Microsoft 보안 서비스

이 문서에서는 Microsoft 보안 서비스와 통합 시스템으로 함께 작동하여 ID, 디바이스, 애플리케이션, 데이터, AI 및 인프라를 포함하는 기술 핵심 요소 간에 보호를 제공하는 방법을 설명합니다.

최신 엔터프라이즈 보안이 경계 기반 보호에서 ID 기반 클라우드 통합 모델로 전환되었습니다. 조직은 진화하는 위협에 지속적으로 적응하면서 하이브리드 및 다중 클라우드 환경에서 사용자, 디바이스, 애플리케이션 및 데이터를 보호해야 합니다.

Microsoft 함께 작동하여 신호를 공유하고, 일관된 정책을 적용하고, 제어를 적용하고, 환경 전체에서 검색 및 응답을 조정하는 통합 클라우드 기반 서비스 집합을 제공합니다.

보안 결과

통합 Microsoft 보안은 다음과 같은 결과를 제공합니다.

  • 통합 신호 가시성: 원격 분석은 ID, 디바이스, 애플리케이션, 데이터 및 인프라에서 지속적으로 수집되고 중앙 집중화되며, 실행 가능한 중앙 집중식 신호로 변환됩니다.
  • ID 기반 의사 결정: 액세스 및 적용 결정은 ID, 디바이스 상태, 위험 신호 및 세션 컨텍스트를 기반으로 합니다.
  • 일관된 적용: 제로 트러스트 통제는 액세스 시점과 사용 중에 엔드포인트, 클라우드 서비스 및 애플리케이션 전반에 걸쳐 적용됩니다.
  • 통합 검색 및 응답: 신호 및 경고는 도메인 간에 상호 연결되어 위협을 통합 작업으로 감지하고 대응합니다.
  • 지속적인 유효성 검사 및 개선: 검색 및 위험 신호는 시간이 지남에 따라 보호를 강화하기 위한 정책 결정에 다시 공급됩니다.

핵심 보안 서비스

핵심 보안 서비스는 플랫폼 전체에서 신호, 컨텍스트 및 적용에 기여하는 여러 기술 핵심 요소에 걸쳐 있습니다.

기둥
기본 서비스
보호 기본 포털
ID 및 액세스

Microsoft Entra

Microsoft Defender for Identity
Microsoft Entra 사용자, 워크로드 및 애플리케이션에 대한 액세스를 제어합니다. ID, 디바이스 및 세션 신호를 평가하여 액세스 결정을 내립니다.

Defender for Identity는 하이브리드 ID 인프라를 모니터링하여 공격을 탐지합니다.
Microsoft Entra 관리 센터

Microsoft Defender 포털
디바이스/엔드포인트

엔드포인트용 Microsoft Defender (마이크로소프트 디펜더 포 엔드포인트)

마이크로소프트 Intune
Defender for Endpoint는 엔드포인트 원격 분석 데이터를 수집하고 위협을 탐지합니다.
Microsoft Intune 디바이스 규정 준수를 평가하고 정책을 적용합니다.
Microsoft Defender 포털

Microsoft Intune 관리 센터
전자 메일 및 공동 작업

Office 365용 Defender
맬웨어, 악성 링크/첨부 파일 및 비즈니스 전자 메일 손상으로부터 Exchange 및 공동 작업 서비스(Microsoft Teams, SharePoint, OneDrive)를 보호합니다. Microsoft Defender 포털
데이터

Microsoft Purview
엔드포인트 및 클라우드 서비스에서 데이터 보호 및 DLP(데이터 손실 방지) 정책을 적용합니다. Microsoft Purview 포털
인프라/클라우드 워크로드

클라우드용 Microsoft Defender
보안 상태를 개선하고 클라우드 및 하이브리드 워크로드에서 위협 탐지를 제공합니다. Microsoft Azure Portal
Microsoft Defender 포털
Networks

Azure 네트워킹 서비스
네트워크를 분할하고 보호합니다. Microsoft Azure Portal
SaaS/클라우드 앱

Microsoft Defender for Cloud Apps (클라우드 앱용 디펜더)
클라우드 앱 사용에 대한 가시성을 제공하고 사용자 활동을 모니터링하여 위험한 동작을 감지합니다. Microsoft Defender 포털
자세/위험

Microsoft 보안 노출 관리
ID, 디바이스, 클라우드 리소스 및 애플리케이션에 대한 노출을 식별, 우선 순위 지정 및 줄입니다. Microsoft Defender 포털
위협 탐지/대응

Microsoft Defender XDR
Defender 서비스에서 신호를 상호 연결하고 조사 및 대응을 위한 통합 인시던트가 생성됩니다. Microsoft Defender 포털
보안 작업

Microsoft Sentinel
중앙 집중식 분석, 조사 및 응답을 위해 Microsoft 및 타사 원본의 원격 분석을 집계합니다. Microsoft Azure Portal
Microsoft Defender 포털
개발자/앱 보안

DevOps용 Defender(클라우드용 Defender)
GitHub 고급 보안
코드, 종속성 및 빌드 파이프라인을 보호하고 DevOps 워크플로 전체에서 보안 거버넌스를 적용합니다. Microsoft Defender 포털
GitHub 인터페이스

네트워크 보호 서비스

이 표에는 Azure 네트워킹 기능과 다른 보안 서비스와 직접 통합하는 방법이 요약되어 있습니다. 서비스는 Microsoft Azure portal 구성됩니다.

