자습서: Microsoft Sentinel을 사용하여 Azure Active Directory B2C 데이터에 대한 보안 분석 구성

로그 및 감사 정보를 Microsoft Sentinel로 라우팅하여 Azure AD B2C(Azure Active Directory B2C) 환경의 보안을 강화합니다. 확장 가능한 Microsoft Sentinel은 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Azure AD B2C에 대한 경고 검색, 위협 가시성, 자동 관리 헌팅 및 위협 대응에 솔루션을 사용합니다.

자세히 보기:

Azure AD B2C를 사용하는 Microsoft Sentinel의 더 많은 용도는 다음과 같습니다.

  • 분석 및 위협 인텔리전스 기능을 사용하여 이전에 검색되지 않은 위협을 감지하고 가양성을 최소화합니다.
  • AI(인공 지능)를 사용하여 위협 조사
    • 대규모로 의심스러운 활동을 찾고 Microsoft에서 수년간의 사이버 보안 작업 경험을 활용합니다.
  • 일반적인 작업 오케스트레이션 및 자동화를 사용하여 인시던트에 빠르게 대응
  • 조직의 보안 및 규정 준수 요구 사항 충족

이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.

  • Azure AD B2C 로그를 Log Analytics 작업 영역으로 전송
  • Log Analytics 작업 영역에서 Microsoft Sentinel 사용
  • Microsoft Sentinel에서 인시던트를 트리거하는 샘플 규칙 만들기
  • 자동화된 응답 구성

Azure Monitor Log Analytics를 사용하여 Azure AD B2C 구성

리소스에 대한 로그 및 메트릭이 전송되는 위치를 정의하려면

  1. Azure AD B2C 테넌트의 Microsoft Entra ID에서 진단 설정을 사용하도록 설정합니다.
  2. Azure Monitor에 로그를 보내도록 Azure AD B2C를 구성합니다.

자세한 내용은 Azure Monitor를 사용하여 Azure AD B2C를 모니터링합니다.

Microsoft Sentinel 인스턴스 배포

Azure Monitor에 로그를 보내도록 Azure AD B2C 인스턴스를 구성한 후 Microsoft Sentinel 인스턴스를 사용하도록 설정합니다.

Important

Microsoft Sentinel을 사용하도록 설정하려면 Microsoft Sentinel 작업 영역이 있는 구독에 대한 기여자 권한을 얻습니다. Microsoft Sentinel을 사용하려면 작업 영역이 속한 리소스 그룹에 대한 기여자 또는 읽기 권한자 권한을 사용합니다.

  1. Azure Portal에 로그인합니다.

  2. Log Analytics 작업 영역이 만들어지는 구독을 선택합니다.

  3. Microsoft Sentinel을 검색하여 선택합니다.

    Screenshot of Azure Sentinel entered into the search field and the Azure Sentinel option that appears.

  4. 추가를 선택합니다.

  5. 검색 작업 영역 필드에서 새 작업 영역을 선택합니다.

    Screenshot of the search workspaces field under Choose a workspace to add to Azure Sentinel.

  6. Microsoft Sentinel 추가를 선택합니다.

    참고 항목

    둘 이상의 작업 영역에서 Microsoft Sentinel을 실행할 수 있지만 데이터는 단일 작업 영역에서 격리됩니다.
    참조, 빠른 시작: Microsoft Sentinel 온보딩

Microsoft Sentinel 규칙 만들기

Microsoft Sentinel을 사용하도록 설정한 후 Azure AD B2C 테넌트에서 의심스러운 일이 발생하면 알림을 받습니다.

환경에서 위협과 비정상적인 동작을 검색하는 사용자 지정 분석 규칙을 만들 수 있습니다. 이러한 규칙은 특정 이벤트 또는 이벤트 집합을 검색하고 이벤트 임계값 또는 조건이 충족되면 경고합니다. 그런 다음 조사를 위해 인시던트가 생성됩니다.

위협을 감지하는 사용자 지정 분석 규칙 만들기 참조

참고 항목

Microsoft Sentinel에는 의심스러운 활동을 위해 데이터를 검색하는 위협 탐지 규칙을 만드는 템플릿이 있습니다. 이 자습서에서는 규칙을 만듭니다.

실패한 강제 액세스에 대한 알림 규칙

다음 단계를 사용하여 사용자 환경에 대한 두 번 이상의 실패한 강제 액세스 시도에 대한 알림을 받습니다. 예를 들어 무차별 암호 대입 공격입니다.

