디바이스에 대한 Microsoft Entra 보안 운영
디바이스는 일반적으로 ID 기반 공격의 표적이 되지 않지만 보안 제어를 충족하고 속이거나 사용자를 가장하는 데 사용될 수 있습니다. 디바이스는 Microsoft Entra ID와 네 가지 관계 중 하나를 가질 수 있습니다.
등록 및 조인된 디바이스에는 기본 인증 아티팩트 및 경우에 따라 다단계 인증 아티팩트로 사용할 수 있는 PRT(기본 새로 고침 토큰)가 발급됩니다. 공격자는 자신의 디바이스를 등록하거나, 합법적인 디바이스에서 PRT를 사용하여 비즈니스 데이터에 액세스하거나, 합법적인 사용자 디바이스에서 PRT 기반 토큰을 훔치거나, Microsoft Entra ID의 디바이스 기반 컨트롤에서 잘못된 구성을 찾을 수 있습니다. Microsoft Entra 하이브리드 조인 디바이스를 사용하면 조인 프로세스가 관리자에 의해 시작되고 제어되므로 사용 가능한 공격 방법이 줄어듭니다.
디바이스 통합 방법에 대한 자세한 내용은 Microsoft Entra 디바이스 배포 계획 문서의 통합 방법 선택을 참조하세요.
디바이스를 통해 인프라를 공격하는 악의적인 행위자의 위험을 줄이려면 다음을 모니터링합니다.
디바이스 등록 및 Microsoft Entra 조인
애플리케이션에 액세스하는 비규격 디바이스
BitLocker 키 검색
디바이스 관리자 역할
가상 머신에 로그인
살펴볼 위치
조사 및 모니터링에 사용하는 로그 파일은 다음과 같습니다.
Azure Portal에서 Microsoft Entra 감사 로그를 보고, CSV(쉼표로 구분된 값) 또는 JSON(JavaScript Object Notation) 파일로 다운로드할 수 있습니다. Azure Portal에는 모니터링과 경고를 더 효율적으로 자동화하는 다른 도구와 Microsoft Entra 로그를 통합하는 몇 가지 방법이 있습니다.
Microsoft Sentinel – SIEM(보안 정보 및 이벤트 관리) 기능을 제공하여 엔터프라이즈 수준에서 지능형 보안 분석이 가능합니다.
Sigma 규칙 - Sigma는 자동화된 관리 도구에서 로그 파일을 구문 분석하는 데 사용할 수 있는 규칙과 템플릿을 작성하기 위한 진화하는 개방형 표준입니다. 권장 검색 조건에 대한 Sigma 템플릿이 있는 경우 Sigma 리포지토리에 대한 링크를 추가했습니다. Microsoft에서 Sigma 템플릿을 작성, 테스트 및 관리하지 않습니다. 대신 전 세계 IT 보안 커뮤니티에서 리포지토리와 템플릿을 만들고 수집합니다.
Azure Monitor – 다양한 조건에 대한 자동화된 모니터링 및 경고를 가능하게 합니다. 통합 문서를 만들거나 사용하여 다양한 원본의 데이터를 결합할 수 있습니다.
Azure Event Hubs -SIEM과 통합된- Azure Event Hubs 통합을 통해 Splunk, ArcSight, QRadar 및 Sumo Logic과 같은 다른 SIEM에 Microsoft Entra ID 로그를 통합할 수 있습니다.
Microsoft Defender for Cloud Apps – 앱을 검색 및 관리하고, 앱과 리소스 전반에 걸쳐 관리하고, 클라우드 앱의 규정 준수를 확인할 수 있습니다.
ID 보호 미리 보기를 사용하여 워크로드 ID 보호 - 로그인 동작 및 오프라인 손상 지표에서 워크로드 ID에 대한 위험을 감지하는 데 사용됩니다.
모니터링하고 경고할 항목의 대부분은 조건부 액세스 정책의 영향입니다. 조건부 액세스 인사이트 및 보고 통합 문서를 사용하여 로그인에 대한 하나 이상의 조건부 액세스 정책과 디바이스 상태를 포함한 정책 결과를 조사할 수 있습니다. 이 통합 문서를 통해 요약을 살펴보고 특정 기간 동안의 영향을 확인할 수 있습니다. 통합 문서를 사용하여 특정 사용자의 로그인을 조사할 수도 있습니다.
이 문서의 나머지 부분에서는 모니터링하고 경고하는 것이 권장되는 사항에 대해 설명하며 위협 유형별로 구성되어 있습니다. 미리 빌드된 특정 솔루션이 있는 경우 해당 솔루션에 연결하거나 표 아래에 샘플을 제공합니다. 그렇지 않으면 이전 도구를 사용하여 경고를 작성할 수 있습니다.