서비스 보호 통합
Azure Firewall IP, 포트 및 애플리케이션 규칙을 적용하여 서브넷, 인터넷 및 온-프레미스 네트워크에서 인바운드 및 아웃바운드 트래픽을 제어합니다. Microsoft 위협 인텔리전스를 사용하여 알려진 악성 트래픽을 차단합니다. 클라우드용 Defender 구성 상태를 평가합니다.

진단 로그는 Azure Monitor/Log Analytics로 수집되어 Microsoft Sentinel에서 탐지 및 상관 분석을 위해 분석됩니다.
Azure DDoS 방지 볼륨, 프로토콜 및 애플리케이션 계층 공격을 완화합니다. 대규모 홍수 공격으로부터 VNet(가상 네트워크)의 인터넷 연결 리소스를 보호합니다. 메트릭 및 공격 텔레메트리는 Azure Monitor/Log Analytics에 수집되고 Microsoft Sentinel에서 분석할 수 있습니다.

클라우드용 Defender 자세 권장 사항을 제공합니다.
Azure VNet Azure 리소스에 대한 네트워크 격리, 구분 및 개인 IP 주소를 제공합니다. 서비스 간에 제어된 연결을 사용하도록 설정합니다. 클라우드용 Defender 공용 액세스 경로와 같은 노출을 포함하여 구성 상태를 평가합니다.
NSG(네트워크 보안 그룹) 허용/거부 규칙을 사용하여 서브넷 및 네트워크 인터페이스 수준에서 트래픽을 필터링합니다. 원치 않는 트래픽을 리소스로 제한합니다. NSG 흐름 로그(Azure Monitor를 통해 수집)는 트래픽 가시성 및 탐지를 위해 Microsoft Sentinel에서 분석할 수 있습니다.

클라우드용 Defender NSG 규칙 구성을 평가합니다.
Azure WAF(Web Application Firewall) OWASP 규칙 집합을 사용하여 HTTP/HTTPS 애플리케이션을 보호합니다. SQL 삽입 및 XSS(교차 사이트 스크립팅)와 같은 일반적인 웹 공격을 방지하는 데 도움이 됩니다. WAF 로그는 Azure Monitor/Log Analytics 수집되고 Microsoft Sentinel 분석됩니다.

클라우드용 Defender WAF 구성 상태를 평가합니다.
Azure Front Door 라우팅, 가속 및 에지 보안 기능을 사용하여 웹 애플리케이션에 대한 전역 진입점을 제공합니다. 애플리케이션 보호를 위해 WAF와 통합됩니다. 진단 로그(Front Door/WAF)는 Log Analytics로 수집되어 Microsoft Sentinel에서 분석됩니다.

클라우드용 Defender 구성 상태를 평가합니다.
Azure Application Gateway 애플리케이션 트래픽을 보호하고 라우팅하는 기본 제공 웹 애플리케이션 방화벽 기능을 사용하여 지역 부하 분산을 제공합니다. 액세스 및 WAF 로그는 Log Analytics 수집되고 Microsoft Sentinel 분석됩니다.

클라우드용 Defender 구성 상태 및 노출 설정을 평가합니다.
Azure VPN Gateway 온-프레미스 환경과 Azure VNet 간에 암호화된 IPsec/IKE 연결을 제공합니다. 공용 네트워크를 통해 전송 중인 데이터를 보호합니다. 연결 및 터널 로그는 Log Analytics 수집되며 Microsoft Sentinel 분석할 수 있습니다.

클라우드용 Defender 암호화 설정을 포함하여 구성 상태를 평가합니다.
Azure ExpressRoute 온-프레미스 환경과 Microsoft 백본을 통해 Azure 간의 프라이빗 전용 연결을 제공하여 공용 인터넷을 방지합니다. 운영 원격 분석(예: BGP, 회로 상태)은 Azure Monitor를 통해 사용할 수 있으며 Microsoft Sentinel에서 분석할 수 있습니다.

클라우드용 Defender 높은 수준의 구성 상태를 평가합니다.
Azure Bastion 브라우저를 통해 가상 머신에 대한 보안 RDP 및 SSH 액세스를 제공하므로 공용 IP 노출이 필요하지 않습니다. 진단 로그는 Log Analytics 수집되고 Microsoft Sentinel 분석됩니다.

