1. 개념
- Microsoft Defender for Endpoint : 엔드포인트(PC, 서버, 모바일)에서 발생하는 보안 위협을 실시간으로 탐지하고, 자동화된 대응 및 위협 분석을 제공하는 클라우드 기반 보안 솔루션
2. 실무 목적
- 보안 사고 방지 : 악성코드, 랜섬웨어, 취약점 공격 등 위협 탐지 및 차단.
- 자동화된 대응 : 위협 발생 시 파일 격리, 네트워크 차단 등 자동 조치 수행.
- 위협 사냥 및 분석 : 보안 이벤트와 데이터를 기반으로 위협 원인 및 경로 조사.
3. 수행 방법
3.1. Defender for Endpoint 활성화
- Azure Portal에서 Microsoft Defender for Endpoint를 구독하고 활성화
3.2. 엔드포인트 온보딩
- Windows, macOS, Linux, 모바일 디바이스를 그룹 정책(GPO) 또는 Intune을 통해 연결(Onboarding)하여 보안 관리
3.3. 위협 탐지 및 대응
- 경고(Alert) 확인: Defender 포털의 "Incidents & Alerts" 메뉴에서 위협 탐지 이벤트 모니터링
- 자동화된 조치: 악성 파일 격리, 의심스러운 프로세스 종료, 디바이스 네트워크 차단
3.4. 위협 사냥
- 포털의 "Threat Hunting" 메뉴에서 제공된 쿼리를 실행하거나, 조직 맞춤형 탐지 쿼리를 작성해 비정상적인 활동 탐지
3.5. 보고 및 분석
- "Reports" 메뉴에서 위협 발생 현황 및 조치 결과를 시각적으로 확인하고, 필요 시 사용자 지정 보고서 생성
'클라우드' 카테고리의 다른 글
| Azure : KQL(Kusto Query Language)을 사용한 Sentinel 활용 (0) | 2024.12.30 |
|---|---|
| 클라우드용 Microsoft Defender 사용 (0) | 2024.12.30 |
| Azure : Microsoft Purview 사용 (0) | 2024.12.30 |
| Azure : Microsoft Defender XDR 사용 (0) | 2024.12.30 |
| Azure : 파일 유출 사건 조사 및 대응 (0) | 2024.12.30 |