위협 분석을 위한 Microsoft Defender 위협 인텔리전스 구현

2025년 6월 1일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 MDTI(Microsoft Defender Threat Intelligence)를 구현하고 사용하여 조직의 위협 분석 및 보안 상태를 개선하도록 안내하는 것을 목표로 합니다. 점점 더 정교해지고 진화하는 사이버 위협 환경에서, 실행 가능한 최신 위협 인텔리전스에 액세스하는 것은 공격을 효과적으로 탐지, 조사 및 대응하는 데 매우 중요합니다. MDTI는 위협 인텔리전스 데이터의 강력한 저장소를 제공하여 보안 팀이 공격자와 그들의 전술을 더 잘 이해할 수 있도록 지원합니다[1].

소개

위협 인텔리전스(IT)는 사고 대응 결정을 알리는 데 사용할 수 있는 기존 또는 새로운 위협에 대한 상황, 메커니즘, 지표, 의미 및 실행 가능한 조언을 포함한 증거 기반 지식입니다. 효과적인 위협 인텔리전스가 없으면 보안 팀은 공격을 예측하고 예방하기보다는 공격에 대응하여 불리하게 운영됩니다. IT는 침해 지표(IoC)를 식별하고 공격자의 동기를 이해하며 사전에 방어를 강화하는 데 도움을 줄 수 있습니다[2].

MDTI(Microsoft Defender Threat Intelligence)는 전 세계 수십억 개의 신호에서 수집된 Microsoft의 방대한 위협 인텔리전스를 통합하는 포괄적인 플랫폼입니다. 이는 적, 악성 인프라 및 취약점에 대한 심층적인 통찰력을 제공하여 보안 전문가가 분류, 사고 대응, 위협 추적 및 취약점 관리를 간소화할 수 있도록 지원합니다. MDTI는 다른 Microsoft Defender 솔루션 및 Microsoft Sentinel과 통합되어 보다 탄력적인 보안 에코시스템을 위한 통합 보기 및 자동화 기능을 제공합니다[3].

이 실무 가이드에서는 전제 조건, 위협 인텔리전스 개념, MDTI 포털 및 API 사용 방법, 다른 Microsoft 솔루션과 통합하는 방법, 위협 분석 수행 방법, 손상 지표(IoC) 해석 및 모범 사례 적용 방법을 다룹니다. 독자가 이러한 기능을 구현, 테스트 및 검증할 수 있도록 단계별 지침, 실제 예제 및 간결한 설명이 제공됩니다. 또한 위협 인텔리전스가 자율적이고 전문적이며 안정적으로 사용되도록 보장하기 위한 보안 팁, 규정 준수 확인 및 모범 사례에 대해 논의합니다.

Microsoft Defender 위협 인텔리전스가 위협 분석에 중요한 이유는 무엇입니까?

• 포괄적인 위협 가시성: 광범위한 IoC, 공격자 인프라 및 악성 캠페인을 포괄하는 세계 최대 규모의 위협 인텔리전스 데이터세트 중 하나에 액세스할 수 있습니다.
• 심층 컨텍스트: 위협 행위자, 전술, 기술 및 절차(TTP) 및 관련 취약점에 대한 정보를 포함하여 위협에 대한 풍부한 컨텍스트를 제공합니다.
• Microsoft 생태계와의 통합: Microsoft Defender XDR, Microsoft Sentinel 및 기타 솔루션과의 기본 통합으로 조정되고 자동화된 대응이 가능합니다.
• 신속한 사고 대응: 보안 팀이 사고의 근본 원인을 신속하게 식별하고 위협의 우선 순위를 지정하며 효과적인 대응 조치를 구현할 수 있도록 지원합니다.
• Proactive Threat Hunting: 위협 사냥꾼이 심각한 피해를 입히기 전에 환경에서 악의적인 활동을 식별할 수 있습니다.
• 향상된 취약성 관리: 공격자가 악용한 취약성에 대한 통찰력을 제공하여 조직이 해결 우선순위를 정할 수 있도록 합니다.

전제조건

Microsoft Defender 위협 인텔리전스를 사용하려면 다음 항목이 필요합니다.

