다음을 통해 공유


Microsoft Entra 보안 운영 가이드

Microsoft는 ID를 컨트롤 플레인으로 사용하는 심층 방어 원칙을 사용하여 제로 트러스트 보안에 대한 성공적이고 입증된 방법을 보유하고 있습니다. 조직은 크기 조정, 비용 절감 및 보안을 위해 하이브리드 워크로드 환경을 계속 수용하고 있습니다. Microsoft Entra ID는 ID 관리 전략에서 중추적인 역할을 합니다. 최근에 ID 및 보안 손상에 관한 소식이 들리면서 기업 IT에서 ID 보안 태세를 방어 보안 성공의 측정값으로 고려하는 경향이 더욱 증가했습니다.

시간이 경과할수록 조직은 사용자가 온-프레미스 계정과 클라우드 전용 계정 둘 다로 액세스하는 온-프레미스 및 클라우드 애플리케이션의 조합을 수용해야 합니다. 온-프레미스와 클라우드 둘 다에서 사용자, 애플리케이션, 디바이스를 관리하는 작업은 까다롭습니다.

하이브리드 ID

Microsoft Entra ID는 위치에 관계없이 모든 리소스에 대한 인증과 권한 부여에 사용할 공통 사용자 ID를 만듭니다. 이를 하이브리드 ID라고 합니다.

Microsoft Entra ID에서 하이브리드 ID를 구현하려면 시나리오에 따라 세 가지 인증 방법 중 하나를 사용하면 됩니다. 세 가지 방법은 다음과 같습니다.

현재 보안 작업을 감사하거나 Azure 환경에 대한 보안 작업을 설정하는 경우 다음을 수행하는 것이 좋습니다.

  • Microsoft 보안 지침의 특정 부분을 읽고 클라우드 기반 또는 하이브리드 Azure 환경 보안에 대한 기본 지식을 숙지합니다.
  • 가장 일반적인 공격 벡터를 방지할 수 있도록 계정 및 암호 전략과 인증 방법을 감사합니다.
  • 보안 위협을 나타낼 수 있는 활동에 대한 지속적인 모니터링 및 경고 전략을 만듭니다.

대상 그룹

Microsoft Entra SecOps 가이드는 더 효율적인 ID 보안 구성 및 모니터링 프로필을 통해 위협에 대응해야 하는 기업 IT ID 및 보안 운영 팀과 관리형 서비스 공급자를 위한 것입니다. 이 가이드는 SOC(보안 운영 센터) 방어 및 침투 테스트 팀에 ID 보안 태세를 개선하고 유지 관리하도록 조언하는 IT 관리자 및 ID 설계자와 특히 관련이 있습니다.

범위

이 소개에서는 미리 읽어볼 자료를 제안하고 암호 감사 및 전략 권장 사항을 제공합니다. 또한 이 문서에서는 하이브리드 Azure 환경 및 완전한 클라우드 기반 Azure 환경에 사용할 수 있는 도구에 대해 간략하게 설명합니다. 마지막으로, SIEM(보안 정보 및 이벤트 관리) 전략과 환경을 구성하고 모니터링 및 경고하는 데 사용할 수 있는 데이터 원본 목록을 제공합니다. 나머지 지침에서는 다음 영역의 모니터링 및 경고 전략을 제공합니다.

  • 사용자 계정. 비정상적인 계정 만들기 및 사용, 비정상적인 로그인을 포함하여 관리자 권한이 없는 권한 없는 사용자 계정과 관련된 지침입니다.

  • 권한 있는 계정. 관리 작업을 수행할 수 있는 관리자 권한이 있는 권한 있는 사용자 계정과 관련된 지침입니다. 작업에는 Microsoft Entra 역할 할당, Azure 리소스 역할 할당, Azure 리소스 및 구독에 대한 액세스 관리가 포함됩니다.

  • PIM(Privileged Identity Management). PIM을 사용하여 리소스에 대한 액세스를 관리, 제어, 모니터링하는 방법과 관련된 지침입니다.

  • 애플리케이션. 애플리케이션에 대한 인증을 제공하는 데 사용되는 계정과 관련된 지침입니다.

  • 디바이스. 정책 외부에서 등록되거나 조인된 디바이스, 비준수 사용, 디바이스 관리 역할 관리, 가상 머신 로그인에 대한 모니터링 및 경고와 관련된 지침입니다.

