각도 경고를 먼저 해결해야 합니다. 경고를 분류하는 방법에 대해 자세히 알아봅니다.

팁 (조언)

Microsoft Sentinel을 비롯한 SIEM 솔루션에 클라우드용 Microsoft Defender를 연결하고 선택한 도구의 경고를 사용할 수 있습니다. SIEM, SOAR 또는 IT 서비스 관리 솔루션으로 경고를 스트리밍하는 방법에 대해 자세히 알아봅니다.

필수 조건

필수 구성 요소 및 요구 사항은 Defender for Cloud에 대한 지원 매트릭스를 참조하세요.

보안 경고 관리

아래 단계를 수행하세요.

  1. Azure Portal에 로그인합니다.

  2. Microsoft Defender for Cloud의>보안 경고로 이동합니다.

    클라우드용 Microsoft Defender 개요 페이지의 보안 경고 페이지를 보여 주는 스크린샷.

  3. (선택 사항) 관련 필터를 사용하여 경고 목록을 필터링합니다. 필터 추가 옵션을 사용하여 추가 필터를 추가할 수 있습니다.

    경고 보기에 필터를 추가하는 방법을 보여 주는 스크린샷

    선택한 필터에 따라 목록이 업데이트됩니다. 예를 들어 시스템에서 잠재적인 위반을 조사하고 있으므로 지난 24시간 동안 발생한 보안 경고를 해결할 수 있습니다.

보안 경고 조사

각 경고에는 조사에 도움이 되는 경고에 대한 정보가 포함됩니다.

보안 경고를 조사하려면 다음을 수행합니다.

  1. 경고를 선택합니다. 측면 창이 열리고 경고 및 영향을 받는 모든 리소스에 대한 설명이 표시됩니다.

    보안 경고의 상위 수준 세부 정보 보기 스크린샷

  2. 보안 경고에 대한 개략적인 정보를 검토합니다.

    • 경고 심각도, 상태 및 활동 시간
    • 검색된 정확한 활동을 설명하는 설명
    • 영향을 받는 리소스
    • MITRE ATT&CK 매트릭스 상 활동의 킬 체인 의도(해당하는 경우)

  3. 전체 세부 정보 보기를 선택합니다.

    오른쪽 창에는 IP 주소, 파일, 프로세스 등 문제를 조사하는 데 도움이 되는 경고의 추가 세부 정보가 포함된 경고 세부 정보 탭이 포함되어 있습니다.

    경고에 대한 전체 세부 정보 페이지를 보여 주는 스크린샷

    또한 오른쪽 창에는 작업 수행 탭이 있습니다. 이 탭을 사용하여 보안 경고에 대한 추가 작업을 수행합니다. 다음과 같은 작업:

    • 리소스 컨텍스트 검사 - 보안 경고를 지원하는 리소스의 활동 로그로 보냅니다.
    • 위협 완화 - 이 보안 경고에 대한 수동 수정 단계를 제공합니다.
    • 향후 공격 방지 - 공격 노출 영역을 줄이고 보안 태세를 강화하여 향후 공격을 방지하는 데 도움이 되는 보안 권장 사항을 제공합니다.
    • 자동화된 응답 트리거 - 이 보안 경고에 대한 응답으로 논리 앱을 트리거하는 옵션을 제공합니다.
    • 유사한 경고 표시 안 함 - 경고가 조직과 관련이 없는 경우 유사한 특성을 가진 향후 경고를 표시하지 않는 옵션을 제공합니다.

    작업 수행 탭에서 사용할 수 있는 옵션을 보여 주는 스크린샷

    자세한 내용은 리소스 소유자에게 문의하여 탐지된 활동이 거짓 긍정인지 확인하세요. 또한 공격받은 리소스에 의해 생성된 원시 로그를 조사할 수도 있습니다.