1. Microsoft 365 E5 또는 클라우드용 Defender 라이선스: MDTI는 일부 Microsoft 365 E5 라이선스와 Microsoft Defender for Cloud의 일부로 포함되어 있거나 별도로 구매할 수 있습니다[4].
2. Microsoft Defender 포털 액세스: Microsoft Defender 포털(https://security.microsoft.com)에 액세스할 수 있는 적절한 권한이 있는 계정입니다.
3. Microsoft Defender Threat Intelligence 포털 액세스: MDTI 데이터 탐색을 위한 전용 포털(https://ti.defender.microsoft.com)입니다.
4. 기본 지식o 사이버 보안: 위협 개념, IoC 및 보안 운영에 대한 지식.

단계별: Microsoft Defender 위협 인텔리전스 구현 및 사용

MDTI 포털을 살펴보고, IoC를 검색하고, Microsoft Sentinel과 통합해 보겠습니다.

1. Microsoft Defender 위협 인텔리전스 포털에 액세스

MDTI 포털은 위협 인텔리전스에 액세스하고 탐색하기 위한 중심점입니다.

1. 브라우저를 열고 Microsoft Defender Threat Intelligence 포털인 https://ti.defender.microsoft.com으로 이동합니다.
2. 필요한 라이선스와 권한이 있는 Microsoft 계정으로 로그인하세요.

3. 일반적으로 최신 위협 뉴스, 연구 기사 및 주요 IoC가 포함된 대시보드가 ​​표시되는 홈 페이지를 탐색합니다.

   • 설명: 포털은 연구 기사, 침해 지표, 인프라 데이터 등을 포함하여 광범위한 위협 인텔리전스 데이터 세트를 탐색하기 위한 직관적인 인터페이스를 제공합니다.

2. 침해 지표(IoC) 조사 및 분석

특정 IoC(IP 주소, 도메인, 파일 해시)를 검색하여 컨텍스트와 통찰력을 얻을 수 있습니다.

1. MDTI 포털 상단의 검색창을 이용해 IoC를 입력하세요. 예를 들어 의심스러운 IP 주소(예: '192.0.2.1')를 검색하세요.

2. 결과 페이지에는 다음을 포함하여 IoC에 대한 자세한 정보가 표시됩니다.

   • 평판: IoC가 악의적인지 의심스러운지 여부입니다.
   • 연결: 이 IoC와 연결된 다른 IoC, 도메인, 해시 또는 인증서입니다.
   • 역사: 시간 경과에 따른 IoC 인프라 또는 동작의 변화입니다.
   • 연구 기사: 이 IoC를 언급하는 MDTI 기사로 공격 캠페인이나 위협 행위자에 대한 맥락을 제공합니다.

   • 서비스 및 포트: 이 IP에서 열려 있거나 관찰되는 서비스 및 포트입니다.

   • 설명: MDTI의 IoC 분석을 통해 보안 분석가는 위협의 특성, 해당 인프라 및 기타 악성 활동과의 관계를 빠르게 이해할 수 있습니다. 이는 사고를 분류하고 조사할 때 매우 중요합니다.

3. 연구 논문 및 위협 행위자 탐색

MDTI는 위협 행위자, TTP 및 특정 캠페인에 대한 심층 연구 기사를 게시합니다.

1. MDTI 포털의 왼쪽 탐색 창에서 연구 기사 또는 위협 행위자를 선택합니다.
2. 기사를 탐색하여 귀하의 조직이나 산업과 관련된 위협 정보를 찾으십시오.

3. 각 문서에서는 IoC, TTP, 완화 권장 사항 및 기타 소스에 대한 링크를 포함한 자세한 분석을 제공합니다.

   • 설명: 이 기사는 전략적, 전술적 인텔리전스의 귀중한 소스로서 보안 팀이 위협 환경을 이해하고 사전 예방적 방어를 개발하는 데 도움이 됩니다.

4. MDTI와 Microsoft Sentinel 통합

Microsoft Sentinel과 통합하면 MDTI 데이터를 SIEM 및 SOAR에 직접 수집하여 다른 보안 로그와 연관시키고 응답을 자동화할 수 있습니다.

1. Azure Portal을 열고 Microsoft Sentinel로 이동합니다.
2. 왼쪽 탐색 창에서 데이터 커넥터를 선택합니다.
3. 검색 필드에 'Microsoft Defender Threat Intelligence'를 입력합니다.
4. 'Microsoft Defender Threat Intelligence' 데이터 커넥터를 선택하고 '커넥터 페이지 열기'를 클릭합니다.

