Microsoft Entra 보안 운영 가이드

Microsoft는 ID를 컨트롤 플레인으로 사용하는 심층 방어 원칙을 사용하여 제로 트러스트 보안에 대한 성공적이고 입증된 방법을 보유하고 있습니다. 조직은 크기 조정, 비용 절감 및 보안을 위해 하이브리드 워크로드 환경을 계속 수용하고 있습니다. Microsoft Entra ID는 ID 관리 전략에서 중추적인 역할을 합니다. 최근에 ID 및 보안 손상에 관한 소식이 들리면서 기업 IT에서 ID 보안 태세를 방어 보안 성공의 측정값으로 고려하는 경향이 더욱 증가했습니다.

시간이 경과할수록 조직은 사용자가 온-프레미스 계정과 클라우드 전용 계정 둘 다로 액세스하는 온-프레미스 및 클라우드 애플리케이션의 혼합을 수용해야 합니다. 온-프레미스와 클라우드 둘 다에서 사용자, 애플리케이션, 디바이스를 관리하는 작업은 까다롭습니다.

하이브리드 ID

Microsoft Entra ID는 위치에 관계없이 모든 리소스에 대한 인증과 권한 부여에 사용할 공통 사용자 ID를 만듭니다. 이를 하이브리드 ID라고 합니다.

Microsoft Entra ID에서 하이브리드 ID를 구현하려면 시나리오에 따라 세 가지 인증 방법 중 하나를 사용하면 됩니다. 세 가지 방법은 다음과 같습니다.

• PHS(암호 해시 동기화)
• PTA(통과 인증)
• 페더레이션(AD FS)

현재 보안 작업을 감사하거나 Azure 환경에 대한 보안 작업을 설정하는 경우 다음을 수행하는 것이 좋습니다.

• Microsoft 보안 지침의 특정 부분을 읽고 클라우드 기반 또는 하이브리드 Azure 환경 보안에 대한 기본 지식을 숙지합니다.
• 가장 일반적인 공격 벡터를 방지할 수 있도록 계정 및 암호 전략과 인증 방법을 감사합니다.
• 보안 위협을 나타낼 수 있는 활동에 대한 지속적인 모니터링 및 경고 전략을 만듭니다.

대상

Microsoft Entra SecOps 가이드는 더 효율적인 ID 보안 구성 및 모니터링 프로필을 통해 위협에 대응해야 하는 기업 IT ID 및 보안 운영 팀과 관리형 서비스 공급자를 위한 것입니다. 이 가이드는 SOC(보안 운영 센터) 방어 및 침투 테스트 팀에 ID 보안 태세를 개선하고 유지 관리하도록 조언하는 IT 관리자 및 ID 설계자와 특히 관련이 있습니다.

Scope

이 소개에서는 미리 읽어볼 자료를 제안하고 암호 감사 및 전략 권장 사항을 제공합니다. 또한 이 문서에서는 하이브리드 Azure 환경 및 완전한 클라우드 기반 Azure 환경에 사용할 수 있는 도구에 대해 간략하게 설명합니다. 마지막으로, SIEM(보안 정보 및 이벤트 관리) 전략과 환경을 구성하고 모니터링 및 경고하는 데 사용할 수 있는 데이터 원본 목록을 제공합니다. 나머지 지침은 다음 영역의 모니터링 및 경고 전략을 제공합니다.

• 사용자 계정. 비정상적인 계정 만들기 및 사용, 비정상적인 로그인을 포함하여 관리자 권한이 없는 권한 없는 사용자 계정과 관련된 지침입니다.

• 권한 있는 계정. 관리 작업을 수행할 수 있는 관리자 권한이 있는 권한 있는 사용자 계정과 관련된 지침입니다. 작업에는 Microsoft Entra 역할 할당, Azure 리소스 역할 할당, Azure 리소스 및 구독에 대한 액세스 관리가 포함됩니다.

• PIM(Privileged Identity Management). PIM을 사용하여 리소스에 대한 액세스를 관리, 제어, 모니터링하는 방법과 관련된 지침입니다.

• 응용 프로그램. 애플리케이션에 대한 인증을 제공하는 데 사용되는 계정과 관련된 지침입니다.

• 디바이스. 정책 외부에서 등록되거나 조인된 디바이스, 비준수 사용, 디바이스 관리 역할 관리, 가상 머신 로그인에 대한 모니터링 및 경고와 관련된 지침입니다.

