다음을 통해 공유

로깅 및 위협 탐지

로깅 및 위협 탐지를 통해 조직은 보안 인시던트가 본격적인 위반으로 확대되기 전에 식별, 조사 및 대응할 수 있습니다. 기존의 정기 로그 검토와 달리 최신 클라우드 환경에는 신속한 프로비전, 임시 리소스 및 분산 아키텍처를 악용하는 다단계 공격을 감지하기 위해 ID, 네트워크, 데이터 및 애플리케이션 계층 간에 지속적인 모니터링, 동작 분석 및 중앙 집중식 상관 관계가 필요합니다. 포괄적인 로깅 및 위협 탐지 기능을 구현하는 조직은 신속한 인시던트 대응 및 법의학적 준비 상태를 달성하는 반면, 이러한 제어를 소홀히 하는 조직은 장기간 악의적인 대기 시간, 감지되지 않은 권한 상승 및 위반 타임라인을 재구성할 수 없는 상태에 직면합니다.

포괄적인 로깅 및 위협 탐지 기능이 없으면 조직은 장기간 작동하는 감지되지 않은 위협, 인시던트 재구성을 방지하는 불완전한 법의학 증거 및 규정 준수 격차에 직면합니다.

로깅 및 위협 탐지 보안 도메인의 세 가지 핵심 핵심 요소는 다음과 같습니다.

검색 기능 사용: 위협에 대응하기 전에 먼저 알려진 공격 패턴, 비정상적인 동작 및 손상 지표를 지속적으로 모니터링하는 지능형 검색 시스템을 배포해야 합니다. 네이티브 위협 탐지 서비스는 동작 분석 및 위협 인텔리전스를 활용하여 SQL 삽입 시도 및 맬웨어 업로드부터 자격 증명 남용 및 데이터 반출에 이르기까지 기존의 액세스 제어에서 방지할 수 없는 의심스러운 활동을 식별합니다. 모든 중요한 리소스 유형(컴퓨팅, 데이터, ID, 네트워크)에서 검색을 구현하여 공격 표면이 모니터링되지 않도록 합니다.

관련 컨트롤:

포괄적인 로깅 사용: 리소스 로그(데이터 평면 작업), 활동 로그(관리 평면 변경), ID 로그(인증 및 권한 부여 이벤트) 및 네트워크 로그(트래픽 흐름 및 방화벽 결정)와 같은 모든 클라우드 계층에서 체계적인 감사 로깅을 구현합니다. 포괄적인 로깅은 공격 타임라인을 재구성하고 인시던트 폭발 반경 범위를 지정하며 규정 준수 요구 사항을 지원하는 데 필요한 법의학적 증거를 제공합니다. ID, 네트워크 및 데이터 액세스에 걸친 완전한 감사 내역이 없으면 인시던트 응답자는 액세스한 대상, 누구, 언제, 어디서 액세스했는지 확인할 수 있는 가시성이 부족하여 위반 발생 시간을 연장하고 규제 노출을 증가시킵니다.

관련 컨트롤:

중앙 집중화 및 분석: 상관 관계, 고급 분석 및 자동화된 응답을 사용하도록 모든 원본의 로그를 중앙 집중식 SIEM(보안 정보 및 이벤트 관리) 플랫폼으로 집계합니다. 중앙 집중화는 단일 원본 모니터링에서 감지할 수 없는 다단계 공격 체인을 표시하기 위해 ID, 네트워크 및 데이터 평면 간에 이벤트를 상호 연결하여 격리된 로그 스트림을 실행 가능한 위협 인텔리전스로 변환합니다. 규정 준수 요구 사항 및 비즈니스 요구 사항에 부합하는 훈련된 보존 정책을 수립하고 모든 시스템에서 정확한 시간 동기화를 보장하여 법의학 무결성을 유지하고 정확한 인시던트 재구성을 가능하게 합니다.

관련 컨트롤:

LT-1: 위협 탐지 기능 사용하도록 설정

Azure Policy:Azure 기본 제공 정책 정의 LT-1을 참조하세요.

보안 원칙

컴퓨팅, 스토리지, 데이터베이스 및 ID 서비스에서 위협 탐지 기능을 사용하도록 설정하여 알려진 공격 패턴, 비정상적인 동작 및 의심스러운 활동을 식별합니다. 동작 분석 및 위협 인텔리전스를 사용하여 기존 액세스 제어에서 방지할 수 없는 위협을 감지합니다.

완화할 리스크

악의적 사용자는 네이티브 위협 탐지가 없는 환경을 악용하여 기존 보안 제어에 보이지 않는 공격을 수행합니다. 동작 분석 및 위협 인텔리전스 기반 모니터링이 없는 경우:

  • 검색되지 않은 맬웨어 및 악용: 서명 기반 또는 네트워크 계층 방어에서 정교한 페이로드를 놓치기 때문에 스토리지에 업로드된 악성 파일 또는 데이터베이스에 대한 악용 시도가 감지되지 않습니다.
  • 조용한 데이터 반출: 대규모 데이터 추출, 비정상적인 쿼리 패턴 또는 비정상적인 액세스 볼륨은 동작 기준이 없어서 탐지 회피 및 볼륨 이상 탐지가 어렵습니다.
  • 횡적 이동의 맹점: 서비스 간 상관 관계 및 위협 인텔리전스 피드가 통합되지 않으므로, 공격자는 스토리지에서 컴퓨팅, 데이터베이스로 리소스를 자유롭게 이동하면서 경고를 발생시키지 않습니다.
  • SQL 삽입 및 애플리케이션 공격: 악의적인 쿼리 또는 애플리케이션 계층 공격을 통한 데이터베이스 악용 시도는 실시간 쿼리 분석 및 위협 패턴 일치 없이 모니터링되지 않습니다.
  • 장기 거주 시간: 정찰, 준비 및 실행 단계에서는 경고가 생성되지 않아 인시던트 대응이 지연되고 위반 영향이 확대되므로 공격자는 장기간(일에서 수개월)동안 영구 액세스를 유지합니다.
  • 내부자 위협 불투명도: 악의적이거나 부주의한 내부자 활동은 권한 있는 액세스와 관련된 UBA(사용자 동작 분석) 및 변칙 검색이 없는 합법적인 트래픽 패턴과 혼합됩니다.

포괄적인 위협 탐지를 배포하지 못하면 MTTD(평균 검색 시간)가 몇 시간에서 몇 주로 늘어나고, 위반 비용이 증폭되며, 악의적 사용자가 클라우드 인프라 전반에 걸쳐 심층 지속성을 설정할 수 있습니다.

MITRE ATT&CK

  • 초기 액세스(TA0001): 웹 애플리케이션 또는 API에서 검색되지 않은 취약성을 활용하여 공용 애플리케이션(T1190)을 악용하여 초기 발판을 마련합니다.
  • 실행(TA0002): 동작 경고를 트리거하지 않고 컴퓨팅 또는 서버리스 리소스 내에서 악성 코드를 실행하는 명령 및 스크립팅 인터프리터(T1059)입니다.
  • 지속성(TA0003): 계정 조작(T1098) - 이상 감시 부재로 서비스 주체를 수정하거나 탐지되지 않은 상태에서 백도어 ID를 생성합니다.
  • 방어 회피(TA0005): 로깅, 모니터링 에이전트 또는 보안 서비스를 비활성화하여 사각지대에서 작동하도록 방어(T1562)를 손상시킵니다.
  • 컬렉션(TA0009): 볼륨 또는 패턴 기반 검색 없이 Blob 컨테이너 또는 개체 스토리지를 자동으로 수집하는 클라우드 스토리지(T1530)의 데이터입니다.
  • 반출(TA0010): 정상적인 API 엔드포인트를 통해 웹 서비스(T1567)를 사용하여 특정한 볼륨이나 시간에 행동 분석에서 경고를 발생시키는 데이터 스트리밍을 통해 데이터를 반출합니다.
  • 영향(TA0040): 리소스 소비 변칙 탐지에 포착되지 않는 암호화폐 채굴 프로그램이나 계산 자원 남용을 배포하는 리소스 하이재킹(T1496)

LT-1.1: 클라우드 서비스에 대한 위협 탐지 사용

모든 중요한 클라우드 서비스에 네이티브 위협 탐지 기능을 배포하여 동작 분석 및 위협 인텔리전스를 통해 악의적인 활동, 비정상적인 동작 및 알려진 공격 패턴을 식별합니다. 이 기본 계층은 컴퓨팅, 스토리지, 데이터베이스 및 키 관리 서비스를 대상으로 하는 위협에 대한 첫 번째 방어선을 제공합니다. 포괄적인 위협 탐지 범위를 설정하려면 다음 단계를 구현합니다.

  • 클라우드 네이티브 위협 탐지 사용: 컴퓨팅, 스토리지, 데이터베이스 및 ID 서비스를 위한 클라우드 보안 상태 관리 플랫폼의 위협 탐지 기능을 배포하여 동작 분석 및 위협 인텔리전스 기반 모니터링을 제공합니다.

  • 포괄적인 서비스 적용 범위 사용:클라우드용 Microsoft Defender를 사용하여 가상 머신, 스토리지 계정, 데이터베이스, 컨테이너 및 Key Vault 인스턴스를 포함하는 모든 중요한 Azure 서비스에 대한 위협 탐지를 활성화합니다.

  • 검색 기능 검토:Microsoft Defender for Cloud 보안 경고 참조 가이드 를 사용하여 보안 팀에 사용 가능한 검색 기능을 숙지하여 경고 유형, 심각도 수준 및 응답 요구 사항을 이해합니다.

  • 탐지 격차 해결: 네이티브 위협 탐지 기능이 없는 서비스의 경우 사용자 지정 분석 규칙 및 행동 탐지를 위해 데이터 플레인 로그를 수집하여 Microsoft Sentinel로 라우팅합니다.

  • 경고 품질 최적화: 경고 필터링 및 분석 규칙을 구성하여 오탐을 줄이고, 로그 데이터에서 고품질의 경고를 추출하며, 워크로드 중요도 및 위험 감내도에 따라 탐지 민감도를 조정합니다.

