Microsoft 365 보안 센터를 통해 실시간으로 사건 모니터링

Microsoft 365 보안 센터를 통해 실시간으로 사건 모니터링

2024년 3월 8일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft 365 Defender 포털(이전의 Microsoft 365 보안 센터)을 사용하여 실시간 보안 사고를 모니터링하고 관리하도록 안내하는 것을 목표로 합니다. 이 포털은 Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps 등 여러 Microsoft 보안 솔루션의 가시성과 사고 대응 기능을 통합하여 보안 운영을 위한 중앙 집중식 플랫폼을 제공합니다[1].

소개

끊임없이 진화하는 사이버 위협 환경에서 보안 사고를 신속하고 효율적으로 탐지, 조사 및 대응하는 능력은 공격의 영향을 최소화하는 데 매우 중요합니다. Microsoft 365 Defender 포털은 명령 및 제어 센터 역할을 하여 다양한 Microsoft 제품의 보안 경고를 응집력 있는 사고로 연결합니다. 이를 통해 SecOps(보안 운영) 팀은 공격에 대한 전체적인 시각을 확보하고 킬 체인을 이해하며 보다 효과적으로 시정 조치를 취할 수 있습니다[2].

이 방법 가이드에서는 Microsoft 365 Defender 포털을 탐색하고, 사건 큐를 모니터링하고, 상관된 경고를 조사하고, 사건의 수명 주기를 관리하는 방법을 다룹니다. 독자가 Microsoft 365 환경에서 보안 운영을 최적화하고 사고 대응 기능을 향상할 수 있도록 단계별 지침, 인터페이스 사용 예 및 유효성 검사 방법이 제공됩니다.

사고 모니터링을 위해 Microsoft 365 Defender 포털을 사용해야 하는 이유는 무엇인가요?

  • 통합 가시성: 여러 Defender 제품(Endpoint, Office 365, ID, Cloud Apps)의 보안 경고를 단일 대시보드에 집계합니다.
  • 자동 상관관계: 사건 전반에 걸쳐 관련 경고의 상관관계를 자동으로 지정하여 공격에 대한 보다 풍부한 컨텍스트를 제공합니다.
  • 종합 조사: 이벤트 타임라인, 공격 그래프, 영향을 받은 엔터티에 대한 자세한 정보를 포함한 심층 조사 도구를 제공합니다.
  • 조정된 대응: 보안 팀이 자동 및 수동 조치를 통해 중앙에서 사고에 대응할 수 있습니다.
  • SOAR(대응 자동화): SOAR 기능과 통합하여 사고 대응 작업을 자동화하고 평균 대응 시간(MTTR)을 단축합니다.

전제조건

Microsoft 365 Defender 포털을 사용하여 실시간으로 사건을 모니터링하려면 다음 항목이 필요합니다.

  1. 라이선스: 포털에 대한 액세스 및 탐지 기능을 포함하는 Microsoft 365 Defender 제품(예: Microsoft 365 E5 Security, Microsoft 365 E5)에 대한 적절한 라이선스입니다[3].
  2. 관리 액세스: Microsoft 365 Defender 포털(https://security.microsoft.com)에서 보안 관리자, 보안 운영자 또는 보안 독자 권한이 있는 계정입니다.
  3. 활성 Defender 제품: 하나 이상의 Defender 제품(Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps)이 활성 상태이고 경고를 생성하도록 구성되어야 합니다.
  4. 연결된 데이터 소스: 보안 데이터는 해당 Defender 제품에서 수집하고 모니터링해야 합니다.

단계별: 사고 모니터링 및 관리

Microsoft 365 Defender 포털 인터페이스와 사고 모니터링 및 관리를 위한 주요 기능을 살펴보겠습니다.

1. Microsoft 365 Defender 포털에 액세스

  1. 브라우저를 열고 https://security.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.

2. 인시던트 대기열 탐색

사고 대기열은 SecOps 팀의 중심점입니다. 공격에 대한 상황별 보기를 제공하기 위해 관련 경고가 함께 그룹화되는 곳입니다.