• 인프라. 하이브리드 및 완전 클라우드 기반 환경에 대한 위협 모니터링 및 경고와 관련된 지침입니다.

중요한 참조 콘텐츠

Microsoft에는 요구 사항에 맞게 IT 환경을 사용자 지정할 수 있게 해주는 많은 제품과 서비스가 있습니다. 운영 환경에 대한 다음 지침을 검토하는 것이 좋습니다.

• Windows 운영 체제

  • Windows 10 v1909 및 Windows Server v1909에 대한 보안 기준(최종)
  • Windows 11의 보안 기준
  • Windows Server 2022의 보안 기준

• 온-프레미스 환경

  • Microsoft Defender for Identity 아키텍처
  • Active Directory에 Microsoft Defender for Identity 연결 빠른 시작
  • Microsoft Defender for Identity에 대한 Azure 보안 기준
  • Active Directory에서 손상 징후 모니터링

• 클라우드 기반 Azure 환경

  • Microsoft Entra 로그인 로그를 사용하여 로그인 모니터링
  • Azure Portal의 감사 활동 보고서
  • Microsoft Entra ID 보호를 사용하여 위험 조사
  • Microsoft Entra ID 보호 데이터를 Microsoft Sentinel에 연결

• AD DS(Active Directory Domain Services)

  • 감사 정책 권장 사항

• AD FS(Active Directory Federation Services)

  • AD FS 문제 해결 - 이벤트 감사 및 로깅

데이터 원본

조사 및 모니터링에 사용하는 로그 파일은 다음과 같습니다.

• Microsoft Entra 감사 로그
• 로그인 로그
• Microsoft 365 감사 로그
• Azure Key Vault 로그

Microsoft Entra 감사 로그는 Azure Portal에서 볼 수 있습니다. 로그를 CSV(쉼표로 구분된 값) 또는 JSON(JavaScript Object Notation) 파일로 다운로드합니다. Azure Portal에는 모니터링과 경고를 더 효율적으로 자동화하는 다른 도구와 Microsoft Entra 로그를 통합하는 몇 가지 방법이 있습니다.

• Microsoft Sentinel - SIEM(보안 정보 및 이벤트 관리) 기능을 제공하여 엔터프라이즈 수준에서 지능형 보안 분석이 가능합니다.

• Sigma 규칙 - Sigma는 자동화된 관리 도구에서 로그 파일을 구문 분석하는 데 사용할 수 있는 규칙과 템플릿을 작성하기 위한 진화하는 개방형 표준입니다. 권장 검색 조건에 대한 Sigma 템플릿이 있는 경우 Sigma 리포지토리에 대한 링크를 추가했습니다. Sigma 템플릿은 Microsoft에서 작성, 테스트 및 관리되지 않습니다. 대신 전 세계 IT 보안 커뮤니티에서 리포지토리와 템플릿을 만들고 수집합니다.

• Azure Monitor - 다양한 조건에 대한 자동화된 모니터링 및 경고를 가능하게 합니다. 통합 문서를 만들거나 사용하여 다양한 원본의 데이터를 결합할 수 있습니다.

• SIEM과 통합된 Azure Event Hubs. Microsoft Entra 로그는 Azure Event Hubs 통합을 통해 다른 SIEM(예: Splunk, ArcSight, QRadar 및 Sumo Logic)에 통합할 수 있습니다. 자세한 내용은 Azure 이벤트 허브로 Microsoft Entra 로그 스트리밍을 참조하세요.

• 클라우드용 Microsoft Defender 앱 - 앱을 검색 및 관리하고, 앱과 리소스 전반에 걸쳐 제어하고, 클라우드 앱의 규정 준수를 확인할 수 있도록 합니다.

• ID 보호 미리 보기를 사용하여 워크로드 ID 보호 - 로그인 동작 및 오프라인 손상 지표에서 워크로드 ID에 대한 위험을 감지하는 데 사용됩니다.

모니터링하고 경고할 항목의 대부분은 조건부 액세스 정책의 결과입니다. 디바이스 상태를 포함하여 로그인에 대한 하나 이상의 조건부 액세스 정책 효과와 정책 결과를 조사하기 위해 조건부 액세스 인사이트 및 보고 통합 문서를 사용할 수 있습니다. 이 통합 문서를 사용하면 영향 요약을 살펴보고 특정 기간 동안의 영향을 확인할 수 있습니다. 통합 문서를 사용하여 특정 사용자의 로그인을 조사할 수도 있습니다. 자세한 내용은 조건부 액세스 인사이트 및 보고를 참조하세요.