LT-1.2: 고급 위협 감지 및 분석 사용

보안 원격 분석을 중앙 집중화하고, XDR(통합 확장 검색 및 대응) 플랫폼을 배포하고, 위협 인텔리전스를 사용하여 경고를 보강하여 기본 위협 탐지를 향상시킵니다. 이 고급 계층을 사용하면 여러 도메인의 위협 상관 관계, 조직별 공격 패턴에 대한 사용자 지정 검색 및 조사 및 대응을 가속화하는 컨텍스트가 풍부한 경고를 사용할 수 있습니다. 다음 단계를 통해 이 고급 검색 기능을 빌드합니다.

  • 보안 원격 분석 중앙 집중화: 통합 분석 및 상관 관계를 위해 클라우드 보안 플랫폼, 엔드포인트 보호, ID 시스템 및 애플리케이션 서비스에서 Azure Monitor 또는 Microsoft Sentinel 로 경고 및 로그 데이터를 집계합니다.

  • 통합 XDR 플랫폼 배포:Microsoft Defender XDR 을 사용하여 Microsoft 365 Defender(엔드포인트, 전자 메일, 공동 작업), 클라우드용 Microsoft Defender(Azure 인프라) 및 Microsoft Entra ID(ID)의 위협 검색과 도메인 간 인시던트 그룹화 및 자동화된 조사 워크플로의 상관 관계를 지정할 수 있습니다.

  • 사용자 지정 검색 규칙 빌드: 미리 빌드된 검색에서 해결할 수 없는 조직별 위협 패턴, 공격 지표 및 비즈니스 논리 위반과 일치하는 사용자 지정 분석 규칙을 만듭니다.

  • 위협 인텔리전스를 사용하여 보강:Microsoft Defender 위협 인텔리전스 를 통합하여 위협 행위자 특성, 인프라 평판, 취약성 악용 인텔리전스 및 손상된 지표 상관 관계로 경고를 보강합니다.

  • 위협 지표 활용: 알려진 악성 인프라 및 위협 행위자 캠페인에 대해 관찰 가능 항목(IP 주소, 도메인, 파일 해시, URL)을 자동으로 일치하도록 Microsoft Sentinel에서 위협 인텔리전스 지표 를 구현합니다.

구현 예제

글로벌 제조 조직은 스토리지 계정, SQL 데이터베이스, Cosmos DB 인스턴스 및 IoT 프로덕션 시스템에 걸쳐 있는 300개 이상의 Azure 리소스에서 포괄적인 위협 탐지를 사용하도록 설정하여 MTTD(평균 검색 시간) 정교한 공격을 줄여 줍니다.

도전: 기존의 보안 모니터링은 스토리지, 데이터베이스, ID 및 전자 메일 시스템 간의 상관 관계 없이 격리된 서비스별 경고에 의존했습니다. 보안 팀은 피싱 캠페인, 자격 증명 손상 및 데이터 반출에 걸친 다단계 공격을 탐지할 수 있는 통합된 가시성이 부족했습니다. 정교한 위협을 탐지하는 평균 시간이 30일을 초과했습니다.

솔루션 접근 방식:

  • 포괄적인 클라우드 위협 감지: 데이터 평면 작업에 대한 동작 분석 및 위협 인텔리전스 기반 검색을 제공하는 150개 이상의 스토리지 계정, 40개의 SQL Database 인스턴스, 12개의 Cosmos DB 계정 및 PostgreSQL 데이터베이스에서 클라우드용 Microsoft Defender 서비스를 사용하도록 설정했습니다.
  • 통합 XDR 플랫폼: 자동화된 도메인 간 인시던트 상관 관계를 사용하여 Microsoft 365 Defender(엔드포인트, 전자 메일, 공동 작업), 클라우드용 Microsoft Defender(Azure 인프라) 및 Microsoft Entra ID(ID)에서 위협 검색을 상호 연결하는 Microsoft Defender XDR을 배포했습니다.
  • 사용자 지정 분석 규칙: SQL 데이터베이스 스키마 열거형, Cosmos DB 대량 추출 패턴 및 서비스 전반의 자격 증명 스프레이 캠페인과 일치하는 스토리지 액세스 변칙을 포함하여 다단계 공격을 검색하는 Sentinel 분석 규칙을 만들었습니다.
  • 위협 인텔리전스 보강: Microsoft Defender 위협 인텔리전스를 통합하여 위협 행위자 특성, 알려진 공격 인프라 및 취약성 악용 컨텍스트를 사용하여 경고를 보강합니다.

결과: Defender XDR은 배포 직후 피싱-반출 공격 체인을 감지하고 포함했으며, 위협 인텔리전스는 알려진 APT 대상 제조 지적 재산권과 일치하는 인프라를 식별합니다. 자동화된 도메인 간 인시던트 상관 관계를 통해 보안 팀은 이전에 오랫동안 발견되지 않은 다단계 공격을 신속하게 조사하고 대응할 수 있습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

  • NIST SP 800-53 Rev.5: SI-4(1), SI-4(2), SI-4(5), SI-4(12), SI-4(23), AU-6(1), AU-6(3)
  • PCI-DSS v4: 10.6.1, 10.6.2, 10.6.3, 10.8.1, 11.5.1
  • CIS 컨트롤 v8.1: 8.11, 13.1, 13.2
  • NIST CSF v2.0: DE.CM-1, DE.CM-4, DE.CM-7
  • ISO 27001:2022: A.8.16, A.5.24
  • SOC 2: CC7.2, CC7.3

LT-2: ID 및 액세스 관리에 대한 위협 감지 사용

Azure Policy:Azure 기본 제공 정책 정의 LT-2를 참조하세요.

보안 원칙

인증 및 권한 부여 이벤트를 모니터링하여 손상된 자격 증명, 비정상적인 로그인 패턴 및 계정 남용을 검색합니다. 과도한 인증 실패, 불가능한 이동, 사용되지 않는 계정 사용 및 무단 권한 에스컬레이션을 비롯한 동작 변칙을 식별합니다.

완화할 리스크

ID 기반 공격은 클라우드 위반의 기본 초기 액세스 벡터로 남아 있지만 많은 조직에서는 자격 증명 남용 및 비정상적인 액세스 패턴을 감지하기 위한 행동 모니터링이 부족합니다. ID 중심 위협 탐지가 없을 경우:

  • 자격 증명 손상 미탐지: 로그인 이상 및 위험 점수가 없기 때문에 도난, 유출 또는 무차별 강제된 자격 증명이 탐지되지 않고 여러 주에서 수개월 동안 사용됩니다.
  • 감지되지 않은 불가능한 여행: 불가능한 기간 내에 지리적으로 먼 위치에서 인증이 성공하면 자격 증명 공유 또는 손상이 표시되지만 기준 분석 없이 모니터링되지 않습니다.
  • 더 이상 사용되지 않는 계정 악용: 고아 계정, 이전 직원 또는 사용하지 않는 서비스 주체는 공격자가 사용자 동작 조사를 피하기 위해 활용하는 지속성의 기반을 제공합니다.
  • 권한 상승 침묵: 공격자는 감사 경고 또는 변칙 검색을 트리거하지 않고 관리 역할에 자신을 추가하거나, 새로운 권한 있는 ID를 만들거나, 그룹 멤버 자격을 수정합니다.
  • 암호 스프레이 성공: 저속으로 암호를 추측하는 공격은 계정 잠금 임계값을 피하고 테넌트 전체에서 종합된 인증 실패 분석이 없는 경우 감지를 회피합니다.
  • MFA 바이패스 기술: 악의적 사용자는 위험한 로그인 동작이 플래그가 지정되거나 차단되지 않으므로 성공하는 레거시 인증 프로토콜, 세션 재생 또는 MFA 피로 공격을 악용합니다.
  • 내부자 위협 불투명도: 합법적인 자격 증명을 가진 악의적인 내부자는 UBA(사용자 동작 분석)가 없는 정상적인 활동 패턴과 혼합하면서 데이터를 유출하거나 권한 있는 액세스를 남용합니다.

ID 및 액세스 이상 현상을 모니터링하지 않으면 공격자가 유효한 자격 증명을 사용하여 작업을 수행하면서 네트워크 및 엔드포인트 제어를 우회하고 탐지 가능성을 낮출 수 있습니다.

MITRE ATT&CK

  • 초기 액세스(TA0001): 손상된 자격 증명을 활용한 유효한 계정(T1078)으로 합법적인 인증처럼 보이는 초기 접근을 얻습니다.
  • 자격 증명 액세스(TA0006): 사용자 및 서비스 계정을 대상으로 암호 스프레이 또는 자격 증명 스터핑 공격을 포함한 무차별 암호 대입(T1110)을 수행합니다.
  • 자격 증명 액세스(TA0006): 보안되지 않은 자격 증명(T1552) 공개 위반 데이터베이스 또는 어두운 웹 원본에서 유출된 자격 증명을 수집합니다.
  • 지속성(TA0003): 계정 조작(T1098) 백도어 계정 만들기, 권한 있는 그룹에 추가 또는 인증 방법 수정
  • 권한 에스컬레이션(TA0004): 권한을 에스컬레이션하거나 더 높은 권한의 역할을 가정하기 위해 클라우드 계정을 남용하는 유효한 계정(T1078.004)입니다.
  • 방어 회피(TA0005): 토큰, 쿠키 또는 세션 아티팩트 활용 대체 인증 자료(T1550)를 사용하여 MFA 요구 사항을 무시합니다.
  • TA0008(횡적 이동) : 토큰 또는 세션 자격 증명을 전달하는 대체 인증 자료(T1550.001)를 사용하여 추가 클라우드 리소스에 액세스합니다.

LT-2.1: Microsoft Entra ID 위협 탐지 및 모니터링 활성화

모든 ID 리소스에 대한 감사 로깅 및 로그인 모니터링을 사용하도록 설정하여 ID 및 인증 활동에 대한 포괄적인 가시성을 설정합니다. 이 기본 원격 분석을 사용하면 의심스러운 인증 패턴, ID 구성에 대한 무단 변경 및 잠재적인 계정 손상 지표를 검색할 수 있습니다. 다음 모니터링 기능을 구성합니다.