5. '연결'을 클릭하세요.

   • 설명: 이 연결을 통해 Sentinel은 MDTI에서 IoC 및 기타 위협 인텔리전스 데이터를 자동으로 수집할 수 있으며, 이는 탐지 규칙, 관심 목록 및 자동화 플레이북에 사용할 수 있습니다.

5. Azure Sentinel 탐지 규칙에서 MDTI 데이터 사용

Sentinel의 MDTI 데이터를 사용하면 사용자 지정 탐지 규칙을 생성하여 악성 활동을 식별할 수 있습니다.

1. Azure Sentinel에서 분석 > 일정 규칙으로 이동합니다.
2. +만들기 > 예약된 쿼리 규칙을 클릭합니다.

3. 규칙을 구성하고 Query Logic 섹션에서 MDTI 데이터를 사용할 수 있습니다. 예를 들어 방화벽 로그의 IP가 MDTI에 알려진 악성 IP와 통신하는지 검색하려면 다음을 수행하세요. ``쿠스토 악성 IP = ThreatIntelligenceIndicator로 설정 | 여기서 Active == true 및 NetworkIP != "" | ThreatType별로 make_list(NetworkIP)를 요약합니다.

   공통보안로그| 여기서 DestinationIP는 (악성IP)입니다. | DestinationIP, DeviceVendor, DeviceProduct별로 count()를 요약합니다. ```` * 설명: 이 Kusto 쿼리는 보안 로그(예: 방화벽)에서 MDTI 위협 인텔리전스에 의해 악성으로 나열된 IP와의 통신을 검색합니다. 다른 유형의 IoC 또는 로그 소스를 포함하도록 쿼리를 구체화할 수 있습니다.

검증 및 테스트

MDTI가 관련 위협 인텔리전스를 제공하고 있으며 통합이 작동하는지 검증하는 것이 중요합니다.

1. Azure Sentinel에서 데이터 수집 확인

1. 시나리오: MDTI를 Azure Sentinel에 연결한 후 위협 인텔리전스 데이터가 수집되고 있는지 확인합니다.
2. 예상 조치: MDTI 데이터는 Log Analytics의 'ThreatIntelligenceIndicator' 테이블에 표시되어야 합니다.
3. 확인:
   • Microsoft Sentinel에서 로그로 이동합니다.
   • 'ThreatIntelligenceIndicator | 10`을 가져 가라.
   • 데이터가 수집되고 있음을 나타내는 결과를 확인합니다.

2. MDTI로 IoC 감지 테스트

주의: 이 테스트는 격리된 테스트 환경에서 또는 적절한 승인 및 감독을 받아 수행하십시오.

1. 시나리오: 악성으로 알려진 IoC(예: 알려진 악성 코드 명령 및 제어 IP)를 사용하고 Sentinel이 모니터링하는 장치(예: 테스트 VM)에서 해당 IoC에 액세스하려고 시도합니다.
2. 예상 조치: 탐지 규칙이 올바르게 구성되면 Sentinel은 악성 IoC와의 통신을 기반으로 사고를 생성해야 합니다.
3. 확인:
   • Microsoft Sentinel에서 사건으로 이동합니다.
   • 테스트 활동과 일치하는 새로운 사건을 검색하십시오.

보안 팁 및 모범 사례

• 지속적인 IT 소비: 연구 기사와 MDTI가 발표한 최신 위협을 통해 끊임없이 변화하는 위협 환경을 이해하세요.
• 포괄적 통합: MDTI를 모든 Microsoft 보안 솔루션(Defender for Endpoint, Defender for Cloud Apps, Defender for Identity) 및 Microsoft Sentinel과 통합하여 가시성과 응답성을 극대화합니다.
• 플레이북을 통한 자동화: Microsoft Sentinel의 플레이북을 사용하여 방화벽에서 악성 IP를 차단하거나 손상된 장치를 격리하는 등 MDTI IoC로 인해 발생하는 사고에 대한 대응을 자동화합니다.
• Proactive Threat Hunting: Microsoft Sentinel의 위협 헌팅 쿼리에 MDTI 데이터를 사용하여 로그에서 악의적인 활동을 사전에 찾습니다.
• 정기 검증: IT 기반 탐지 규칙을 정기적으로 테스트하여 예상대로 작동하고 IoC가 최신 상태인지 확인합니다.
• IoC의 상황화: 격리된 IoC에만 의존하지 마십시오. MDTI가 제공하는 컨텍스트를 사용하여 IoC 뒤에 있는 공격 캠페인, TTP 및 위협 행위자를 이해합니다.