정책 외 디바이스 등록 및 조인
Microsoft Entra 등록 및 Microsoft Entra 조인 디바이스에는 단일 인증 요소와 동등한 PRT(기본 새로 고침 토큰)가 있습니다. 이러한 디바이스에는 강력한 인증 클레임이 포함될 수 있습니다. PRT에 강력한 인증 클레임이 포함된 경우에 대한 자세한 내용은 PRT가 MFA 클레임을 가져오는 경우를 참조하세요. 악의적인 행위자가 디바이스를 등록하거나 조인하는 것을 방지하려면 디바이스를 등록하거나 조인할 때 MFA(다단계 인증)가 필요합니다. 그런 다음 MFA 없이 등록되거나 조인된 모든 디바이스를 모니터링합니다. 또한 MFA 설정 및 정책, 디바이스 규정 준수 정책에 대한 변경 사항도 확인해야 합니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| MFA 없이 디바이스 등록 또는 조인 완료 | 중간 | 로그인 로그 | 활동: 디바이스 등록 서비스에 대한 인증 성공. And MFA 필요 없음 |
다음과 같은 경우에 경고 생성: MFA 없이 등록 또는 조인된 모든 디바이스 Microsoft Sentinel 템플릿 Sigma 규칙 |
| Microsoft Entra ID의 디바이스 등록 MFA 토글 변경 | 높음 | 감사 로그 | 활동: 디바이스 등록 정책 설정 | 검색: 토글이 꺼짐으로 설정됨 감사 로그 항목이 없음. 정기 검사 예약. Sigma 규칙 |
| 도메인 가입 또는 규격 디바이스를 요구하는 조건부 액세스 정책에 대한 변경. | 높음 | 감사 로그 | 조건부 액세스 정책 변경 |
다음과 같은 경우에 경고 생성: 도메인 조인 또는 규격이 필요한 정책, 신뢰할 수 있는 위치 변경 또는 MFA 정책 예외에 추가된 계정 또는 디바이스로 변경합니다. |
Microsoft Sentinel을 사용하여 MFA 없이 디바이스가 등록되거나 조인될 때 해당 관리자에게 알리는 경고를 만들 수 있습니다.
SigninLogs
| where ResourceDisplayName == "Device Registration Service"
| where ConditionalAccessStatus == "success"
| where AuthenticationRequirement <> "multiFactorAuthentication"
Microsoft Intune을 사용하여 디바이스 규정 준수 정책을 설정하고 모니터링할 수도 있습니다.
비규격 디바이스 로그인
규격 디바이스가 필요한 조건부 액세스 정책으로 모든 클라우드 및 SaaS(Software-as-a-Service) 애플리케이션에 대한 액세스를 차단하는 것은 불가능할 수 있습니다.
MDM(모바일 디바이스 관리)은 Windows 10 디바이스 규정 준수를 유지하는 데 도움이 됩니다. Windows 버전 1809에서는 정책의 보안 기준을 발표했습니다. Microsoft Entra ID는 MDM과 통합하여 디바이스의 기업 정책 준수를 적용하고 디바이스의 준수 상태를 보고할 수 있습니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 비규격 디바이스로 로그인 | 높음 | 로그인 로그 | DeviceDetail.isCompliant == false | 규격 디바이스에서 로그인해야 하는 경우, 다음과 같은 경우에 경고 생성: 비규격 디바이스에서 로그인하거나 MFA 또는 신뢰할 수 있는 위치가 없는 모든 액세스 디바이스 요구에 대한 작업을 수행하는 경우 의심스러운 로그인을 모니터링합니다. |
| 알 수 없는 디바이스의 로그인 | 낮음 | 로그인 로그 | DeviceDetail이 비어 있거나 단일 단계 인증이거나 신뢰할 수 없는 위치에서 | 검색: 규정 준수 디바이스에서 액세스, MFA 또는 신뢰할 수 있는 위치가 없는 모든 액세스 Microsoft Sentinel 템플릿 Sigma 규칙 |
LogAnalytics를 사용하여 쿼리
비규격 디바이스로 로그인
SigninLogs
| where DeviceDetail.isCompliant == false
| where ConditionalAccessStatus == "success"
알 수 없는 디바이스로 로그인
SigninLogs
| where isempty(DeviceDetail.deviceId)
| where AuthenticationRequirement == "singleFactorAuthentication"
| where ResultType == "0"
| where NetworkLocationDetails == "[]"
부실 디바이스
부실 디바이스에는 지정된 기간 동안 로그인하지 않은 디바이스가 포함됩니다. 사용자가 새 디바이스를 가져오거나 디바이스를 분실한 경우 또는 Microsoft Entra에 조인된 디바이스가 지워지거나 다시 프로비전되는 경우 디바이스가 오래될 수 있습니다. 사용자가 더 이상 테넌트와 연결되지 않은 경우에도 디바이스가 등록되거나 조인된 상태를 유지할 수 있습니다. PRT(기본 새로 고침 토큰)를 사용할 수 없도록 부실 디바이스를 제거해야 합니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 마지막 로그인 날짜 | 낮음 | 그래프 API | approximateLastSignInDateTime | Graph API 또는 PowerShell을 사용하여 부실 디바이스를 식별하고 제거합니다. |
BitLocker 키 검색
사용자 디바이스를 손상시킨 공격자는 Microsoft Entra ID에서 BitLocker 키를 검색할 수 있습니다. 사용자가 키를 검색하는 것은 드문 일이므로 모니터링하고 조사해야 합니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 키 검색 | 중간 | 감사 로그 | OperationName == "Read BitLocker key" | 검색: 키 검색, 사용자가 키를 검색하는 기타 비정상적인 행동 Microsoft Sentinel 템플릿 Sigma 규칙 |
LogAnalytics에서 다음과 같은 쿼리를 만듭니다.