  • 포괄적인 감사 로깅을 사용하도록 설정합니다.Microsoft Entra 감사 로그를 활성화하여 사용자 및 그룹 관리, 역할 할당, 애플리케이션 등록 및 정책 수정을 포함하여 ID 리소스에 대한 모든 변경 내용에 대한 완전한 추적 기능을 제공합니다.

  • 인증 활동 모니터링: 로그인 보고서를 추적하여 관리되는 애플리케이션 및 사용자 계정에 대한 모든 인증 이벤트를 캡처하고, 일반적인 액세스 패턴에 대한 기준을 설정하고, 변칙을 식별합니다.

  • 위험한 로그인 패턴을 검색합니다. 위험한 로그인 모니터링을 사용하도록 설정하여 의심스러운 원본의 인증 시도, 불가능한 이동 시나리오, 익숙하지 않은 위치 또는 잠재적 계정 손상 가능성을 나타내는 유출된 자격 증명 사용에 플래그를 지정합니다.

  • 손상된 계정 식별: 위험 플래그가 지정된 사용자를 모니터링하여 자동 또는 수동 검토 워크플로를 통해 즉각적인 조사 및 수정이 필요한 여러 위험 지표를 표시하는 계정을 검색합니다.

  • SIEM 플랫폼과 통합: 고급 상관 관계, 장기 보존 및 도메인 간 위협 탐지 분석을 위해 Microsoft Entra ID 로그를 Azure Monitor, Microsoft Sentinel 또는 타사 SIEM 플랫폼으로 라우팅합니다.

LT-2.2: ID 보호 및 위험 기반 컨트롤 구현

고급 위험 검색, 적응형 액세스 제어 및 AI 기반 조사 기능을 사용하여 ID 모니터링을 향상시킵니다. 이 고급 계층은 기계 학습을 적용하여 정교한 ID 공격을 감지하고, 위험 기반 인증 적용을 자동화하며, 클라우드 및 온-프레미스 인프라를 브리징하는 하이브리드 환경으로 보호를 확장합니다. 다음과 같은 고급 기능을 구현합니다.

  • ID 위험 검색 배포:Microsoft Entra ID Protection 을 사용하도록 설정하여 유출된 자격 증명, 익명 IP 주소의 로그인, 맬웨어 연결 원본 및 기계 학습 및 위협 인텔리전스를 사용한 암호 스프레이 공격을 비롯한 ID 위험을 감지하고 수정할 수 있습니다.

  • 위험 기반 액세스 제어 구현: Microsoft Entra 조건부 액세스를 통해 적응 인증 요구 사항을 적용하도록 ID 보호 정책을 구성하여 MFA에 중간 위험 로그인을 요구하고 수정할 때까지 고위험 인증 시도를 차단합니다.

  • 클라우드 인프라 ID 위협 모니터링:클라우드용 Microsoft Defender 워크로드 보호를 사용하도록 설정하여 사용되지 않는 계정 사용, 과도한 인증 시도 실패 및 비정상적인 서비스 주체 동작을 비롯한 의심스러운 ID 활동을 검색합니다.

하이브리드 환경으로 확장: 온-프레미스 Active Directory를 사용하는 조직의 경우 Microsoft Defender for Identity 를 배포하여 도메인 컨트롤러를 모니터링하고, 고급 위협을 검색하고, 손상된 ID를 식별하고, 하이브리드 인프라에 걸친 악의적인 내부자 작업을 조사합니다.

AI를 사용하여 조사 가속화:Microsoft Security Copilot 를 활용하여 자연어 쿼리, 자동화된 위협 분석, 안내된 수정 워크플로 및 Microsoft Defender XDR, Sentinel 및 Entra ID Protection에서 ID 신호의 AI 기반 상관 관계를 통해 조사 시간을 줄입니다.

구현 예제

8,000명의 직원이 있는 금융 서비스 조직은 클라우드 뱅킹 애플리케이션 및 고객 데이터 리포지토리를 대상으로 하는 자격 증명 기반 공격에 대처하기 위해 포괄적인 ID 위협 탐지를 구현했습니다.

도전: 기존의 인증 모니터링에는 불가능한 이동, 암호 스프레이 캠페인 및 휴면 계정 악용을 비롯한 자격 증명 기반 공격을 감지하는 동작 분석이 부족했습니다. 보안 팀은 사기 사건 또는 고객 불만 이후에만 손상 검색 수동 로그 검토에 의존했습니다. ID 기반 공격을 검색하는 평균 시간이 30일을 초과했습니다.

솔루션 접근 방식:

  • 아이덴티티 위험 탐지 및 보호: 위험 기반의 조건부 액세스 정책을 배포하여 위험도가 높은 로그인을 차단하고, 중간 위험 인증 시도에 대해 MFA를 요구하며, 자격 증명 유출이 감지될 경우 자동으로 비밀번호 변경을 강제합니다.
  • 고급 SIEM 분석: Sentinel 분석 규칙을 만들어서 불가능한 이동 패턴, 비밀번호 스프레이 공격(단일 소스에서 10개 이상의 계정에서 50번 이상의 실패 발생), 변경 기간 외 권한 상승, 그리고 휴면 계정 재활성화를 탐지했습니다.
  • 하이브리드 환경 모니터링: Active Directory 신호를 모니터링하고 클라우드 인증 패턴과 상호 연결하여 완전한 가시성을 위해 12개의 온-프레미스 도메인 컨트롤러에 Defender for Identity를 배포했습니다.
  • AI 기반 조사: 자연어 인시던트 쿼리, 자동화된 위협 컨텍스트 보강, 안내된 수정 워크플로 및 ID 손상과 리소스 액세스 간의 도메인 간 상관 관계를 가능하게 하는 통합 Microsoft Security Copilot이 활성화되었습니다.

결과: ID 보호는 배포 직후 손상된 계정에 플래그를 지정했고, Sentinel은 몇 분 내에 자격 증명 스터핑 공격을 감지하고 포함했으며, 보안 코필로트는 보안 팀이 자연어 쿼리를 사용하여 ID 기반 위협을 신속하게 조사할 수 있도록 했습니다. 조직은 이전에 오랜 기간 동안 검색되지 않은 상태로 유지된 ID 기반 공격에 대한 탐지 및 대응을 훨씬 더 빠르게 달성했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

  • NIST SP 800-53 Rev.5: AU-2(1), AU-6(1), AU-6(3), IA-4(4), SI-4(1), SI-4(12)
  • PCI-DSS v4: 8.2.8, 10.2.1, 10.2.2, 10.6.1
  • CIS 컨트롤 v8.1: 6.2, 8.5, 8.11
  • NIST CSF v2.0: DE.CM-1, PR.AC-4, PR.IP-8
  • ISO 27001:2022: A.5.16, A.8.15, A.8.16
  • SOC 2: CC6.1, CC7.2, CC7.3

LT-3: 보안 조사를 위한 로깅 사용하도록 설정

Azure Policy:Azure 기본 제공 정책 정의 LT-3을 참조하세요.

보안 원칙

데이터 평면 작업, 컨트롤 플레인 활동 및 ID 이벤트에서 감사 로깅을 사용하도록 설정하여 인시던트 조사, 포렌식 분석 및 규정 준수 유효성 검사를 지원합니다. 포괄적인 로깅은 보안 인시던트를 재구성하고 위반 범위를 결정하는 데 필요한 증거 추적을 제공합니다.

완화할 리스크

모든 클라우드 계층에 대한 포괄적인 감사 로깅은 인시던트 조사, 위반 재구성 및 규정 준수 유효성 검사를 위한 포렌식 기반을 제공합니다. 리소스, 활동 및 ID 이벤트의 체계적인 로깅이 없는 경우:

  • 법의학 사각지대: 리소스 수준 데이터 평면 작업(키 자격 증명 모음 액세스, 데이터베이스 쿼리, 스토리지 읽기)이 기록되지 않으므로 인시던트 응답자는 위반 시 액세스, 수정 또는 삭제된 항목을 확인할 수 없습니다.
  • 관리 평면 불투명도: 인프라 변경(역할 할당, 방화벽 규칙 수정, 리소스 삭제)은 감사 추적 없이 계속 진행하여 악의적이거나 부주의한 관리 작업의 특성을 방지합니다.
  • 불가능한 속성: 보안 팀은 포괄적인 Microsoft Entra ID 로그가 없으면, 의심스러운 작업을 수행한 ID, 사용한 IP 주소, 수행된 시간 또는 사용된 인증 방법을 식별할 수 없습니다.
  • 횡적 이동 탐지되지 않음: 공격자는 서비스 간 활동의 감사 데이터가 부족하다는 점을 이용하여, 조사 가능한 흔적을 남기지 않고 리소스(VM에서 스토리지, 데이터베이스로)를 전환합니다.
  • 준수 실패: 규정 프레임워크(PCI-DSS, HIPAA, SOC 2)는 모든 데이터 액세스 및 관리 작업에 대한 자세한 감사 내역을 의무화합니다. 로깅이 없으면 입증 가능한 규정 준수 격차와 감사 결과가 생성됩니다.
  • 연장된 거주 시간: 포괄적인 로그가 없으면 보안 팀은 내부 모니터링이 아닌 외부 알림(고객 불만, 규제 공개) 후에만 위반을 발견하여 평균 체류 시간을 일에서 월로 증가합니다.
  • 근본 원인 모호성: 인시던트 후 검토는 ID, 네트워크 및 데이터 평면에 걸친 완전한 감사 추적 없이는 초기 액세스 벡터, 권한 상승 경로 또는 횡적 이동 순서를 확인할 수 없습니다.

부적절한 로깅은 모든 보안 인시던트를 불완전한 법의학 증거와 불확실한 범위로 장기간의 고비용 조사로 전환합니다.

