Microsoft Entra ID의 권한 있는 계정에 대한 보안 운영
비즈니스 자산의 보안은 IT 시스템을 관리하는 권한 있는 계정의 무결성에 따라 달라집니다. 사이버 공격자는 자격 증명 도난 공격 및 기타 수단을 사용하여 권한 있는 계정을 대상으로 하고 중요한 데이터에 대한 액세스 권한을 얻습니다.
기존에는 조직 보안이 보안 경계인 네트워크 진입 및 출구 지점에 중점을 두었습니다. 그러나 인터넷의 SaaS(Software as a Service) 애플리케이션 및 개인 디바이스에서는 이러한 접근 방식이 덜 효과적이었습니다.
Microsoft Entra ID는 IAM(ID 및 액세스 관리)을 컨트롤 플레인으로 사용합니다. 조직의 ID 계층에서 권한 있는 관리 역할에 할당된 사용자가 제어됩니다. 환경이 온-프레미스인지, 클라우드인지 또는 하이브리드 환경인지에 관계 없이 액세스에 사용되는 계정을 보호해야 합니다.
사용자는 온-프레미스 IT 환경에 대한 모든 보안 계층을 전적으로 책임져야 합니다. Azure 서비스를 사용하는 경우 예방 및 대응은 클라우드 서비스 공급자(Microsoft)와 고객(사용자)의 공동 책임입니다.
- 공유 책임 모델에 대한 자세한 내용은 클라우드의 공유 책임을 참조하세요.
- 권한 있는 사용자의 액세스를 보호하는 방법에 대한 자세한 내용은 Microsoft Entra ID에서 하이브리드 및 클라우드 배포를 위한 권한 있는 액세스 보안을 참조하세요.
- 권한 있는 ID의 주요 개념에 대한 다양한 비디오, 방법 가이드 및 콘텐츠는 Privileged Identity Management 설명서를 참조하세요.
모니터링할 로그 파일
조사 및 모니터링에 사용하는 로그 파일은 다음과 같습니다.
Azure Portal에서 Microsoft Entra 감사 로그를 보고, CSV(쉼표로 구분된 값) 또는 JSON(JavaScript Object Notation) 파일로 다운로드할 수 있습니다. Azure Portal에는 모니터링과 경고를 더 효율적으로 자동화하는 다른 도구와 Microsoft Entra 로그를 통합하는 몇 가지 방법이 있습니다.
Microsoft Sentinel. SIEM(보안 정보 및 이벤트 관리) 기능을 제공하여 엔터프라이즈 수준에서 지능형 보안 분석을 가능하게 합니다.
Sigma 규칙 - Sigma는 자동화된 관리 도구에서 로그 파일을 구문 분석하는 데 사용할 수 있는 규칙과 템플릿을 작성하기 위한 진화하는 개방형 표준입니다. 권장 검색 조건에 대한 Sigma 템플릿이 있는 경우 Sigma 리포지토리에 대한 링크를 추가했습니다. Sigma 템플릿은 Microsoft에서 작성, 테스트 및 관리되지 않습니다. 대신 전 세계 IT 보안 커뮤니티에서 리포지토리와 템플릿을 만들고 수집합니다.
Azure Monitor 다양한 조건에 대한 자동화된 모니터링 및 경고를 수행할 수 있습니다. 통합 문서를 만들거나 사용하여 다양한 원본의 데이터를 결합할 수 있습니다.
SIEM과 통합된 Azure Event Hubs. Azure Event Hubs 통합을 통해 Microsoft Entra 로그를 다른 SIEM(예: Splunk, ArcSight, QRadar 및 Sumo Logic)에 푸시할 수 있도록 합니다. 자세한 내용은 Azure 이벤트 허브로 Microsoft Entra 로그 스트리밍을 참조하세요.
Microsoft Defender for Cloud Apps. 앱을 검색 및 관리하고, 앱과 리소스를 제어하고, 클라우드 앱의 규정 준수를 확인할 수 있습니다.
Microsoft Graph. 데이터를 내보내고 Microsoft Graph를 사용하여 더 많은 분석을 수행할 수 있도록 합니다. 자세한 내용은 Microsoft Graph PowerShell SDK와 Microsoft Entra ID 보호를 참조하세요.
ID 보호. 조사하는 데 도움이 되는 다음과 같은 세 가지 주요 보고서를 생성합니다.
