Privileged Identity Management에 대한 Microsoft Entra 보안 운영

아티클
10/25/2023

비즈니스 자산의 보안은 IT 시스템을 관리하는 권한 있는 계정의 무결성에 따라 달라집니다. 사이버 공격자는 관리자 계정과 기타 권한 있는 액세스 계정을 대상으로 하는 자격 증명 도난 공격을 사용하여 중요한 데이터에 액세스하려고 합니다.

클라우드 서비스의 경우 예방 및 대응은 클라우드 서비스 공급자와 고객의 공동 책임입니다.

기존에는 조직 보안이 보안 경계인 네트워크 진입 및 출구 지점에 중점을 두었습니다. 그러나 이 방법은 SaaS 앱과 개인 디바이스에 효과적이지 않았습니다. Microsoft Entra ID에서는 네트워크 보안 경계를 조직 ID 계층의 인증으로 바꿉니다. 사용자에게 권한 있는 관리 역할이 할당되기 때문에 온-프레미스, 클라우드, 하이브리드 환경에서 해당 액세스를 보호해야 합니다.

사용자는 온-프레미스 IT 환경에 대한 모든 보안 계층을 전적으로 책임져야 합니다. Azure 클라우드 서비스를 사용하는 경우 예방 및 대응은 클라우드 서비스 공급자(Microsoft)와 고객(사용자)의 공동 책임입니다.

공유 책임 모델에 대한 자세한 내용은 클라우드의 공유 책임을 참조하세요.
권한 있는 사용자의 액세스를 보호하는 방법에 대한 자세한 내용은 Microsoft Entra ID에서 하이브리드 및 클라우드 배포를 위한 권한 있는 액세스 보안을 참조하세요.
권한 있는 ID의 주요 개념에 대한 다양한 비디오, 방법 가이드, 콘텐츠는 Privileged Identity Management 설명서를 참조하세요.

PIM(Privileged Identity Management)은 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하도록 지원하는 Microsoft Entra 서비스입니다. 이러한 리소스에는 Microsoft Entra ID, Azure 및 Microsoft 365 또는 Microsoft Intune과 같은 기타 Microsoft Online Services의 리소스가 포함됩니다. PIM을 사용하여 다음과 같은 위험을 완화할 수 있습니다.

보안 정보와 리소스에 대한 액세스 권한이 있는 사람을 식별하고 인원수를 최소화합니다.
중요한 리소스에 대한 과도하거나, 불필요하거나, 잘못 사용된 액세스 권한을 검색합니다.
악의적인 작업자가 보안 정보나 리소스에 액세스할 가능성을 줄입니다.
권한 없는 사용자가 실수로 중요한 리소스에 영향을 줄 가능성을 줄입니다.

이 문서에서는 기준 설정, 감사 로그인 및 권한 있는 계정 사용에 대한 지침을 제공합니다. 원본 감사 로그 원본을 사용하여 권한 있는 계정 무결성을 유지합니다.

살펴볼 위치

조사 및 모니터링에 사용하는 로그 파일은 다음과 같습니다.

Azure Portal에서 Microsoft Entra 감사 로그를 보고, CSV(쉼표로 구분된 값) 또는 JSON(JavaScript Object Notation) 파일로 다운로드할 수 있습니다. Azure Portal에는 모니터링과 경고를 자동화하는 다른 도구와 Microsoft Entra 로그를 통합하는 몇 가지 방법이 있습니다.

Microsoft Sentinel – SIEM(보안 정보 및 이벤트 관리) 기능을 제공하여 엔터프라이즈 수준에서 지능형 보안 분석이 가능합니다.
Sigma 규칙 - Sigma는 자동화된 관리 도구에서 로그 파일을 구문 분석하는 데 사용할 수 있는 규칙과 템플릿을 작성하기 위한 진화하는 개방형 표준입니다. 권장 검색 조건에 대한 Sigma 템플릿이 있는 경우 Sigma 리포지토리에 대한 링크를 추가했습니다. Microsoft에서 Sigma 템플릿을 작성, 테스트 및 관리하지 않습니다. 대신 전 세계 IT 보안 커뮤니티에서 리포지토리와 템플릿을 만들고 수집합니다.
Azure Monitor – 다양한 조건에 대한 자동화된 모니터링 및 경고를 가능하게 합니다. 통합 문서를 만들거나 사용하여 다양한 원본의 데이터를 결합할 수 있습니다.
SIEM과 통합된Azure Event Hubs- Azure Event Hubs 통합을 통해 Splunk, ArcSight, QRadar 및 Sumo Logic과 같은 다른 SIEM에 Microsoft Entra ID 로그를 통합할 수 있습니다.
Microsoft Defender for Cloud Apps – 앱을 검색 및 관리하고, 앱과 리소스 전반에 걸쳐 관리하고, 클라우드 앱의 규정 준수를 확인할 수 있습니다.
ID 보호 미리 보기를 사용하여 워크로드 ID 보호 - 로그인 동작 및 오프라인 손상 지표에서 워크로드 ID에 대한 위험을 감지하는 데 사용됩니다.

이 문서의 나머지 부분에는 계층 모델을 사용하여 모니터링하고 경고할 기준선을 설정하는 권장 사항이 있습니다. 미리 빌드된 솔루션에 대한 링크가 테이블 뒤에 표시됩니다. 앞의 도구를 사용하여 경고를 빌드할 수 있습니다. 콘텐츠는 다음과 같은 영역으로 구성됩니다.

기준
Microsoft Entra 역할 할당
Microsoft Entra ID 역할 경고 설정
Azure 리소스 역할 할당
Azure 리소스에 대한 액세스 관리
Azure 구독을 관리하도록 권한이 상승된 액세스

기준

권장되는 기준 설정은 다음과 같습니다.

모니터링 대상	위험 수준	권장	Roles	주의
Microsoft Entra 역할 할당	높음	활성화 사유가 필요합니다. 활성화하려면 승인을 받도록 요구. 2단계 승인자 프로세스를 설정합니다. 활성화 시 Microsoft Entra 다단계 인증이 필요합니다. 최대 권한 상승 기간을 8시간으로 설정합니다.	보안 관리istrator, Privileged Role 관리istrator, Global 관리istrator	권한 있는 역할 관리자는 적격 역할 할당을 활성화하는 사용자 환경 변경을 포함하여 Microsoft Entra 조직의 PIM을 사용자 지정할 수 있습니다.
Azure 리소스 역할 구성	높음	활성화 사유가 필요합니다. 활성화하려면 승인을 받도록 요구. 2단계 승인자 프로세스를 설정합니다. 활성화 시 Microsoft Entra 다단계 인증이 필요합니다. 최대 권한 상승 기간을 8시간으로 설정합니다.	소유자, 사용자 액세스 관리istrator	계획된 변경이 아닌 경우 즉시 조사합니다. 이 설정을 사용하면 공격자가 사용자 환경의 Azure 구독에 액세스할 수 있습니다.

Privileged Identity Management 경고

PIM(Privileged Identity Management)은 Microsoft Entra 조직에서 의심스럽거나 안전하지 않은 활동이 있을 때 경고를 생성합니다. 경고가 생성되면 Privileged Identity Management 대시보드에 표시됩니다. 이메일 알림을 구성하거나 GraphAPI를 통해 SIEM으로 보낼 수도 있습니다. 이러한 경고는 특히 관리 역할에 중점을 두므로 모든 경고를 면밀히 모니터링해야 합니다.

모니터링 대상	위험 수준	Where	필터/하위 필터 UX	주의
역할이 Privileged Identity Management 외부에서 할당됨	높음	Privileged Identity Management, 경고	역할이 Privileged Identity Management 외부에서 할당됨	보안 경고를 구성하는 방법 Sigma 규칙
권한 있는 역할의 잠재적인 부실 계정	중간	Privileged Identity Management, 경고	권한 있는 역할의 잠재적인 부실 계정	보안 경고를 구성하는 방법 Sigma 규칙
관리자가 권한 있는 역할을 사용 하지 않음	낮음	Privileged Identity Management, 경고	관리자가 권한 있는 역할을 사용 하지 않음	보안 경고를 구성하는 방법 Sigma 규칙
역할은 활성화를 위해 다단계 인증이 필요하지 않습니다.	낮음	Privileged Identity Management, 경고	역할은 활성화를 위해 다단계 인증이 필요하지 않습니다.	보안 경고를 구성하는 방법 Sigma 규칙
조직에 Microsoft Entra ID P2 또는 Microsoft Entra ID Governance가 없음	낮음	Privileged Identity Management, 경고	조직에 Microsoft Entra ID P2 또는 Microsoft Entra ID Governance가 없음	보안 경고를 구성하는 방법 Sigma 규칙
전역 관리주체가 너무 많습니다.	낮음	Privileged Identity Management, 경고	전역 관리주체가 너무 많습니다.	보안 경고를 구성하는 방법 Sigma 규칙
역할이 너무 자주 활성화됨	낮음	Privileged Identity Management, 경고	역할이 너무 자주 활성화됨	보안 경고를 구성하는 방법 Sigma 규칙

Microsoft Entra 역할 할당

권한 있는 역할 관리자는 적격 역할 할당을 활성화하는 사용자 환경 변경을 포함하여 Microsoft Entra 조직의 PIM을 사용자 지정할 수 있습니다.

악의적인 작업자가 권한 있는 액세스를 활성화하기 위한 Microsoft Entra ID 다단계 인증 요구 사항을 제거할 수 없도록 합니다.
악의적인 사용자가 권한 있는 액세스 활성화 사유와 승인을 무시할 수 없도록 합니다.

모니터링 대상	위험 수준	Where	필터/하위 필터	주의
권한 있는 계정 권한의 추가 변경 내용에 대한 경고	높음	Microsoft Entra 감사 로그	범주 = 역할 관리 -그리고- 활동 유형 – 적격 구성원 추가(영구) -그리고- 활동 유형 – 적격 구성원 추가(적격) -그리고- 상태 = 성공/실패 -그리고- 수정된 속성 = Role.DisplayName	권한 있는 역할 관리자와 전역 관리자에 대한 변경 내용을 모니터링하고 항상 경고합니다. 공격자가 역할 할당 설정을 수정할 수 있는 권한을 얻으려고 시도 중임을 나타낼 수 있습니다. 정의된 임계값이 없는 경우 사용자는 60분에 4회, 권한 있는 계정은 60분에 2회 변경 시 경고합니다. Sigma 규칙
권한 있는 계정 권한의 대량 삭제 변경 내용에 대한 경고	높음	Microsoft Entra 감사 로그	범주 = 역할 관리 -그리고- 활동 유형 – 적격 구성원 제거(영구) -그리고- 활동 유형 – 적격 구성원 제거(적격) -그리고- 상태 = 성공/실패 -그리고- 수정된 속성 = Role.DisplayName	계획된 변경이 아닌 경우 즉시 조사합니다. 이 설정을 사용하면 공격자가 사용자 환경의 Azure 구독에 액세스할 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙
PIM 설정 변경	높음	Microsoft Entra 감사 로그	서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 활동 유형 = PIM의 역할 설정 업데이트 -그리고- 상태 이유 = 활성화 시 MFA 사용 안 함(예)	권한 있는 역할 관리자와 전역 관리자에 대한 변경 내용을 모니터링하고 항상 경고합니다. 공격자가 역할 할당 설정을 수정할 수 있는 액세스 권한이 있음을 나타낼 수 있습니다. 작업 중 하나가 PIM 권한 상승의 보안을 약화시키고 공격자가 권한 있는 계정을 획득하기 쉽게 만들 수 있습니다. Microsoft Sentinel 템플릿 Sigma 규칙
권한 상승 승인 및 거부	높음	Microsoft Entra 감사 로그	서비스 = 액세스 검토 -그리고- 범주 = UserManagement -그리고- 활동 유형 = 요청 승인/거부 -그리고- 시작된 작업자 = UPN	모든 권한 상승을 모니터링해야 합니다. 공격의 타임라인을 명확하게 나타내기 위한 모든 권한 상승을 로그합니다. Microsoft Sentinel 템플릿 Sigma 규칙
경고 설정이 사용 안 함으로 변경됩니다.	높음	Microsoft Entra 감사 로그	서비스 = PIM -그리고- 범주 = 역할 관리 -그리고- 활동 유형 = PIM 경고 사용 안 함 -그리고- 상태 = 성공/실패	항상 경고합니다. 권한 있는 액세스를 활성화하기 위한 Microsoft Entra ID 다단계 인증 요구 사항과 관련된 경고를 제거하는 악의적인 작업자를 검색하는 데 도움이 됩니다. 의심스럽거나 안전하지 않은 활동을 탐지하는 데 도움이 됩니다. Microsoft Sentinel 템플릿 Sigma 규칙

Microsoft Entra 감사 로그에서 역할 설정 변경 내용을 식별하는 방법에 대한 자세한 내용은 Privileged Identity Management에서 Microsoft Entra 역할에 대한 감사 기록 보기를 참조하세요.

