Advanced Threat Protection (ATP)란?

Advanced Threat Protection (ATP)은 미리 정의된 보안 위협에 대한 탐지, 방어 및 대응 기능을 제공하는 솔루션이다.

많은 ATP 제품들이 클라우드 기반 서비스로 전환하거나 적어도 클라우드를 지원하는 하이브리드 모델을 제공하고 있으며, MS는 Azure Advanced Threat Protection (Azure ATP)라는 이름의 ATP 솔루션도 제공하고 있다.

Azure ATP는 온-프레미스 환경에서의 공격과 위협을 탐지하기 위해 설계되었으며, 기업 네트워크에서 발생하는 다양한 이벤트와 알려진 위협의 정보를 분석하여 보안 위협을 식별하고 이에 대응할 수 있다. 기본적으로 Azure ATP는 기업의 Active Directory 환경에 대한 보안을 강화하는 데 특히 유용하게 사용될 수 있다.

Azure ATP는 기본적으로 아래 기능을 제공한다.

위협 탐지

 Azure ATP는 Active Directory에 대한 다양한 공격 유형을 탐지한다. 예를 들어, 패스워드 스프레이 공격, 패스 더 티켓 (Pass-the-Ticket, PtT), 패스 더 해시 (Pass-the-Hash, PtH), 오버 패스 더 해시 (Overpass-the-Hash) 등을 감지한다.

행동 분석

 Azure ATP는 사용자, 장치, 리소스에 대한 일상적인 행동을 학습하여 비정상적인 행동을 식별하고 보고한다.

위협 지능

 Microsoft Security Response Center (MSRC) 및 Microsoft Threat Intelligence Center (MSTIC)에서 제공하는 최신 위협 정보를 사용하여 위협을 탐지한다.

통합 보안 운영

  Azure ATP는 Microsoft Defender for Identity와 통합되어 보안 운영을 간소화하고, 보안 통찰력을 개선하고, 보안 경고를 우선 순위에 따라 처리하는 데 도움을 준다. 즉 이러한 기능을 통해 기업이 공격에 대응하고 보안 위협을 조기에 탐지하는 데 도움을 주어 기업 내부의 보안을 강화하는 데 기여할 수 있다.

 

Azure ATP와 AWS GuardDuty 비교

AWS 역시, Azure ATP와 유사한 AWS GuardDuty가 있는데, Azure ATP와 유사한 위협 탐지 서비스로서, 악성 활동 또는 무단 행위를 탐지하기 위해 AWS 계정 및 AWS에서 운영하는 워크로드의 로그 데이터를 지속적으로 분석한다. AWS CloudTrail 이벤트 로그, Amazon VPC Flow Logs, DNS 로그 등을 활용하여 공격자의 공격 시도를 찾아내고, AWS 환경에서의 이상 행동을 식별합니다.

AWS GuardDuty는 알려진 위협 목록 (threat lists), 기계 학습을 사용하여 알려진 위험한 IP 주소나 도메인으로부터의 트래픽, 이상 행동, 무단 계정 행동 등을 식별하여 보안 위협을 탐지합니다. 위협이 탐지되면 AWS GuardDuty는 해당 내용을 세부적으로 보고하며, AWS CloudWatch Events를 통해 자동화된 응답을 트리거할 수 있다.

AWS GuardDuty는 Azure ATP와 비슷한 기능을 제공하기는 하지만, AWS 환경에 최적화된 서비스라는 점이 다르며, Azure ATP는 주로 온-프레미스 환경에서의 Active Directory 보안에 초점을 맞추는 반면, AWS GuardDuty는 AWS 클라우드 환경의 보안에 초점을 맞추고 있다라는 점이 다르다.