비고
가장 최신의 up-toAzure Security Benchmark는 여기에서 사용할 수 있습니다.
인시던트 대응은 준비, 감지 및 분석, 포함 및 인시던트 후 활동과 같은 인시던트 대응 수명 주기의 제어를 다룹니다. 여기에는 Azure Security Center 및 Sentinel과 같은 Azure 서비스를 사용하여 인시던트 대응 프로세스를 자동화하는 작업이 포함됩니다.
적용 가능한 기본 제공 Azure Policy를 보려면 Azure Security Benchmark 규정 준수 기본 제공 이니셔티브의 세부 정보: 인시던트 대응을 참조하세요.
IR-1: 준비 – Azure에 대한 인시던트 대응 프로세스 업데이트
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| IR-1 | 19 | IR-4, IR-8 |
조직에서 보안 인시던트에 대응하는 프로세스를 가지고 있고, Azure에 대해 이러한 프로세스를 업데이트했으며, 준비 상태를 보장하기 위해 정기적으로 이를 실행하고 있는지 확인합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
IR-2: 준비 - 인시던트 알림 설정
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| IR-2 | 19.5 | IR-4, IR-5, IR-6, IR-8 |
Azure Security Center에서 보안 인시던트 연락처 정보를 설정합니다. 이 연락처 정보는 Microsoft 보안 대응 센터(MSRC)가 불법적이거나 권한이 없는 당사자가 데이터에 액세스한 것을 발견한 경우 Microsoft에서 사용자에게 연락하는 데 사용됩니다. 인시던트 대응 요구 사항에 따라 다양한 Azure 서비스에서 인시던트 경고 및 알림을 사용자 지정할 수 있는 옵션도 있습니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
IR-3: 검색 및 분석 – 고품질 경고를 기반으로 인시던트 만들기
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| IR-3 | 19.6 | IR-4, IR-5 |
고품질 경고를 만들고 경고의 품질을 측정하는 프로세스가 있는지 확인합니다. 이를 통해 과거 인시던트로부터 교훈을 습득하고 분석가에 대한 경고의 우선 순위를 지정할 수 있으므로 가양성에 시간을 낭비하지 않습니다.
고품질 경고는 과거 인시던트, 유효성이 검사된 커뮤니티 원본 및 다양한 신호 원본을 융합하고 상관 관계를 지정하여 경고를 생성하고 정리하도록 설계된 도구를 기반으로 빌드할 수 있습니다.
Azure Security Center는 여러 Azure 자산에서 고품질 경고를 제공합니다. ASC 데이터 커넥터를 사용하여 경고를 Azure Sentinel로 스트리밍할 수 있습니다. Azure Sentinel을 사용하면 조사를 위해 인시던트를 자동으로 생성하는 고급 경고 규칙을 만들 수 있습니다.
내보내기 기능을 사용하여 Azure Security Center 경고 및 권장 사항을 내보내 Azure 리소스에 대한 위험을 식별할 수 있습니다. 수동으로 또는 지속적인 방식으로 경고 및 권장 사항을 내보냅니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
IR-4: 검색 및 분석 – 인시던트 조사
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| IR-4 | 19 | IR-4 |
분석가가 잠재적인 인시던트를 조사할 때 다양한 데이터 원본을 쿼리하고 사용하여 발생한 일에 대한 전체 보기를 빌드할 수 있는지 확인합니다. 사각지대를 방지하기 위해 다양한 로그를 수집하여 킬 체인 전체에서 잠재적 공격자의 활동을 추적해야 합니다. 또한 다른 분석가 및 향후 기록 참조를 위해 인사이트 및 습득 지식을 캡처해야 합니다.
조사를 위한 데이터 원본에는 범위 내 서비스 및 실행 중인 시스템에서 이미 수집되고 있지만 다음을 포함할 수 있는 중앙 집중식 로깅 원본이 포함됩니다.
네트워크 데이터 – 네트워크 보안 그룹의 흐름 로그, Azure Network Watcher 및 Azure Monitor를 사용하여 네트워크 흐름 로그 및 기타 분석 정보를 캡처합니다.
실행 중인 시스템의 스냅샷:
Azure 가상 머신의 스냅샷 기능을 사용하여 실행 중인 시스템 디스크의 스냅샷을 만듭니다.
운영 체제의 네이티브 메모리 덤프 기능을 사용하여 실행 중인 시스템 메모리의 스냅샷을 만듭니다.
Azure 서비스의 스냅샷 기능 또는 소프트웨어 고유의 기능을 사용하여 실행 중인 시스템의 스냅샷을 만듭니다.
Azure Sentinel은 거의 모든 로그 원본 및 사례 관리 포털에서 광범위한 데이터 분석을 제공하여 인시던트 전체 수명 주기를 관리합니다. 조사 중 인텔리전스 정보는 추적 및 보고 목적으로 인시던트와 연결할 수 있습니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
IR-5: 검색 및 분석 – 인시던트 우선 순위 지정
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| IR-5 | 19.8 | 캘리포니아-2, IR-4 |
경고 심각도 및 자산 민감도를 기반으로 먼저 집중해야 하는 인시던트에 대한 컨텍스트를 분석가에게 제공합니다.
Azure Security Center는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 Security Center가 경고를 발급하는 데 사용되는 결과 또는 분석의 신뢰도와 경고로 이어진 활동 뒤에 악의적인 의도가 있었다는 신뢰 수준을 기반으로 합니다.
또한 태그를 사용하여 리소스를 표시하고 Azure 리소스, 특히 중요한 데이터를 처리하는 리소스를 식별하고 분류하는 명명 시스템을 만듭니다. 인시던트가 발생한 Azure 리소스 및 환경의 중요도에 따라 경고 수정의 우선 순위를 지정해야 합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):
IR-6: 봉쇄, 근절 및 복구 – 인시던트 처리 자동화
| Azure ID | CIS 컨트롤 v7.1 ID | NIST SP 800-53 r4 ID(들) |
|---|---|---|
| IR-6 | 19 | IR-4, IR-5, IR-6 |
수동 반복 작업을 자동화하여 응답 시간을 단축하고 분석가의 부담을 줄입니다. 수동 작업은 실행하는 데 더 오래 걸려 각 인시던트의 속도를 늦추고 분석가가 처리할 수 있는 인시던트 수를 줄입니다. 또한 수동 작업은 분석가의 피로를 증가시키고, 이로 인해 지연을 유발하는 인적 오류의 위험이 증가하고 분석가가 복잡한 작업에 효과적으로 집중할 수 있는 능력이 저하됩니다. Azure Security Center 및 Azure Sentinel의 워크플로 자동화 기능을 사용하여 자동으로 작업을 트리거하거나 플레이북을 실행하여 들어오는 보안 경고에 응답합니다. 플레이북은 알림 보내기, 계정 비활성화 및 문제가 있는 네트워크 격리와 같은 작업을 수행합니다.
책임: 고객
고객 보안 관련자 (자세한 정보):