Microsoft Defender for Cloud Apps 손상된 사용자, 내부자 위협, 데이터 반출 및 랜섬웨어 활동에 대한 검색을 포함합니다. 이 서비스는 변칙 검색, UEBA(사용자 및 엔터티 동작 분석) 및 규칙 기반 활동 검색을 사용하여 연결된 앱에서 사용자 활동을 분석합니다.
클라우드 환경의 무단 또는 예기치 않은 변경으로 보안 및 운영 위험이 발생할 수 있습니다. 예를 들어 고객에게 제공하는 공개 웹 사이트 또는 서비스를 실행하는 서버와 같은 주요 회사 리소스에 대한 변경 내용이 손상될 수 있습니다.
Defender for Cloud Apps 여러 원본의 데이터를 캡처하고 분석하여 organization 앱 및 사용자 활동을 식별합니다. 이 분석은 보안 분석가에게 클라우드 사용에 대한 가시성을 제공합니다. 수집된 데이터는 의심스러운 활동에 대한 정확하고 일관된 보기를 제공하기 위해 위협 인텔리전스 및 위치 세부 정보로 상호 연결, 표준화 및 보강됩니다.
검색을 조정하기 전에 다음 데이터 원본을 구성합니다.
| 원본 | 설명 |
|---|---|
| 활동 로그 | API 연결 앱의 활동. |
| 검색 로그 | Defender for Cloud Apps 전달하는 방화벽 및 프록시 트래픽 로그에서 추출된 활동입니다. 로그는 90개 이상의 위험 요소를 기반으로 클라우드 앱 카탈로그에 대해 분석되고 순위가 매겨지고 점수가 매겨집니다. |
| 프록시 로그 | 조건부 액세스 앱 제어 앱의 활동. |
필터 및 UEBA(동적 임계값)를 설정하여 검색 모델을 학습시켜 다음 정책을 미세 조정합니다. 표시 안 함을 설정하여 일반적인 가양성 검색을 줄일 수도 있습니다.
- 이상 탐지
- 클라우드 검색 변칙 검색
- 규칙 기반 활동 검색
사용자 활동 검색을 조정하여 실제 손상을 식별하고 대량의 가양성 검색으로 인한 불필요한 경고를 줄이는 방법을 알아봅니다.
1단계: IP 주소 범위 구성
- 모든 유형의 의심스러운 사용자 활동 검색 정책을 미세 조정하도록 IP 범위를 설정합니다.
알려진 IP 주소를 설정 하면 기계 학습 알고리즘이 알려진 위치를 식별하고 이를 기계 학습 모델의 일부로 간주하는 데 도움이 됩니다. 예를 들어 VPN의 IP 주소 범위를 추가하면 VPN 위치가 해당 사용자의 실제 위치를 나타내지 않으므로 모델이 이 IP 범위를 올바르게 분류하고 불가능한 이동 검색에서 자동으로 제외할 수 있습니다.
참고
Defender for Cloud Apps 검색뿐만 아니라 서비스 전반에서 IP 범위를 사용합니다. IP 범위는 활동 로그, 조건부 액세스 등에 사용됩니다. 예를 들어 실제 사무실 IP 주소를 식별하면 로그 및 경고를 보고 조사하는 방법을 사용자 지정할 수 있습니다.
변칙 검색 경고 검토
Defender for Cloud Apps 다양한 보안 시나리오를 식별하기 위한 변칙 검색 경고 집합이 포함되어 있습니다. 관련 앱 커넥터를 연결하는 즉시 사용자 활동을 프로파일하고 경고를 생성하기 시작합니다.
먼저 다양한 검색 정책을 숙지합니다. organization 가장 관련성이 있다고 생각되는 주요 시나리오의 우선 순위를 지정하고 그에 따라 정책을 조정합니다.
2단계: 변칙 검색 정책 조정
Defender for Cloud Apps 일반적인 보안 사용 사례에 대해 미리 구성된 몇 가지 기본 제공 변칙 검색 정책을 포함합니다. 인기 검색은 다음과 같습니다.
