Defender for Cloud Apps 검사

  • 5분

Microsoft Teams의 앱을 사용하면 추가 기능을 활용하고, 더 나은 경험을 하고, 즐겨 사용하는 Microsoft 및 타사 서비스를 추가하여 나만을 위한 Teams 작업 환경을 조성할 수 있습니다.

현대 비즈니스 환경에서 사용자는 종종 자신의 디바이스를 사용하여 시스템에 액세스하기를 원합니다. 사용자는 앱 스토어 및 기타 직접 제어할 수 없는 위치에서 앱을 다운로드하여 사용할 수 있습니다. 이러한 관행에 따라 민감한 중요 비즈니스용 데이터를 위험에 노출되지 않도록 해야 합니다. Defender for Cloud Apps 에서 이 작업을 지원할 수 있습니다.

Defender for Cloud Apps란?

Microsoft Defender for Cloud Apps는 클라우드 액세스 보안 브로커입니다. 클라우드 응용 프로그램과 클라우드 응용 프로그램 사용자 간의 계층입니다. Microsoft Defender for Cloud Apps는 중앙에서 활동을 모니터링하고 보안 정책 적용을 필요로 하는 보안 전문가를 위해 설계되었습니다.

Microsoft Defender for Cloud Apps는 기본적으로 Microsoft의 중요 솔루션과 통합됩니다. 사용 중인 앱에 대한 가시성을 확보하고, 데이터 이동을 제어하며 사이버 위협을 식별하고 대응하기 위한 분석을 제공합니다.

Defender for Cloud Apps 대시보드 스크린샷.

Defender for Cloud Apps 프레임워크의 정의자

Defender for Cloud Apps는 발견, 보호, 검색 및 제어의 4단계 프레임워크를 사용합니다.

  • 섀도 IT의 사용을 검색 및 제어: 조직에서 사용하는 클라우드 앱, IaaS 및 PaaS 서비스를 식별합니다. 사용 패턴을 조사하고, 위험 수준을 평가하고, 80개 이상의 위험으로부터 25,000개 이상의 SaaS 앱에 대한 비즈니스 준비 상태를 판단합니다. 보안 및 규정 준수를 보장하기 위해 관리를 시작합니다.

  • 클라우드 전역에서의 민감한 정보를 보호하고 민감한 정보의 노출을 이해, 분류 및 보호합니다. 바로 사용 가능한 정책과 자동화된 프로세스를 활용하여 모든 클라우드 앱에서 실시간으로 컨트롤을 적용합니다.

  • 사이버 위협 및 변칙으로부터 보호: 클라우드 앱의 전역에서 비정상적 동작을 감지하여 랜섬웨어, 보안을 위협 받는 사용자 또는 악의적인 프로그램을 식별하고, 고위험 사용 현황을 분석하고, 위험을 자동으로 수정하여 조직으로 제한합니다.

  • 클라우드 앱 준수 평가: 클라우드 앱이 관련 준수 요구 사항(규제적 준수 및 업계 표준)을 충족하는지 평가합니다. 비규정 준수 앱에 대한 데이터 유출을 방지하고 규제된 데이터로의 액세스를 제한합니다.

아키텍처

Defender for Cloud Apps는 다음을 제공합니다.

  • Cloud Discovery: Cloud Discovery를 사용하여 클라우드 환경 및 조직에서 사용하는 클라우드 앱을 매핑하고 식별합니다.

  • 허가 또는 불허 앱: 앱은 사용자 환경에서 발견된 앱 목록을 검토한 후 허가 또는 불허해야 합니다. 안전한 앱을 승인 또는 허가하거나 원치 않는 앱을 금지 또는 불허하여 사용자 환경을 보호합니다.

  • 앱 커넥터: 앱 공급자의 API를 사용하는 앱 커넥터를 배포하여 연결하는 앱에 대해 Defender for Cloud Apps를 통한 가시성과 제어를 제공합니다.

  • 조건부 액세스 앱 제어: 클라우드 앱 내의 액세스 및 활동에 대한 실시간 보호, 가시성 및 제어를 제공합니다. Defender for Cloud Apps의 세션 제어는 추천 앱과 함께 작동합니다.