이 문서의 나머지 부분에서는 모니터링하고 경고할 사항에 대해 설명합니다. 미리 빌드된 특정 솔루션이 있는 경우 해당 솔루션에 연결하거나 표 아래에 샘플을 제공합니다. 그렇지 않으면 이전 도구를 사용하여 경고를 작성할 수 있습니다.

• ID 보호는 조사하는 데 도움이 되는 다음 세 가지 주요 보고서를 생성합니다.

• 위험 사용자는 위험 상태에 있는 사용자, 검색 세부 정보, 모든 위험한 로그인 기록 및 위험 기록에 대한 정보를 포함하고 있습니다.

• 위험한 로그인은 의심스러운 상황을 나타낼 수 있는 로그인 상황과 관련된 정보를 포함하고 있습니다. 이 보고서의 정보를 조사하는 방법에 대한 자세한 내용은 방법: 위험 조사를 참조하세요.

• 위험 검색 - 로그인 및 사용자 위험을 알리는 Microsoft Entra ID 보호에서 검색한 위험 신호에 대한 정보를 포함합니다. 자세한 내용은 사용자 계정에 대한 Microsoft Entra 보안 작업 가이드를 참조하세요.

자세한 내용은 Identity Protection이란?을 참조하세요.

도메인 컨트롤러 모니터링을 위한 데이터 원본

최상의 결과를 얻으려면 Microsoft Defender for Identity를 사용하여 도메인 컨트롤러를 모니터링하는 것이 좋습니다. 이 방법을 사용하면 최상의 검색 및 자동화 기능을 사용할 수 있습니다. 다음 리소스의 지침을 따릅니다.

• Microsoft Defender for Identity 아키텍처
• Active Directory에 Microsoft Defender for Identity 연결 빠른 시작

Microsoft Defender for Identity를 사용하지 않으려면 다음 방법 중 하나에서 도메인 컨트롤러를 모니터링합니다.

• 이벤트 로그 메시지. 손상 징후에 대한 Active Directory 모니터링을 참조하세요.
• PowerShell cmdlet. 도메인 컨트롤러 배포 문제 해결을 참조하세요.

하이브리드 인증의 구성 요소

Azure 하이브리드 환경의 일부로 다음 항목을 기준으로 하여 모니터링 및 경고 전략에 포함해야 합니다.

• PTA 에이전트 - 통과 인증 에이전트는 통과 인증을 사용하도록 설정하는 데 사용되며 온-프레미스에 설치됩니다. 에이전트 버전을 확인하는 방법과 다음 단계에 대한 자세한 내용은 Microsoft Entra 통과 인증 에이전트: 버전 릴리스 기록을 참조하세요.

• AD FS/WAP - Azure AD FS(Active Directory Federation Services) 및 WAP(웹 애플리케이션 프록시)를 사용하면 보안과 엔터프라이즈 경계에서 디지털 ID 및 자격 권한을 안전하게 공유할 수 있습니다. 보안 모범 사례에 대한 자세한 내용은 Active Directory Federation Services 보안 모범 사례를 참조하세요.

• Microsoft Entra Connect Health 에이전트 – Microsoft Entra Connect Health에 대한 통신 링크를 제공하는 데 사용되는 에이전트입니다. 에이전트를 설치하는 방법에 대한 자세한 내용은 Microsoft Entra Connect Health 에이전트 설치를 참조하세요.

• Microsoft Entra Connect 동기화 엔진 - 온-프레미스 구성 요소입니다(동기화 엔진이라고도 함). 기능에 대한 자세한 내용은 Microsoft Entra Connect 동기화 서비스 기능을 참조하세요.

• 암호 보호 DC 에이전트 - Azure 암호 보호 DC 에이전트는 이벤트 로그 메시지를 모니터링하고 보고하는 데 사용됩니다. 자세한 내용은 Active Directory Domain Services에 온-프레미스 Microsoft Entra 암호 보호 적용을 참조하세요.