위험한 사용자. 위험에 노출된 사용자, 검색 세부 정보, 모든 위험한 로그인 기록, 위험 기록에 대한 정보를 포함합니다.
위험한 로그인: 의심스러운 상황을 나타낼 수 있는 로그인과 관련된 정보를 포함합니다. 이 보고서의 정보를 조사하는 방법에 대한 자세한 내용은 위험 조사를 참조하세요.
위험 검색. 위험이 검색되면 트리거되는 기타 위험에 대한 정보와 기타 관련 정보(예: 로그인 위치 및 클라우드용 Microsoft Defender 앱의 세부 정보)를 포함하고 있습니다.
ID 보호 미리 보기를 사용하여 워크로드 ID 보호. 로그인 동작과 오프라인 손상 지표 전반에 걸쳐 워크로드 ID에 대한 위험 검색을 사용합니다.
이 방법은 권장되지 않지만 권한 있는 계정에는 상시 관리 권한이 있을 수 있습니다. 상시 권한을 사용하도록 선택하고 계정이 손상되면 상당히 부정적인 영향을 미칠 수 있습니다. 권한 있는 계정을 우선적으로 모니터링하고, PIM(Privileged Identity Management) 구성에 계정을 포함하는 것이 좋습니다. PIM에 대한 자세한 내용은 Privileged Identity Management 사용 시작을 참조하세요. 또한 관리자 계정이 다음과 같은지 확인하는 것이 좋습니다.
- 필수입니다.
- 필요한 작업을 실행할 수 있는 최소 권한이 있습니다.
- 최소한 다단계 인증으로 보호됩니다.
- PAW(권한 있는 액세스 워크스테이션) 또는 SAW(보안 관리 워크스테이션) 디바이스에서 실행됩니다.
이 문서의 나머지 부분에서는 모니터링하고 경고하는 것이 좋습니다. 이 문서는 위협 유형별로 구성되어 있습니다. 미리 빌드된 특정 솔루션이 있는 경우 표에 따라 해당 솔루션에 연결합니다. 그렇지 않으면 위에서 설명한 도구를 사용하여 경고를 빌드할 수 있습니다.
이 문서에서는 기준 설정 및 권한 있는 계정의 로그인 및 사용 감사에 대한 세부 정보를 제공합니다. 또한 권한 있는 계정의 무결성을 유지 관리하는 데 사용할 수 있는 도구와 리소스에 대해서도 설명합니다. 내용은 다음과 같은 주제로 구성됩니다.
- 응급 "비상" 계정
- 권한 있는 계정 로그인
- 권한 있는 계정 변경
- 권한 있는 그룹
- 권한 할당 및 권한 상승
응급 액세스 계정
Microsoft Entra 테넌트에서 실수로 잠기지 않도록 방지하는 것이 중요합니다.
조직에는 두 개의 클라우드 전용 응급 액세스 계정에 Global 관리istrator 역할이 영구적으로 할당되는 것이 좋습니다. 이러한 계정은 높은 권한을 부여받으며 특정 개인에게 할당되지 않습니다. 계정은 일반 계정을 사용할 수 없거나 다른 모든 관리자가 실수로 잠긴 비상 또는 "중단" 시나리오로 제한됩니다. 이러한 계정은 긴급 액세스 계정 권장 사항에 따라 만들어야 합니다.
응급 액세스 계정이 사용될 때마다 우선 순위가 높은 경고를 보냅니다.
검색
비상 계정은 응급 상황인 경우에만 사용되므로 모니터링에서 계정 작업을 검색하지 않습니다. 응급 액세스 계정이 사용되거나 변경될 때마다 우선 순위가 높은 경고를 보냅니다. 다음 이벤트 중 하나는 나쁜 행위자가 사용자 환경을 손상시키려고 한다는 것을 나타낼 수 있습니다.
- 로그인.
- 계정 암호 변경
- 계정 권한 또는 역할이 변경됨
- 자격 증명 또는 인증 방법이 추가되거나 변경됨
응급 액세스 계정을 관리하는 방법에 대한 자세한 내용은 Microsoft Entra ID에서 응급 액세스 관리자 계정 관리를 참조하세요. 응급 계정에 대한 경고를 만드는 방법에 대한 자세한 내용은 경고 규칙 만들기를 참조하세요.
