Microsoft Defender 취약성 관리로 취약성 관리

Microsoft Defender 취약성 관리로 취약성 관리

2024년 5월 8일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 MDVM(Microsoft Defender Vulnerability Management)을 사용하여 환경의 취약성을 식별, 평가, 우선 순위 지정 및 해결하도록 안내하는 것을 목표로 합니다. MDVM은 지속적인 자산 가시성, 지능형 평가 및 기본 제공 수정 도구를 제공하는 Microsoft Defender for Endpoint와 통합된 위험 기반 취약성 관리 솔루션입니다[1].

소개

끊임없이 진화하는 사이버 위협 환경에서 효과적인 취약성 관리는 강력한 보안 전략의 기본 기둥입니다. 취약점을 식별하고 해결하지 못하면 조직은 알려진 소프트웨어 결함, 잘못된 구성 또는 오래된 시스템을 악용하는 공격에 노출될 수 있습니다. Microsoft Defender Vulnerability Management는 공격 표면 관리에 대한 사전 위험 기반 접근 방식을 제공하여 단순한 탐지를 넘어 보안 팀이 가장 큰 영향을 미칠 수 있는 부분에 노력을 집중할 수 있도록 합니다[2].

이 실무 가이드에서는 자산 가시성 및 취약성 검색부터 위험 기반 우선순위 지정, 보안 권장 사항 생성 및 문제 해결 추적에 이르기까지 MDVM을 구성하고 사용하는 방법을 다룹니다. 독자가 효과적인 취약점 관리 프로그램을 구현하여 위험 노출을 줄이고 조직의 보안 태세를 강화할 수 있도록 단계별 지침, 인터페이스 사용 예 및 검증 방법이 제공됩니다.

Microsoft Defender 취약성 관리가 중요한 이유는 무엇입니까?

  • 포괄적인 가시성: Defender for Endpoint에 이미 탑재된 장치에 대한 추가 에이전트 없이 Windows, macOS, Linux, Android, iOS 및 네트워크 장치 전반에서 자산 및 취약성을 지속적으로 검색합니다.
  • 위험 기반 평가: 조직의 환경적 상황, Microsoft 위협 인텔리전스, 위반 감지를 기반으로 취약성의 우선순위를 지정하여 가장 중요한 위험에 집중할 수 있도록 돕습니다.
  • 실행 가능한 권장 사항: 해결을 위한 명확하고 자세한 권장 사항과 관련 리소스에 대한 단계별 단계 및 링크를 제공합니다.
  • 기본 통합: Microsoft Defender for Endpoint 및 Microsoft Defender 포털과 완전히 통합되어 보안 운영을 단순화합니다.
  • 내장 수정 도구: Microsoft Intune 및 Microsoft Endpoint Configuration Manager와 통합하여 포털에서 직접 수정 작업을 생성할 수 있습니다.
  • 노출 측정: "보안 점수" 및 "노출 점수"와 같은 지표를 제공하여 시간이 지남에 따라 진행 상황을 추적하고 보안 태세를 개선합니다.

전제조건

Microsoft Defender 취약성 관리를 사용하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft Defender for Endpoint P2 또는 Microsoft 365 E5 Security/E5가 포함된 라이선스입니다. MDVM은 이러한 라이센스[3]에 포함되어 있습니다.
  2. 관리 액세스: Microsoft Defender 포털('https://security.microsoft.com')에서 '보안 관리자', '보안 운영자' 또는 '보안 리더' 권한이 있는 계정입니다.
  3. 온보딩된 장치: MDVM이 취약성 데이터를 수집할 수 있도록 Windows, macOS 또는 Linux 장치를 Microsoft Defender for Endpoint에 온보딩해야 합니다.

단계별: MDVM을 통한 취약점 관리

취약점을 식별하고 우선순위를 지정하며 해결하기 위한 MDVM의 주요 기능을 살펴보겠습니다.

1. Microsoft Defender 포털에 액세스

  1. 브라우저를 열고 https://security.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.

2. MDVM 대시보드 개요

MDVM 대시보드에서는 "노출 점수" 및 "보안 점수"를 포함하여 조직의 보안 상태에 대한 개요를 찾을 수 있습니다.

