인시던트 대응은 Microsoft Defender for Cloud 및 Sentinel과 같은 Azure 서비스를 사용하여 인시던트 대응 프로세스를 자동화하는 등 인시던트 대응 수명 주기의 제어를 다룹니다.
IR-1: 준비 - 인시던트 대응 계획 및 처리 프로세스 업데이트
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.7 | IR-4, IR-8 | 10.8 |
보안 원칙: 조직에서 업계 모범 사례를 따라 프로세스를 개발하고 클라우드 플랫폼의 보안 인시던트에 대응할 계획을 수립해야 합니다. 공유 책임 모델 및 IaaS, PaaS 및 SaaS 서비스의 분산에 주의하세요. 이는 인시던트 알림 및 심사, 증거 수집, 조사, 근절 및 복구와 같은 인시던트 대응 및 처리 활동에서 클라우드 공급자와 공동 작업하는 방법에 직접적인 영향을 줍니다.
인시던트 대응 계획 및 처리 프로세스를 정기적으로 테스트하여 최신 상태인지 확인합니다.
Azure 지침: Azure 플랫폼에서 인시던트 처리를 포함하도록 조직의 인시던트 대응 프로세스를 업데이트합니다. 사용된 Azure 서비스 및 애플리케이션 특성에 따라 인시던트 응답 계획 및 플레이북을 사용자 지정하여 클라우드 환경에서 인시던트에 대응하는 데 사용할 수 있도록 합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
IR-2: 준비 - 인시던트 알림 설정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.1, 17.3, 17.6 | IR-4, IR-8, IR-5, IR-6 | 12.10 |
보안 원칙: 클라우드 서비스 공급자의 플랫폼 및 환경의 보안 경고 및 인시던트 알림을 인시던트 대응 조직의 올바른 연락처에 의해 수신할 수 있는지 확인합니다.
Azure 지침: 클라우드용 Microsoft Defender에서 보안 인시던트 연락처 정보를 설정합니다. 이 연락처 정보는 Microsoft 보안 대응 센터(MSRC)가 불법적이거나 권한이 없는 당사자가 데이터에 액세스한 것을 발견한 경우 Microsoft에서 사용자에게 연락하는 데 사용됩니다. 인시던트 대응 요구 사항에 따라 다양한 Azure 서비스에서 인시던트 경고 및 알림을 사용자 지정할 수 있는 옵션도 있습니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
IR-3: 탐지 및 분석 – 고품질 경고를 기반으로 인시던트 만들기
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.9 | IR-4, IR-5, IR-7 | 10.8 |
보안 원칙: 고품질 경고를 만들고 경고의 품질을 측정하는 프로세스가 있는지 확인합니다. 이를 통해 과거 인시던트로부터 교훈을 습득하고 분석가에 대한 경고의 우선 순위를 지정할 수 있으므로 가양성에 시간을 낭비하지 않습니다.
고품질 경고는 이전 인시던트, 유효성이 검사된 커뮤니티 소스, 다양한 신호 원본을 결합하고 상관 관계를 설정하여 경고를 생성하고 정리하도록 설계된 도구 등에서 얻은 경험을 기반으로 구축할 수 있습니다.
Azure 지침: 클라우드용 Microsoft Defender는 여러 Azure 자산에서 고품질 경고를 제공합니다. Microsoft Defender for Cloud 데이터 커넥터를 사용하여 경고를 Azure Sentinel로 스트리밍할 수 있습니다. Azure Sentinel을 사용하면 조사를 위해 인시던트를 자동으로 생성하는 고급 경고 규칙을 만들 수 있습니다.
내보내기 기능을 사용하여 Microsoft Defender for Cloud 경고 및 권장 사항을 내보내 Azure 리소스에 대한 위험을 식별합니다. 수동으로 또는 지속적인 방식으로 경고 및 권장 사항을 내보냅니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
IR-4: 검색 및 분석 – 인시던트 조사
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음(N/A) | IR-4 | 12.10 |
보안 원칙: 보안 운영 팀이 잠재적인 인시던트를 조사할 때 다양한 데이터 원본을 쿼리하고 사용하여 발생한 작업에 대한 전체 보기를 빌드할 수 있는지 확인합니다. 사각지대를 방지하기 위해 다양한 로그를 수집하여 킬 체인 전체에서 잠재적 공격자의 활동을 추적해야 합니다. 또한 다른 분석가 및 향후 기록 참조를 위해 인사이트 및 습득 지식을 캡처해야 합니다.
Azure 지침: 조사를 위한 데이터 원본은 범위 내 서비스 및 실행 중인 시스템에서 이미 수집되고 있는 중앙 집중식 로깅 원본이지만 다음을 포함할 수도 있습니다.
- 네트워크 데이터: 네트워크 보안 그룹의 흐름 로그, Azure Network Watcher 및 Azure Monitor를 사용하여 네트워크 흐름 로그 및 기타 분석 정보를 캡처합니다.