한 번에 여러 보안 경고의 상태 변경

경고 목록에는 한 번에 여러 경고를 처리할 수 있는 확인란이 포함되어 있습니다. 예를 들어 심사 목적으로 특정 리소스에 대한 모든 정보 경고를 해제하도록 결정할 수 있습니다.

  1. 대량으로 처리하려는 경고에 따라 필터링합니다.

    이 예제에서는 리소스 ASC-AKS-CLOUD-TALK에 대한 심각도가 Informational인 경고가 선택되었습니다.

    경고를 필터링하여 관련 경고를 표시하는 방법을 보여 주는 스크린샷

  2. 확인란을 사용하여 처리할 경고를 선택합니다.

    이 예제에서는 모든 경고가 선택됩니다. 이제 상태 변경 단추를 사용할 수 있습니다.

    대량으로 처리할 모든 경고를 선택하는 스크린샷.

  3. 상태 변경 옵션을 사용하여 원하는 상태를 설정합니다.

    보안 경고 상태 탭의 스크린샷.

    현재 페이지에 표시된 경고의 상태는 선택한 값으로 변경됩니다.

보안 경고에 응답

보안 경고를 조사한 후 클라우드용 Microsoft Defender 내에서 경고에 응답할 수 있습니다.

보안 경고에 응답하려면 다음을 수행합니다.

  1. 작업 수행 탭을 열어 권장 응답을 확인합니다.

    보안 경고 작업 탭의 스크린샷.

  2. 문제를 완화하는 데 필요한 수동 조사 단계에 대한 위협 완화 섹션을 검토합니다.

  3. 리소스를 강화하고 이러한 종류의 향후 공격을 방지하려면 향후 공격 방지 섹션에서 보안 권장 사항을 수정합니다.

  4. 자동화된 응답 단계를 사용하여 논리 앱을 트리거하려면 자동화된 응답 트리거 섹션을 사용하고 트리거 논리 앱을 선택합니다.

  5. 검색된 활동이 악의적 이지 않은 경우 유사한 경고 표시 안 함 섹션을 사용하여 이러한 종류의 향후 경고를 표시하지 않고 제거 규칙 만들기를 선택할 수 있습니다.

  6. 전자 메일 알림 설정 구성을 선택하여 이 구독의 보안 경고와 관련된 전자 메일을 받는 사람을 확인합니다. 전자 메일 설정을 구성하려면 구독 소유자에게 문의하세요.

  7. 경고에 대한 조사를 완료하고 적절한 방식으로 응답한 경우 상태를 해제됨으로 변경합니다.

    경고 상태 드롭다운 메뉴의 스크린샷.

    경고가 주 경고 목록에서 제거됩니다. 경고 목록 페이지의 필터를 사용하여 해제된 상태의 모든 경고를 볼 수 있습니다.

  8. Microsoft에 경고에 대한 피드백을 제공하는 것이 좋습니다.

    1. 경고를 유용 하거나 유용하지 않음으로 표시합니다.
    2. 이유를 선택하고 메모를 추가합니다.

    경고의 유용성을 선택할 수 있는 Microsoft 창에 대한 피드백 제공 스크린샷

팁 (조언)

피드백을 검토하여 알고리즘을 개선하고 더 나은 보안 경고를 제공합니다.

다양한 유형의 경고에 대해 알아보려면 보안 경고 - 참조 가이드를 참조하세요.

클라우드용 Defender에서 경고를 생성하는 방법에 대한 개요는 Microsoft Defender for Cloud가 위협을 감지하고 대응하는 방법을 참조하세요.

에이전트 없는 검사 결과 검토

에이전트 기반 스캐너와 에이전트 없는 스캐너 모두에 대한 결과가 보안 경고 페이지에 표시됩니다.

에이전트 기반 검사 결과와 에이전트 없는 검사 결과의 결과를 모두 보여 주는 보안 경고 페이지의 스크린샷

비고

이러한 경고 중 하나를 수정하면 다음 검사가 완료될 때까지 다른 경고가 수정되지 않습니다.

관련 콘텐츠

  • Last updated on