Microsoft Defender 사용자 엔터티 페이지

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 포털의 사용자 엔터티 페이지는 사용자 엔터티를 조사하는 데 도움이 됩니다. 페이지에는 지정된 사용자 엔터티에 대한 모든 중요한 정보가 포함되어 있습니다. 경고 또는 인시던트가 사용자가 손상되거나 의심스러운 것으로 표시되면 사용자 엔터티를 검사 조사합니다.

다음 보기에서 사용자 엔터티 정보를 찾을 수 있습니다.

  • 자산 아래의 ID 페이지
  • 경고 큐
  • 개별 경고/인시던트
  • 장치 페이지
  • 모든 개별 디바이스 엔터티 페이지
  • 활동 로그
  • 고급 헌팅 쿼리
  • 알림 센터

이러한 보기에 사용자 엔터티가 표시되는 위치마다 사용자 페이지를 볼 엔터티를 선택하여 사용자에 대한 자세한 정보를 표시합니다. 예를 들어 인시던트 & 인시던트 인시던트 자산 사용자의 Microsoft Defender 포털에서 인>던트 >> 경고에서 식별된 사용자 계정의 세부 정보를 볼 수 있습니다>.

Microsoft Defender 포털의 인시던트에 대한 사용자 페이지의 스크린샷.

특정 사용자 엔터티를 조사할 때 엔터티 페이지에 다음 탭이 표시됩니다.

사용자 페이지에는 Microsoft Entra organization 그룹뿐만 아니라 사용자와 연결된 그룹 및 사용 권한을 이해하는 데 도움이 됩니다.

중요

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼에 대한 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.

개요

엔터티 세부 정보

페이지 왼쪽의 엔터티 세부 정보 패널에는 Microsoft Entra ID 위험 수준, 사용자가 로그인한 디바이스 수, 사용자가 처음 및 마지막으로 본 경우, 사용자의 계정, 사용자가 속한 그룹, 연락처 정보 등 사용자에 대한 정보가 제공됩니다. 사용하도록 설정한 통합 기능에 따라 다른 세부 정보가 표시됩니다.

인시던트 및 경고의 시각적 보기

이 카드 심각도별로 그룹화된 사용자 엔터티와 관련된 모든 인시던트 및 경고를 포함합니다.

조사 우선 순위

이 카드 사용자 엔터티의 계산된 조사 우선 순위 점수 분석 및 해당 점수에 대한 2주 추세(테넌트와 관련된 점수의 백분위수 포함)가 포함됩니다.

Active Directory 계정 컨트롤

이 카드 주의가 필요할 수 있는 Microsoft Defender for Identity 보안 설정을 표시합니다. 사용자가 암호를 무시하기 위해 Enter 키를 누를 수 있는지, 만료되지 않는 암호가 있는지 등과 같이 사용자의 계정 설정에 대한 중요한 플래그를 볼 수 있습니다.

자세한 내용은 사용자 계정 컨트롤 플래그를 참조하세요.

채점된 활동

이 카드 지난 7일 동안 엔터티의 조사 우선 순위 점수에 기여하는 모든 활동 및 경고가 포함됩니다.

조직 트리

이 섹션에서는 Microsoft Defender for Identity 보고한 대로 조직 계층 구조에서 사용자 엔터티의 위치를 보여줍니다.

계정 태그

Microsoft Defender for Identity Active Directory에서 태그를 끌어와 Active Directory 사용자 및 엔터티를 모니터링하기 위한 단일 인터페이스를 제공합니다. 태그는 엔터티에 대한 Active Directory의 세부 정보를 제공하며 다음을 포함합니다.

이름 설명
새로운 엔터티가 30일 전에 생성되었음을 나타냅니다.
삭제됨 엔터티가 Active Directory에서 영구적으로 삭제되었음을 나타냅니다.
Disabled 엔터티가 현재 Active Directory에서 사용하지 않도록 설정되어 있음을 나타냅니다. 사용 안 함 특성은 사용자 계정, 컴퓨터 계정 및 기타 개체에 사용할 수 있는 Active Directory 플래그로, 개체가 현재 사용되고 있지 않음을 나타냅니다.

