섹션: [없음]
설명/참조:
https://docs.microsoft.com/en-us/azure/azure-monitor/logs/get-started-queries

설명

참조:
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/microsoft-defender-atp-remediate-apps

참조:
https://docs.microsoft.com/en-us/microsoft-365/security/mtp/advanced-hunting-query-emails-devices?view=o365-worldwide

1 - litware.com Azure AD 테넌트에 전역 관리자 자격 증명을 제공합니다.
2 - ID용 Microsoft Defender 인스턴스를 만듭니다.
3 - litware.com Active Directory 도메인에 도메인 관리자 자격 증명을 제공합니다.
4 - DC1에 센서를 설치합니다.
참조:
https://docs.microsoft.com/en-us/defender-for-identity/install-step1
https://docs.microsoft.com/en-us/defender-for-identity/install-step4
주제 1, Litware Inc.
기존 환경
ID 환경
네트워크에는 litware.com이라는 Azure AD(Azure Active Directory) 테넌트와 동기화되는 litware.com이라는 Active Directory 포리스트가 포함되어 있습니다.
마이크로소프트 365 환경
Litware에는 litware.com Azure AD 테넌트에 연결된 Microsoft 365 E5 구독이 있습니다. Microsoft Defender for Endpoint는 Windows 10을 실행하는 모든 컴퓨터에 배포됩니다. 모든 Microsoft Cloud App Security 기본 제공 이상 감지 정책이 활성화됩니다.
Azure 환경
Litware에는 litware.com Azure AD 테넌트에 연결된 Azure 구독이 있습니다. 구독에는 다음 표와 같이 미국 동부 Azure 지역의 리소스가 포함되어 있습니다.

네트워크 환경
각 Litware 사무실은 인터넷에 직접 연결되며 Azure 구독의 가상 네트워크에 대한 사이트 간 VPN 연결이 있습니다.
온프레미스 환경
온-프레미스 네트워크에는 다음 표에 표시된 컴퓨터가 포함됩니다.

현재 문제
Cloud App Security는 사용자가 두 사무실에 동시에 연결할 때 자주 가양성 경고를 생성합니다.
계획된 변경
Litware는 다음 변경 사항을 구현할 계획입니다.
Azure 구독에서 Azure Sentinel을 만들고 구성합니다.
Azure AD 테스트 사용자 계정을 사용하여 Azure Sentinel 기능을 검증합니다.
비즈니스 요구 사항
Litware는 다음과 같은 비즈니스 요구 사항을 식별합니다.




Azure 정보 보호 요구 사항
보안 레이블이 있고 Windows 10 컴퓨터에 저장된 모든 파일은 Azure Information Protection - 데이터 검색 대시보드에서 사용할 수 있어야 합니다.
끝점 요구 사항을 위한 Microsoft Defender
모든 Cloud App Security 승인되지 않은 앱은 Microsoft Defender for Endpoint를 사용하여 Windows 10 컴퓨터에서 차단되어야 합니다.
Microsoft 클라우드 앱 보안 요구 사항
Cloud App Security는 테넌트 수준 데이터를 기반으로 사용자 연결이 비정상적인지 여부를 식별해야 합니다.
Azure Defender 요구 사항
모든 서버는 동일한 Log Analytics 작업 영역에 로그를 보내야 합니다.
Azure 센티넬 요구 사항
Litware는 다음 Azure Sentinel 요구 사항을 충족해야 합니다.
Azure Sentinel과 Cloud App Security를 ​​통합합니다.
admin1이라는 사용자가 Azure Sentinel 플레이북을 구성할 수 있는지 확인합니다.
사용자 지정 쿼리를 기반으로 Azure Sentinel 분석 규칙을 만듭니다. 규칙은 플레이북 실행을 자동으로 시작해야 합니다.
특정 IP 주소에서 데이터 액세스를 나타내는 이벤트에 메모를 추가하여 헌팅 중에 조사 그래프를 탐색할 때 IP 주소를 참조할 수 있는 기능을 제공합니다.
Azure AD 테스트 사용자 계정에서 Microsoft Office 365에 대한 인바운드 액세스가 감지될 때 경고를 생성하는 테스트 규칙을 만듭니다. 규칙에 의해 생성된 경고는 테스트 사용자 계정당 하나의 문제로 개별 문제로 그룹화되어야 합니다.

참조:
https://docs.microsoft.com/en-us/azure/security-center/azure-defender
주제 1, Contoso Ltd
기존 환경
최종 사용자 환경
Contoso의 모든 사용자는 Windows 10 장치를 사용합니다. 각 사용자는 Microsoft 365에 대한 라이선스가 부여됩니다. 또한 iOS 장치는 Contoso의 영업 팀 구성원에게 배포됩니다.
클라우드 및 하이브리드 인프라
모든 Contoso 애플리케이션은 Azure에 배포됩니다.
Microsoft Cloud App Security를 ​​활성화합니다.
Contoso와 Fabrikam에는 서로 다른 Azure AD(Azure Active Directory) 테넌트가 있습니다. Fabrikam은 최근 Azure 구독을 구입하고 지원되는 모든 리소스 유형에 대해 Azure Defender를 활성화했습니다.
현재 문제
Contoso의 보안 팀은 수많은 사이버 보안 경고를 받습니다. 보안 팀은 어떤 사이버 보안 경고가 합법적인 위협이고 어떤 것이 그렇지 않은지 식별하는 데 너무 많은 시간을 소비합니다.
Contoso 영업 팀은 iOS 장치만 사용합니다. 영업 팀 구성원은 다양한 타사 도구를 사용하여 고객과 파일을 교환합니다. 과거에는 영업팀이 자신의 기기에 대한 다양한 공격을 경험했습니다.
Contoso의 마케팅 팀에는 외부 공급업체와 공동 작업을 위한 여러 Microsoft SharePoint Online 사이트가 있습니다. 마케팅 팀은 공급업체가 맬웨어가 포함된 파일을 업로드한 여러 사건을 겪었습니다.
Contoso의 경영진은 보안 침해를 의심합니다. 경영진은 Microsoft Cloud App Security로 보호되는 응용 프로그램에 대한 데이터 액세스, 다운로드 또는 삭제를 포함하여 지난 48시간 동안 5개 이상의 활동이 있었던 파일을 식별하도록 요청합니다.
요구 사항
계획된 변경
Contoso는 두 회사의 보안 작업을 통합하고 모든 보안 작업을 중앙에서 관리할 계획입니다.
기술 요구 사항
Contoso는 다음과 같은 기술 요구 사항을 식별합니다.
Azure 가상 머신이 무차별 대입 공격을 받는 경우 경고를 받습니다.
Azure Sentinel을 사용하여 환경에 대한 활성 공격을 신속하게 수정하여 조직의 위험을 줄입니다.
Contoso 및 Fabrikam의 Azure AD 테넌트 간에 데이터를 상호 연관시키는 Azure Sentinel 쿼리를 구현합니다.
외부 공격자와 자체 Azure AD 애플리케이션의 잠재적인 손상의 경우 Fabrikam에 대한 Azure Defender for Key Vault 경고를 수정하는 절차를 개발하세요.
지정된 국가에서 처음으로 Azure 리소스에 로그인하지 못한 사용자의 모든 사례를 식별합니다. 하위 보안 관리자가 다음과 같은 불완전한 쿼리를 제공합니다.
행동분석
| 여기서 ActivityType == "FailedLogOn"
| 여기서 ________ == 참