권한 있는 계정 로그인
Microsoft Entra 로그인 로그를 데이터 원본으로 사용하여 모든 권한 있는 계정 로그인 작업을 모니터링합니다. 로그인 성공 및 실패 정보 외에도 로그에 포함되는 세부 정보는 다음과 같습니다.
- 인터럽트
- 장치
- 위치
- 위험
- 애플리케이션
- 날짜 및 시간
- 계정이 사용하지 않도록 설정됨
- Lockout
- MFA 사기 행위
- 조건부 액세스 오류
모니터링할 항목
Microsoft Entra 로그인 로그에서 권한 있는 계정 로그인 이벤트를 모니터링할 수 있습니다. 권한 있는 계정에 대한 다음 이벤트에 대해 경고를 생성하고 조사합니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 로그인 실패, 잘못된 암호 임계값 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 50126 |
기준 임계값을 정의한 다음, 모니터링하여 조직 동작에 맞게 조정하고, false 경고가 생성되지 않도록 제한합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 조건부 액세스 요구 사항으로 인한 오류 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 53003 -그리고- 실패 이유 = 조건부 액세스에 의해 차단됨 |
이 이벤트는 공격자가 계정에 액세스하려고 시도하고 있음을 나타낼 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 명명 정책을 따르지 않는 권한 있는 계정 | Azure 구독 | Azure Portal을 사용하여 Azure 역할 할당 나열 | 구독에 대한 역할 할당을 나열하고, 로그인 이름이 조직의 형식과 일치하지 않는 경우 경고합니다. 예를 들어 ADM_을 접두사로 사용합니다. | |
| Interrupt | 높음, 보통 | Microsoft Entra 로그인 | 상태 = 중단됨 -그리고- 오류 코드 = 50074 -그리고- 실패 이유 = 강력한 인증 필요 상태 = 중단됨 -그리고- 오류 코드 = 500121 실패 이유 = 강력한 인증 요청 중에 인증 실패 |
이 이벤트는 공격자가 계정에 대한 암호를 가지고 있지만 다단계 인증 챌린지를 통과할 수 없음을 나타낼 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 명명 정책을 따르지 않는 권한 있는 계정 | 높음 | Microsoft Entra 디렉터리 | Microsoft Entra 역할 할당 나열 | Microsoft Entra 역할에 대한 역할 할당을 나열하고, UPN이 조직의 형식과 일치하지 않는 경우 경고합니다. 예를 들어 ADM_을 접두사로 사용합니다. |
| 다단계 인증에 등록되지 않은 권한 있는 계정 검색 | 높음 | Microsoft Graph API | 관리자 계정에 대해 IsMFARegistered eq false를 쿼리합니다. credentialUserRegistrationDetails 나열 - Microsoft Graph 베타 | 감사하고 조사하여 이벤트가 의도적인 것인지 아니면 부주의한 것인지를 확인합니다. |
| 계정 잠금 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 50053 |
기준 임계값을 정의한 다음, 모니터링하여 조직 동작에 맞게 조정하고, false 경고가 생성되지 않도록 제한합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 로그인에 대해 계정이 사용하지 않도록 설정되거나 차단됨 | 낮음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 대상 = 사용자 UPN -그리고- 오류 코드 = 50057 |
이 이벤트는 누군가가 조직을 떠난 후 계정에 액세스하려고 시도하고 있음을 나타낼 수 있습니다. 계정이 차단된 경우에도 이 작업을 기록 하고 경고해야 합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| MFA 사기 행위 경고 또는 차단 | 높음 | Microsoft Entra 로그인 로그/Azure Log Analytics | 로그인>인증 세부 정보 결과 세부 정보 = MFA 거부됨, 사기 코드 입력됨 | 권한 있는 사용자가 공격자에게 계정에 대한 암호가 있음을 나타낼 수 있는 다단계 인증 프롬프트를 조사하지 않았다고 표시했습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| MFA 사기 행위 경고 또는 차단 | 높음 | Microsoft Entra 감사 로그/Azure Log Analytics | 작업 유형 = 사기 행위 보고됨 - 사용자가 MFA에 대해 차단됨 또는 사기 행위 보고됨 - 수행된 작업 없음(사기 행위 보고서에 대한 테넌트 수준 설정 기반) | 권한 있는 사용자가 공격자에게 계정에 대한 암호가 있음을 나타낼 수 있는 다단계 인증 프롬프트를 조사하지 않았다고 표시했습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 예상되는 제어를 벗어난 권한 있는 계정 로그인 | Microsoft Entra 로그인 로그 | 상태 = 실패 UserPricipalName = <관리자 계정> 위치 = < 승인되지 않은 위치> IP 주소 = <승인되지 않은 IP> 디바이스 정보 = <승인되지 않은 브라우저, 운영 체제> |
승인되지 않은 것으로 정의한 모든 항목을 모니터링하고 경고합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
|
| 일반 로그인 시간을 벗어남 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 성공 -그리고- 위치 = -그리고- 시간 = 작업 외 시간 |
예상 시간 외에 로그인이 발생하는지 모니터링하고 경고합니다. 각 권한 있는 계정에 대한 정상적인 작업 패턴을 찾고, 정상적인 작업 시간을 벗어난 계획되지 않은 변경이 있는 경우 경고하는 것이 중요합니다. 정상적인 업무 시간 외의 로그인은 침해 또는 가능한 내부자 위협을 나타낼 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| ID 보호 위험 | 높음 | ID 보호 로그 | 위험 상태 = 위험 -그리고- 위험 수준 = 낮음, 보통, 높음 -그리고- 작업 = 익숙하지 않은 로그인/TOR 등 |
이 이벤트는 계정에 대한 로그인에서 비정상 상태가 검색되었음을 나타내며 경고해야 합니다. |
| 암호 변경 | 높음 | Microsoft Entra 감사 로그 | 작업 행위자 = 관리자/셀프 서비스 -그리고- 대상 = 사용자 -그리고- 상태 = 성공 또는 실패 |
관리자 계정 암호가 변경되면 경고합니다. 권한 있는 계정에 대한 쿼리를 작성합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 레거시 인증 프로토콜 변경 | 높음 | Microsoft Entra 로그인 로그 | 클라이언트 앱 = 기타 클라이언트, IMAP, POP3, MAPI, SMTP 등 -그리고- 사용자 이름 = UPN -그리고- 애플리케이션 = Exchange(예) |
대부분의 공격에서 레거시 인증을 사용하므로 사용자에 대한 인증 프로토콜이 변경되면 공격을 나타낼 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 새 디바이스 또는 위치 | 높음 | Microsoft Entra 로그인 로그 | 디바이스 정보 = 디바이스 ID -그리고- 브라우저 -그리고- OS -그리고- 규격/관리형 -그리고- 대상 = 사용자 -그리고- 위치 |
대부분의 관리자 작업은 제한된 수의 위치에 있는 권한 있는 액세스 디바이스에서 수행해야 합니다. 이러한 이유로 새 디바이스 또는 위치에 대해 경고합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 감사 경고 설정이 변경됨 | 높음 | Microsoft Entra 감사 로그 | 서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 작업 = PIM 경고 사용 안 함 -그리고- 상태 = 성공 |
예기치 않은 경우 핵심 경고에 대한 변경이 있을 때 경고해야 합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 다른 Microsoft Entra 테넌트에 인증하는 관리자 | 중간 | Microsoft Entra 로그인 로그 | 상태 = 성공 Resource tenantID != Home Tenant ID |
권한 있는 사용자로 범위가 지정되면 이 모니터는 관리자가 조직의 테넌트에서 ID를 사용하여 다른 Microsoft Entra 테넌트에 성공적으로 인증된 시기를 감지합니다. 리소스 테넌트 ID가 홈 테넌트 ID와 같지 않은 경우 경고 Microsoft Sentinel 템플릿 Sigma 규칙 |
| 관리자 사용자 상태가 게스트에서 멤버로 변경됨 | 중간 | Microsoft Entra 감사 로그 | 작업: 사용자 업데이트 범주 = UserManagement UserType이 게스트에서 멤버로 변경됨 |
사용자 유형이 게스트에서 멤버로 변경될 때 모니터링하고 경고합니다. 이 변경은 예상된 동작인가요? Microsoft Sentinel 템플릿 Sigma 규칙 |
| 승인되지 않은 초대자가 게스트 사용자를 테넌트에 초대함 | 중간 | Microsoft Entra 감사 로그 | 작업: 외부 사용자 초대 범주 = UserManagement 시작한 사람(작업자) = 사용자 계정 이름 |
외부 사용자를 초대하는 승인되지 않은 작업자를 모니터링하고 경고합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
권한 있는 계정별 변경
권한 있는 계정별로 시도하고 완료한 모든 변경 내용을 모니터링합니다. 이 데이터를 사용하면 각 권한 있는 계정에 대한 정상적인 작업을 설정하고 예상과 다른 작업에 대해 경고할 수 있습니다. Microsoft Entra 감사 로그는 이 유형의 이벤트를 기록하는 데 사용됩니다. Microsoft Entra 감사 로그에 대한 자세한 내용은 Microsoft Entra ID의 감사 로그를 참조하세요.
Microsoft Entra Domain Services
Microsoft Entra Domain Services에서 권한이 할당된 권한 있는 계정은 Microsoft Entra Domain Services를 사용하는 Azure 호스팅 가상 머신의 보안 상태에 영향을 주는 Microsoft Entra Domain Services에 대한 작업을 수행할 수 있습니다. 가상 머신에서 보안 감사를 사용하도록 설정하고 로그를 모니터링합니다. Microsoft Entra Domain Services 감사를 사용하도록 설정하는 방법에 대한 자세한 내용 및 중요한 권한 목록은 다음 리소스를 참조하세요.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 시도된 변경 및 완료된 변경 | 높음 | Microsoft Entra 감사 로그 | 날짜 및 시간 -그리고- 서비스 -그리고- 활동의 범주 및 이름(항목) -그리고- 상태 = 성공 또는 실패 -그리고- 대상 -그리고- 초기자 또는 행위자(주체) |
계획되지 않은 변경은 즉시 경고해야 합니다. 이러한 로그는 조사에 도움이 되도록 보존해야 합니다. 테넌트의 보안 상태를 낮추는 테넌트 수준 변경은 즉시 조사해야 합니다(인프라 문서에 연결). 예를 들어 다단계 인증 또는 조건부 액세스에서 계정을 제외합니다. 애플리케이션에 대한 추가 또는 변경 내용에 대해 경고합니다. 애플리케이션에 대한 Microsoft Entra 보안 운영 가이드를 참조하세요. |
| 예제 가치가 높은 앱 또는 서비스에 시도되거나 완료된 변경 |
높음 | 감사 로그 | 서비스 -그리고- 작업의 범주 및 이름 |
날짜 및 시간, 서비스, 범주 및 활동의 이름, 상태 = 성공 또는 실패, 대상, 초기자 또는 행위자(누가) |
| Microsoft Entra Domain Services의 권한 있는 변경 | 높음 | Microsoft Entra Domain Services | 이벤트 4673 찾기 | Microsoft Entra Domain Services에 대한 보안 감사 사용 모든 권한 있는 이벤트 목록은 중요한 권한 사용 감사를 참조하세요. |
권한 있는 계정 변경
권한 있는 계정의 인증 규칙 및 권한에 대한 변경을 조사합니다(특히 변경을 통해 Microsoft Entra 환경에서 작업을 수행할 수 있는 더 큰 권한 또는 기능을 제공하는 경우).
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 권한 있는 계정 만들기 | 중간 | Microsoft Entra 감사 로그 | 서비스 = 핵심 디렉터리 -그리고- 범주 = 사용자 관리 -그리고- 작업 유형 = 사용자 추가 -상관 관계- 범주 유형 = 역할 관리 -그리고- 작업 유형 = 역할에 멤버 추가 -그리고- 수정된 속성 = Role.DisplayName |
권한 있는 계정 만들기를 모니터링합니다. 계정 만들기와 삭제 사이의 짧은 시간 범위에 있는 상관 관계를 찾습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 인증 방법에 대한 변경 | 높음 | Microsoft Entra 감사 로그 | 서비스 = 인증 방법 -그리고- 작업 유형 = 사용자가 등록한 보안 정보 -그리고- 범주 = 사용자 관리 |
이 변경은 공격자가 인증 방법을 계정에 추가하여 계속 액세스할 수 있음을 나타낼 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 권한 있는 계정 권한 변경에 대한 경고 | 높음 | Microsoft Entra 감사 로그 | 범주 = 역할 관리 -그리고- 작업 유형 = 적격 멤버 추가(영구) 또는 작업 유형 = 적격 멤버 추가(적격) -그리고- 상태 = 성공 또는 실패 -그리고- 수정된 속성 = Role.DisplayName |
이 경고는 특히 알려져 있지 않거나 일반적인 책임을 벗어나는 역할이 할당된 계정에 대한 것입니다. Sigma 규칙 |