개체를 사용하지 않도록 설정하면 도메인에 로그인하거나 작업을 수행하는 데 사용할 수 없습니다.
Enabled 엔터티가 현재 Active Directory에서 사용하도록 설정되어 있음을 나타내며, 엔터티가 현재 사용 중이며 도메인에서 로그인하거나 작업을 수행하는 데 사용할 수 있음을 나타냅니다.
만료됨 엔터티가 Active Directory에서 만료되었음을 나타냅니다. 사용자 계정이 만료되면 사용자는 더 이상 도메인에 로그인하거나 네트워크 리소스에 액세스할 수 없습니다. 만료된 계정은 기본적으로 사용하지 않도록 설정된 것처럼 처리되지만 명시적 만료 날짜가 설정됩니다.

사용자에게 액세스 권한이 부여된 모든 서비스 또는 애플리케이션도 구성 방법에 따라 영향을 받을 수 있습니다.
Honeytoken 엔터티에 honeytoken으로 수동으로 태그가 지정되었음을 나타냅니다.
잠김 엔터티가 잘못된 암호를 너무 여러 번 제공했으며 이제 잠겨 있음을 나타냅니다.
일부 사용자, 디바이스 또는 그룹이 도메인과 동기화되지 않고 전역 카탈로그를 통해 부분적으로 확인됨을 나타냅니다. 이 경우 일부 특성을 사용할 수 없습니다.
미해결 디바이스가 Active Directory 포리스트의 유효한 ID에 resolve 않음을 나타냅니다. 사용할 수 있는 디렉터리 정보가 없습니다.
중요 엔터티가 중요한 것으로 간주됨을 나타냅니다.

자세한 내용은 Microsoft Defender XDR Defender for Identity 엔터티 태그를 참조하세요.

참고

organization 트리 섹션 및 계정 태그는 Microsoft Defender for Identity 라이선스를 사용할 수 있는 경우 사용할 수 있습니다.

Microsoft Defender 포털의 특정 사용자 페이지 스크린샷

인시던트 및 경고

이 탭에서 지난 6개월 동안의 사용자와 관련된 모든 활성 인시던트 및 경고를 볼 수 있습니다. 기본 인시던트 및 경고 큐의 모든 정보는 여기에 표시됩니다. 이 목록은 인시던트 큐의 필터링된 버전이며 인시던트 또는 경고, 심각도(높음, 중간, 낮음, 정보), 큐의 상태(신규, 진행 중, 해결됨), 분류(설정되지 않음, 거짓 경고, 실제 경고), 조사 상태, 범주, 처리하도록 할당된 사람 및 관찰된 마지막 활동에 대한 간략한 설명을 보여 줍니다.

표시되는 항목 수와 각 항목에 대해 표시되는 열을 사용자 지정할 수 있습니다. 기본 동작은 페이지당 30개 항목을 나열하는 것입니다. 심각도, 상태 또는 디스플레이의 다른 열을 기준으로 경고를 필터링할 수도 있습니다.

영향을 받은 엔터티 열은 인시던트 또는 경고에서 참조되는 모든 디바이스 및 사용자 엔터티를 나타냅니다.

인시던트 또는 경고를 선택하면 플라이아웃이 나타납니다. 이 패널에서 인시던트 또는 경고를 관리하고 인시던트/경고 번호 및 관련 디바이스와 같은 자세한 정보를 볼 수 있습니다. 한 번에 여러 경고를 선택할 수 있습니다.

인시던트 또는 경고의 전체 페이지 보기를 보려면 제목을 선택합니다.

Microsoft Defender 포털의 경고 탭에 표시된 사용자 계정의 관련 경고 스크린샷

organization 관찰됨

  • 디바이스: 이 섹션에서는 사용자 엔터티가 이전 180일 동안 로그인한 모든 디바이스를 보여 줍니다. 가장 적게 사용된 디바이스를 나타냅니다.

  • 위치: 이 섹션에서는 지난 30일 동안 사용자 엔터티에 대해 관찰된 모든 위치를 보여 줍니다.

  • 그룹: 이 섹션에서는 Microsoft Defender for Identity 보고한 대로 사용자 엔터티에 대해 관찰된 모든 온-프레미스 그룹을 보여 줍니다.

  • 횡적 이동 경로: 이 섹션에서는 Defender for Identity에서 검색한 대로 온-프레미스 환경에서 프로파일된 모든 횡적 이동 경로를 보여 줍니다.

참고

그룹 및 횡적 이동 경로는 Microsoft Defender for Identity 라이선스를 사용할 수 있는 경우 사용할 수 있습니다.