  1. 왼쪽 탐색 창에서 사고 및 경고 > 사고를 선택합니다.
  2. 인시던트 대기열에는 심각도, 상태, 영향을 받은 엔터티, 마지막 활동 등의 정보와 함께 감지된 모든 인시던트 목록이 표시됩니다.

3. 특정 사건 분석

사건을 클릭하면 상관된 모든 경고, 장치,영향을 받는 사용자, 사용자 및 파일.

  1. 사건 대기열에서 사건의 이름을 클릭하여 세부 정보 페이지를 엽니다.
  2. 사건 세부정보 페이지는 여러 탭으로 구성됩니다.
    • 개요: 심각도, 상태, 분류, 영향을 받은 사용자 및 장치를 포함하여 사건에 대한 요약을 제공합니다.
    • 경보: 이 사건과 관련된 모든 경보를 나열합니다. 각 알림을 클릭하면 구체적인 세부정보를 볼 수 있습니다.
    • 장치: 사건과 관련된 모든 장치를 표시합니다.
    • 사용자: 영향을 받거나 관련된 사용자를 나열합니다.
    • 사서함: 영향을 받은 사서함을 표시합니다(Office 365용 Defender 경고가 있는 경우).
    • 조사: 사건에 대응하여 시작된 자동화된 조사를 표시합니다.
    • 증거 및 대응: 수집된 증거(파일, IP, URL)와 권장되거나 취한 대응 조치를 제시합니다.
    • 그래프: 경고, 엔터티 및 이벤트 간의 관계를 보여주는 공격 체인의 시각적 표현입니다.

4. 사고 수명주기 관리

사고 관리에는 할당, 분류 및 해결이 포함됩니다.

  1. 사건 할당: 사건 세부 정보 페이지의 개요 섹션에서 특정 분석가에게 사건을 할당할 수 있습니다. 할당 대상을 클릭하고 사용자를 선택합니다.
  2. 상태 변경: 조사가 진행됨에 따라 사건의 상태를 변경합니다(예: '신규', '진행 중', '해결됨').
  3. 사고 분류: 사고를 해결할 때 학습 및 보고 목적으로 분류해야 합니다. 분류를 클릭하고 다음을 선택합니다.
    • 참 긍정(실제 위협인 경우)
    • False Positive(잘못된 경고인 경우)
    • '예상 활동'(경고를 유발한 합법적인 활동인 경우)
    • 해결 방법을 기록하려면 설명을 추가하세요.
  4. 댓글 추가: 댓글 및 기록 섹션을 사용하여 조사 단계, 조사 결과 및 취해진 조치를 기록합니다.

5. 대응 조치 수행

조사 결과에 따라 포털에서 직접 대응 조치를 취할 수 있습니다.

  1. 사고 내의 장치 또는 사용자 탭에서 영향을 받은 개체(예: 장치)를 선택합니다.
  2. 사용 가능한 작업은 다음과 같습니다.
    • 장치 격리: 위협을 억제하기 위해 네트워크에서 장치 연결을 끊습니다.
    • 애플리케이션 실행 제한: 승인되지 않은 애플리케이션이 실행되는 것을 방지합니다.
    • 바이러스 검사 실행: 장치 전체 검사를 시작합니다.
    • 조사 패키지 수집: 기기에서 로그 및 포렌식 데이터를 수집합니다.
    • 사용자 비활성화: Azure AD에서 사용자 계정을 비활성화합니다.
    • 사용자 비밀번호 재설정: 사용자 비밀번호를 강제로 재설정합니다.

검증 및 테스트

사고 모니터링의 유효성을 검사하려면 공격 시나리오를 시뮬레이션하고 Microsoft 365 Defender 포털이 이를 올바르게 감지하고 상호 연결하는지 확인하는 것이 중요합니다.

1. 공격 시뮬레이션(예: EICAR 테스트)

EICAR(European Institute for Computer Antivirus Research) 파일을 사용하여 맬웨어 탐지를 시뮬레이션합니다(1항 - 엔드포인트용 Defender에 설명된 대로).