AuditLogs
| where OperationName == "Read BitLocker key"
디바이스 관리자 역할
Microsoft Entra Joined Device Local 관리istrator 및 Global 관리istrator 역할은 자동으로 모든 Microsoft Entra 가입 디바이스에 대한 로컬 관리자 권한을 얻습니다. 환경을 안전하게 유지하려면 이러한 권한이 있는 사람을 모니터링하는 것이 중요합니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 전역 또는 디바이스 관리자 역할에 추가된 사용자 | 높음 | 감사 로그 | 활동 유형 = 역할에 구성원 추가. | 검색: 이러한 Microsoft Entra 역할에 추가된 새 사용자, 이후의 컴퓨터 또는 사용자의 비정상적인 동작. Microsoft Sentinel 템플릿 Sigma 규칙 |
가상 머신에 대한 비 Azure AD 로그인
Windows 또는 LINUX VM(가상 머신)에 대한 로그인은 Microsoft Entra 계정이 아닌 다른 계정의 로그인을 모니터링해야 합니다.
LINUX에 대한 Microsoft Entra 로그인
LINUX에 대한 Microsoft Entra 로그인을 사용하면 조직은 SSH(Secure Shell Protocol)를 통해 Microsoft Entra 계정을 사용하여 Azure LINUX VM에 로그인할 수 있습니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 특히 SSH를 통한 비 Azure AD 계정 로그인 | 높음 | 로컬 인증 로그 | Ubuntu: SSH 사용에 대한 /var/log/auth.log 모니터링 RedHat: SSH 사용에 대한 /var/log/sssd/ 모니터링 |
검색: 비 Azure AD 계정이 VM에 성공적으로 연결하는 항목 다음 예제를 참조하세요. |
Ubuntu 예:
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:39 ubuntu1804 aad_certhandler[3915]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: Version: 1.0.015570001; user: localusertest01
May 9 23:49:43 ubuntu1804 aad_certhandler[3916]: User 'localusertest01' is not a Microsoft Entra user; returning empty result.
May 9 23:49:43 ubuntu1804 sshd[3909]: Accepted publicly for localusertest01 from 192.168.0.15 port 53582 ssh2: RSA SHA256:MiROf6f9u1w8J+46AXR1WmPjDhNWJEoXp4HMm9lvJAQ
May 9 23:49:43 ubuntu1804 sshd[3909]: pam_unix(sshd:session): session opened for user localusertest01 by (uid=0).
LINUX VM 로그인에 대한 정책을 설정하고 승인되지 않은 로컬 계정이 추가된 Linux VM을 감지하고 플래그를 지정할 수 있습니다. 자세히 알아보려면 Azure Policy를 사용하여 표준 보장 및 규정 준수 평가를 참조하세요.
Windows Server에 대한 Microsoft Entra 로그인
Windows에 대한 Microsoft Entra 로그인을 사용하면 조직에서 RDP(원격 데스크톱 프로토콜)를 통해 Microsoft Entra 계정을 사용하여 Azure Windows 2019+ VM에 로그인할 수 있습니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 특히 RDP를 통한 비 Azure AD 계정 로그인 | 높음 | Windows Server 이벤트 로그 | Windows VM에 대화형 로그인 | 이벤트 528, 로그온 유형 10(RemoteInteractive) 사용자가 터미널 서비스 또는 원격 데스크톱을 통해 로그인할 때 표시됩니다. |
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기