MITRE ATT&CK

  • 방어 회피(TA0005): 사각지대 모니터링에서 작동하도록 로깅 구성을 사용하지 않도록 설정하거나 수정하는 방어(T1562.008)를 손상시킵니다.
  • 방어 회피(TA0005): 악의적인 활동의 증거를 제거하기 위해 로그를 삭제하거나 조작하는 지표 제거(T1070)
  • 검색(TA0007): 환경을 매핑하기 위한 리소스, 권한 및 구성을 열거하는 클라우드 인프라 검색(T1580)입니다.
  • 수집(TA0009): 읽기, 다운로드 또는 전송을 추적하기 위해 데이터 평면 로깅 없이 중요한 데이터에 액세스하는 클라우드 스토리지(T1530)의 데이터입니다.
  • 반출(TA0010): 트랜잭션 로깅이 비활성화되거나 불완전한 클라우드 API를 통해 데이터를 추출하는 웹 서비스(T1567)를 통한 반출입니다.

LT-3.1: 인프라 및 아이디 로깅 활성화

클라우드 환경에서 모든 관리 평면 작업 및 ID 이벤트를 캡처하여 기본 감사 내역을 설정합니다. 이 계층은 인프라를 변경하는 사람, 해당 변경이 발생하는 시기 및 ID를 사용하는 방법에 대한 가시성을 제공합니다. 무단 수정, 권한 남용 및 규정 준수 위반을 감지하는 데 필수적입니다. 다음 핵심 로깅 기능을 사용하도록 설정합니다.

  • 관리 평면 작업에 활동 로그를 사용하도록 설정합니다. 모든 구독에 대해 Azure 활동 로그 를 활성화하여 리소스 만들기, 수정, 삭제(PUT, POST, DELETE 작업), 역할 할당, 정책 변경 및 관리 작업을 포함한 관리 평면 작업을 캡처합니다.

  • 활동 로그 컬렉션 중앙 집중화: 장기 보존, 상관 관계 분석 및 규정 준수 보고를 위해 활동 로그를 중앙 집중식 Log Analytics 작업 영역으로 라우팅하도록 관리 그룹 또는 구독 수준에서 진단 설정을 구성합니다.

  • 일관된 로깅 적용 범위:Azure Policy 를 배포하여 모든 구독에 진단 설정을 적용하여 일관된 활동 로그 수집을 보장하고 새 구독이 만들어질 때 구성 드리프트를 방지합니다.

  • 인증 이벤트 캡처:Microsoft Entra 로그인 로그를 사용하도록 설정하여 대화형 로그인, 비대화형 로그인, 서비스 주체 로그인 및 관리 ID 인증을 비롯한 모든 사용자 및 서비스 주체 인증 이벤트를 캡처합니다.

  • ID 변경 내용 추적:Microsoft Entra 감사 로그 를 사용하여 사용자/그룹 관리, 역할 할당, 애플리케이션 등록, 조건부 액세스 정책 수정 및 관리 단위 변경 내용을 포함하여 Microsoft Entra ID에 대한 모든 변경 내용을 추적할 수 있습니다.

  • ID 로그 보존을 확장합니다. 기본 30일 Microsoft Entra 관리 센터 보존 기간을 초과하여 연장 보존을 위해 로그인 및 감사 로그를 Log Analytics 작업 영역 또는 이벤트 허브로 라우팅하도록 Microsoft Entra 진단 설정을 구성합니다.

  • 하이브리드 ID 인프라 모니터링: 하이브리드 환경의 경우 Microsoft Entra Connect Health 로그를 통합하여 동기화 이벤트, 인증 실패 및 온-프레미스 Active Directory 통합 상태를 모니터링합니다.

  • 네트워크 이벤트와 상관 관계: LT-4(NSG 흐름 로그, Azure Firewall 로그, VPN Gateway 진단, Application Gateway 로그)에서 다루는 네트워크 인프라 로그를 사용하도록 설정하여 ID 및 제어 평면 이벤트와 네트워크 트래픽 패턴의 상관 관계를 지정하는 보안 조사를 위한 네트워크 컨텍스트를 제공합니다.

LT-3.2: 플랫폼 및 데이터 서비스 로깅 활성화

중요한 비즈니스 데이터가 상주하고 액세스되는 데이터 평면 작업으로 감사 범위를 확장합니다. 플랫폼 서비스 로그는 스토리지, 데이터베이스, 비밀 관리, 컨테이너 및 NoSQL 플랫폼을 포함하는 데이터 위반, 내부자 위협 및 규정 준수 위반을 조사하는 데 필수적인 "액세스된 항목" 및 "누구에 의해" 세부 정보를 캡처합니다. 다음 데이터 평면 로깅을 구성합니다.

  • 리소스 수준 데이터 평면 로그를 사용하도록 설정합니다. 모든 플랫폼 서비스에서 데이터 및 구성에 대한 읽기, 쓰기 및 삭제 작업을 포함하여 Azure 서비스 내에서 수행되는 데이터 평면 작업에 대해 Azure 리소스 로그 를 활성화합니다.

  • 로그 스토리지 작업:Azure Storage 진단 로그 를 사용하여 포렌식 조사를 위해 호출자 ID, 원본 IP 및 작업 대기 시간을 사용하여 StorageRead, StorageWrite, StorageDelete 이벤트를 비롯한 모든 Blob, 파일, 큐 및 테이블 스토리지 작업을 캡처할 수 있습니다.

  • 데이터베이스 활동 감사: 모든 데이터베이스 쿼리, 스키마 변경, 권한 부여, 인증 시도 및 관리 작업을 기록하도록 Azure SQL Database 감사를 구성합니다. 준수 및 보안 모니터링을 위해 감사 로그를 Log Analytics 작업 영역 또는 스토리지 계정으로 라우팅합니다.

  • 비밀 액세스 모니터링: 중요한 자산 추적을 위한 전체 감사 컨텍스트를 사용하여 검색, 회전, 삭제 및 권한 변경을 비롯한 모든 키, 비밀 및 인증서 액세스 작업을 캡처하도록 Azure Key Vault 진단 로그 를 사용하도록 설정합니다.

  • NoSQL 작업 추적: 보안 및 성능 조사를 위해 데이터 평면 작업, 쿼리 성능, 파티션 키 액세스 패턴 및 제한 이벤트를 캡처하도록 Azure Cosmos DB 진단 로그 를 구성합니다.

  • 추가 데이터 플랫폼에 대해 설명합니다. Azure Data Lake Storage, Azure Synapse Analytics, Azure Database for PostgreSQL/MySQL 및 데이터 액세스 및 관리 작업을 캡처하는 Azure Cache for Redis를 비롯한 다른 데이터 서비스에 대한 진단 로깅을 사용하도록 설정합니다.

0- Kubernetes 제어 평면 로그 기록하기:AKS(Azure Kubernetes Service) 진단을 사용 설정 후, kube-apiserver(모든 API 요청), kube-audit(보안 감사 내역), kube-controller-manager, kube-scheduler 및 cluster-autoscaler 로그를 포함한 제어 평면 로그를 캡처합니다.

  • 컨테이너 런타임 모니터링: Pod 수명 주기 이벤트 및 리소스 사용률을 포함하여 AKS 클러스터, Azure Container Instances 및 Azure Arc 지원 Kubernetes 클러스터에서 컨테이너 수준 메트릭, 로그 및 성능 데이터를 수집하도록 Container Insights 를 구성합니다.

  • 컨테이너 이미지 추적:Azure Container Registry 진단을 사용하여 이미지 푸시/끌어오기 작업, 리포지토리 액세스, 인증 이벤트, 웹후크 호출 및 취약성 검사 결과를 기록합니다.

  • 플랫폼 로깅 사용 자동화:Microsoft Defender for Cloud 를 사용하여 구독에서 지원되는 Azure 서비스에 대한 리소스 로그를 자동으로 사용하도록 설정하고 구성하여 수동 구성 오버헤드를 줄입니다.

  • 일관된 적용 범위 적용:Azure Policy 를 배포하여 일관된 로그 수집을 보장하고, 구성 드리프트를 방지하고, 비준수 리소스를 자동으로 수정하는 데이터 서비스에 대한 진단 설정을 적용합니다.

LT-3.3: 애플리케이션 및 워크로드 로깅 활성화

애플리케이션 계층 활동, 사용자 지정 워크로드 작업 및 비즈니스 논리 실행을 캡처하여 감사 범위를 완료합니다. 애플리케이션 로그는 사용자가 시스템과 상호 작용하는 방법, 액세스하는 비즈니스 데이터 및 시도되는 애플리케이션 계층 공격에 대한 깊은 가시성을 제공합니다. 인프라 제어를 우회하는 내부자 위협, 애플리케이션 남용 및 정교한 공격을 탐지하는 데 필수적입니다. 포괄적인 애플리케이션 로깅 구현:

  • 웹 애플리케이션 활동 로그:Azure App Service 진단을 사용하여 애플리케이션 로그, 웹 서버 로그(IIS/HTTP.sys 로그), 자세한 오류 메시지, 실패한 요청 추적 및 웹 애플리케이션 및 API에 대한 배포 로그를 캡처할 수 있습니다.

  • API 게이트웨이 작업 모니터링: API 요청, 응답, 인증 실패, 속도 제한 위반, 정책 실행 세부 정보, 백 엔드 서비스 오류 및 구독 관리 이벤트를 기록하도록 Azure API Management 진단을 구성합니다.

  • 서버리스 함수 실행 추적: Application Insights 통합을 사용하여 Azure Functions 모니터링을 사용하도록 설정하여 권한 부여 결정 및 중요한 작업 감사를 포함한 함수 실행, 종속성, 예외, 성능 메트릭 및 사용자 지정 보안 이벤트를 캡처합니다.

  • 비즈니스 프로세스 워크플로 기록: Azure Logic Apps의 경우 진단을 사용하여 워크플로 실행을 기록하고, 이벤트, 작업 결과 및 비즈니스 프로세스 보안 조사를 지원하는 통합 실패를 트리거할 수 있습니다.

  • VM 모니터링 에이전트 배포: Windows 및 Linux 가상 머신에 Azure Monitor 에이전트 를 배포하여 보안 이벤트 로그, Syslog, 성능 카운터 및 사용자 지정 로그 파일을 수집합니다.

  • Windows 보안 이벤트 수집: 인증 시도(이벤트 ID 4624, 4625), 권한 상승(4672, 4673), 계정 관리(4720, 4726, 4738), 감사 정책 변경(4719)을 비롯한 보안 관련 이벤트에 대한 Windows 이벤트 로그 컬렉션을 구성합니다.