| 감지 | 설명 |
|---|---|
| 불가능한 여행 | 두 위치 사이의 예상 이동 시간보다 짧은 기간 이내에 서로 다른 위치에 있는 동일한 사용자의 활동. |
| 드문 국가의 활동 | 사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치의 활동입니다. |
| 맬웨어 탐지 | 클라우드 앱의 파일을 검색하고 Microsoft의 위협 인텔리전스 엔진을 통해 의심스러운 파일을 실행하여 알려진 맬웨어와 연결되어 있는지 여부를 검사. |
| 랜섬웨어 활동 | 랜섬웨어에 감염되었을 수 있는 클라우드로의 파일 업로드. |
| 의심스러운 IP 주소의 활동 | Microsoft Threat Intelligence가 위험으로 식별한 IP 주소의 활동입니다. |
| 의심스러운 받은 편지함 전달 | 사용자의 받은 편지함에 설정된 의심스러운 받은 편지함 전달 규칙을 탐지합니다. |
| 비정상적인 여러 파일 다운로드 활동 | 학습한 기준에 비해 단일 세션에서 여러 파일 다운로드 활동이 탐지되는 경우로 이는 보안 위반 시도를 나타낼 수 있습니다. |
| 비정상적인 관리 활동 | 학습한 기준에 비해 단일 세션에서 수차례 관리 활동이 감지되며 이 경우 보안 위반 시도임을 나타낼 수 있습니다. |
참고
일부 변칙 검색은 문제가 있는 보안 시나리오를 검색하는 데 초점을 맞추고, 다른 변칙 검색은 반드시 손상을 나타내지 않을 수 있는 비정상적인 사용자 동작을 식별하고 조사하는 데 도움이 됩니다. 이러한 검색의 경우 Microsoft Defender XDR 고급 헌팅 환경에서 사용할 수 있는 동작을 사용할 수 있습니다.
특정 사용자 또는 그룹으로 정책 범위 지정
특정 사용자에 대한 정책 범위를 지정하면 organization 관련이 없는 경고의 노이즈를 줄이는 데 도움이 될 수 있습니다. 다음 예제 와 같이 특정 사용자 및 그룹을 포함하거나 제외하도록 각 정책을 구성할 수 있습니다.
-
공격 시뮬레이션
많은 조직에서 사용자 또는 그룹을 사용하여 지속적으로 공격을 시뮬레이트합니다. 이러한 사용자의 활동에서 지속적으로 경고를 수신하면 불필요한 노이즈가 발생합니다. 이러한 사용자 또는 그룹을 제외하도록 정책을 설정합니다. 이 작업은 기계 학습 모델이 이러한 사용자를 식별하고 동적 임계값을 미세 조정하는 데 도움이 됩니다. -
대상 검색
관리자 또는 CXO(최고 환경 책임자) 그룹의 구성원과 같은 특정 VIP 사용자 그룹을 조사할 수 있습니다. 이 경우 검색하려는 활동에 대한 정책을 만들고 관심 있는 사용자 또는 그룹 집합만 포함하도록 선택합니다.
-
공격 시뮬레이션
비정상적인 로그인 검색 튜닝
로그인 활동에 실패하여 발생하는 경고는 누군가가 하나 이상의 사용자 계정을 대상으로 하려고 함을 나타낼 수 있습니다.
손상된 자격 증명은 계정 인수 및 무단 작업의 일반적인 원인입니다. 불가능한 여행, 의심스러운 IP 주소의 활동 및 드문 국가 또는 지역 검색 경고는 계정이 잠재적으로 손상되었음을 암시하는 활동을 검색하는 데 도움이 됩니다.
불가능한 이동의 민감도 조정 불가능한 이동 경고를 트리거하기 전에 비정상적인 동작에 적용되는 억제 수준을 결정하는 민감도 슬라이더를 구성합니다. 높은 충실도에 관심이 있는 조직은 민감도 수준을 높이는 것을 고려해야 합니다. organization 이동하는 사용자가 많은 경우 민감도 수준을 낮추어 이전 활동에서 배운 사용자의 공통 위치에서 활동을 표시하지 않는 것이 좋습니다. 다음 민감도 수준에서 선택할 수 있습니다.
- 낮음: 시스템, 테넌트 및 사용자 표시 안 함
- 중간: 시스템 및 사용자 표시 안 함
- 높음: 시스템 억제만
여기서,
억제 유형 설명 시스템 기본 제공되는 탐지 기능으로 항상 표시되지 않습니다. 테넌트 테넌트의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 organization 이전에 경고한 ISP의 활동을 표시하지 않습니다. 사용자 특정 사용자의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 사용자가 일반적으로 사용하는 위치에서 활동을 표시하지 않습니다.
3단계: 클라우드 검색 변칙 검색 정책 조정
여러 기본 제공 클라우드 검색 변칙 검색 정책을 미세 조정하거나 고유한 정책을 만들어 조사할 가치가 있는 다른 시나리오를 식별할 수 있습니다. 이러한 정책은 비정상적인 앱 동작 및 데이터 반출에 초점을 맞춘 튜닝 기능 과 함께 클라우드 검색 로그를 사용합니다.