  1. Defender for Endpoint가 탑재된 장치에서 EICAR 파일(https://www.eicar.org/download/eicar.com.txt)을 다운로드하거나 생성해 보세요.
  2. Defender for Endpoint는 파일을 감지하고 차단해야 합니다.
  3. Microsoft 365 Defender 포털에서 사건 및 경고 > 경고로 이동합니다.
  4. EICAR 탐지와 관련된 경고가 표시됩니다.
  5. 이 경고가 기존 사건과 연관되어 있는지 또는 새 사건이 생성되었는지 확인합니다.

2. 응답 시간 및 상관관계 확인

시뮬레이션 후 경고가 생성되고 사고와 연관되는 데 걸리는 시간을 관찰합니다. 이는 실시간 모니터링의 효율성을 이해하는 데 도움이 됩니다.

보안 팁 및 모범 사례

  • 모든 소스 통합: 가장 완전한 보기와 최고의 사건 상관관계를 확인하기 위해 최대한 많은 Defender 데이터 소스와 제품을 Microsoft 365 Defender 포털에 연결하세요.
  • 역할 및 책임 정의: 사고 모니터링, 조사 및 대응을 담당할 사람을 명확하게 설정합니다.
  • 간단한 응답 자동화: 리소스 사용심각도가 낮은 경고 유형에 자동으로 응답하거나 심각도가 높은 경고에 대한 추가 정보를 수집하는 자동화 도구(플레이북)입니다.
  • 최신 상태 유지: 플랫폼이 지속적으로 개선됨에 따라 Microsoft 365 Defender의 새로운 기능을 최신 상태로 유지하세요.
  • 지속적인 교육: SecOps 팀이 최신 도구와 공격 전술에 익숙해질 수 있도록 교육에 투자하세요.
  • 시뮬레이션 연습: 사고 시뮬레이션 연습을 정기적으로 수행하여 프로세스와 도구의 효율성을 테스트합니다.

일반적인 문제 해결

  • 알림이 포털에 표시되지 않습니다: 관련 Defender 제품이 활성화되어 있고 올바르게 구성되어 있는지 확인하세요. 데이터 커넥터가 작동하고 로그를 전송하는지 확인하세요. 개별 Defender 제품의 탐지 규칙 설정을 확인하세요.
  • 사건 전반에 걸쳐 상관 관계가 없는 경고: Microsoft 365 Defender는 자동으로 상관 관계를 지정합니다. 관련 경고가 그룹화되지 않은 경우 로그 수집이 지연되거나 상황 정보(사용자, 장치, IP)가 자동 상관 관계에 충분하지 않을 수 있습니다. 감사 로그 및 수집 시간을 확인하세요.
  • 포털 성능 문제: 브라우저 캐시를 지우거나, 다른 브라우저를 사용해 보거나, 네트워크 연결을 확인하세요. 데이터 양이 많은 경우 인터페이스를 로드하는 데 시간이 걸릴 수 있습니다.
  • 대응 작업 실패: 작업을 수행하려는 계정의 권한을 확인하세요. 대상 장치 또는 사용자가 온라인 상태이고 Defender 서비스에서 액세스할 수 있는지 확인하세요.

결론

Microsoft 365 Defender 포털은 효과적인 사전 대응적 보안 전략을 추구하는 모든 조직에 없어서는 안 될 도구입니다. 사고 모니터링을 중앙 집중화하고, 여러 소스의 경고를 연관시키고, 포괄적인 조사 및 대응 기능을 제공함으로써 SecOps 팀이 실시간으로 환경을 보호할 수 있도록 지원합니다. 이 플랫폼을 구현하고 효과적으로 사용하면 위협 가시성이 향상될 뿐만 아니라 응답 시간이 크게 단축되어 가장 정교한 공격에 대한 조직의 사이버 탄력성이 강화됩니다.

참고자료:

[1] 마이크로소프트 런. Microsoft 365 Defender 포털. 사용 가능 위치: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] 마이크로소프트 런. Microsoft 365 Defender의 사건 개요. 사용 가능 위치: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] 마이크로소프트 런. Microsoft 365 Defender 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide