소비자 계정에 대한 보안 운영 Microsoft Entra
소비자 ID 활동은 조직이 보호하고 모니터링하는 데 중요한 영역입니다. 이 문서는 Azure AD B2C(Azure Active Directory B2C) 테넌트에 대한 것이며 소비자 계정 활동을 모니터링하기 위한 지침이 있습니다. 활동은 다음과 같습니다.
- 소비자 계정
- 권한 있는 계정
- 애플리케이션
- 인프라
시작하기 전에
이 문서의 지침을 사용하기 전에 Microsoft Entra 보안 운영 가이드를 읽는 것이 좋습니다.
기준 정의
비정상적 동작을 검색하려면 정상적이고 예상되는 동작을 정의합니다. 조직의 예상 동작을 정의하면 예기치 않은 동작이 검색하는 데 도움이 됩니다. 정의를 사용하여 모니터링 및 경고 중에 가양성 감소에 도움을 줍니다.
예상 동작이 정의된 경우 기준 모니터링을 수행하여 예상 결과의 유효성을 검사합니다. 그런 다음, 허용 범위를 벗어나는 동작에 대한 로그를 모니터링합니다.
정상적인 프로세스 외부에서 생성된 계정에 대해서는 Microsoft Entra 감사 로그, Microsoft Entra 로그인 로그, 디렉터리 특성을 데이터 원본으로 사용합니다. 다음 제안 사항은 정상 동작을 정의하는 데 도움이 될 수 있습니다.
소비자 계정 만들기
다음 목록을 평가합니다.
- 소비자 계정을 만들고 관리하는 도구 및 프로세스에 대한 전략 및 원칙
- 예: 표준 특성, 소비자 계정 특성에 적용되는 형식
- 계정 생성을 위해 승인된 원본.
- 예: 사용자 지정 정책, 고객 프로비전 또는 마이그레이션 도구 온보딩
- 승인된 원본 외부에서 생성된 계정에 대한 경고 전략
- 조직에서 협업하는 조직의 제어된 목록이 만들기
- 승인되지 않은 소비자 계정 관리자가 생성, 수정 또는 사용하지 않도록 설정한 계정에 대한 전략 및 경고 매개 변수
- 고객 번호와 같은 표준 특성이 누락되었거나 조직 명명 규칙을 따르지 않는 소비자 계정에 대한 모니터링 및 경고 전략
- 계정 삭제 및 보존에 대한 전략, 원칙, 프로세스
살펴볼 위치
로그 파일을 사용하여 조사하고 모니터링합니다. 자세한 내용은 다음 문서를 참조하세요.
감사 로그 및 자동화 도구
Azure Portal에서 Microsoft Entra 감사 로그를 보고, CSV(쉼표로 구분된 값) 또는 JSON(JavaScript Object Notation) 파일로 다운로드할 수 있습니다. Azure Portal을 사용하여 모니터링과 경고를 자동화하는 다른 도구와 Microsoft Entra 로그를 통합합니다.
- Microsoft Sentinel – SIEM(보안 정보 및 이벤트 관리) 기능을 사용하는 보안 분석
- Sigma 규칙 - 자동화된 관리 도구에서 로그 파일을 구문 분석하는 데 사용할 수 있는 규칙과 템플릿을 작성하기 위한 진화하는 개방형 표준입니다. 여기에 권장 검색 조건에 사용되는 Sigma 템플릿이 있는 경우 Sigma 리포지토리에 대한 링크를 추가했습니다. Microsoft는 Sigma 템플릿을 작성, 테스트 또는 관리하지 않습니다. IT 보안 커뮤니티에서 리포지토리와 템플릿을 만들고 수집합니다.
- Azure Monitor - 다양한 조건을 자동으로 모니터링하고 경고합니다. 통합 문서를 만들거나 사용하여 다른 원본의 데이터를 결합합니다.
- SIEM과 통합된 Azure Event Hubs - Microsoft Entra 로그를 Splunk, ArcSight, QRadar 및 Sumo Logic 등의 SIEM과 통합
- 클라우드용 Microsoft Defender 앱 – 앱을 검색 및 관리하고 앱과 리소스 전반에 걸쳐 관리하고 클라우드 앱 규정을 준수합니다.
- ID 보호 - 로그인 동작과 오프라인 손상 지표 전반에 걸쳐 워크로드 ID에 대한 위험을 검색합니다.
모니터링 및 경고할 항목에 대한 권장 사항은 문서의 나머지 부분을 사용합니다. 위협 유형별로 구성된 표를 참조하세요. 표 다음에 미리 빌드된 솔루션 또는 샘플에 대한 링크를 참조하세요. 앞에서 언급한 도구를 사용하여 경고를 빌드합니다.
소비자 계정
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 많은 수의 계정 생성 또는 삭제 | 높음 | Microsoft Entra 감사 로그 | 작업: 사용자 추가 상태 = 성공 (행위자) = CPIM 서비스에 의해 시작됨 -그리고- 작업: 사용자 삭제 상태 = 성공 (행위자) = CPIM 서비스에 의해 시작됨 |
기준 임계값을 정의한 다음, 모니터링하여 조직 동작에 맞게 조정합니다. false 경고를 제한합니다. |
| 승인되지 않은 사용자/프로세스에서 만들고 삭제한 계정 | 중간 | Microsoft Entra 감사 로그 | 시작한 사람(작업자) = 사용자 계정 이름 -그리고- 작업: 사용자 추가 상태 = 성공 (행위자) != CPIM 서비스에 의해 시작됨 및/또는 작업: 사용자 삭제 상태 = 성공 (행위자) != CPIM 서비스에 의해 시작됨 |
작업자가 승인되지 않은 사용자인 경우 경고를 보내도록 구성합니다. |
| 권한 있는 역할에 할당된 계정 | 높음 | Microsoft Entra 감사 로그 | 작업: 사용자 추가 상태 = 성공 (행위자) == CPIM 서비스에 의해 시작됨 -그리고- 작업: 역할에 구성원 추가 상태 = 성공 |
계정이 Microsoft Entra 역할, Azure 역할 또는 권한 있는 그룹 멤버 자격에 할당된 경우 경고하고 조사에 우선순위를 지정합니다. |
| 실패한 로그인 시도 | 중간 - 격리된 인시던트인 경우 높음 - 많은 계정에서 동일한 패턴이 발생하는 경우 |
Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 로그인 오류 코드 50126 - 잘못된 사용자 이름 또는 암호로 인해 자격 증명 유효성 검사 오류가 발생했습니다. -그리고- 애플리케이션 == "CPIM PowerShell 클라이언트" 또는 애플리케이션 == "ProxyIdentityExperienceFramework" |
기준 임계값을 정의한 다음, 모니터링하여 조직 동작에 맞게 조정하고, false 경고가 생성되지 않도록 제한합니다. |
| 스마트 잠금 이벤트 | 중간 - 격리된 인시던트인 경우 높음 - 많은 계정에서 동일한 패턴 또는 VIP가 발생하는 경우 |
Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 로그인 오류 코드 = 50053 – IdsLocked -그리고- 애플리케이션 == "CPIM PowerShell 클라이언트" 또는 애플리케이션 =="ProxyIdentityExperienceFramework" |
기준 임계값을 정의한 다음, 모니터링하여 조직 동작에 맞게 조정하고, false 경고를 제한합니다. |
| 운영하지 않는 국가 또는 지역에서 실패한 인증 | 중간 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 위치 = < 승인되지 않은 위치> -그리고- 애플리케이션 == "CPIM PowerShell 클라이언트" 또는 애플리케이션 == "ProxyIdentityExperienceFramework" |
제공된 도시 이름과 같지 않은 항목을 모니터링합니다. |
| 모든 유형의 증가한 인증 실패 | 중간 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 애플리케이션 == "CPIM PowerShell 클라이언트" 또는 애플리케이션 == "ProxyIdentityExperienceFramework" |
임계값이 없는 경우 실패 횟수가 10% 이상 증가하는지 모니터링하고 경고합니다. |
| 계정 사용 안 함/로그인 차단됨 | 낮음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 50057, 사용자 계정이 사용하지 않도록 설정되었습니다. |
이 시나리오는 누군가가 조직을 떠난 후 계정에 액세스하려고 시도함을 나타낼 수 있습니다. 계정이 차단되었지만 이 작업을 기록하고 경고하는 것이 중요합니다. |