  • 인프라. 하이브리드 및 완전 클라우드 기반 환경에 대한 위협 모니터링 및 경고와 관련된 지침입니다.

중요한 참조 콘텐츠

Microsoft에는 요구 사항에 맞게 IT 환경을 사용자 지정할 수 있게 해주는 많은 제품과 서비스가 있습니다. 운영 환경에 대한 다음 지침을 검토하는 것이 좋습니다.

데이터 원본

조사 및 모니터링에 사용하는 로그 파일은 다음과 같습니다.

Microsoft Entra 감사 로그는 Azure Portal에서 볼 수 있습니다. 로그를 CSV(쉼표로 구분된 값) 또는 JSON(JavaScript Object Notation) 파일로 다운로드합니다. Azure Portal에는 모니터링과 경고를 더 효율적으로 자동화하는 다른 도구와 Microsoft Entra 로그를 통합하는 몇 가지 방법이 있습니다.

  • Microsoft Sentinel - SIEM(보안 정보 및 이벤트 관리) 기능을 제공하여 엔터프라이즈 수준에서 지능형 보안 분석이 가능합니다.

  • Sigma 규칙 - Sigma는 자동화된 관리 도구에서 로그 파일을 구문 분석하는 데 사용할 수 있는 규칙과 템플릿을 작성하기 위한 진화하는 개방형 표준입니다. 권장 검색 조건에 대한 Sigma 템플릿이 있는 경우 Sigma 리포지토리에 대한 링크를 추가했습니다. Sigma 템플릿은 Microsoft에서 작성, 테스트 및 관리되지 않습니다. 대신 전 세계 IT 보안 커뮤니티에서 리포지토리와 템플릿을 만들고 수집합니다.

  • Azure Monitor - 다양한 조건에 대한 자동화된 모니터링 및 경고를 사용합니다. 통합 문서를 만들거나 사용하여 다양한 원본의 데이터를 결합할 수 있습니다.

  • SIEM과 통합된 Azure Event Hubs. Microsoft Entra 로그는 Azure Event Hubs 통합을 통해 다른 SIEM(예: Splunk, ArcSight, QRadar 및 Sumo Logic)에 통합할 수 있습니다. 자세한 내용은 Azure 이벤트 허브로 Microsoft Entra 로그 스트리밍을 참조하세요.

  • 클라우드용 Microsoft Defender 앱 - 앱을 검색 및 관리하고, 앱과 리소스 전반에 걸쳐 제어하며, 클라우드 앱의 규정 준수를 확인할 수 있도록 합니다.

  • Microsoft Entra ID Protection을 사용하여 워크로드 ID 보안 - 로그인 동작 및 오프라인 손상 지표에서 워크로드 ID에 대한 위험을 감지하는 데 사용됩니다.

모니터링하고 경고할 항목의 대부분은 조건부 액세스 정책의 적용 항목입니다. 디바이스 상태를 포함하여 로그인에 대한 하나 이상의 조건부 액세스 정책 효과와 정책 결과를 조사하기 위해 조건부 액세스 인사이트 및 보고 통합 문서를 사용할 수 있습니다. 이 통합 문서를 사용하면 영향 요약을 살펴보고 특정 기간 동안의 영향을 확인할 수 있습니다. 통합 문서를 사용하여 특정 사용자의 로그인을 조사할 수도 있습니다. 자세한 내용은 조건부 액세스 인사이트 및 보고를 참조하세요.

이 문서의 나머지 부분에서는 모니터링하고 경고할 사항에 대해 설명합니다. 미리 빌드된 특정 솔루션이 있는 경우 해당 솔루션에 연결하거나 표 아래에 샘플을 제공합니다. 그렇지 않으면 이전 도구를 사용하여 경고를 작성할 수 있습니다.

  • ID Protection은 조사하는 데 도움이 되는 다음 세 가지 주요 보고서를 생성합니다.

  • 위험 사용자는 위험 상태에 있는 사용자, 검색 세부 정보, 모든 위험한 로그인 기록 및 위험 기록에 대한 정보를 포함하고 있습니다.

  • 위험한 로그인은 의심스러운 상황을 나타낼 수 있는 로그인 상황과 관련된 정보를 포함하고 있습니다. 이 보고서의 정보를 조사하는 방법에 대한 자세한 내용은 방법: 위험 조사를 참조하세요.