- 실행 중인 시스템의 스냅샷: a) 실행 중인 시스템 디스크의 스냅샷을 만들기 위한 Azure 가상 머신의 스냅샷 기능입니다. b) 운영 체제의 네이티브 메모리 덤프 기능으로 실행 중인 시스템 메모리의 스냅샷을 만듭니다. c) 실행 중인 시스템의 스냅샷을 만드는 Azure 서비스 또는 소프트웨어 고유의 기능의 스냅샷 기능입니다.
Azure Sentinel은 거의 모든 로그 원본 및 사례 관리 포털에서 광범위한 데이터 분석을 제공하여 인시던트 전체 수명 주기를 관리합니다. 조사 중 인텔리전스 정보는 추적 및 보고 목적으로 인시던트와 연결할 수 있습니다.
구현 및 추가 컨텍스트:
- Windows 컴퓨터의 디스크 스냅샷
- Linux 컴퓨터의 디스크 스냅샷
- Microsoft Azure 지원 진단 정보 및 메모리 덤프 수집
- Azure Sentinel을 사용하여 인시던트 조사
고객 보안 관련자(자세한 정보):
IR-5: 탐지 및 분석 – 인시던트 우선 순위 지정
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.4, 17.9 | IR-4 | 12.10 |
보안 원칙: 보안 운영 팀에 컨텍스트를 제공하여 조직의 인시던트 대응 계획에 정의된 경고 심각도 및 자산 민감도에 따라 먼저 집중해야 하는 인시던트 결정에 도움을 줍니다.
Azure 지침: 클라우드용 Microsoft Defender는 각 경고에 심각도를 할당하여 먼저 조사해야 하는 경고의 우선 순위를 지정하는 데 도움이 됩니다. 심각도는 Microsoft Defender for Cloud가 경고를 발행하는 데 사용되는 분석 또는 검색에 얼마나 확신하는지, 그리고 경고로 이어진 활동 뒤에 악의적인 의도가 있었다는 신뢰 수준을 기반으로 합니다.
또한 태그를 사용하여 리소스를 표시하고 Azure 리소스, 특히 중요한 데이터를 처리하는 리소스를 식별하고 분류하는 명명 시스템을 만듭니다. 인시던트가 발생한 Azure 리소스 및 환경의 중요도에 따라 경고 수정의 우선 순위를 지정해야 합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):
IR-6: 봉쇄, 근절 및 복구 - 인시던트 처리 자동화
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 해당 없음(N/A) | IR-4, IR-5, IR-6 | 12.10 |
보안 원칙: 수동 반복 작업을 자동화하여 응답 시간을 단축하고 분석가의 부담을 줄입니다. 수동 작업은 실행하는 데 더 오래 걸려 각 인시던트의 속도를 늦추고 분석가가 처리할 수 있는 인시던트 수를 줄입니다. 또한 수동 작업은 분석가를 지치게 하여 지연을 유발하는 인간 오류의 위험을 높이고, 복잡한 작업에 효과적으로 집중할 수 있는 분석가의 능력을 저하시킵니다.
Azure 지침: Microsoft Defender for Cloud 및 Azure Sentinel의 워크플로 자동화 기능을 사용하여 자동으로 작업을 트리거하거나 플레이북을 실행하여 들어오는 보안 경고에 응답합니다. 플레이북은 알림 보내기, 계정 비활성화 및 문제가 있는 네트워크 격리와 같은 작업을 수행합니다.
구현 및 추가 컨텍스트:
- 클라우드용 Microsoft Defender에서 워크플로 자동화 구성
- 클라우드용 Microsoft Defender에서 자동화된 위협 대응 설정
- Azure Sentinel에서 자동화된 위협 대응 설정
고객 보안 관련자(자세한 정보):
IR-7: 인시던트 후 활동 - 배운 교훈을 수행하고 증거를 유지합니다.
| CIS 컨트롤 v8 ID | NIST SP 800-53 r4 ID(들) | PCI-DSS ID v3.2.1 |
|---|---|---|
| 17.8 | IR-4 | 12.10 |
보안 원칙: 조직에서 정기적으로 및/또는 주요 인시던트 후에 배운 교훈을 수행하여 인시던트 대응 및 처리에서 향후 기능을 개선합니다.
인시던트의 성격에 따라 인시던트 처리 기준에 명시된 기간 동안 인시던트와 관련된 증거 자료를 보관하여 추후 분석이나 법적 작업을 취합니다.
Azure 지침: 학습된 단원 활동의 결과를 사용하여 인시던트 대응 계획, 플레이북(예: Azure Sentinel 플레이북)을 업데이트하고, 결과를 사용자 환경(예: 로깅 및 위협 감지)에 다시 통합하여 Azure에서 인시던트를 감지, 대응 및 처리하는 향후 기능을 개선할 수 있습니다.
"발견 및 분석 - 사고를 조사하는 단계" 동안 수집된 시스템 로그, 네트워크 트래픽 덤프 및 현재 운영 중인 시스템의 스냅샷과 같은 증거를 보관하기 위해 Azure Storage 계정과 같은 스토리지에 유지합니다.
구현 및 추가 컨텍스트:
고객 보안 관련자(자세한 정보):