| 성공적인 로그인의 측정 가능한 증가 | 낮음 | Microsoft Entra 로그인 로그 | 상태 = 성공 -그리고- 애플리케이션 == "CPIM PowerShell 클라이언트" 또는 애플리케이션 == "ProxyIdentityExperienceFramework" |
임계값이 없는 경우 성공적인 인증 횟수가 10% 이상 증가하는지 모니터링하고 경고합니다. |
권한이 있는 계정
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 로그인 실패, 잘못된 암호 임계값 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 50126 |
기준 임계값을 정의한 다음, 모니터링하여 조직 동작에 맞게 조정합니다. false 경고를 제한합니다. |
| 조건부 액세스 요구 사항으로 인한 오류 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 53003 -그리고- 실패 이유 = 조건부 액세스에 의해 차단됨 |
이 이벤트는 공격자가 계정에 액세스하려고 시도하고 있음을 나타낼 수 있습니다. |
| Interrupt | 높음, 보통 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 53003 -그리고- 실패 이유 = 조건부 액세스에 의해 차단됨 |
이 이벤트는 공격자가 계정 암호를 가지고 있지만 MFA 챌린지를 통과할 수 없음을 나타낼 수 있습니다. |
| 계정 잠금 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 오류 코드 = 50053 |
기준 임계값을 정의한 다음, 모니터링하여 조직 동작에 맞게 조정합니다. false 경고를 제한합니다. |
| 로그인에 대해 계정이 사용하지 않도록 설정되거나 차단됨 | 낮음 | Microsoft Entra 로그인 로그 | 상태 = 실패 -그리고- 대상 = 사용자 UPN -그리고- 오류 코드 = 50057 |
이 이벤트는 누군가가 조직을 떠난 후 계정 액세스 권한을 획득하려고 함을 나타낼 수 있습니다. 계정이 차단된 경우에도 이 활동을 기록하고 경고합니다. |
| MFA 사기 행위 경고 또는 차단 | 높음 | Microsoft Entra 로그인 로그/Azure Log Analytics | 로그인>인증 세부 정보 결과 세부 정보 = MFA 거부됨, 사기 코드 입력됨 |
권한 있는 사용자가 공격자에게 계정 암호가 있음을 나타낼 수 있는 MFA 프롬프트를 조사하지 않았다고 표시했습니다. |
| MFA 사기 행위 경고 또는 차단 | 높음 | Microsoft Entra 로그인 로그/Azure Log Analytics | 작업 유형 = 사기 행위 보고됨 - 사용자가 MFA에 대해 차단됨 또는 사기 행위 보고됨 - 사기 행위 보고서 테넌트 수준 설정을 기준으로 수행된 작업이 없습니다. | 권한 있는 사용자가 MFA 프롬프트의 선동을 표시하지 않았습니다. 이 시나리오는 공격자가 계정 암호를 가지고 있음을 나타낼 수 있습니다. |
| 예상되는 제어를 벗어난 권한 있는 계정 로그인 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 실패 UserPricipalName = <관리자 계정> 위치 = < 승인되지 않은 위치> IP 주소 = <승인되지 않은 IP> 디바이스 정보 = <승인되지 않은 브라우저, 운영 체제> |
승인되지 않은 것으로 정의한 항목을 모니터링하고 경고합니다. |
| 일반 로그인 시간을 벗어남 | 높음 | Microsoft Entra 로그인 로그 | 상태 = 성공 -그리고- 위치 = -그리고- 시간 = 작업 외 시간 |
예상 시간 외에 로그인이 발생하는지 모니터링하고 경고합니다. 각 권한 있는 계정에 대한 정상적인 작업 패턴을 찾고, 정상적인 작업 시간을 벗어난 계획되지 않은 변경이 있는 경우 경고합니다. 정상적인 업무 시간 외의 로그인은 침해 또는 가능한 내부자 위협을 나타낼 수 있습니다. |
| 암호 변경 | 높음 | Microsoft Entra 감사 로그 | 작업 행위자 = 관리자/셀프 서비스 -그리고- 대상 = 사용자 -그리고- 상태 = 성공 또는 실패 |
특히 전역 관리자, 사용자 관리자, 구독 관리자 및 응급 액세스 계정에 대한 관리자 계정 암호가 변경되면 경고합니다. 권한 있는 계정에 대한 쿼리를 작성합니다. |
| 인증 방법에 대한 변경 | 높음 | Microsoft Entra 감사 로그 | 작업: ID 공급자 만들기 범주: ResourceManagement 대상: 사용자 계정 이름 |