• 암호 필터 DLL - DC 에이전트의 암호 필터 DLL은 운영 체제에서 사용자 암호 유효성 검사 요청을 받습니다. 이 필터는 DC에서 로컬로 실행되는 DC 에이전트 서비스에 요청을 전달합니다. DLL을 사용하는 방법에 대한 자세한 내용은 Active Directory Domain Services에 온-프레미스 Microsoft Entra 암호 보호 적용을 참조하세요.

• 비밀번호 쓰기 저장 에이전트 - 비밀번호 쓰기 저장은 Microsoft Entra Connect를 통해 활성화되며 클라우드의 암호 변경 내용을 기존 온-프레미스 디렉터리에 실시간으로 쓰기 저장할 수 있는 기능입니다. 이 기능에 대한 자세한 내용은 Microsoft Entra ID에서 셀프 서비스 암호 재설정 쓰기 저장의 작동 방식을 참조하세요.

• Microsoft Entra 프라이빗 네트워크 커넥터 - 온-프레미스에 배치되고 애플리케이션 프록시 서비스에 대한 아웃바운드 연결을 용이하게 하는 경량 에이전트입니다. 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 이해(Understand Microsoft Entra Private Network Connector)를 참조 하세요.

클라우드 기반 인증의 구성 요소

Azure 클라우드 기반 환경의 일부로 다음 항목을 기준으로 하여 모니터링 및 경고 전략에 포함해야 합니다.

• Microsoft Entra 애플리케이션 프록시 - 이 클라우드 서비스는 온-프레미스 웹 애플리케이션에 대한 보안 원격 액세스를 제공합니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 통해 온-프레미스 애플리케이션에 원격 액세스를 참조하세요.

• Microsoft Entra Connect - Microsoft Entra Connect 솔루션에 사용되는 서비스입니다. 자세한 내용은 Microsoft Entra Connect란?을 참조하세요.

• Microsoft Entra Connect Health - Service Health는 서비스를 사용하는 지역의 Azure 서비스 상태를 추적하는 사용자 지정 가능한 대시보드를 제공합니다. 자세한 내용은 Microsoft Entra Connect Health를 참조하세요.

• Microsoft Entra 다단계 인증 - 다단계 인증을 사용하려면 사용자가 인증을 위해 둘 이상의 증명 형식을 제공해야 합니다. 이 방법은 환경을 보호하기 위한 첫 번째 자동 관리 단계를 제공할 수 있습니다. 자세한 내용은 Microsoft Entra 다단계 인증을 참조하세요.

• 동적 그룹 - Microsoft Entra 관리자에 대한 보안 그룹 멤버 자격의 동적 구성은 사용자 특성에 따라 Microsoft Entra ID에 만든 그룹을 채우는 규칙을 설정할 수 있습니다. 자세한 내용은 동적 그룹 및 Microsoft Entra B2B 협업을 참조하세요.

• 조건부 액세스 - 조건부 액세스는 Microsoft Entra ID에서 신호를 모으고, 결정을 내리고, 조직 정책을 적용하는 데 사용되는 도구입니다. 조건부 액세스는 새로운 ID 중심 컨트롤 플레인의 핵심입니다. 자세한 내용은 조건부 액세스란?을 참조하세요.

• ID 보호 - 조직에서 ID 기반 위험 검색 및 수정을 자동화하고, 포털의 데이터를 사용하여 위험을 조사하며, 위험 검색 데이터를 SIEM으로 내보낼 수 있게 해주는 도구입니다. 자세한 내용은 Identity Protection이란?을 참조하세요.

• 그룹 기반 라이선스 - 라이선스를 사용자에게 직접 할당하지 않고 그룹에 할당할 수 있습니다. Microsoft Entra ID는 사용자에 대한 라이선스 할당 상태에 대한 정보를 저장합니다.

• 프로비저닝 서비스 - 프로비저닝은 사용자가 액세스해야 하는 클라우드 애플리케이션에서 사용자 ID와 역할을 만드는 작업을 가리킵니다. 자동 프로비저닝에는 사용자 ID를 생성하는 것 외에도 상태 또는 역할이 변경될 때 사용자 ID의 유지 관리 및 제거가 포함됩니다. 자세한 내용은 Microsoft Entra ID에서 애플리케이션 프로비저닝이 작동하는 방식을 참조하세요.