일반적인 문제 해결

• MDTI 데이터는 Sentinel에 표시되지 않습니다:
  • Azure Sentinel에서 MDTI 데이터 커넥터가 활성화되어 있는지 확인하세요.
  • 귀하의 Microsoft 라이선스가 Sentinel과의 MDTI 통합을 지원하는지 확인하세요.
  • 초기 데이터 수집에 지연이 있을 수 있습니다. 몇 시간 정도 기다리십시오.
  • Azure 감사 로그에서 데이터 커넥터 관련 오류를 확인하세요.
• MDTI 기반 탐지 규칙은 경고를 생성하지 않습니다:
  • Kusto 쿼리의 구문을 확인하세요. ThreatIntelligenceIndicator 테이블이 올바르게 참조되고 있는지 확인하세요.
  • 테스트 활동이 실제로 규칙 기준과 일치하는지 확인하세요.
  • 분석 규칙 설정(경고 임계값, 예약)을 확인하세요.
• MDTI 포털의 IoC는 업데이트되지 않습니다:
  • MDTI는 지속적으로 업데이트됩니다. 오래된 데이터가 발견되면 브라우저 캐시 문제이거나 일시적인 서비스 지연일 수 있습니다.
  • Azure 상태 페이지에서 MDTI 서비스 상태를 확인하세요.
• MDTI 포털 액세스 문제:
  • 귀하의 계정에 MDTI에 액세스할 수 있는 올바른 라이센스 및 권한이 있는지 확인하십시오.
  • 브라우저 캐시를 지우거나 시크릿 모드에서 액세스해 보세요.

결론

Microsoft Defender Threat Intelligence는 모든 조직의 사이버 방어를 강화하는 데 없어서는 안 될 도구입니다. 광대하고 풍부한 서비스에 대한 액세스를 제공함으로써위협 인텔리전스의 원천인 이 솔루션은 보안 팀이 사후 대응 태세에서 사전 태세로 전환하여 보다 빠르고 정확하게 위협을 탐지하고 대응할 수 있도록 지원합니다. MDTI는 Microsoft Defender 에코시스템 및 Microsoft Sentinel과 통합되어 가장 정교한 위협으로부터 보호할 수 있는 강력하고 통합된 보안 솔루션을 만듭니다. 이 실용적인 가이드를 통해 보안 전문가와 IT 관리자는 Microsoft Defender 위협 인텔리전스를 구성, 검증 및 관리하여 사이버 공격에 대한 조직의 탄력성을 강화할 수 있는 준비를 갖추게 됩니다.

참고자료:

[1] 마이크로소프트 보안. Microsoft Defender 위협 인텔리전스. 사용 가능 위치: https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence [2] 마이크로소프트 런. Microsoft Defender 위협 인텔리전스(Defender IT)란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-threat-intelligence-defender-ti [3] 마이크로소프트 런. Microsoft Defender XDR의 위협 분석. 이용 가능: https://learn.microsoft.com/pt-br/defender-xdr/threat-analytics [4] 마이크로소프트 런. Microsoft 위협 인텔리전스 데이터 커넥터를 활성화합니다. 사용 가능: https://learn.microsoft.com/pt-br/azure/sentinel/connect-mdti-data-connector [5] 마이크로소프트 런. Microsoft Sentinel과 Microsoft Defender XDR 통합. 사용 가능: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-365-defender-sentinel-integration [6] 마이크로소프트 런. Microsoft Defender 위협 인텔리전스용 Microsoft Graph API를 사용하세요. 사용 가능 위치: https://learn.microsoft.com/pt-br/graph/api/resources/security-threatintelligence-overview?view=graph-rest-1.0 [7] 마이크로소프트 런. Microsoft Defender 포털의 Microsoft Sentinel. 사용 가능: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-sentinel-defender-portal