이 변경은 공격자가 인증 방법을 계정에 추가하여 계속 액세스할 수 있도록 함을 나타낼 수 있습니다. |
| 승인되지 않은 행위자에 의해 업데이트된 ID 공급자 | 높음 | Microsoft Entra 감사 로그 | 작업: ID 공급자 업데이트 범주: ResourceManagement 대상: 사용자 계정 이름 |
이 변경은 공격자가 인증 방법을 계정에 추가하여 계속 액세스할 수 있도록 함을 나타낼 수 있습니다. |
| 승인되지 않은 행위자에 의해 삭제된 ID 공급자 | 높음 | Microsoft Entra 액세스 검토 | 작업: ID 공급자 삭제 범주: ResourceManagement 대상: 사용자 계정 이름 |
이 변경은 공격자가 인증 방법을 계정에 추가하여 계속 액세스할 수 있도록 함을 나타낼 수 있습니다. |
애플리케이션
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 애플리케이션에 추가된 자격 증명 | 높음 | Microsoft Entra 감사 로그 | Service-Core 디렉터리, Category-ApplicationManagement 작업: Application-Certificates 및 비밀 관리 업데이트 -그리고- 작업: 서비스 주체 업데이트/애플리케이션 업데이트 |
자격 증명이 정상적인 업무 시간 또는 워크플로 외부에 추가되거나, 사용자 환경에서 사용되지 않는 형식을 추가하거나, 서비스 주체를 지원하는 비 SAML 흐름에 추가될 때 경고합니다. |
| Azure RBAC(역할 기반 액세스 제어) 역할 또는 Microsoft Entra 역할에 할당된 앱 | 높음에서 중간까지 | Microsoft Entra 감사 로그 | 유형: 서비스 사용자 작업: “역할에 구성원 추가” 또는 “역할에 적격 멤버 추가” 또는 "역할에 범위가 지정된 멤버 추가" |
해당 없음 |
| ".All"(Directory.ReadWrite.All) 권한 또는 광범위한 권한(Mail.)과 같은 높은 권한이 있는 권한이 부여된 앱 | 높음 | Microsoft Entra 감사 로그 | 해당 없음 | ".All"(Directory.ReadWrite.All) 권한 또는 광범위한 권한(Mail.)과 같은 광범위한 권한이 부여된 앱 |
| 애플리케이션 권한(앱 역할) 또는 높은 권한이 있는 위임된 권한을 부여하는 관리자 | 높음 | Microsoft 365 포털 | "서비스 주체에 앱 역할 할당 추가" 이 경우 Target에서 중요한 데이터가 있는 API(예: Microsoft Graph)를 식별합니다. “위임된 권한 부여 추가” 이 경우 Target에서 중요한 데이터가 있는 API(예: Microsoft Graph)를 식별합니다. -그리고- DelegatedPermissionGrant.Scope에는 높은 권한이 포함됩니다. |
전역 관리자, 애플리케이션 관리자 또는 클라우드 애플리케이션 관리자가 애플리케이션에 동의하면 경고합니다. 특히 일반 작업 및 변경 절차를 벗어난 동의를 찾습니다. |
| Microsoft Graph, Exchange, SharePoint 또는 Microsoft Entra ID에 대한 권한이 애플리케이션에 부여됨 | 높음 | Microsoft Entra 감사 로그 | "위임된 권한 부여 추가" 또는 "서비스 주체에 앱 역할 할당 추가" 이 경우 Target에서 중요한 데이터가 있는 API(예: Microsoft Graph, Exchange Online 등)를 식별합니다. |
이전 행에서 경고를 사용합니다. |
| 모든 사용자를 대신하여 높은 권한이 있는 위임된 권한이 부여됨 | 높음 | Microsoft Entra 감사 로그 | "위임된 권한 부여 추가" 라는 설치 관리자 실행 파일에 포함됩니다. 여기서 Target에서 중요한 데이터가 있는 API(예: Microsoft Graph)를 식별합니다. DelegatedPermissionGrant.Scope에는 높은 권한이 있는 권한이 포함됩니다. -그리고- DelegatedPermissionGrant.ConsentType은 "AllPrincipals"입니다. |
이전 행에서 경고를 사용합니다. |
| ROPC 인증 흐름을 사용하는 애플리케이션 | 중간 | Microsoft Entra 로그인 로그 | 상태 = 성공 Authentication Protocol-ROPC |