  • 위험 검색 - 로그인 및 사용자 위험을 알리는 Microsoft Entra ID Protection에서 검색한 위험 신호에 대한 정보를 포함합니다. 자세한 내용은 사용자 계정에 대한 Microsoft Entra 보안 운영 가이드를 참조하세요.

자세한 내용은 Microsoft Entra ID Protection이란?을 참조하세요.

도메인 컨트롤러 모니터링을 위한 데이터 원본

최상의 결과를 얻으려면 Microsoft Defender for Identity를 사용하여 도메인 컨트롤러를 모니터링하는 것이 좋습니다. 이 방법을 사용하면 최상의 검색 및 자동화 기능을 사용할 수 있습니다. 다음 리소스의 지침을 따릅니다.

Microsoft Defender for Identity를 사용하지 않으려면 다음 방법 중 하나에서 도메인 컨트롤러를 모니터링합니다.

하이브리드 인증의 구성 요소

Azure 하이브리드 환경의 일부로 다음 항목을 기준으로 하여 모니터링 및 경고 전략에 포함해야 합니다.

클라우드 기반 인증의 구성 요소

Azure 클라우드 기반 환경의 일부로 다음 항목을 기준으로 하여 모니터링 및 경고 전략에 포함해야 합니다.

  • Microsoft Entra 애플리케이션 프록시 - 이 클라우드 서비스는 온-프레미스 웹 애플리케이션에 대한 보안 원격 액세스를 제공합니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 통해 온-프레미스 애플리케이션에 원격 액세스를 참조하세요.

  • Microsoft Entra Connect - Microsoft Entra Connect 솔루션에 사용되는 서비스입니다. 자세한 내용은 Microsoft Entra Connect란?을 참조하세요.

  • Microsoft Entra Connect Health - Service Health는 서비스를 사용하는 지역의 Azure 서비스 상태를 추적하는 사용자 지정 가능한 대시보드를 제공합니다. 자세한 내용은 Microsoft Entra Connect Health를 참조하세요.

  • Microsoft Entra 다단계 인증 - 다단계 인증을 사용하려면 사용자가 인증을 위해 둘 이상의 증명 형식을 제공해야 합니다. 이 방법은 환경을 보호하기 위한 첫 번째 자동 관리 단계를 제공할 수 있습니다. 자세한 내용은 Microsoft Entra 다단계 인증을 참조하세요.

  • 동적 그룹 - Microsoft Entra 관리자에 대한 보안 그룹 멤버십의 동적 구성은 사용자 특성에 따라 Microsoft Entra ID에 만든 그룹을 채우는 규칙을 설정할 수 있습니다. 자세한 내용은 동적 그룹 및 Microsoft Entra B2B 협업을 참조하세요.

  • 조건부 액세스 - 조건부 액세스는 Microsoft Entra ID에서 신호를 모으고, 결정을 내리고, 조직 정책을 적용하는 데 사용되는 도구입니다. 조건부 액세스는 새로운 ID 중심 컨트롤 플레인의 핵심입니다. 자세한 내용은 조건부 액세스란?을 참조하세요.

  • ID Protection - 조직에서 ID 기반 위험 검색 및 수정을 자동화하고, 포털의 데이터를 사용하여 위험을 조사하며, 위험 검색 데이터를 SIEM으로 내보낼 수 있게 해주는 도구입니다. 자세한 내용은 Microsoft Entra ID Protection이란?을 참조하세요.

  • 그룹 기반 라이선스 - 라이선스를 사용자에게 직접 할당하지 않고 그룹에 할당할 수 있습니다. Microsoft Entra ID는 사용자에 대한 라이선스 할당 상태에 대한 정보를 저장합니다.

  • 프로비전 서비스 - 프로비전은 사용자가 액세스해야 하는 클라우드 애플리케이션에서 사용자 ID와 역할을 만드는 작업을 가리킵니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함됩니다. 자세한 내용은 Microsoft Entra ID에서 애플리케이션 프로비전이 작동하는 방식을 참조하세요.

  • Graph API - Microsoft Graph API는 Microsoft 클라우드 서비스 리소스에 액세스할 수 있게 해주는 RESTful 웹 API입니다. 앱을 등록하고 사용자 또는 서비스에 대한 인증 토큰을 가져온 후 Microsoft Graph API에 대한 요청을 수행할 수 있습니다. 자세한 내용은 Microsoft Graph 개요를 참조하세요.