  • 정책: 사용자가 클라우드에서 행동하는 방식을 정의할 수 있습니다. 클라우드 환경에서 위험한 행동, 위반 또는 의심스러운 데이터 요소 및 활동을 검색합니다. 필요한 경우, 수정 워크플로를 통합하여 완전한 위험 완화를 이뤄낼 수 있습니다.

조직에서 사용 중인 Defender for Cloud Apps를 보여 주는 다이어그램입니다.

조건부 액세스 앱 컨트롤.

Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어에서 추천 앱을 제어하도록 허용하는 데는 다음 4단계가 있습니다.

  1. Defender for Cloud Apps에서 작동하도록 ID 공급자(IdP) 구성

  2. 정책에 대해 범위가 지정된 사용자로 각 앱에 로그인합니다.

  3. 액세스 및 세션 제어를 사용하도록 앱이 구성되어 있는지 확인합니다.

  4. 배포를 테스트합니다.

또한 Microsoft Entra ID P1 이상 또는 IdP(ID 공급자) 솔루션에 필요한 라이선스와 Microsoft App Security 라이선스가 있어야 합니다.

정책 제어

정책을 통해 사용자가 클라우드에서 행동하는 방식을 정의합니다. 정책을 사용하면 클라우드 환경에서 위험한 행동, 위반 또는 의심스러운 데이터 요소 및 활동을 검색할 수 있습니다. 수정 워크플로를 통합하여 위험을 완화할 수 있습니다. 클라우드 환경에 대해 수집하려는 다양한 유형의 정보와 수행할 수 있는 수정 작업 유형과 관련되는 여러 정책 유형이 있습니다. 예를 들면 다음과 같습니다.

  • 데이터 위반 위협을 격리합니다.

  • 조직에서 위험한 클라우드 앱을 사용하지 못하게 차단합니다.

자세한 내용은 다음을 참조하세요.

Microsoft Defender XDR 위협 정책 계획 및 구성

위협 방지 및 XDR 구현을 위한 기술 채택에는 다음이 포함됩니다.

  • Microsoft에서 제공하는 XDR 도구 모음을 다음과 같이 설정합니다.

    • 인시던트 대응을 수행하여 공격을 감지하고 저지합니다.

    • 위협을 사전에 헌팅합니다.

    • 알려진 공격을 자동으로 감지하고 대응합니다.

    • Microsoft Defender XDR 및 Microsoft Sentinel 통합

    • 인시던트 대응 및 복구를 위한 SecOps 프로세스 및 프로시저 정의

  • 위협 방지 및 XDR 구현에는 다음을 비롯한 몇 가지 관련 작업도 포함됩니다.

  • XDR 도구를 사용하여 보안 위반 방지 및 복구 문서에서 구현한 중요 비즈니스용 리소스와 honeypot 리소스를 모두 모니터링하여 공격자가 실제 리소스를 공격하기 전에 자신의 존재를 표시하도록 유도합니다.

  • 최신 공격 및 해당 방법을 인식하도록 SecOps 팀을 발전시키고 있습니다. 많은 조직에서 다음 표에 요약된 이러한 배포 목표에 대해 4단계 접근 방식을 취할 수 있습니다.

1단계 2단계 3단계 4단계
XDR 도구 켜기:
- 엔드포인트용 Defender
- Office 365용 Defender
- Microsoft Entra ID Protection
- Defender for Identity
- Defender for Cloud Apps

Microsoft Defender XDR 사용하여 위협 조사 및 대응		 클라우드용 Defender 켜기

SecOps에 대한 내부 프로세스 정의

XDR 도구를 사용하여 중요 비즈니스용 및 허니팟 리소스 모니터링		 Defender for IoT 켜기

Microsoft Sentinel 작업 영역 디자인 및 XDR 신호 수집

사전 대응식 위협 탐지		 secOps를 organization 분야로 발전

Automation을 활용하여 SecOps 분석가의 부하 줄이기

4단계 이후의 다음 단계는 준비, 채택, 제어 및 관리 단계입니다.

자세한 내용은 위협 방지 및 XDR 구현을 참조하세요.