  1. 왼쪽 탐색 창에서 취약성 관리를 선택합니다.
  2. 대시보드에는 다음과 같은 정보가 표시됩니다.
    • 노출 점수: 취약성에 대한 조직의 노출을 반영하는 동적 점수입니다.
    • 보안 점수: 보안 상태의 척도개선을 위한 권장 사항이 포함된 일반적인 내용입니다.
    • 주요 보안 권장 사항: 위험을 줄이기 위한 가장 효과적인 조치입니다.
    • 주요 취약점: 해당 환경에서 가장 일반적이거나 심각한 취약점입니다.

3. 보안 권장 사항 보기

권장 사항은 취약점을 수정하고 보안 상태를 개선하기 위한 실행 가능한 조치입니다.

  1. 왼쪽 탐색 창에서 취약성 관리 > 권장 사항을 선택합니다.
  2. 권장 사항 페이지에는 노출 점수 영향 및 영향을 받는 장치 수에 따라 우선 순위가 지정된 제안 조치가 나열됩니다.
  3. 자세한 내용을 보려면 권장사항(예: 'Google Chrome 업데이트')을 클릭하세요.

4. 권장 사항 조사

권장 사항을 클릭하면 추가 조사가 가능합니다.

  1. 추천 세부정보 페이지에 다음이 표시됩니다.
    • 설명: 취약점과 수정이 중요한 이유를 설명합니다.
    • 노출: 노출 점수에 미치는 영향에 대한 세부정보입니다.
    • 영향을 받는 장치: 취약점이 있는 모든 장치의 목록입니다.
    • 관련 취약점: 권장 사항과 관련된 CVE(Common Vulnerability and Exposures)입니다.
    • 수정 옵션: 취약점을 수정하는 방법에 대한 제안입니다.

5. 수정 작업 만들기

MDVM을 사용하면 패치 관리 도구와 통합하여 포털에서 직접 교정 작업을 생성할 수 있습니다.

  1. 권장사항 세부정보 페이지에서 수정 옵션을 클릭합니다.
  2. 수정 요청을 선택합니다.
  3. 요청 세부정보를 입력하세요.
    • 우선순위: 작업의 우선순위를 설정합니다.
    • 마감일: 수정 마감일을 설정합니다.
    • 참고: IT 팀을 위한 추가 정보를 추가하세요.
    • 수정 그룹: (선택 사항) 특정 그룹에 할당합니다.

  4. 요청 제출을 클릭합니다.

  5. 취약성 관리 > 수정에서 수정 작업 상태를 추적할 수 있습니다.

6. 소프트웨어 인벤토리 보기

소프트웨어 인벤토리를 통해 장치에 설치된 모든 소프트웨어와 관련 취약점을 전체적으로 볼 수 있습니다.

  1. 왼쪽 탐색 창에서 취약성 관리 > 소프트웨어 인벤토리를 선택합니다.
  2. 소프트웨어를 필터링 및 검색할 수 있으며 각 소프트웨어를 클릭하면 알려진 취약점(CVE) 및 보안 권장 사항과 같은 세부 정보를 볼 수 있습니다.

7. 장치 인벤토리 보기

장치 인벤토리는 취약성 및 보안 설정에 대한 정보와 함께 온보딩된 모든 장치 목록을 제공합니다.

  1. 왼쪽 탐색 창에서 자산 > 장치를 선택합니다.
  2. 취약점, 보안 권장 사항, 설치된 소프트웨어 및 보안 설정을 포함한 전체 프로필을 보려면 장치를 클릭하십시오.

검증 및 테스트

MDVM의 효율성을 검증하려면 취약점이 감지되고 교정 조치가 성공적으로 적용되었는지 확인해야 합니다.

1. 새로운 취약점 탐지 여부 확인

  1. 의도적으로 알려진 취약점을 테스트 장치에 도입합니다(예: 취약한 오래된 소프트웨어 버전 설치).
  2. MDVM이 데이터를 수집할 때까지 몇 시간 기다립니다.
  3. MDVM 대시보드와 보안 권장 사항을 확인하여 새로운 취약점이 감지되었고 교정 권장 사항이 생성되었는지 확인합니다.

2. 해결 유효성 검사

  1. 감지된 취약점(예: 소프트웨어 업데이트)에 대한 교정 작업을 만듭니다.
  2. 영향을 받는 장치에 수정 사항을 적용합니다(예: 수동으로 또는 Intune/SCCM을 통해 소프트웨어 업데이트).
  3. MDVM이 장치를 재평가할 때까지 몇 시간 기다립니다.
  4. 수정 페이지를 확인하여 작업이 '완료됨'으로 표시되었고 취약점이 권장 사항에서 제거되었는지 확인합니다.

보안 팁 및 모범 사례

  • 전체 온보딩: 완전한 MDVM 가시성을 확보하려면 모든 관련 장치가 Microsoft Defender for Endpoint에 온보딩되어 있는지 확인하세요.
  • 위험 기반 우선 순위 지정: 노출 점수와 우선 순위 권장 사항을 사용하여 조직의 가장 중요한 위험에 집중합니다.
  • 패치 관리와의 통합: 통합n 기존 패치 관리 도구(Intune, SCCM)를 사용하여 MDVM 교정 작업을 수행하여 교정 프로세스를 자동화합니다.
  • 지속적인 모니터링: MDVM 대시보드, 권장 사항 및 수정 상태를 정기적으로 모니터링하여 사전 예방적인 보안 상태를 유지합니다.
  • 소프트웨어 개정: 소프트웨어 인벤토리를 사용하여 승인되지 않거나 오래된 소프트웨어를 식별하고 해당 소프트웨어의 제거 또는 업데이트를 계획합니다.
  • 교육 및 인식: 소프트웨어를 최신 상태로 유지하고 조직의 보안 정책을 따르는 것의 중요성에 대해 사용자를 교육합니다.
  • 대응 자동화: Azure Sentinel과 MDVM 통합을 탐색하여 고위험 취약성 또는 잘못된 구성에 대한 대응을 자동화합니다.

일반적인 문제 해결

  • 장치가 MDVM에 표시되지 않습니다: 장치가 Microsoft Defender for Endpoint에 올바르게 온보딩되었는지 확인합니다. 장치에서 Defender 에이전트 상태를 확인하세요. 데이터 동기화가 지연될 수 있습니다.
  • 감지되지 않은 취약점: 취약한 소프트웨어가 장치에 설치되어 활성화되어 있는지 확인하세요. Defender for Endpoint 보안 설정이 최신인지 확인하세요. 데이터 감지 및 처리가 지연될 수 있습니다.
  • 해결 방법이 적용되지 않음: 패치 관리 도구(Intune, SCCM) 로그에 오류가 있는지 확인하세요. 영향을 받는 장치가 온라인이고 액세스할 수 있는지 확인하세요. 수정 작업을 실행하는 계정의 권한을 확인하세요.
  • 오탐지: 권장 사항이 잘못된 것으로 나타나면 취약점과 영향을 받는 소프트웨어에 대한 세부 정보를 조사하세요. 사용자 환경과 관련이 없는 권장 사항을 표시하지 않을 수 있지만 주의해서 수행해야 합니다.
  • 콘솔 성능: 장치가 많은 환경에서는 데이터 로딩에 시간이 걸릴 수 있습니다. 필터와 검색을 사용하여 보기를 최적화하세요.

결론

Microsoft Defender 취약성 관리는 조직이 취약성 관리에 대해 사전 위험 기반 접근 방식을 취할 수 있도록 지원하는 강력한 도구입니다. 지속적인 가시성, 지능형 평가 및 통합 교정 도구를 제공함으로써 MDVM은 보안 위반을 식별하고 교정하는 복잡한 프로세스를 단순화합니다. 패치 관리 및 보안 모범 사례와 결합된 MDVM의 효과적인 구현을 통해 IT 및 보안 팀은 공격 표면을 크게 줄이고 "보안 점수"를 개선하며 최신 위협에 대한 조직의 사이버 탄력성을 강화할 수 있습니다. 이 가이드를 통해 보안 전문가는 취약성을 효율적으로 관리하고 안전하고 규정을 준수하는 Microsoft 환경을 유지 관리할 수 있는 준비를 갖추게 됩니다.

참고자료:

[1] 마이크로소프트 런. Microsoft Defender 취약점 관리. 사용 가능: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] 마이크로소프트 런. 취약성 평가 사용자 가이드. 이용 가능: https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] 마이크로소프트 런. Microsoft Defender 취약성 관리 기능을 비교하세요. 사용 가능: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capability