  • Linux 시스템 로그 수집: 인증 로그(/var/log/auth.log, /var/log/secure), 시스템 로그(/var/log/syslog, /var/log/messages) 및 애플리케이션별 보안 로그에 대해 Linux Syslog 컬렉션을 구성합니다.

  • 엔드포인트 보호 모니터링: Windows 가상 머신에 대한 맬웨어 방지 모니터링을 사용하여 맬웨어 검색 이벤트, 검사 결과, 서명 업데이트 및 정책 위반을 기록할 수 있습니다.

  • 구조적 로깅 구현: 사용자 ID, 원본 IP 주소, 요청 ID, 작업 유형, 데이터 분류 레이블, 권한 부여 결정 및 비즈니스 트랜잭션 식별자를 비롯한 보안 컨텍스트를 사용하여 구조화된 애플리케이션 로깅을 구현하여 상관 관계 및 포렌식 분석을 지원합니다.

  • APM 원격 분석을 사용하도록 설정합니다.Application Insights 또는 동등한 APM(애플리케이션 성능 모니터링) 솔루션을 사용하여 원격 분석, 예외, 사용자 지정 보안 이벤트, 마이크로 서비스에 대한 분산 추적 및 종속성 추적을 수집할 수 있습니다.

  • 애플리케이션 보안 이벤트 기록: 인증 시도, 권한 부여 실패, 입력 유효성 검사 실패, 권한 에스컬레이션, 중요한 데이터 액세스 및 비즈니스 논리 보안 위반을 포함한 애플리케이션 계층 보안 이벤트 로깅을 구성합니다.

  • 웹 애플리케이션 공격 모니터링: 웹 애플리케이션 및 API의 경우 HTTP 보안 헤더, 콘텐츠 보안 정책 위반, CORS 정책 적용 및 세션 관리 이벤트를 기록하여 애플리케이션 계층 공격을 검색합니다.

  • 레이어 7 공격 시도 캡처: API 게이트웨이 및 웹 애플리케이션 방화벽에 대한 로깅을 사용하도록 설정하여 SQL 삽입 시도, XSS(사이트 간 스크립팅), 원격 코드 실행 시도, 로컬 파일 포함, XML XXE(외부 엔터티) 공격 및 비즈니스 논리 남용 패턴을 포함한 계층 7 공격을 캡처합니다.

  • API 남용 추적: 위협 탐지 및 인시던트 대응을 지원하는 속도 제한 적용, 인증 실패, 봇 검색 및 API 남용 패턴에 대한 로깅을 구성합니다.

구현 예제

의료 SaaS 공급자는 HIPAA 감사 요구 사항을 충족하고 200명 이상의 병원 고객에게 서비스를 제공하는 EHR(전자 건강 기록) 시스템에 대한 보안 조사를 지원하기 위해 포괄적인 3계층 로깅(인프라/ID, 플랫폼/데이터 서비스, 애플리케이션/워크로드)을 지원했습니다.

도전: 격리된 서비스에서 조각화된 로깅은 다단계 공격의 상관 관계를 방지했습니다. 보안 팀은 HIPAA 규정 준수에 대한 완전한 감사 내역이 부족했으며 인프라 변경, 데이터 액세스 및 애플리케이션 남용에 걸친 인시던트 타임라인을 재구성할 수 없었습니다. 120개 이상의 서비스에서 수동 로그 집계로 인해 인시던트 조사 평균 시간이 2주를 초과했습니다.

솔루션 접근 방식:

  • 인프라 및 ID 로깅: 5개의 구독을 포함하는 관리 그룹 수준에서 구성된 중앙 집중식 활동 로그 및 Microsoft Entra ID 로그(로그인, 감사)는 규정 준수를 위해 2년 보존으로 1.5M 일일 인증 이벤트 및 50K 관리 작업을 캡처합니다.
  • 플랫폼 및 데이터 서비스 로깅: 2M+ 일일 감사 이벤트를 생성하는 데이터 평면 작업, 쿼리 성능 및 컨테이너 보안 이벤트를 캡처하는 120개 이상의 스토리지 계정, 12개의 SQL 데이터베이스, 15개의 Key Vault, Cosmos DB 인스턴스 및 AKS 클러스터(kube-audit, Container Insights)에 대한 진단 로그를 사용하도록 설정했습니다.
  • 애플리케이션 및 워크로드 로깅: Azure Monitor 에이전트를 150개 VM에 배포하고, 8개의 웹 애플리케이션에 App Service 진단을 사용하도록 설정하고, 3개의 의료 통합 API에 대한 API Management 로깅을 구성하고, 구조적 보안 컨텍스트 로깅을 사용하여 분산 추적을 위한 Application Insights를 구현했습니다.
  • 중앙 집중식 상관 관계: 계층화된 보존 정책(2년 HIPAA 규제, 1년 운영, 90일 성능) 및 Azure RBAC 액세스 제어를 사용하여 세 계층 모두의 이벤트를 상호 연결하는 Microsoft Sentinel 분석 규칙이 배포되었습니다.

결과: 계층 간 로그 상관 관계를 통해 역할 할당, Key Vault 액세스 및 스토리지 반출에 걸친 정교한 다단계 공격을 신속하게 검색할 수 있습니다. 조직은 인프라, 플랫폼 및 애플리케이션 계층에서 중앙 집중식 로그 분석을 통해 완전한 HIPAA 감사 내역 준수를 달성하고 인시던트 조사 시간을 크게 단축했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

  • NIST SP 800-53 Rev.5: AU-2(1), AU-3(1), AU-6(1), AU-6(3), AU-12(1), SI-4(2)
  • PCI-DSS v4: 10.2.1, 10.2.2, 10.3.1, 10.3.2, 10.3.3
  • CIS 컨트롤 v8.1: 8.2, 8.3, 8.5, 8.12
  • NIST CSF v2.0: DE.AE-3, DE.CM-1, DE.CM-6, PR.PT-1
  • ISO 27001:2022: A.8.15, A.8.16, A.8.17
  • SOC 2: CC4.1, CC7.2, CC7.3

LT-4: 보안 조사를 위해 네트워크 로깅 사용하도록 설정

Azure Policy:Azure 기본 제공 정책 정의 LT-4를 참조하세요.

보안 원칙

흐름 로그, 방화벽 의사 결정 로그, 웹 애플리케이션 방화벽 이벤트 및 DNS 쿼리를 포함한 네트워크 트래픽 로깅을 사용하도록 설정하여 인시던트 조사 및 위협 탐지를 지원합니다. 네트워크 로그는 횡적 이동, 명령 및 제어 통신, 데이터 반출 및 정책 위반에 대한 법의학적 증거를 제공합니다.

완화할 리스크

네트워크 트래픽 로그는 횡적 이동, 데이터 반출, 명령 및 제어 통신 및 애플리케이션 계층 공격을 조사하기 위한 중요한 법의학적 증거를 제공합니다. 포괄적인 네트워크 로깅이 없는 경우:

  • 횡적 이동 맹점: 공격자는 네트워크 흐름 증거를 남기지 않고 서브넷, VM 간, 또는 컴퓨팅에서 데이터 서비스로 이동하면서 내부 트래픽 변칙의 식별을 방지합니다.
  • 반출 경로 불투명도: 외부 대상으로 대규모 데이터 전송, 비정상적인 송신 패턴 또는 DNS 터널링이, 흐름 로그와 방화벽 트래픽 분석이 없으면 탐지되지 않은 채 진행됩니다.
  • 보이지 않는 애플리케이션 레이어 공격: WAF 로그, 애플리케이션 게이트웨이 로그 및 레이어 7 검사 기능이 비활성화된 경우, SQL 삽입 시도, 웹 쉘 업로드, API 남용 또는 프로토콜 조작이 검출을 우회할 수 있습니다.
  • 검색되지 않은 C2 통신: 명령 및 제어 비콘, 콜백 패턴 또는 터널링된 프로토콜은 DNS 쿼리 로그 및 네트워크 연결 기준 없이 검색을 회피합니다.
  • 정책 위반 투명도: 네트워크 구분을 위반하거나, 권한이 없는 포트/프로토콜에 액세스하거나, 방화벽 규칙을 우회하는 트래픽은 모니터링되지 않고 제로 트러스트 경계를 침식합니다.
  • 규정 준수 격차: 규정 표준(PCI-DSS 10.8, NIST AU-12)은 네트워크 활동 로깅 및 모니터링을 의무화합니다. 부재 로그는 감사 결과 및 인증 위험을 만듭니다.
  • 인시던트 재구성 실패: 위반 후 포렌식은 포괄적인 네트워크 흐름 및 방화벽 의사 결정 로그 없이는 공격자 원본 IP, 횡적 이동 경로 또는 데이터 반출 경로를 결정할 수 없습니다.

MITRE ATT&CK

  • 명령 및 제어(TA0011): HTTP/HTTPS 또는 기타 표준 프로토콜을 사용하여 C2 트래픽을 합법적인 통신과 혼합하는 애플리케이션 계층 프로토콜(T1071)입니다.
  • 명령 및 제어(TA0011): C2 채널 또는 데이터 반출 터널에 대한 DNS 쿼리를 활용하는 DNS(T1071.004)
  • TA0008(횡적 이동): RDP, SSH 또는 클라우드 관리 프로토콜을 사용하여 시스템 간에 이동하는 원격 서비스(T1021)
  • 반출(TA0010): 설정된 명령 및 제어 연결을 통해 도난당한 데이터를 스트리밍하는 C2 채널(T1041)을 통한 반출.
  • 반출(TA0010): 비표준 포트 또는 프로토콜을 사용하여 송신 모니터링을 회피하는 대체 프로토콜(T1048)을 통한 반출.
  • 방어 회피(TA0005): 프로토콜 터널링(T1572)은 합법적인 프로토콜(DNS, HTTPS) 내에서 악의적인 트래픽을 캡슐화하여 검사를 우회합니다.