| 사용하지 않는 권한 있는 계정 | 중간 | Microsoft Entra 액세스 검토 | 권한 있는 비활성 사용자 계정에 대한 월간 검토를 수행합니다. Sigma 규칙 |
|
| 조건부 액세스에서 제외되는 계정 | 높음 | Azure Monitor Logs 또는 액세스 검토 |
조건부 액세스 = 인사이트 및 보고 | 조건부 액세스에서 제외된 계정은 제어를 무시할 가능성이 높으며 손상에 더 취약합니다. 비상 계정은 제외됩니다. 이 문서 뒷부분에서 비상 계정을 모니터링하는 방법에 대한 정보를 참조하세요. |
| 권한 있는 계정에 임시 액세스 패스 추가 | 높음 | Microsoft Entra 감사 로그 | 작업: 관리자가 보안 정보를 등록함 상태 이유: 관리자가 사용자를 위해 임시 액세스 패스 방법을 등록했습니다. 범주 = UserManagement 시작한 사람(작업자) = 사용자 계정 이름 대상: 사용자 계정 이름 |
권한 있는 사용자에 대해 생성되는 임시 액세스 패스를 모니터링하고 경고합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
조건부 액세스 정책의 예외를 모니터링하는 방법에 대한 자세한 내용은 조건부 액세스 인사이트 및 보고를 참조하세요.
사용하지 않은 권한 있는 계정을 검색하는 방법에 대한 자세한 내용은 Privileged Identity Management에서 Microsoft Entra 역할에 대한 액세스 검토 만들기를 참조하세요.
할당 및 권한 상승
권한 있는 계정이 상승된 기능으로 영구적으로 프로비저닝되면 공격 노출 영역 및 보안 경계에 대한 위험이 증가할 수 있습니다. 대신, 권한 상승 절차를 사용하여 Just-In-Time 액세스를 사용합니다. 이 유형의 시스템을 사용하면 권한 있는 역할에 대한 자격을 할당할 수 있습니다. 권한이 필요한 작업을 수행하는 경우에만 관리자가 권한을 해당 역할로 승격합니다. 권한 상승 프로세스를 사용하면 권한 있는 계정에 대한 권한 상승 및 미사용을 모니터링할 수 있습니다.
기초 설정
예외를 모니터링하려면 먼저 기준을 만들어야 합니다. 이러한 요소에 대한 다음 정보를 확인합니다.
관리자 계정
- 권한 있는 계정 전략
- 온-프레미스 계정을 사용하여 온-프레미스 리소스 관리
- 클라우드 기반 계정을 사용하여 클라우드 기반 리소스 관리
- 온-프레미스 및 클라우드 기반 리소스에 대한 관리 권한을 분리하고 모니터링하는 방법
권한 있는 역할 보호
- 관리 권한이 있는 역할에 대한 보호 전략
- 권한 있는 계정 사용에 대한 조직 정책
- 시간 제한 및 승인된 액세스 제공과 비교하여 영구 권한을 유지하기 위한 전략 및 원칙
다음 개념과 정보는 정책을 확인하는 데 도움이 됩니다.
- Just-In-Time 관리 원칙. Microsoft Entra 로그를 사용하여 사용자 환경에서 공통되는 관리 작업을 수행하기 위한 정보를 캡처합니다. 작업을 완료하는 데 필요한 일반적인 기간을 결정합니다.
- 충분한 관리 원칙. 관리 작업에 필요한 사용자 지정 역할일 수 있는 최소 권한 역할을 결정합니다. 자세한 내용은 Microsoft Entra ID에서 작업별 최소 권한 역할을 참조하세요.
- 권한 상승 정책 설정. 필요한 상승된 권한 유형 및 각 작업에 필요한 기간에 대한 인사이트가 파악되었으면 사용자 환경에 대해 상승된 권한 사용을 반영하는 정책을 만듭니다. 예를 들어 역할 권한 상승을 1시간으로 제한하는 정책을 정의합니다.
기준이 설정되고 정책이 설정되면 정책을 벗어난 사용을 검색하여 경고하도록 모니터링을 구성할 수 있습니다.
검색
할당 및 권한 상승의 변경에 특히 주의하여 조사합니다.
모니터링할 항목
Microsoft Entra 감사 로그 및 Azure Monitor 로그를 사용하여 권한 있는 계정 변경을 모니터링할 수 있습니다. 모니터링 프로세스에 포함되는 변경은 다음과 같습니다.