횡적 이동 탭을 선택하면 사용자를 오가는 횡적 이동 경로를 볼 수 있는 완전히 동적이고 클릭 가능한 맵을 볼 수 있습니다. 공격자는 경로 정보를 사용하여 네트워크에 침투할 수 있습니다.

맵은 공격자가 중요한 계정을 손상시키기 위해 활용할 수 있는 다른 디바이스 또는 사용자의 목록을 제공합니다. 사용자에게 중요한 계정이 있는 경우 직접 연결된 리소스 및 계정 수를 확인할 수 있습니다.

날짜별로 볼 수 있는 횡적 이동 경로 보고서는 검색된 잠재적인 횡적 이동 경로에 대한 정보를 제공하기 위해 항상 사용할 수 있으며 시간에 따라 사용자 지정할 수 있습니다. 다른 날짜 보기를 사용하여 다른 날짜를 선택하여 엔터티에 대해 찾은 이전 횡적 이동 경로를 봅니다. 그래프는 지난 2일 동안 엔터티에 대한 잠재적인 횡적 이동 경로가 발견된 경우에만 표시됩니다.

Microsoft Defender 포털에서 사용자의 디바이스, 그룹, 위치 및 횡적 이동 경로를 보여 주는 organization 보기의 스크린샷

시간 표시 막대

타임라인 지난 30일 동안 사용자의 ID에서 관찰된 사용자 활동 및 경고를 표시합니다. Microsoft Defender for Identity, Microsoft Defender for Cloud Apps 및 엔드포인트용 Microsoft Defender 워크로드에서 사용자의 ID 항목을 통합합니다. 타임라인 사용하여 특정 기간 동안 사용자가 수행했거나 수행한 활동에 집중할 수 있습니다.

통합 SOC 플랫폼의 사용자가 이전 단락의 데이터 원본 이외의 데이터 원본을 기반으로 Microsoft Sentinel의 경고를 보려면 아래에 설명된Sentinel 이벤트 탭에서 이러한 경고 및 기타 정보를 찾을 수 있습니다.

  • 사용자 지정 시간 범위 선택기: 지난 24시간, 지난 3일 등에 대해 조사에 집중할 기간을 선택할 수 있습니다. 또는 사용자 지정 범위를 클릭하여 특정 기간을 선택할 수 있습니다. 예시:

    시간 프레임을 선택하는 방법을 보여 주는 스크린샷

  • 타임라인 필터: 조사 환경을 개선하기 위해 유형(경고 및/또는 사용자의 관련 활동), 경고 심각도, 활동 유형, 앱, 위치, 프로토콜 등 타임라인 필터를 사용할 수 있습니다. 각 필터는 다른 필터에 따라 달라지며 각 필터(드롭다운)의 옵션에는 특정 사용자와 관련된 데이터만 포함됩니다.

  • 내보내기 단추: 타임라인 CSV 파일로 내보낼 수 있습니다. 내보내기는 처음 5,000개의 레코드로 제한되며 UI에 표시되는 데이터를 포함합니다(동일한 필터 및 열).

  • 사용자 지정된 열:사용자 지정 단추를 선택하여 타임라인 노출할 열을 선택할 수 있습니다. 예시:

    사용자의 이미지를 보여 주는 스크린샷.

사용할 수 있는 데이터 형식은 무엇인가요?

타임라인 사용할 수 있는 데이터 형식은 다음과 같습니다.

  • 사용자의 영향을 받은 경고
  • Active Directory 및 Microsoft Entra 활동
  • 클라우드 앱의 이벤트
  • 디바이스 로그온 이벤트
  • 디렉터리 서비스 변경 내용

표시되는 정보는 무엇인가요?

타임라인 다음 정보가 표시됩니다.

  • 활동의 날짜 및 시간
  • 활동/경고 설명
  • 작업을 수행한 애플리케이션
  • 원본 디바이스/IP 주소
  • MITRE ATT&CK 기술
  • 경고 심각도 및 상태
  • 클라이언트 IP 주소가 지리적으로 할당된 국가/지역
  • 통신 중에 사용되는 프로토콜
  • 대상 디바이스(선택 사항, 열 사용자 지정으로 볼 수 있습니다)
  • 활동이 발생한 횟수(선택 사항, 열을 사용자 지정하여 볼 수 있습니다).

예시:

타임라인 탭의 스크린샷.