LT-4.1: 네트워크 보안 로깅 및 모니터링 활성화

포괄적인 네트워크 트래픽 원격 분석을 캡처하여 횡적 이동, 데이터 반출, 명령 및 제어 통신 및 애플리케이션 계층 공격을 검색합니다. 네트워크 로그는 공격자가 시스템 간에 이동하는 방법, 공격자가 접촉하는 외부 대상 및 사용하는 공격 기술에 대한 증거 추적을 제공하며, 정교한 다단계 위반을 조사하는 데 필수적입니다. 다음 네트워크 로깅 기능을 사용하도록 설정합니다.

  • 네트워크 흐름 로그 캡처:NSG(네트워크 보안 그룹) 흐름 로그 를 사용하여 원본/대상 IP, 포트, 프로토콜 및 횡적 이동 감지에 대한 허용/거부 결정을 포함하여 NSG를 통해 흐르는 IP 트래픽에 대한 정보를 캡처할 수 있습니다.

  • 방화벽 활동 모니터링:Azure Firewall 로그 및 메트릭 을 사용하도록 설정하여 중앙 집중식 송신 모니터링 및 위협 탐지를 위해 방화벽 활동, 규칙 처리, 위협 인텔리전스 적중 및 DNS 프록시 로그를 모니터링합니다.

  • 애플리케이션 계층 공격 로그: WAF(웹 애플리케이션 방화벽) 로그를 사용하여 요청 세부 정보 및 차단 결정과 함께 SQL 삽입, 사이트 간 스크립팅 및 OWASP 상위 10개 위반을 비롯한 애플리케이션 계층 공격 시도를 캡처할 수 있습니다.

  • DNS 쿼리 데이터 수집: 네트워크 데이터의 상관 관계를 지정하고 터널링, DGA 도메인 및 명령 및 제어 통신을 비롯한 DNS 기반 공격을 검색하는 데 도움이 되도록 DNS 쿼리 로그 를 수집합니다.

  • 포괄적인 모니터링 배포: 포괄적인 네트워크 가시성 및 중앙 집중식 로그 상관 관계를 위해 Azure Monitor의 Azure 네트워킹 모니터링 솔루션을 사용합니다.

  • 트래픽 분석 사용: Azure Monitor Log Analytics 작업 영역으로 흐름 로그를 보내고 Traffic Analytics를 사용하여 네트워크 트래픽 패턴, 보안 위협, 대역폭 사용 및 정책 위반에 대한 인사이트를 제공합니다.

구현 예제

도전: 결제 처리 및 고객 데이터 시스템을 보호하는 다중 지역 인프라에서 횡적 이동, 데이터 반출 및 애플리케이션 계층 공격을 감지하는 데 필요한 글로벌 전자 상거래 플랫폼입니다.

솔루션 접근 방식: 200개 이상의 네트워크 보안 그룹에 Traffic Analytics를 사용하여 NSG 흐름 로그를 배포하고, 중앙 집중식 송신 지점 및 애플리케이션 게이트웨이에서 Azure Firewall 및 WAF 진단 로그를 구성하고, C2 검색을 위한 DNS 분석을 구현하고, ID 및 리소스 활동 신호와의 상관 관계를 위해 모든 네트워크 로그를 SIEM과 통합하여 포괄적인 네트워크 로깅을 사용하도록 설정했습니다.

결과: Traffic Analytics는 정책 위반(노출된 관리 포트)을 식별했습니다. WAF 로그는 SQL 삽입 캠페인 탐지 및 차단을 기록했습니다. 또한, DNS 분석은 DGA 패턴을 식별하여 신속한 VM 격리를 가능하게 했습니다. 네트워크 로깅을 사용하면 포괄적인 흐름 및 방화벽 로그 분석 없이 보이지 않는 횡적 이동 패턴 및 데이터 반출 시도를 검색할 수 있습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

  • NIST SP 800-53 Rev.5: AU-2(1), AU-3(1), AU-6(1), AU-12(1), SI-4(2), SI-4(4), SI-4(5), SI-4(12)
  • PCI-DSS v4: 10.2.1, 10.2.2, 10.3.1, 10.3.2, 11.4.1, 11.4.2
  • CIS 컨트롤 v8.1: 8.2, 8.5, 8.6, 8.11, 13.6
  • NIST CSF v2.0: DE.AE-3, DE.CM-1, DE.CM-4, DE.CM-6, DE.CM-7
  • ISO 27001:2022: A.8.15, A.8.16
  • SOC 2: CC7.2

LT-5: 보안 로그 관리 및 분석 중앙 집중화

Azure Policy:Azure 기본 제공 정책 정의 LT-5를 참조하세요.

보안 원칙

상관 관계 및 분석을 위해 모든 클라우드 서비스, ID 시스템 및 네트워크 인프라의 보안 로그를 통합 플랫폼으로 중앙 집중화합니다. 중앙 집중식 집계를 사용하면 격리된 로그 원본에서 표시할 수 없는 여러 서비스에 걸친 다단계 공격을 검색할 수 있습니다.

완화할 리스크

서로 다른 서비스 및 지역에 저장된 분산 로그는 다단계 공격의 상관 관계를 방지하고 인시던트 검색을 지연합니다. 중앙 집중식 로그 집계 및 SIEM 기능이 없는 경우:

  • 다단계 공격 은폐: 격리된 로그 사일로가 서비스 간 상호 상관관계와 타임라인 재구성을 방해하여 ID(Microsoft Entra ID), 네트워크(NSG 플로우), 데이터(스토리지 접근) 전반에 걸친 정교한 킬 체인이 탐지되지 않은 채로 남아 있습니다.
  • 경고 피로 및 노이즈: 수십 개의 개별 서비스에서 연관성이 없는 경고에 빠져 있는 보안 팀은 중요한 패턴을 놓치고 있습니다. 우선 순위가 높은 인시던트가 컨텍스트가 부족하고 우선 순위가 매겨지지 않은 수많은 오탐 속에 묻혀 있습니다.
  • 지연된 탐지: 수동 로그 집계 및 분석으로 탐지 평균 시간(MTTD)이 분에서 며칠로 증가하여 공격자는 방어자가 증거를 연관 짓기 전에 정찰 → 실행 → 반출의 전체 공격 주기를 완료할 수 있습니다.
  • 불완전한 위협 헌팅: 보안 분석가는 로그가 서비스별 인터페이스에 분산된 상태로 유지되는 경우 여러 서비스, 시간 범위 및 공격 지표에 걸친 사전 위협 헌팅 쿼리를 수행할 수 없습니다.
  • 준수 감사 실패: 규정 요구 사항은 중앙 집중식 보안 모니터링 및 보고를 의무화합니다. 분산 로그는 보안 작업 완성도 및 감사 준비 상태에서 입증할 수 있는 격차를 만듭니다.
  • 비효율적인 인시던트 대응: IR 팀은 통합 조사 워크플로 대신 Azure Portal, Log Analytics, 서비스별 로그 및 타사 도구 간에 수동으로 피벗하는 데 중요한 시간을 낭비합니다.
  • 보존 및 거버넌스 손실: 서비스 간 일관성 없는 보존 정책으로 인해 조사가 완료되기 전에 중요한 법의학적 증거가 만료되고 중앙 집중식 액세스 제어가 부족하면 중요한 로그가 무단으로 볼 수 있습니다.

중앙 집중식 SIEM/SOAR이 없는 조직은 조각화된 가시성, 장기간의 응답 시간 및 조정된 공격을 탐지할 수 없는 상태로 사후적으로 작동합니다.

MITRE ATT&CK

  • 방어 회피(TA0005): 서비스 경계를 넘어 상관 관계 기반 검색을 방지하기 위해 로그 조각화를 악용하는 방어(T1562)를 손상시킵니다.
  • 검색(TA0007): 여러 서비스에서 리소스를 체계적으로 열거하는 클라우드 인프라 검색(T1580) - 중앙 집중식 분석을 통해서만 표시되는 패턴입니다.
  • TA0008(횡적 이동): 토큰이나 자격 증명을 사용하여 서비스 전반에 걸쳐 대체 인증 자료(T1550)로 피벗합니다. 이러한 이동은 서비스 간의 로그 상관 관계를 통해서만 추적할 수 있습니다.
  • 컬렉션(TA0009): 여러 원본의 데이터를 반출 전에 집계하는 데이터 스테이징(T1074.002) - 다중 서비스 이상 분석을 통해 감지할 수 있는 스테이징 패턴입니다.
  • 반출(TA0010): 개별 서비스 볼륨 임계값을 방지하기 위해 여러 서비스에 분산 추출을 사용하는 자동화된 반출(T1020) - 집계된 분석을 통해서만 검색할 수 있습니다.

LT-5.1: 중앙 집중식 로그 집계 구현

모든 보안 원격 분석을 중앙 플랫폼으로 라우팅하여 서비스에 분산된 조각화된 로그를 통합 가시성으로 변환합니다. 로그 집계는 서비스 간 상관 관계의 토대를 제공하여 초기 손상에서 횡적 이동, 데이터 반출에 이르기까지 인프라 경계를 포괄하는 공격 패턴을 검색할 수 있도록 합니다. 중앙 집중식 로그 수집 설정:

  • 로그를 중앙에서 집계합니다.Azure 활동 로그를 모든 서비스의 리소스 진단 로그와 함께 중앙 집중식 Log Analytics 작업 영역에 통합하여 리소스 간 상관 관계 및 통합된 조사 워크플로를 사용하도록 설정합니다.

  • 집계된 로그 쿼리: KQL 쿼리와 함께 Azure Monitor 를 사용하여 패턴 검색 및 조사를 위해 Azure 서비스, 엔드포인트 디바이스, 네트워크 리소스 및 기타 보안 시스템에서 집계된 로그에 대한 분석을 수행합니다.

  • 경고 구성: 여러 원본에서 집계된 로그를 사용하여 경고 규칙을 만들어 여러 로그 원본에 걸친 상관 관계 논리를 통해 보안 위협 및 운영 문제를 검색합니다.