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 권한 있는 적격 역할에 추가됨 | 높음 | Microsoft Entra 감사 로그 | 서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 작업 유형 = 역할에 멤버 추가 완료됨(적격) -그리고- 상태 = 성공 또는 실패 -그리고- 수정된 속성 = Role.DisplayName |
역할에 적합한 모든 계정에는 이제 권한 있는 액세스 권한이 부여됩니다. 할당이 예기치 않거나 계정 소유자의 책임이 아닌 역할이 할당된 경우 조사합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| PIM 외부에서 할당된 역할 | 높음 | Microsoft Entra 감사 로그 | 서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 작업 유형 = 역할에 멤버 추가(영구) -그리고- 상태 = 성공 또는 실패 -그리고- 수정된 속성 = Role.DisplayName |
이러한 역할을 면밀히 모니터링하고 경고해야 합니다. 가능한 경우 사용자에게 PIM 외부의 역할을 할당하면 안 됩니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| 권한 상승 | 중간 | Microsoft Entra 감사 로그 | 서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 작업 유형 = 역할에 멤버 추가 완료됨(PIM 활성화) -그리고- 상태 = 성공 또는 실패 -그리고- 수정된 속성 = Role.DisplayName |
권한 있는 계정이 상승되면 이제 테넌트의 보안에 영향을 줄 수 있는 변경을 수행할 수 있습니다. 모든 권한 상승을 기록해야 하며, 해당 사용자의 표준 패턴을 벗어나고 이러한 상황이 계획되지 않은 경우 경고하고 조사해야 합니다. |
| 권한 상승 승인 및 거부 | 낮음 | Microsoft Entra 감사 로그 | 서비스 = 액세스 검토 -그리고- 범주 = UserManagement -그리고- 작업 유형 = 요청 승인됨 또는 거부됨 -그리고- 시작된 작업자 = UPN |
공격에 대한 타임라인을 명확하게 표시할 수 있으므로 모든 권한 상승을 모니터링합니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| PIM 설정 변경 | 높음 | Microsoft Entra 감사 로그 | 서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 작업 유형 = PIM에서 역할 설정 업데이트 -그리고- 상태 이유 = 활성화 시 MFA 사용 안 함(예) |
작업 중 하나가 PIM 권한 상승의 보안을 약화시키고 공격자가 권한 있는 계정을 획득하기 쉽게 만들 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙 |
| SAW/PAW에서 상승이 발생하지 않음 | 높음 | Microsoft Entra 로그인 로그 | 디바이스 ID -그리고- 브라우저 -그리고- OS -그리고- 규격/관리형 상관 관계: 서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 작업 유형 = 역할에 멤버 추가 완료됨(PIM 활성화) -그리고- 상태 = 성공 또는 실패 -그리고- 수정된 속성 = Role.DisplayName |
이 변경이 구성되면 공격자가 계정을 사용하려고 시도하고 있음을 나타낼 수 있으므로 PAW/SAW가 아닌 디바이스에서 권한을 상승하려고 하는 모든 시도를 즉시 조사해야 합니다. Sigma 규칙 |
| 모든 Azure 구독을 관리하기 위한 권한 상승 | 높음 | Azure Monitor | 활동 로그 탭 디렉터리 작업 탭 작업 이름 = 사용자 액세스 관리자에 호출자 할당 -및- 이벤트 범주 = 관리 -그리고- 상태 = 성공, 시작, 실패 -그리고- 이벤트를 시작한 사람 |
이 변경은 계획되지 않은 경우 즉시 조사해야 합니다. 이 설정을 사용하면 공격자가 사용자 환경에서 Azure 구독에 액세스할 수 있습니다. |
권한 상승 관리에 대한 자세한 내용은 모든 Azure 구독 및 관리 그룹을 관리할 수 있도록 액세스 권한 상승을 참조하세요. Microsoft Entra 로그에서 제공하는 정보를 사용하여 권한 상승을 모니터링하는 방법에 대한 자세한 내용은 Azure Monitor 설명서의 일부인 Azure 활동 로그를 참조하세요.
Azure 역할에 대한 경고를 구성하는 방법에 대한 자세한 내용은 Privileged Identity Management에서 Azure 리소스 역할에 대한 보안 경고 구성을 참조하세요.
다음 단계
다음 보안 작업 가이드 문서를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기