자격 증명을 캐시하거나 저장할 수 있으므로 이 애플리케이션에 높은 수준의 신뢰가 적용됩니다. 가능하면 더 안전한 인증 흐름으로 전환합니다. 자동화된 애플리케이션 테스트에서만 이 프로세스를 사용합니다(있는 경우). |
| 짝이 맞지 않는 URI | 높음 | Microsoft Entra 로그 및 애플리케이션 등록 | 서비스 핵심 디렉터리 Category-ApplicationManagement 작업: 애플리케이션 업데이트 성공 – AppAddress 속성 이름 |
예를 들어 삭제되었거나 사용자가 소유하지 않은 도메인 이름을 가리키는 짝이 맞지 않는 URI를 찾습니다. |
| 리디렉션 URI 구성 변경 | 높음 | Microsoft Entra 로그 | 서비스 핵심 디렉터리 Category-ApplicationManagement 작업: 애플리케이션 업데이트 성공 – AppAddress 속성 이름 |
HTTPS*를 사용하지 않는 URI, 와일드카드가 URL의 끝 또는 도메인에 있는 URI, 애플리케이션에 고유하지 않은 URI, 제어하지 않는 도메인을 가리키는 URI를 찾습니다. |
| AppID URI 변경 | 높음 | Microsoft Entra 로그 | 서비스 핵심 디렉터리 Category-ApplicationManagement 작업: 애플리케이션 업데이트 작업: 서비스 주체 업데이트 |
URI 추가, 수정 또는 제거와 같은 AppID URI 수정 사항을 찾습니다. |
| 애플리케이션 소유권 변경 | 중간 | Microsoft Entra 로그 | 서비스 핵심 디렉터리 Category-ApplicationManagement 작업: 애플리케이션에 소유자 추가 |
일반적인 변경 관리 활동 외에, 애플리케이션 소유자로 추가된 사용자의 인스턴스를 찾습니다. |
| 로그아웃 URL 변경 | 낮음 | Microsoft Entra 로그 | 서비스 핵심 디렉터리 Category-ApplicationManagement 작업: 애플리케이션 업데이트 -그리고- 작업: 서비스 주체 업데이트 |
로그아웃 URL에 대한 수정 내용을 찾습니다. 빈 항목 또는 존재하지 않는 위치에 대한 항목이 있으면 사용자가 세션을 종료할 수 없습니다. |
인프라
| 모니터링 대상 | 위험 수준 | Where | 필터/하위 필터 | 주의 |
|---|---|---|---|---|
| 승인되지 않은 작업자가 새 조건부 액세스 정책을 만들었음 | 높음 | Microsoft Entra 감사 로그 | 작업: 조건부 액세스 정책 추가 범주: Policy 시작한 사람(작업자) = 사용자 계정 이름 |
조건부 액세스 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 조건부 액세스를 변경하도록 승인했나요? |
| 승인되지 않은 작업자가 조건부 액세스 정책을 제거함 | 중간 | Microsoft Entra 감사 로그 | 작업: 조건부 액세스 정책 삭제 범주: Policy 시작한 사람(작업자) = 사용자 계정 이름 |
조건부 액세스 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 조건부 액세스를 변경하도록 승인했나요? |
| 승인되지 않은 작업자가 조건부 액세스 정책을 업데이트함 | 높음 | Microsoft Entra 감사 로그 | 작업: 조건부 액세스 정책 업데이트 범주: Policy 시작한 사람(작업자) = 사용자 계정 이름 |
조건부 액세스 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 조건부 액세스를 변경하도록 승인했나요? 수정된 속성을 검토하고 이전 및 새 값을 비교합니다. |
| 승인되지 않은 행위자가 만든 B2C 사용자 지정 정책 | 높음 | Microsoft Entra 감사 로그 | 작업: 사용자 지정 정책 만들기 범주: ResourceManagement 대상: 사용자 계정 이름 |
사용자 지정 정책 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 사용자 지정 정책을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 업데이트한 B2C 사용자 지정 정책 | 높음 | Microsoft Entra 감사 로그 | 작업: 사용자 지정 정책 가져오기 범주: ResourceManagement 대상: 사용자 계정 이름 |
