Microsoft Entra ID 보호 대시보드
Microsoft Entra ID 보호는 ID 공격을 검색하고 위험을 보고하여 ID 손상을 방지합니다. 이를 통해 고객은 위험을 모니터링하고 조사하고 위험 기반 액세스 정책을 구성하여 중요한 액세스를 보호하고 위험을 자동으로 수정함으로써 조직을 보호할 수 있습니다.
Microsoft의 대시보드는 고객이 자신의 보안 태세를 더 잘 분석하고, 얼마나 잘 보호되고 있는지 이해하고, 취약성을 식별하고, 권장 작업을 수행하는 데 도움이 됩니다.
이 대시보드는 테넌트에 맞춰진 풍부한 인사이트와 실행 가능한 권장 사항을 통해 조직의 역량을 강화하도록 설계되었습니다. 이 정보는 조직의 보안 태세에 대한 더 나은 시각을 제공하고 이에 따라 효과적인 보호를 사용하도록 설정할 수 있도록 해줍니다. 주요 메트릭, 공격 그래픽, 위험한 위치를 강조하는 맵, 보안 태세 강화를 위한 주요 권장 사항 및 최근 작업에 액세스할 수 있습니다.
필수 조건
이 대시보드에 액세스하려면 다음이 필요합니다.
- 사용자에 대한 Microsoft Entra ID Free, Microsoft Entra ID P1 또는 Microsoft Entra ID P2 라이선스
- 전체 권장 사항 목록을 보고 권장 사항 작업 링크를 선택하려면 Microsoft Entra ID P2 라이선스가 필요합니다.
대시보드에 액세스
다음을 통해 대시보드에 액세스할 수 있습니다.
- Microsoft Entra 관리 센터에 보안 읽기 권한자 이상의 권한으로 로그인합니다.
- 보호>ID 보호>대시보드로 이동합니다.
메트릭 카드
위험 기반 정책과 같은 더 많은 보안 측정값을 구현하면 테넌트 보호가 강화됩니다. 따라서 Microsoft는 현재 시행 중인 보안 측정값의 효과를 이해하는 데 도움이 되는 4가지 주요 메트릭을 제공하고 있습니다.
메트릭 | 메트릭 정의 | 새로 고침 빈도 | 세부 정보를 볼 수 있는 위치 |
---|---|---|---|
차단된 공격 수 | 매일 이 테넌트에 대해 차단된 공격 수입니다. 액세스 정책에 의해 위험한 로그인이 중단되면 공격이 차단되는 것으로 간주됩니다. 정책에서 요구하는 액세스 제어는 공격자의 로그인을 차단하여 실시간으로 공격을 차단해야 합니다. |
24시간마다 | 위험 검색 보고서에서 공격을 결정한 위험 검색을 확인하고 다음을 기준으로 "위험 상태"를 필터링합니다. - 수정됨 - 해제됨 - 확인된 안전성 |
보호되는 사용자 수 | 매일 위험 상태가 위험함에서 수정됨 또는 해제됨으로 변경된 이 테넌트의 사용자 수입니다. 수정됨 위험 상태는 사용자가 MFA 또는 보안 암호 변경을 완료하여 사용자 위험을 자체적으로 수정했으며 따라서 계정이 보호된다는 것을 나타냅니다. 해제됨 위험 상태는 관리자가 사용자 계정이 안전하다고 판단하여 사용자의 위험을 해제했음을 나타냅니다. |
24시간마다 | 위험 사용자 보고서에서 보호된 사용자를 확인하고 다음을 기준으로 "위험 상태"를 필터링합니다. - 수정됨 - 해제됨 |
사용자가 위험을 자체 수정하는 데 소요되는 평균 시간 | 테넌트에 있는 위험 사용자의 위험 상태가 위험함에서 수정됨으로 변경되는 평균 시간입니다. 사용자가 MFA 또는 보안 암호 변경을 통해 사용자 위험을 자체적으로 수정하면 사용자의 위험 상태가 수정됨으로 변경됩니다. 테넌트의 자체 수정 시간을 줄이려면 위험 기반 조건부 액세스 정책을 배포합니다. |
24시간마다 | 위험 사용자 보고서에서 수정된 사용자를 확인하고 다음을 기준으로 "위험 상태"를 필터링합니다. - 수정됨 |
신규 고위험 사용자 검색 수 | 매일 위험 수준이 높음인 새로운 위험 사용자 수입니다. | 24시간마다 | 위험 사용자 보고서에서 고위험 사용자를 확인하고 다음을 기준으로 위험 수준을 필터링합니다. - "높음" |
다음 세 가지 메트릭에 대한 데이터 집계는 2023년 6월 22일에 시작되었으므로 해당 날짜부터 이러한 메트릭을 사용할 수 있습니다. 우리는 이를 반영하기 위해 그래프를 업데이트하기 위해 노력하고 있습니다.
- 차단된 공격 수
- 보호되는 사용자 수
- 사용자 위험을 수정하는 평균 시간
그래프는 12개월 간의 데이터 롤링을 제공합니다.
공격 그래픽
위험 노출을 더 잘 이해할 수 있도록 공격 그래픽은 테넌트에 대해 검색된 일반적인 ID 기반 공격 패턴을 표시합니다. 공격 패턴은 MITRE ATT&CK 기술로 표현되며 고급 위험 검색에 의해 결정됩니다. 자세한 내용은 위험 검색 형식과 MITRE 공격 형식 매핑 섹션을 참조하세요.
Microsoft Entra ID 보호에서 공격으로 간주되는 것은 무엇인가요?
공격은 사용자 환경에 로그인을 시도하는 악의적인 작업자를 검색하는 이벤트입니다. 이 이벤트는 해당 MITRE ATT&CK 기술에 매핑된 실시간 로그인 위험 검색을 트리거합니다. Microsoft Entra ID 보호의 실시간 로그인 위험 검색과 MITRE ATT&CK 기술로 분류된 공격 간의 매핑은 다음 표를 참조하세요.
공격 그래프는 실시간 로그인 위험 작업만 보여 주기 때문에 위험 사용자 활동은 포함되지 않습니다. 사용자의 환경에서 위험 사용자 활동을 시각화하려면 위험 사용자 보고서로 이동합니다.
공격 그래픽을 어떻게 해석하나요?
그래픽은 지난 30일 동안 테넌트에 영향을 미친 공격 유형과 로그인 중에 차단되었는지 여부를 보여 줍니다. 왼쪽에는 각 공격 형식의 볼륨이 표시됩니다. 오른쪽에는 차단된 공격과 아직 수정되지 않은 공격의 수가 표시됩니다. 그래프는 24시간마다 업데이트되며 실시간으로 발생하는 위험 로그인 검색 횟수를 계산합니다. 따라서 총 공격 수가 총 검색 수와 일치하지 않습니다.
- 차단됨: 연결된 위험한 로그인이 다단계 인증 요구와 같은 액세스 정책에 의해 중단된 경우 공격이 차단되는 것으로 분류됩니다. 이 작업은 공격자의 로그인을 방지하고 공격을 차단합니다.
- 수정되지 않음: 중단되지 않았으며 성공적인 위험한 로그인에는 수정이 필요합니다. 따라서 이러한 위험한 로그인과 관련된 위험 검색에도 수정이 필요합니다. "위험" 위험 상태로 필터링하여 위험한 로그인 보고서에서 이러한 로그인 및 관련 위험 검색을 볼 수 있습니다.
공격 내용은 어디서 볼 수 있나요?
공격 세부 정보를 보려면 그래프 왼쪽에서 공격 횟수를 선택하면 됩니다. 이 그래프는 해당 공격 유형으로 필터링된 위험 검색 보고서로 이동합니다.
위험 검색 보고서로 직접 이동하여 공격 유형을 필터링할 수 있습니다. 공격 및 검색 횟수는 일대일 매핑이 아닙니다.