참고

Microsoft Defender XDR 현지 표준 시간대 또는 UTC를 사용하여 날짜 및 시간 정보를 표시할 수 있습니다. 선택한 표준 시간대는 ID 타임라인 표시된 모든 날짜 및 시간 정보에 적용됩니다.

이러한 기능에 대한 표준 시간대를 설정하려면 설정>보안 센터>표준 시간대로 이동합니다.

Sentinel 이벤트

organization Microsoft Sentinel을 Defender 포털에 온보딩한 경우 이 추가 탭은 사용자 엔터티 페이지에 있습니다. 이 탭은 Microsoft Sentinel에서 계정 엔터티 페이지를 가져옵니다.

Sentinel 타임라인

이 타임라인 사용자 엔터티와 연결된 경고를 보여 줍니다. 이러한 경고에는 인시던트 및 경고 탭에 표시되는 경고와 타사, 타사 Microsoft 데이터 원본에서 Microsoft Sentinel에서 만든 경고가 포함됩니다.

또한 이 타임라인 이 사용자 엔터티를 참조하는 다른 조사, 외부 데이터 원본의 사용자 활동 이벤트 및 Microsoft Sentinel의 변칙 규칙에 의해 검색된 비정상적인 동작을 참조하는 다른 조사의 책갈피가 지정된 헌팅을 보여 줍니다.

Insights

엔터티 인사이트는 보다 효율적이고 효과적으로 조사할 수 있도록 Microsoft 보안 연구원이 정의한 쿼리입니다. 이러한 인사이트는 사용자 엔터티에 대한 큰 질문을 자동으로 제공하여 테이블 형식 데이터 및 차트 형태로 중요한 보안 정보를 제공합니다. 인사이트에는 로그인, 그룹 추가, 비정상적인 이벤트 등에 관한 데이터가 포함되며 비정상적인 동작을 감지하는 고급 기계 학습 알고리즘이 포함됩니다.

다음은 표시된 몇 가지 인사이트입니다.

  • 보안 그룹 멤버 자격을 기반으로 하는 사용자 피어입니다.
  • 계정별 작업입니다.
  • 계정에 대한 작업입니다.
  • 사용자가 지워진 이벤트 로그입니다.
  • 그룹 추가.
  • 비정상적으로 높은 사무실 작업 수입니다.
  • 리소스 액세스.
  • 비정상적으로 높은 Azure 로그인 결과 수입니다.
  • UEBA 인사이트.
  • Azure 구독에 대한 사용자 액세스 권한.
  • 사용자와 관련된 위협 지표입니다.
  • 관심 목록 인사이트(미리 보기).
  • Windows 로그인 작업.

인사이트는 다음 데이터 원본을 기반으로 합니다.

  • Syslog(Linux)
  • SecurityEvent(Windows)
  • AuditLogs(Microsoft Entra ID)
  • SigninLogs(Microsoft Entra ID)
  • OfficeActivity(Office 365)
  • BehaviorAnalytics(Microsoft Sentinel UEBA)
  • 하트비트(Azure Monitor 에이전트)
  • CommonSecurityLog(Microsoft Sentinel)

사용자 엔터티 페이지의 Sentinel 이벤트 탭 스크린샷

이 패널에서 인사이트를 자세히 살펴보려면 인사이트와 함께 링크를 선택합니다. 링크는 고급 헌팅 페이지로 이동하며, 여기서 원시 결과와 함께 인사이트의 기본 쿼리를 표시합니다. 쿼리를 수정하거나 결과를 드릴다운하여 조사를 확장하거나 호기심을 충족할 수 있습니다.

인사이트 쿼리가 있는 고급 헌팅 화면의 스크린샷

수정 작업

개요 페이지에서 다음 추가 작업을 수행할 수 있습니다.

  • Microsoft Entra ID 사용자 사용, 사용 안 함 또는 일시 중단
  • 사용자가 다시 로그인하거나 암호 재설정을 강제하도록 요구하는 등의 특정 작업을 수행하도록 사용자에게 지시합니다.
  • 사용자에 대한 조사 우선 순위 점수 다시 설정
  • Microsoft Entra 계정 설정, 관련 거버넌스, 사용자 소유 파일 또는 사용자의 공유 파일 보기

Microsoft Defender 포털에서 사용자에 대한 수정 작업의 스크린샷

자세한 내용은 Microsoft Defender for Identity 수정 작업을 참조하세요.

다음 단계

In-Process 인시던트에 필요한 경우 조사를 계속합니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.