  • 데이터 거버넌스 설정: 데이터 소유권을 정의하고, 로그에 대한 역할 기반 액세스 제어를 구현하고, 규정 준수 요구 사항에 대한 스토리지 위치를 지정하고, 비용 및 규제 의무와 함께 조사 요구 사항의 균형을 맞추는 보존 정책을 설정합니다.

LT-5.2: SIEM 및 SOAR 기능 배포

자동화된 응답 기능을 사용하여 SIEM(보안 정보 및 이벤트 관리)을 배포하여 로그 집계를 사전 보안 작업으로 승격합니다. SIEM은 상관 관계 규칙, 위협 분석 및 자동화된 인시던트 워크플로를 통해 원시 로그를 실행 가능한 인텔리전스로 변환하여 보안 팀이 수동 조사 속도가 아닌 머신 속도로 위협을 감지하고 대응할 수 있도록 합니다. SIEM/SOAR 플랫폼을 빌드합니다.

  • SIEM 플랫폼 배포:Microsoft Sentinel을 온보딩 하여 중앙 집중식 보안 분석 및 인시던트 대응을 위한 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 기능을 제공합니다.

  • 데이터 원본 연결: Azure 서비스, Microsoft 365, 타사 보안 솔루션 및 온-프레미스 시스템을 포함한 Microsoft Sentinel에 데이터 원본을 연결하여 포괄적인 보안 가시성을 설정합니다.

  • 분석 규칙 구성: Sentinel에서 검색 규칙을 만들어 위협을 식별하고 여러 로그 원본 및 기간에 걸친 상관 관계 보안 이벤트를 기반으로 인시던트가 자동으로 생성됩니다.

  • 응답 작업 자동화: Logic Apps를 사용하여 자동화된 응답 플레이북을 구현하여 포함, 알림 및 수정 워크플로를 포함한 인시던트 응답 작업을 오케스트레이션합니다.

  • 모니터링 대시보드 사용: 보안 모니터링, 위협 헌팅, 규정 준수 보고 및 경영진 수준의 보안 태세 가시성을 위해 Sentinel 통합 문서 및 대시보드를 배포합니다.

  • AI 기반 분석 통합:Sentinel과 Microsoft Security Copilot 통합 을 사용하도록 설정하여 중앙 집중식 보안 로그에서 자연어 쿼리를 사용하여 AI 기반 인시던트 조사, 위협 헌팅 및 안내된 응답 권장 사항을 제공합니다.

구현 예제

도전: 다국적 보험 회사는 12개의 Azure 구독, 500개 이상의 리소스 및 4개 지역에서 정책 소유자 개인 정보 및 클레임 데이터를 처리하는 통합 위협 탐지 및 조사 기능이 필요했습니다.

솔루션 접근 방식: 모든 Azure 활동 로그, ID 원격 분석 및 중요한 리소스 로그(스토리지, SQL, Key Vault, 방화벽)를 라우팅하는 관리 그룹 수준 진단 설정을 사용하여 중앙 집중식 Log Analytics 작업 영역을 배포했습니다. 클라우드용 Defender, Entra ID Protection, Microsoft 365 Defender 및 Defender 위협 인텔리전스용 데이터 커넥터를 사용하여 Microsoft Sentinel SIEM을 사용하도록 설정했습니다. 보험별 위협(대량 클레임 내보내기, 권한 있는 액세스 이상, 다단계 공격)에 대한 분석 규칙을 구성하고, 격리 워크플로에 대한 자동화된 응답 플레이북을 설정했으며, 자연어 분석 기능을 갖춘 Security Copilot을 통합했습니다. HIPAA, PCI-DSS 및 SOC 2 요구 사항을 Sentinel 원격 분석에 매핑한 규정 준수 문서 설정

결과: Sentinel은 구독 간 상관 관계를 통해 자격 증명 스터핑 캠페인을 감지하고 몇 분 내에 지리적 지역에서 횡적 이동을 식별했습니다. 보안 코필로트는 계층 1 분석가가 고급 쿼리 언어 전문 지식 없이 자연어 쿼리를 사용하여 정교한 조사를 수행할 수 있도록 했습니다. 중앙 집중식 SIEM은 글로벌 인프라 전체에서 보안 인시던트 검색 및 조사 평균 시간을 크게 줄여 줍니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

  • NIST SP 800-53 Rev.5: AU-2(1), AU-3(1), AU-6(1), AU-6(3), AU-6(5), AU-7(1), AU-12(1), SI-4(1), SI-4(2), SI-4(5), SI-4(12)
  • PCI-DSS v4: 10.4.1, 10.4.2, 10.4.3, 10.7.1, 10.7.2, 10.7.3
  • CIS 컨트롤 v8.1: 8.9 , 8.11, 13.1, 13.3, 13.4, 17.1
  • NIST CSF v2.0: DE.AE-2, DE.AE-3, DE.CM-1, DE.CM-4, DE.CM-6, DE.CM-7, RS.AN-1
  • ISO 27001:2022: A.8.15, A.8.16, A.5.25
  • SOC 2: CC7.2, CC7.3

LT-6: 로그 스토리지 보존 구성

Azure Policy:Azure 기본 제공 정책 정의 LT-6을 참조하세요.

보안 원칙

규정 요구 사항, 규정 준수 의무 및 조사 타임라인에 맞게 로그 보존 기간을 구성합니다. 계층화된 보존 전략을 통해 스토리지 비용과 법의학적 증거 보존 요구 사항의 균형을 유지합니다.

완화할 리스크

부족하거나 일관성이 없는 로그 보존 정책은 조사가 완료되기 전에 법의학적 증거를 삭제하고 규정 준수 격차를 만듭니다. 규제 및 운영 요구 사항에 부합하는 체계적인 보존이 없는 경우:

  • 증거 만료: 보안 팀이 위반을 발견하기 전에 중요한 포렌식 데이터(인증 로그, 액세스 패턴, 네트워크 흐름)가 만료됩니다. 평균 체류 시간이 200일 이상인 경우 로그가 기록 손상 문제를 조사할 수 있을 만큼 오래 지속되어야 합니다.
  • 규정 준수 위반: 규정 의무(PCI-DSS 10.7: 1년, GDPR: 관할권에 따라 다름, HIPAA: 6년)에는 특정 보존 기간이 필요합니다. 부적절한 보존으로 인해 감사 결과, 인증 실패 및 규제 처벌이 발생합니다.
  • 불완전한 인시던트 재구성: 로그가 조기에 만료되면 확장된 위반 타임라인에서 지표의 기록 상관 관계가 불가능해져서 전체 킬 체인 분석 및 근본 원인 결정을 방지할 수 있습니다.
  • 법적 검색 격차: 소송, 규제 조사 및 내부 감사를 수행하려면 기록 보안 로그를 생성해야 합니다. 누락된 로그는 법적 노출을 생성하고 조직 관행을 방어할 수 없습니다.
  • 패턴 분석 실명: 기계 학습 모델 및 행동 기준에는 역사적인 학습 데이터가 필요합니다. 보존 기간이 짧으면 느리게 진행되는 공격, 계절 패턴 또는 장기적인 추세 분석의 탐지를 방해합니다.
  • 비용 초과: 보존 계층화 전략(핫 스토리지와 콜드 스토리지)이 없으면, 장기 보관 요구 사항에 대해 Azure Storage가 더 적합함에도 불구하고 Log Analytics 보존 비용이 높아져 운영 비용이 불필요하게 증가합니다.
  • 보존 정책 드리프트: 서비스 간 일관성 없는 보존(활동 로그의 경우 90일, 리소스 로그의 경우 30일, 일부 서비스의 경우 무기한)은 조사 사각지대와 예측할 수 없는 법의학적 범위를 만듭니다.

불충분한 데이터 보관은 지속적인 침해를 조사가 불가능한 사건으로 전환하여 규제 및 법적 책임을 초래합니다.

MITRE ATT&CK

  • 방어 회피(TA0005): 활성 로그 삭제 없이 증거가 자연스럽게 만료되도록 짧은 보존 기간을 활용하는 지표 제거(T1070) 공격자.
  • 지속성(TA0003): 계정 조작(T1098)은 초기 침해 증거가 탐지되기 전에 노후화될 것이라는 자신감 있게 장기 백도어 액세스를 구축합니다.

LT-6.1: 로그 보존 전략 구현

규제 의무 및 조사 일정에 부합하는 계층화된 보존 전략을 구현하여 포렌식 보존 요구와 스토리지 비용의 균형을 맞춥니다. 로그 유형에 따라 활성 조사를 위한 핫 스토리지, 최근 기록을 위한 웜 스토리지, 장기 규정 준수를 위한 콜드 보관 등 다양한 보존 기간이 필요하며 조사 기능과 운영 비용을 모두 최적화할 수 있습니다. 다음 보존 전략을 구성합니다.

  • 로그를 적절한 스토리지로 라우팅: Azure 활동 로그 및 기타 리소스 로그를 보존 요구 사항, 규정 준수 의무 및 핫 스토리지 비용과 콜드 스토리지 비용의 균형을 맞추는 조사 타임라인에 따라 적절한 스토리지 위치로 라우팅하는 진단 설정을 만듭니다.

  • 단기 및 중기 보존 구성: 활성 조사, 위협 헌팅 및 KQL 쿼리 기능을 사용한 운영 분석을 위해 로그 보존에 최대 1-2년 동안 Azure Monitor Log Analytics 작업 영역을 사용합니다.

  • 장기 보관 스토리지 구현: 콜드/보관 계층을 통해 상당한 비용 절감을 통해 규정 준수 요구 사항(PCI-DSS, SEC 17a-4, HIPAA)을 충족하려면 1-2년 이상의 장기 및 보관 스토리지 에 Azure Storage, Data Explorer 또는 Data Lake를 사용합니다.

  • 외부에서 로그 전달: Azure Event Hubs를 사용하여 다중 클라우드 가시성 또는 레거시 통합에 필요한 경우 Azure 외부 SIEM, Data Lake 또는 타사 보안 시스템에 로그를 전달합니다.

  • 스토리지 계정 보존 구성: 규정 준수 요구 사항에 따라 Azure Storage 계정 로그에 대한 보존 정책을 구성하고 자동 계층 전환 및 삭제를 위한 수명 주기 관리를 구현합니다.