사용자 지정 정책 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 사용자 지정 정책을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 삭제한 B2C 사용자 지정 정책 | 중간 | Microsoft Entra 감사 로그 | 작업: 사용자 지정 정책 삭제 범주: ResourceManagement 대상: 사용자 계정 이름 |
사용자 지정 정책 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 사용자 지정 정책을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 만든 사용자 흐름 | 높음 | Microsoft Entra 감사 로그 | 작업: 사용자 흐름 만들기 범주: ResourceManagement 대상: 사용자 계정 이름 |
사용자 흐름 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 사용자 흐름을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 업데이트한 사용자 흐름 | 높음 | Microsoft Entra 감사 로그 | 작업: 사용자 흐름 업데이트 범주: ResourceManagement 대상: 사용자 계정 이름 |
사용자 흐름 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 사용자 흐름을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 삭제한 사용자 흐름 | 중간 | Microsoft Entra 감사 로그 | 작업: 사용자 흐름 삭제 범주: ResourceManagement 대상: 사용자 계정 이름 |
사용자 흐름 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 사용자 흐름을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 만든 API 커넥터 | 중간 | Microsoft Entra 감사 로그 | 작업: API 커넥터 만들기 범주: ResourceManagement 대상: 사용자 계정 이름 |
API 커넥터 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 API 커넥터를 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 업데이트한 API 커넥터 | 중간 | Microsoft Entra 감사 로그 | 작업: API 커넥터 업데이트 범주: ResourceManagement 대상: 사용자 계정 이름: ResourceManagement |
API 커넥터 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 API 커넥터를 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 삭제한 API 커넥터 | 중간 | Microsoft Entra 감사 로그 | 작업: API 커넥터 업데이트 범주: ResourceManagment 대상: 사용자 계정 이름: ResourceManagment |
API 커넥터 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 API 커넥터를 변경하도록 승인했나요? |
| 승인되지 않은 행위자에 의해 생성된 IdP(ID 공급자) | 높음 | Microsoft Entra 감사 로그 | 작업: ID 공급자 만들기 범주: ResourceManagement 대상: 사용자 계정 이름 |
IdP 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 IdP 구성을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 업데이트한 IdP | 높음 | Microsoft Entra 감사 로그 | 작업: ID 공급자 업데이트 범주: ResourceManagement 대상: 사용자 계정 이름 |
IdP 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 IdP 구성을 변경하도록 승인했나요? |
| 승인되지 않은 행위자가 삭제한 IdP | 중간 | Microsoft Entra 감사 로그 | 작업: ID 공급자 삭제 범주: ResourceManagement 대상: 사용자 계정 이름 |
IdP 변경 내용을 모니터링하고 경고합니다. 시작한 사람(작업자)이 IdP 구성을 변경하도록 승인했나요? |
다음 단계
자세히 알아보려면 다음 보안 작업 문서를 참조하세요.