D Azure Sentinel 라이브스트림
참조:
https://docs.microsoft.com/en-us/azure/sentinel/automate-responses-with-playbooks
항목 1, Contoso Ltd
기존 환경
최종 사용자 환경
Contoso의 모든 사용자는 Windows 10 장치를 사용합니다. 각 사용자는 Microsoft 365에 대한 라이선스가 부여됩니다. 또한 iOS 장치는 Contoso의 영업 팀원에게 배포됩니다.
클라우드 및 하이브리드 인프라
모든 Contoso 애플리케이션은 Azure에 배포됩니다.
Microsoft Cloud App Security를 ​​사용하도록 설정합니다.
Contoso와 Fabrikam에는 서로 다른 Azure AD(Azure Active Directory) 테넌트가 있습니다. Fabrikam은 최근에 Azure 구독을 구매했고 지원되는 모든 리소스 유형에 대해 Azure Defender를 사용하도록 설정했습니다.
현재 문제
Contoso의 보안 팀은 수많은 사이버 보안 경고를 받습니다. 보안 팀은 어떤 사이버 보안 경고가 합법적인 위협인지 아닌지 식별하는 데 너무 많은 시간을 소비합니다.
Contoso 영업 팀은 iOS 장치만 사용합니다. 영업 팀원은 다양한 타사 도구를 사용하여 고객과 파일을 교환합니다. 과거에 영업팀은 장치에 대한 다양한 공격을 경험했습니다.
Contoso의 마케팅 팀에는 외부 공급업체와의 공동 작업을 위한 여러 Microsoft SharePoint Online 사이트가 있습니다. 마케팅 팀은 공급업체가 맬웨어가 포함된 파일을 업로드한 여러 사건을 겪었습니다.
Contoso의 경영진은 보안 침해를 의심합니다. 경영진은 Microsoft Cloud App Security로 보호되는 애플리케이션에 대한 데이터 액세스, 다운로드 또는 삭제를 포함하여 지난 48시간 동안 5개 이상의 활동이 있었던 파일을 식별하도록 요청합니다.
요구 사항
계획된 변경
Contoso는 두 회사의 보안 작업을 통합하고 모든 보안 작업을 중앙에서 관리할 계획입니다.
기술 요구 사항
Contoso는 다음과 같은 기술 요구 사항을 식별합니다.
Azure 가상 머신이 무차별 암호 대입 공격을 받는 경우 경고를 받습니다.
Azure Sentinel을 사용하여 환경에 대한 활성 공격을 신속하게 수정하여 조직의 위험을 줄입니다.
Contoso 및 Fabrikam의 Azure AD 테넌트 간에 데이터를 상호 연결하는 Azure Sentinel 쿼리를 구현합니다.
외부 공격자가 발생하고 자체 Azure AD 애플리케이션이 손상될 가능성이 있는 경우 Fabrikam에 대한 Key Vault 경고에 대해 Azure Defender를 수정하는 절차를 개발합니다.
지정된 국가에서 처음으로 Azure 리소스에 로그인하지 못한 사용자의 모든 사례를 식별합니다. 하급 보안 관리자는 다음과 같은 불완전한 쿼리를 제공합니다.
행동 분석
| 여기서 ActivityType == "FailedLogOn"
| 여기서 ________ == 참

설명
그래픽 사용자 인터페이스, 텍스트, 애플리케이션, 이메일 설명 자동 생성

참조:
https://docs.microsoft.com/en-us/microsoft-365/security/defender/advanced-hunting-query-emails-devices?view

참조:
https://docs.microsoft.com/en-us/azure/governance/policy/concepts/effects
https://docs.microsoft.com/en-us/azure/security-center/workflow-automation