  • Sentinel 로그 보존 계획: Sentinel은 Log Analytics 작업 영역을 백 엔드로 사용하므로 Microsoft Sentinel 로그에 대한 장기 스토리지 전략을 구현하여 작업 영역 제한을 초과하는 확장 보존을 위해 명시적 보관 구성을 요구합니다.

  • 보안 경고 보관:클라우드용 Defender 데이터는 네이티브 포털에서 보존이 제한되므로 보존 요구 사항을 충족하도록 Microsoft Defender for Cloud 경고 및 권장 사항에 대한 지속적인 내보내기를 구성합니다.

구현 예제

도전: 규제된 금융 서비스 조직은 80TB의 연간 보안 로그 데이터를 비용 효율적으로 관리하면서 여러 보존 요구 사항(PCI-DSS: 1년, SEC 17a-4: 7년)을 충족해야 했습니다.

솔루션 접근 방식: 1년 기본 보존 및 테이블 수준 재정의를 사용하여 Log Analytics 작업 영역을 구성하여 계층화된 로그 보존 전략을 구현했습니다(ID 로그: 2년, 네트워크 흐름: 90일), 수명 주기 관리 정책을 사용하여 모든 로그를 Azure Storage 계정으로 내보내기(핫→90일, 쿨→1년 시 보관) 및 규정 준수에 중요한 계정에서 변경할 수 없는 스토리지(WORM) 구성 진단 설정 및 보존 구성 일관성을 적용하는 Azure Policy를 배포하고, 자동화된 규정 준수 보고를 위한 Log Analytics 쿼리 팩을 만들고, 활성 인시던트 중에 포렌식 데이터 보존을 위한 법적 보존 프로세스를 설정했습니다.

결과: 계층화된 스토리지 전략을 통해 로그 스토리지 비용을 크게 줄이면서 PCI-DSS 및 SEC 17a-4 요구 사항에 대한 완전한 감사 내역 준수를 달성했습니다. 기록 보안 사건을 이전 보존 기능 한계 너머의 보관된 로그를 사용하여 성공적으로 조사했으며, 분기별 규정 준수 감사를 자동화된 증거 수집 및 보존 확인 쿼리를 통해 효율적으로 간소화했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

  • NIST SP 800-53 Rev.5: AU-11(1), SI-12
  • PCI-DSS v4: 10.5.1, 10.7.1, 10.7.2, 10.7.3
  • CIS 컨트롤 v8.1: 8.3, 8.10
  • NIST CSF v2.0: 보호. PT-1, DE.CM-1
  • ISO 27001:2022: A.8.15
  • SOC 2: CC7.2

LT-7: 승인된 시간 동기화 원본 사용

보안 원칙

모든 시스템을 신뢰할 수 있는 시간 원본에 동기화하여 보안 로그에서 정확한 타임스탬프를 유지 관리합니다. 일관된 시간 동기화를 사용하면 신뢰할 수 있는 로그 상관 관계, 인시던트 타임라인 재구성 및 포렌식 분석이 가능합니다.

완화할 리스크

모든 시스템에서의 정확하고 동기화된 시간은 로그 상관 관계, 디지털 포렌식 분석 및 인시던트 타임라인 재구성에 기본적입니다. 일관된 시간 동기화가 없는 경우:

  • 포렌식 타임라인 손상: 다른 원본의 로그에 충돌하는 타임스탬프가 표시되면 인시던트 재구성이 불가능해집니다. 조사관은 공격 순서를 확인하거나 시스템 간에 이벤트를 상호 연결할 수 없습니다(오전 10시 공격을 표시하는 VM 로그, 오전 9시 45분에 동일한 이벤트를 표시하는 방화벽 로그).
  • SIEM 상관 관계 실패: 시간 지연 때문에 이벤트가 순서를 벗어나면 보안 분석 및 상관 규칙이 실패하게 됩니다. 이는 규칙 논리가 시간순 이벤트 시퀀스를 예상하기 때문에 탐지가 누락될 수 있습니다.
  • 인증 바이패스 기회: 시간 기반 인증 메커니즘(Kerberos 티켓, JWT 토큰, OTP 코드)은 클록 기울이기에서 재생 공격을 사용하거나 토큰 유효성 기간을 확장할 때 악용될 수 있습니다.
  • 준수 감사 실패: 규정 프레임워크(PCI-DSS 10.4, SOC 2, HIPAA)는 감사 내역 무결성에 대한 정확한 시간 동기화를 요구합니다. 시간 드리프트는 감사 결과를 생성하고 증거 안정성에 의문을 제기합니다.
  • 가양성/부정 경고: 이상 탐지와 행동 분석은 시간 드리프트로 인해 정상적인 활동이 예상 시간 창 외부에 나타나거나 의심스러운 패턴이 정상으로 보일 때 잘못된 경고를 발생시킵니다.
  • 인증서 유효성 검사 오류: 시스템 클록이 인증서 NotBefore/NotAfter 창 외부로 드리프트되면 SSL/TLS 인증서 유효성 검사가 실패하거나 잘못 성공하여 서비스 중단 또는 보안 우회가 발생합니다.
  • 로그 보존 오류: 타임스탬프 평가(365일 이전의 로그 삭제)를 기반으로 하는 보존 정책은 증거를 조기에 삭제하거나 정책 제한을 초과하여 로그를 보존하는 시간 드리프트에서 잘못 실행됩니다.

시간 동기화 실패는 모든 보안 로깅 및 모니터링의 증거의 무결성을 훼손하여 포렌식 분석을 결정적이지 않고 신뢰할 수 없게 만들어 버립니다.

MITRE ATT&CK

  • 방어 회피(TA0005): 타임스탬프를 조작하는 표시기 제거(T1070)를 사용하여 합법적인 시간 내에 악의적인 활동을 숨기거나 조사 범위 외부에 증거가 표시되도록 합니다.

LT-7.1: 보안 시간 동기화 구성

모든 시스템에서 정확하고 일관된 타임스탬프를 보장하여 신뢰할 수 있는 로그 상관 관계 및 인시던트 타임라인을 재구성할 수 있습니다. 시간 동기화는 법의학 무결성의 기초입니다. 작은 클록 드리프트도 조사 타임라인을 손상시키고 SIEM 상관 관계 오류를 발생시키고 규정 준수 감사 결과를 생성할 수 있습니다. 신뢰할 수 있는 시간 원본을 사용하고 드리프트를 지속적으로 모니터링하도록 모든 시스템을 구성합니다. 다음 시간 동기화 사례를 구현합니다.

  • Windows 시간 동기화 구성: 특정 요구 사항이 달리 명시되지 않는 한 가상화 통합 서비스를 통해 Azure 호스트 시간 원본을 활용하는 Azure Windows 컴퓨팅 리소스에서 시간 동기화 에 Microsoft 기본 NTP 서버를 사용합니다.

  • Linux 시간 동기화 구성: Azure에서 제공하는 NTP 원본 또는 적절한 외부 NTP 서버와 함께 chrony 또는 ntpd를 사용하여 Azure Linux 컴퓨팅 리소스에 대한 시간 동기화 를 구성합니다.

  • 사용자 지정 NTP 서버 보안: 사용자 지정 NTP(네트워크 시간 프로토콜) 서버를 배포하는 경우 UDP 서비스 포트 123을 보호하고 권한 있는 클라이언트로만 시간 서비스 쿼리를 제한하는 액세스 제어를 구현합니다.

  • 타임스탬프 형식의 유효성을 검사합니다. Azure 리소스에서 생성된 모든 로그에 기본적으로 표준 시간대 정보(UTC)가 포함된 타임스탬프가 포함되어 있는지 확인하여 전역 배포에서 명확한 타임라인 재구성을 사용하도록 설정합니다.

  • 시간 드리프트 모니터링: 시스템 간에 시간 드리프트의 지속적인 모니터링을 구현하고 로그 상관 관계, 포렌식 분석 및 시간 기반 인증 메커니즘에 영향을 미칠 수 있는 중요한 동기화 문제(>5초)에 대한 경고를 구성합니다.

구현 예제

도전: 글로벌 소매 조직은 PCI-DSS 규정 준수 및 사기 조사를 위해 2,500개 매장에 걸친 하이브리드 인프라(온-프레미스 지점 판매 시스템, Azure 클라우드 POS 백 엔드, 결제 처리)에서 포렌식 타임라인 무결성이 필요했습니다.

솔루션 접근 방식: Azure PaaS 서비스의 자동 NTP 동기화를 확인하고, Azure 호스트 시간 원본을 사용하도록 Azure VM(Windows/Linux)을 구성하고, 시간 드리프트 >5초 동안 Azure Monitor 경고를 구현하여 포괄적인 시간 동기화를 구성했습니다. 배포된 Log Analytics 쿼리는 상관 관계가 있는 로그 원본에서 타임스탬프 변칙을 검색합니다. 영향을 받는 VM에서 시간을 다시 동기화하도록 자동화된 수정 Runbook을 실행합니다. 설정된 분기별 시간 동기화는 애플리케이션, ID 및 네트워크 로그에서 NTP 구성 및 타임스탬프 일관성의 유효성을 검사하는 감사를 수행합니다.

결과: PCI-DSS 시간 동기화 요구 사항을 준수하고 정확한 인시던트 재구성을 가능하게 하는 일관된 타임스탬프 정확도로 하이브리드 로그 원본 간에 사기 조사를 성공적으로 상호 연결했습니다. 자동화된 시간 드리프트 모니터링 및 수정은 순서가 잘못된 이벤트로 인한 가양성 보안 경고를 제거하고 전역적으로 분산된 인프라 전체에서 포렌식 타임라인 무결성을 보장했습니다.

중요도 수준

있어야 합니다.

컨트롤 매핑

  • NIST SP 800-53 Rev.5: AU-8(1), AU-8(2)
  • PCI-DSS v4: 10.6.1, 10.6.2, 10.6.3
  • CIS 컨트롤 v8.1: 8.4
  • NIST CSF v2.0: DE.CM-1, PR.PT-1
  • ISO 27001:2022: A.8.15
  • SOC 2: CC7.2
  • Last updated on