  • 도메인 서비스 – Microsoft Entra Domain Services(AD DS)는 도메인 가입, 그룹 정책 등의 관리되는 도메인 서비스를 제공합니다. 자세한 내용은 Microsoft Entra Domain Services란?을 참조하세요.

  • Azure Resource Manager - Azure Resource Manager는 Azure용 배포 및 관리 서비스입니다. Azure 계정에서 리소스를 만들고, 업데이트하며, 삭제할 수 있는 관리 계층을 제공합니다. 자세한 내용은 Azure Resource Manager란?을 참조하세요.

  • 관리 ID - 관리 ID를 사용하면 개발자가 자격 증명을 관리할 필요가 없습니다. 관리 ID는 Microsoft Entra 인증을 지원하는 리소스에 연결할 때 사용할 애플리케이션의 ID를 제공합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.

  • Privileged Identity Management - PIM은 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하도록 지원하는 Microsoft Entra ID의 서비스입니다. 자세한 내용은 Microsoft Entra Privileged Identity Management란?을 참조하세요.

  • 액세스 검토 - Microsoft Entra 액세스 검토는 조직에서 그룹 구성원, 엔터프라이즈 애플리케이션에 대한 액세스, 역할 할당을 효율적으로 관리할 수 있도록 지원합니다. 적절한 사용자만 계속 액세스할 수 있도록 사용자의 액세스를 정기적으로 검토할 수 있습니다. 자세한 내용은 Microsoft Entra 액세스 검토란?을 참조하세요.

  • 권한 관리 - Microsoft Entra 권한 관리는 ID 거버넌스 기능입니다. 조직에서 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 규모에 맞게 관리할 수 있습니다. 자세한 내용은 Microsoft Entra 권한 관리란?을 참조하세요.

  • 활동 로그 - 활동 로그는 구독 수준 이벤트에 대한 인사이트를 제공하는 Azure 플랫폼 로그입니다. 이 로그에는 리소스가 수정되거나 가상 머신이 시작된 시점과 같은 정보가 포함됩니다. 자세한 내용은 Azure 활동 로그를 참조하세요.

  • 셀프 서비스 암호 재설정 - Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 통해 사용자가 암호를 변경하거나 다시 설정할 수 있습니다. 관리자 또는 지원 센터가 필요하지 않습니다. 자세한 내용은 작동 방식: Microsoft Entra 셀프 서비스 암호 재설정을 참조하세요.

  • 디바이스 서비스 - 디바이스 ID 관리는 디바이스 기반 조건부 액세스의 기초입니다. 디바이스 기반의 조건부 액세스 정책을 사용할 경우 관리 디바이스를 통해서만 환경의 리소스에 액세스하도록 할 수 있습니다. 자세한 내용은 디바이스 ID란?을 참조하세요.

  • 셀프 서비스 그룹 관리 - 사용자가 Microsoft Entra ID에서 고유한 보안 그룹이나 Microsoft 365 그룹을 만들고 관리하도록 설정할 수 있습니다. 그룹 소유자는 멤버십 요청을 승인하거나 거부할 수 있으며, 그룹 멤버십에 대한 제어를 위임할 수 있습니다. 셀프 서비스 그룹 관리 기능은 보안 그룹 및 Office 365 그룹에 대해서만 사용할 수 있지만 메일 사용 가능 보안 그룹 및 메일링 그룹에는 사용할 수 없습니다. 자세한 내용은 Microsoft Entra ID에서 셀프 서비스 그룹 관리 설정을 참조하세요.

  • 위험 검색 - 위험이 검색되면 트리거되는 기타 위험에 대한 정보와 로그인 위치 및 클라우드용 Microsoft Defender 앱의 세부 정보와 같은 기타 관련 정보를 포함합니다.

다음 단계

다음 보안 운영 가이드 문서를 참조하세요.

사용자 계정에 대한 보안 작업

소비자 계정에 대한 보안 작업

권한 있는 계정에 대한 보안 작업

Privileged Identity Management에 대한 보안 작업

애플리케이션에 대한 보안 운영

디바이스에 대한 보안 작업

인프라에 대한 보안 작업