클라우드용 Defender는 축소된 VM은 평가하지만 Azure Bastion 구성은 직접 평가하지 않습니다.
Azure Private Link 개인 IP 주소를 사용하여 Azure PaaS 서비스 및 고객 서비스에 대한 프라이빗 연결을 제공하여 공개 노출을 제거합니다. 서비스 수준 로그(Storage, SQL, Key Vault 같은 Private Link 통해 액세스되는 서비스의 경우)는 Log Analytics 수집되고 Microsoft Sentinel 분석됩니다.

클라우드용 Defender 개인 링크가 노출을 줄이는 데 사용되는지 여부를 평가합니다.
Azure Network Watcher Azure 리소스에서 네트워크 진단, 모니터링 및 흐름 수준 가시성을 제공합니다. NSG 흐름 로그 및 진단은 Log Analytics에 수집되며 Microsoft Sentinel에서 분석할 수 있습니다.

클라우드용 Defender 직접 Network Watcher 대신 NSG 설정과 같은 기본 리소스 구성 상태를 평가합니다.

보안 워크플로

보안 서비스는 연속 파이프라인으로 작동합니다. 신호는 검색 및 응답을 구동하기 위해 지속적으로 수집, 평가, 적용 및 사용됩니다.

파이프라인 조치 키 작업
1단계: 신호 수집 보안 서비스는 ID, 디바이스, 애플리케이션 및 인프라 전반에서 텔레메트리 데이터를 생성합니다. - Defender for Endpoint는 디바이스 원격 분석 데이터를 수집합니다.
- Microsoft Intune 디바이스 준수를 평가합니다.
- Defender for Identity는 온-프레미스 ID 관련 활동을 모니터링합니다.
- Defender for Cloud Apps SaaS 활동을 모니터링합니다.
- 클라우드용 Defender 인프라/워크로드 구성 및 활동을 모니터링합니다.
2단계: 정책 결정 신호는 액세스 조건 및 제어 작업을 결정하기 위해 평가됩니다. Microsoft Entra 조건부 액세스 ID 위험, 디바이스 신뢰, 위치 및 세션 컨텍스트를 평가합니다.
3단계: 제어 적용 보안 컨트롤은 ID, 디바이스, 세션, 데이터 및 네트워크 계층에 적용됩니다. 적용 지점은 다음과 같습니다.
- 조건부 액세스(MFA/제한 사항)
- Intune(디바이스 준수)
-Defender for Cloud Apps(세션 제어)
- Microsoft Purview(DLP)
- Azure 네트워킹(연결 제한).
4단계: 검색 및 응답 신호 및 경고는 위협을 감지, 조사 및 수정하기 위해 상호 연결됩니다. Microsoft Defender XDR은 모든 Defender 제품의 신호를 상호 연관 분석하여 통합된 인시던트로 구성합니다.

Microsoft Sentinel 타사 원본을 포함하여 전체 환경에서 로그, 인시던트, 헌팅 및 보안 오케스트레이션, 자동화 및 대응(SOAR)을 중앙 집중화합니다.
피드백 루프 검색 결과는 지속적으로 보호를 개선하기 위한 정책 결정에 다시 공급됩니다. 위험 및 위협 신호는 실시간 정책 업데이트를 알리며 적응형 및 자동화된 보호를 지원합니다.

보안 서비스 통합

Microsoft 보안 서비스는 응집력 있는 파이프라인으로 작동하는 여러 흐름을 통해 통합되며 지속적인 보호 시스템을 형성합니다.

  • 신호(원격 분석) 는 ID, 디바이스, 애플리케이션 및 기타 리소스에서 활동을 캡처합니다.
  • 컨텍스트(ID, 디바이스 상태 및 데이터 분류) 는 신호를 보강하여 정확도와 의사 결정을 개선합니다.
  • 정책은 평가된 조건에 따라 허용되거나 차단되는 액세스를 정의합니다.
  • 작업은 자동화된 제어 및 응답을 통해 의사 결정을 적용합니다.

신호가 플랫폼을 통해 이동하면 정책에 대해 보강되고 평가되며 계속 작동하여 보호 및 응답의 연속 주기를 만듭니다.

서비스가 통합되는 방법

이 표에는 보안 서비스가 각 출력에서 신호 및 컨텍스트를 사용하는 방법과 출력 및 동작이 요약되어 있습니다.

서비스 소모 출력
Microsoft Entra ID 신호: 인증 활동(로그인, 위험 이벤트). Microsoft Intune의 장치 준수 상태

Context: 엔드포인트용 Defender 액세스 결정을 위한 디바이스 컨텍스트입니다. Defender for Cloud Apps의 액세스 결정용 세션 컨텍스트
작업: 조건부 액세스 결정(허용, 차단, 제한, 제어 필요).
Microsoft Intune 신호: 관리되는 디바이스 목록, 정상 상태, 규정 준수 상태.