• Graph API - Microsoft Graph API는 Microsoft 클라우드 서비스 리소스에 액세스할 수 있게 해주는 RESTful 웹 API입니다. 앱을 등록하고 사용자 또는 서비스에 대한 인증 토큰을 가져온 후 Microsoft Graph API에 대한 요청을 수행할 수 있습니다. 자세한 내용은 Microsoft Graph 개요를 참조하세요.

• 도메인 서비스 – Microsoft Entra Domain Services(AD DS)는 도메인 가입, 그룹 정책 등의 관리되는 도메인 서비스를 제공합니다. 자세한 내용은 Microsoft Entra Domain Services란?을 참조하세요.

• Azure Resource Manager - Azure Resource Manager는 Azure용 배포 및 관리 서비스입니다. Azure 계정에서 리소스를 만들고, 업데이트하고, 삭제할 수 있는 관리 계층을 제공합니다. 자세한 내용은 Azure Resource Manager란?을 참조하세요.

• 관리 ID - 관리 ID를 사용하면 개발자가 자격 증명을 관리할 필요가 없습니다. 관리 ID는 Microsoft Entra 인증을 지원하는 리소스에 연결할 때 사용할 애플리케이션의 ID를 제공합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.

• Privileged Identity Management - PIM은 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하도록 지원하는 Microsoft Entra ID의 서비스입니다. 자세한 내용은 Microsoft Entra Privileged Identity Management가 무엇인가요를 참조하세요.

• 액세스 검토 - Microsoft Entra 액세스 검토는 조직에서 그룹 구성원, 엔터프라이즈 애플리케이션에 대한 액세스, 역할 할당을 효율적으로 관리할 수 있도록 지원합니다. 적절한 사용자만 계속 액세스할 수 있도록 사용자의 액세스를 정기적으로 검토할 수 있습니다. 자세한 내용은 Microsoft Entra 액세스 검토란?을 참조하세요.

• 권한 관리 - Microsoft Entra 권한 관리는 ID 거버넌스 기능입니다. 조직에서 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID 및 액세스 수명 주기를 규모에 맞게 관리할 수 있습니다. 자세한 내용은 Microsoft Entra 권한 관리란?을 참조하세요.

• 활동 로그 - 활동 로그는 구독 수준 이벤트에 대한 인사이트를 제공하는 Azure 플랫폼 로그입니다. 이 로그에는 리소스가 수정되거나 가상 머신이 시작된 시점과 같은 정보가 포함됩니다. 자세한 내용은 Azure 활동 로그를 참조하세요.

• 셀프 서비스 암호 재설정 - Microsoft Entra SSPR(셀프 서비스 암호 재설정)을 통해 사용자가 암호를 변경하거나 다시 설정할 수 있습니다. 관리자 또는 지원 센터가 필요하지 않습니다. 자세한 내용은 작동 방식: Microsoft Entra 셀프 서비스 암호 재설정을 참조하세요.

• 디바이스 서비스 - 디바이스 ID 관리는 디바이스 기반 조건부 액세스의 기초입니다. 디바이스 기반의 조건부 액세스 정책을 사용할 경우 관리 디바이스를 통해서만 환경의 리소스에 액세스하도록 할 수 있습니다. 자세한 내용은 디바이스 ID란?을 참조하세요.

• 셀프 서비스 그룹 관리 - 사용자가 Microsoft Entra ID에서 고유한 보안 그룹이나 Microsoft 365 그룹을 만들고 관리하도록 설정할 수 있습니다. 그룹 소유자는 멤버 자격 요청을 승인하거나 거부할 수 있으며, 그룹 멤버 자격에 대한 제어를 위임할 수 있습니다. 셀프 서비스 그룹 관리 기능은 메일을 사용할 수 있는 보안 그룹 또는 배포 목록에 사용할 수 없습니다. 자세한 내용은 Microsoft Entra ID에서 셀프 서비스 그룹 관리 설정을 참조하세요.

• 위험 검색 - 위험이 검색되면 트리거되는 기타 위험에 대한 정보와 로그인 위치 및 클라우드용 Microsoft Defender 앱의 세부 정보와 같은 기타 관련 정보를 포함합니다.

다음 단계

다음 보안 작업 가이드 문서를 참조하세요.

사용자 계정에 대한 보안 작업

소비자 계정에 대한 보안 작업

권한 있는 계정에 대한 보안 작업

Privileged Identity Management에 대한 보안 작업

애플리케이션에 대한 보안 작업

디바이스에 대한 보안 작업

인프라에 대한 보안 작업