Azure 리소스 역할 할당

Azure 리소스 역할 할당을 모니터링하면 리소스 역할에 대한 활동과 활성화를 파악할 수 있습니다. 이러한 할당은 리소스에 대한 공격 표면을 만드는 데 오용될 수 있습니다. 이 유형의 활동을 모니터링하는 경우 다음을 검색하려고 합니다.

특정 리소스의 쿼리 역할 할당
모든 자식 리소스에 대한 역할 할당
모든 활성 및 적격 역할 할당 변경 내용

모니터링 대상	위험 수준	Where	필터/하위 필터	주의
권한 있는 계정 활동에 대한 감사 경고 리소스 감사 로그	높음	PIM에서, Azure 리소스 아래, 리소스 감사	작업: PIM의 역할에 적격 구성원 추가가 완료됨(시간 제한) -그리고- 기본 대상 -그리고- 유형 사용자 -그리고- 상태 = 성공	항상 경고합니다. Azure의 모든 리소스를 관리할 적격 역할을 추가하는 잘못된 작업자를 검색하는 데 도움이 됩니다.
경고 사용 안 함에 대한 감사 경고 리소스 감사	중간	PIM에서, Azure 리소스 아래, 리소스 감사	작업: 경고 사용 안 함 -그리고- 기본 대상: 너무 많은 소유자가 리소스에 할당됨 -그리고- 상태 = 성공	경고 창에서 경고를 사용하지 않도록 설정하여 악의적인 활동이 조사되지 않도록 하는 잘못된 작업자를 검색하는 데 도움이 됩니다.
경고 사용 안 함에 대한 감사 경고 리소스 감사	중간	PIM에서, Azure 리소스 아래, 리소스 감사	작업: 경고 사용 안 함 -그리고- 기본 대상: 너무 많은 영구 소유자가 리소스에 할당됨 -그리고- 상태 = 성공	잘못된 작업자가 경고 창에서 경고를 사용하지 않도록 설정하여 악의적인 활동이 조사되지 않도록 할 수 없게 합니다.
경고 사용 안 함에 대한 감사 경고 리소스 감사	중간	PIM에서, Azure 리소스 아래, 리소스 감사	작업: 경고 사용 안 함 -그리고- 기본 대상 중복 역할이 생성됨 -그리고- 상태 = 성공	잘못된 작업자가 경고 창에서 경고를 사용하지 않도록 설정하여 악의적인 활동이 조사되지 않도록 할 수 없게 합니다.

경고를 구성하고 Azure 리소스 역할을 감사하는 방법에 대한 자세한 내용은 다음을 참조하세요.

Azure 리소스 및 구독에 대한 액세스 관리

소유자 또는 사용자 액세스 관리자 구독 역할이 할당된 사용자나 그룹 구성원과 Microsoft Entra ID에서 구독 관리를 사용하도록 설정한 Microsoft Entra 전역 관리자는 기본적으로 리소스 관리자 권한이 있습니다. 관리자는 Azure 리소스용 PIM(Privileged Identity Management)을 사용하여 역할을 할당하고, 역할 설정을 구성하며, 액세스를 검토합니다.

리소스 관리자 권한이 있는 사용자는 리소스용 PIM을 관리할 수 있습니다. 이렇게 도입된 위험을 모니터링하고 완화합니다. 이 기능을 통해 VM(가상 머신)이나 스토리지 계정과 같은 Azure 구독 리소스에 대한 권한 있는 액세스가 잘못된 작업자에게 부여될 수 있습니다.

모니터링 대상	위험 수준	Where	필터/하위 필터	주의
권한 상승	높음	Microsoft Entra ID( 관리, 속성)	정기적으로 설정을 검토합니다. Azure 리소스에 대한 액세스 관리	전역 관리 관리자는 Azure 리소스에 대한 액세스 관리를 사용하도록 설정하여 상승시킬 수 있습니다. 잘못된 작업자가 Active Directory와 연결된 모든 Azure 구독과 관리 그룹에서 역할을 할당할 수 있는 권한을 얻지 않았는지 확인합니다.