Context: Microsoft Entra ID의 ID 연결
출력: Microsoft Entra ID에 대한 디바이스 규정 준수 상태. Microsoft Sentinel 디바이스 감사 로그입니다.
Microsoft Purview Signals: Microsoft 365, SaaS 앱 및 온-프레미스 시스템의 엔터프라이즈 데이터입니다.

컨텍스트: 데이터 분류(민감도 레이블, 콘텐츠 검사, 사용자 활동).
Outputs: Defender XDR 대한 내부자 위험 및 DLP(데이터 손실 보호) 경고입니다. Microsoft Sentinel용 규정 준수 및 감사 로그

Actions: 엔드포인트 간 DLP 적용(엔드포인트의 경우 Defender) 및 세션(Defender for Cloud Apps).
엔드포인트용 Defender 신호: 엔드포인트 원격 분석(프로세스, 파일, 네트워크 활동).

컨텍스트: Microsoft Entra ID (ID 컨텍스트). Microsoft Intune (디바이스 상태) Microsoft Purview(DLP 정책).
Outputs: Defender XDR 및 Microsoft Sentinel로 전송되는 엔드포인트 경고 및 원격 분석.

작업: 엔드포인트 적용(디바이스 격리, 차단, 수정).
Defender for Identity 신호: Active Directory ID 신호. Output: Defender XDR 및 Microsoft Sentinel 대한 ID 위협 경고입니다.
클라우드용 Defender 앱 신호: SaaS 앱 작업(클라우드 사용). Defender for Endpoint의 네트워크 및 섀도 IT 텔레메트리

Context: Microsoft Entra ID 세션 및 인증 컨텍스트입니다. Microsoft Purview DLP 정책
Outputs: 클라우드 앱이 Defender XDR 및 Microsoft Sentinel 경고합니다.

작업: 세션 적용(액세스 차단, 모니터링, 제한).
클라우드용 Defender 신호: Azure의 리소스 작업 정보. Defender for Endpoint의 서버/워크로드 원격 분석 데이터입니다.

컨텍스트: 리소스 구성 및 태세입니다.
출력: Defender XDR 및 Microsoft Sentinel용 보안 경고와 보안 태세 인사이트.
Microsoft 보안 노출 관리 Signals: Defender for Endpoint의 장치 위험 점수. 클라우드용 Defender의 클라우드 리소스 인벤토리, 보안 상태, 노출 및 공격 표면 결과. Microsoft Entra ID 인벤토리 및 위험 신호입니다. Defender for Cloud Apps의 SaaS 앱 인벤토리, 위험 및 사용 현황

컨텍스트: 통합 노출 및 위험 상관 관계입니다.
출력: Microsoft XDR 및 Microsoft Sentinel에 대한 노출 인사이트 및 위험 상관관계
Defender XDR Signals: 엔드포인트용 Defender(디바이스), ID Defender(ID 신호), Office 365용 Defender(전자 메일 및 공동 작업), Defender for Cloud Apps(SaaS/앱 작업)의 경고입니다. Microsoft Purview(DLP, 내부자 위험, 데이터 분류), Microsoft Entra ID Protection(ID 위험 신호) 및 클라우드용 Defender(워크로드/클라우드 상태)의 추가 신호입니다. Outputs: 상관 관계 경고, Microsoft Sentinel 인시던트.

동작: 자동화된 도메인 간 응답.
Microsoft Sentinel 신호: Defender XDR, Microsoft Purview, 클라우드 서비스 및 기타 자사/타사 소스에서 수집된 경고, 로그, 원격 분석입니다. 출력: 분석, 조사 및 인시던트.

조치: 플레이북을 사용한 자동화된 대응.
Microsoft Security Copilot 신호: Microsoft Sentinel 및 Defender XDR의 인시던트와 경고입니다.

Context: Microsoft Purview의 민감한 데이터 및 내부자 위험 컨텍스트. Microsoft Security Exposure Management의 노출 컨텍스트입니다.
출력: 조사 요약, 권장 사항, AI 기반 인사이트.

Actions: Microsoft Sentinel 및 Defender XDR 워크플로를 통해 라우팅되는 안내된 응답 작업입니다.

다음 단계

  • 현재 보안 상태에 대한 제로 트러스트 평가로 시작하려면
  • 제로 트러스트 도입을 시작하려면 구조화된 도입 모델을 따르세요.
  • 당사의 도입 비즈니스 시나리오를 통해 비즈니스 리더를 위한 중요한 보안 성과를 자세히 알아보세요. 먼저 비즈니스솔루션 및 데이터 및 디바이스와 같은 기술 핵심 요소에 대한 기술 솔루션을 구현합니다.