사용량 모니터링 조정
scope 제어하도록 사용 필터를 설정하고 비정상적인 동작을 검색하기 위한 활동 기간을 설정합니다. 예를 들어 임원급 직원으로부터 비정상적인 활동에 대한 경고를 받습니다.
경고 민감도 조정
불필요한 경고를 줄이려면 경고의 민감도를 설정합니다. 민감도 슬라이더를 사용하여 주당 1,000명의 사용자당 전송되는 고위험 경고 수를 제어합니다. 민감도가 높을수록 변칙으로 간주되고 더 많은 경고를 생성하기 위해 더 적은 분산이 필요합니다. 일반적으로 기밀 데이터에 액세스할 수 없는 사용자에 대해 낮은 민감도를 설정합니다.
4단계: 규칙 기반 검색(활동) 정책 조정
규칙 기반 검색 정책은 organization 특정 요구 사항으로 변칙 검색 정책을 보완합니다. 활동 정책 템플릿 중 하나를 사용하여 규칙 기반 정책을 만듭니다.
organization 특정 국가 또는 지역에 없는 경우 해당 위치에서 비정상적인 활동을 검색하는 정책을 만듭니다. 해당 국가 또는 지역에 대규모 지점이 있는 조직의 경우 이러한 활동은 정상이며 이러한 활동을 감지하는 것은 의미가 없습니다.
- 정책 정책>템플릿으로 이동하여 유형 필터를 활동 정책으로 설정합니다. 사용자 환경에서 정상이 아닌 동작을 검색하도록 활동 필터를 설정합니다.
-
작업 볼륨 튜닝
검색에서 경고를 발생하기 전에 필요한 활동 볼륨을 선택합니다. organization 국가 또는 지역에 없는 경우 단일 활동도 중요하며 경고를 보증합니다. 단일 로그인 실패는 인적 오류일 수 있으며 짧은 기간 동안 많은 오류가 발생한 경우에만 관심을 가질 수 있습니다. -
활동 필터 튜닝
경고하려는 활동 유형을 검색하는 데 필요한 필터를 설정합니다. 예를 들어 국가 또는 지역에서 활동을 검색하려면 Location 매개 변수를 사용합니다. -
경고 조정
불필요한 경고를 줄이려면 일일 경고 제한을 설정합니다.
5단계: 경고 구성
참고
Microsoft는 2022년 12월 15일에 경고/SMS(문자 메시지) 기능을 더 이상 사용하지 않습니다. 텍스트 경고를 받으려면 사용자 지정 경고 자동화에 Microsoft Power Automate 사용합니다. 자세한 내용은 사용자 지정 경고 자동화를 위해 Microsoft Power Automate 통합을 참조하세요.
하루 중 언제든지 즉각적인 경고를 받으려면 이메일을 통해 수신하도록 선택합니다.
또한 organization 다른 제품에 의해 트리거되는 다른 경고의 컨텍스트에서 경고를 분석하는 기능을 원할 수도 있습니다. 이 분석은 잠재적인 위협에 대한 전체적인 보기를 제공합니다. 예를 들어 클라우드 기반 이벤트와 온-프레미스 이벤트 간에 상관 관계를 지정하여 공격을 확인하는 다른 완화 증거가 있는지 확인할 수 있습니다.
Microsoft Power Automate 사용하여 사용자 지정 경고 자동화를 트리거할 수 있습니다. 경고가 트리거되면 다음을 수행할 수 있습니다.
- 플레이북 설정
- ServiceNow 문제 만들기
- 경고가 트리거될 때 승인 이메일을 보내 사용자 지정 거버넌스 작업을 실행합니다.
다음 지침을 사용하여 경고를 구성합니다.
-
전자 메일
메일로 경고를 받으려면 이 옵션을 선택합니다. -
시 엠 리아
Microsoft Sentinel, Microsoft Graph 보안 API 및 기타 일반 SIEM을 비롯한 여러 SIEM 통합 옵션이 있습니다. 요구 사항을 가장 잘 충족하는 통합을 선택합니다. -
Power Automate 자동화
필요한 자동화 플레이북을 만들고 Power Automate 작업에 대한 정책의 경고로 설정합니다.
6단계: 조사 및 수정
보호를 최적화하려면 자동 수정 작업을 설정하여 organization 위험을 최소화합니다. 정책을 사용하면 조사를 시작하기 전에도 organization 대한 위험이 줄어들도록 경고와 함께 거버넌스 작업을 적용할 수 있습니다. 정책 유형은 사용자 일시 중지 또는 요청된 리소스에 대한 액세스 차단과 같은 작업을 포함하여 사용 가능한 작업을 결정합니다.