위험 검색 형식을 MITRE 공격 형식으로 매핑
실시간 로그인 위험 검색 | 검색 유형 | MITRE ATT&CK 기술 매핑 | 공격 표시 이름 | Type |
---|---|---|---|---|
비정상적 토큰 | 실시간 또는 오프라인 | T1539 | 웹 세션 쿠키 훔치기/토큰 훔치기 | Premium |
일반적이지 않은 로그인 속성 | 실시간 | T1078 | 유효한 계정을 사용하여 액세스(로그인 시 검색됨) | Premium |
확인된 위협 행위자 IP | 실시간 | T1078 | 유효한 계정을 사용하여 액세스(로그인 시 검색됨) | Premium |
익명 IP 주소 | 실시간 | T1090 | 프록시를 사용한 난독 처리/액세스 | 비프리미엄 |
Microsoft Entra 위협 인텔리전스 | 실시간 또는 오프라인 | T1078 | 유효한 계정을 사용하여 액세스(로그인 시 검색됨) | 비프리미엄 |
Map
테넌트에서 위험한 로그인의 지리적 위치를 표시하기 위한 맵이 제공됩니다. 거품의 크기는 해당 위치에서 로그인하는 위험 요소의 양을 반영합니다. 거품을 마우스로 가리키면 국가 이름과 해당 장소에서 위험한 로그인 횟수를 제공하는 콜아웃 상자가 표시됩니다.
이 탭에는 다음과 같은 요소가 포함되어 있습니다.
- 날짜 범위: 날짜 범위를 선택하고 맵에서 해당 시간 범위 내에서 위험한 로그인을 확인합니다. 사용 가능한 값은 지난 24시간, 지난 7일, 지난 1개월입니다.
- 위험 수준: 보려는 위험한 로그인의 위험 수준을 선택합니다. 사용 가능한 값은 높음, 중간, 낮음입니다.
- 위험한 위치 개수:
- 정의: 테넌트의 위험한 로그인이 발생한 위치의 수입니다.
- 이 개수에는 날짜 범위 및 위험 수준 필터가 적용됩니다.
- 이 개수를 선택하면 선택한 날짜 범위 및 위험 수준으로 필터링된 위험한 로그인 보고서로 이동됩니다.
- 위험한 로그인 횟수:
- 정의: 선택한 날짜 범위에서 선택한 위험 수준의 총 위험한 로그인 수입니다.
- 이 개수에는 날짜 범위 및 위험 수준 필터가 적용됩니다.
- 이 개수를 선택하면 선택한 날짜 범위 및 위험 수준으로 필터링된 위험한 로그인 보고서로 이동됩니다.
권장 사항
Microsoft Entra ID 보호 권장 사항은 고객이 보안 태세를 강화하도록 환경을 구성하는 데 도움이 됩니다. 이러한 권장 사항은 지난 30일 동안 테넌트에서 검색된 공격을 기반으로 합니다. 보안 담당자에게 취해야 할 권장 사항 작업을 안내하기 위해 권장 사항이 제공됩니다.
암호 스프레이, 테넌트의 자격 증명 유출, 중요한 파일에 대한 대량 액세스 등 흔히 볼 수 있는 공격은 잠재적 위반이 있었음을 알려줄 수 있습니다. 이전 스크린샷의 예에서는 ID 보안이 테넌트에서 자격 증명이 유출된 최소 20명의 사용자를 발견했습니다. 이 경우 권장되는 작업은 위험 사용자에 대해 안전한 암호 재설정을 요구하는 조건부 액세스 정책을 만드는 것입니다.
대시보드의 권장 사항 구성 요소에서 고객은 다음을 볼 수 있습니다.
- 테넌트에서 특정 공격이 발생하는 경우 최대 3개의 권장 사항입니다.
- 공격의 영향에 대한 인사이트.
- 수정을 위해 적절한 작업을 수행하기 위한 직접 링크입니다.
P2 라이선스가 있는 고객은 작업에 대한 인사이트를 제공하는 포괄적인 권장 사항 목록을 볼 수 있습니다. "모두 보기"를 선택하면 해당 환경의 공격을 기반으로 트리거된 추가 권장 사항을 표시하는 패널이 열립니다.
최근 활동
최근 작업은 테넌트의 최근 위험 관련 작업에 대한 요약을 제공합니다. 가능한 작업 형식은 다음과 같습니다.
- 공격 작업
- 관리자 수정 작업
- 자가 수정 작업
- 신규 고위험 사용자
알려진 문제
테넌트 구성에 따라 대시보드에 권장 사항이나 최근 활동이 없을 수도 있습니다.