  1. Microsoft Sentinel의 왼쪽 메뉴에서 분석을 선택합니다.

  2. 위쪽 막대에서 + 예약된 쿼리 규칙 만들기>를 선택합니다.

    Screenshot of the Create option under Analytics.

  3. 분석 규칙 마법사에서 일반으로 이동합니다.

  4. 이름에 실패한 로그인의 이름을 입력합니다.

  5. 설명의 경우 규칙이 60초 이내에 두 개 이상의 실패한 로그인에 대해 알 수 있음을 나타냅니다.

  6. 전술의 경우 범주를 선택합니다. 예를 들어 사전 공격을 선택합니다.

  7. 심각도의 경우 심각도 수준을 선택합니다.

  8. 상태는 기본적으로 사용하도록 설정되어있습니다. 규칙을 변경하려면 활성 규칙 탭으로 이동합니다.

    Screenshot of Create new rule with options and selections.

  9. 규칙 논리 설정 탭을 선택합니다.

  10. 규칙 쿼리 필드에 쿼리입력합니다. 쿼리 예제에서는 로그인을 구성합니다 UserPrincipalName.

    Screenshot of query text in the Rule query field under Set rule logic.

  11. 쿼리 예약으로 이동합니다.

  12. 쿼리를 실행할 때마다 5분과 1분을 입력합니다.

  13. 마지막 조회 데이터의 경우 5분과 분을 입력합니다.

  14. 쿼리 결과 수가 크면 경고를 생성하려면 [보다 큼] 및 '0'을 선택합니다.

  15. 이벤트 그룹화의 경우 모든 이벤트를 단일 경고로 그룹화합니다.

  16. 경고가 생성된 후 쿼리 실행 중지를 선택하려면 끄기(Off)를 선택합니다.

  17. 다음: 인시던트 설정(미리 보기)을 선택합니다.

Screenshot of Query scheduling selections and options.

  1. 검토 및 만들기 탭으로 이동하여 규칙 설정을 검토합니다.

  2. 유효성 검사를 통과한 배너가 나타나면 만들기를 선택합니다.

    Screenshot of selected settings, the Validation passed banner, and the Create option.

규칙 및 규칙에서 생성하는 인시던트 보기 기본 활성 규칙 탭 아래의 테이블에서 새로 만든 예약된 형식의 사용자 지정 규칙을 찾습니다.

  1. 분석 화면으로 이동합니다.
  2. 활성 규칙 탭을 선택합니다.
  3. 테이블의 예약됨 아래에서 규칙을 찾습니다.

규칙을 편집, 사용, 사용 안 함 또는 삭제할 수 있습니다.

Screenshot of active rules with Enable, Disable, Delete, and Edit options.

인시던트 심사, 조사 및 수정

인시던트에는 여러 경고가 포함될 수 있으며 조사를 위한 관련 증거의 집계입니다. 인시던트 수준에서 심각도 및 상태와 같은 속성을 설정할 수 있습니다.

자세한 정보: Microsoft Sentinel을 사용하여 인시던트 조사

  1. 인시던트 페이지로 이동합니다.

  2. 인시던트를 선택합니다.

  3. 오른쪽에는 심각도, 엔터티, 이벤트 및 인시던트 ID를 비롯한 자세한 인시던트 정보가 표시됩니다.

    Screenshot that shows incident information.

  4. 인시던트 창에서 전체 세부 정보 보기를 선택합니다.

  5. 인시던트가 요약된 탭을 검토합니다.

    Screenshot of a list of incidents.

  6. 그런 다음, 증거>이벤트>Log Analytics에 연결을 선택합니다.

  7. 결과에서 로그인을 시도하는 ID UserPrincipalName 값을 참조하세요.

    Screenshot of incident details.

자동화된 대응

Microsoft Sentinel에는 SOAR(보안 오케스트레이션, 자동화 및 응답) 함수가 있습니다. 자동화된 작업 또는 플레이북을 분석 규칙에 연결합니다.

SOAR란?

인시던트에 대한 이메일 알림

이 작업의 경우 Microsoft Sentinel GitHub 리포지토리의 플레이북을 사용합니다.

  1. 구성된 플레이북으로 이동합니다.
  2. 규칙을 편집합니다.
  3. 자동 응답 탭에서 플레이북을 선택합니다.

자세한 정보: 인시던트-이메일 알림

Screenshot of automated response options for a rule.

리소스

Microsoft Sentinel 및 Azure AD B2C에 대한 자세한 내용은 다음을 참조하세요.

다음 단계

Microsoft Sentinel에서 가양성 처리