방법: 위험 조사

아티클
10/25/2023

Identity Protection은 조직의 사용자 환경에서 ID 위험을 조사하는 데 사용할 수 있는 보고서를 조직에 제공합니다. 이러한 보고서에는 위험 사용자, 위험한 로그인, 위험한 워크로드 ID 및 위험 검색이 포함됩니다. 보안 전략의 약점을 보다 잘 이해하고 식별하려면 이벤트를 조사하는 것이 중요합니다. 이 모든 보고서를 사용하면 .CSV 형식의 이벤트를 다운로드하거나 추가 분석을 위한 전용 SIEM 도구와 같은 다른 보안 솔루션과 통합할 수 있습니다.

조직에서는 Microsoft Graph API 통합을 활용하여 조직의 권한으로 액세스할 수 있는 다른 원본으로 데이터를 집계할 수 있습니다.

세 보고서는 Microsoft Entra 관리 센터>보호>ID 보호에서 찾을 수 있습니다.

보고서 탐색

각 보고서는 보고서 맨 위에 표시된 기간에 해당하는 모든 검색 항목 목록으로 시작됩니다. 각 보고서에서 관리자 기본 설정에 따라 열을 추가하거나 제거할 수 있습니다. 관리자는 .CSV 또는 .JSON 형식으로 데이터를 다운로드하도록 선택할 수 있습니다. 보고서의 맨 위에 있는 필터를 사용하여 보고서를 필터링할 수 있습니다.

개별 항목을 선택하면 로그인이 도용되었는지, 안전한지 확인하는 기능, 사용자가 도용되었는지 확인하는 기능 또는 사용자 위험을 해제하는 기능 등 더 많은 항목이 보고서 맨 위에 활성화될 수 있습니다.

개별 항목을 선택하면 검색 항목 아래의 세부 정보 창이 확장됩니다. 관리자는 세부 정보 보기를 사용하여 각 검색 항목을 살펴보고 관련 작업을 수행할 수 있습니다.

위험한 사용자

위험 사용자 보고서에는 현재 계정이 있거나 손상 위험이 있는 것으로 간주되는 모든 사용자가 나열됩니다. 리소스에 대한 무단 액세스를 방지하려면 위험 사용자를 조사하고 수정해야 합니다.

사용자가 위험에 노출되는 이유는 무엇인가요?

다음과 같은 경우 사용자는 위험 사용자가 됩니다.

하나 이상의 위험한 로그인이 있습니다.
유출된 자격 증명과 같이 사용자 계정에서 하나 이상의 위험이 검색됩니다.

위험 사용자를 조사하는 방법은?

사용자의 위험한 로그인을 보고 조사하려면 "최근 위험한 로그인" 탭 또는 "사용자 위험한 로그인" 링크를 선택합니다.

사용자 계정의 위험을 보고 조사하려면 "로그인에 연결되지 않은 검색" 탭 또는 "사용자의 위험 검색" 링크를 선택합니다.

위험 기록 탭에는 지난 90일 동안 사용자 위험 변경을 초래한 모든 이벤트도 표시됩니다. 이 목록에는 사용자의 위험을 증가시킨 위험 검색 및 사용자의 위험을 낮추는 관리자 수정 작업이 포함됩니다. 이를 확인하여 사용자의 위험이 어떻게 변경되었는지 알아봅니다.

관리자는 위험한 사용자 보고서에 제공되는 정보를 통해 다음을 확인할 수 있습니다.

위험에 노출된 사용자, 위험을 해결한 사용자 또는 위험을 해제한 사용자
탐지 항목에 대한 세부 정보
모든 위험한 로그인 기록
위험 기록

그러면 관리자는 이러한 이벤트에 대한 작업을 수행하도록 선택할 수 있습니다. 관리자는 다음을 선택할 수 있습니다.

사용자 암호 재설정
사용자 도용 확인
사용자 위험 해제
사용자가 로그인하지 못하도록 차단
Microsoft Defender for Identity를 사용하여 추가 조사

범위 이해

업데이트된 조직 여행 보고를 위해 알려진 여행자 데이터베이스를 만들고 이를 사용하여 여행 활동을 상호 참조하는 것이 좋습니다.
가양성 감소를 위해 명명된 위치에 회사 VPN 및 IP 주소 범위를 추가합니다.
로그를 검토하여 동일한 특성을 가진 유사한 활동을 식별합니다. 이는 더 많은 손상된 계정을 암시할 수 있습니다.
1. IP 주소, 지리, 성공/실패 등과 같은 일반적인 특성이 있는 경우 조건부 액세스 정책을 사용하여 차단해 보세요.
2. 잠재적인 데이터 다운로드 또는 관리 수정과 같이 손상되었을 수 있는 리소스를 검토합니다.
3. 조건부 액세스를 통해 자체 수정 정책 사용
사용자가 새 위치에서 대량의 파일을 다운로드하는 등 다른 위험한 활동을 수행한 것으로 확인되면 이는 가능한 손상의 강력한 표시입니다.

위험한 로그인

위험한 로그인 보고서에는 최대 지난 30일(1개월) 동안의 필터링 가능한 데이터가 포함되어 있습니다.

관리자는 위험한 로그인 보고서에 제공되는 정보를 통해 다음을 확인할 수 있습니다.

위험한 것으로 분류된 로그인, 도용된 것으로 확인된 로그인, 안전한 것으로 확인된 로그인, 위험이 해제된 로그인 또는 위험이 해결된 로그인
로그인 시도와 관련된 실시간 및 집계 위험 수준
트리거된 검색 유형
적용된 조건부 액세스 정책
MFA 세부 정보
디바이스 정보
애플리케이션 정보
위치 정보

그러면 관리자는 이러한 이벤트에 대한 작업을 수행하도록 선택할 수 있습니다. 관리자는 다음을 선택할 수 있습니다.

로그인 도용 확인
로그인 보안 확인

참고 항목

Identity Protection은 대화형인지 여부에 관계없이 모든 인증 흐름의 위험을 평가합니다. 이제 위험한 로그인 보고서에 대화형 로그인과 비대화형 로그인이 모두 표시됩니다. "로그인 유형" 필터를 사용하여 이 보기를 수정합니다.

위험 탐지

위험 검색 보고서에는 최대 지난 90일(3개월) 동안의 필터링 가능한 데이터가 포함되어 있습니다.

관리자는 위험 검색 보고서에 제공되는 정보를 통해 다음을 확인할 수 있습니다.

각 위험 검색에 대한 정보(예: 유형)
동시에 트리거되는 기타 위험
로그인 시도 위치
Microsoft Defender for Cloud Apps에서 자세한 내용을 보려면 링크를 클릭합니다.

그러면 관리자는 사용자의 위험 또는 로그인 보고서로 돌아가서 수집된 정보에 따라 작업을 수행하도록 선택할 수 있습니다.

참고 항목

시스템에서는 위험 사용자 위험 점수에 영향을 준 위험 이벤트가 가양성이었는지 또는 MFA 프롬프트 또는 보안 암호 변경 완료와 같은 정책 적용으로 사용자 위험이 수정되었는지 검색할 수 있습니다. 따라서 시스템에서는 위험 상태를 해제하며, “AI 확인된 로그인 안전”의 위험 세부 정보가 표시되고 더 이상 사용자 위험에 영향을 주지 않습니다.

조사 프레임워크

조직은 다음 프레임워크를 사용하여 의심스러운 활동에 대한 조사를 시작할 수 있습니다. 조사에는 해당 사용자와 대화하거나, 로그인 로그를 검토하거나, 감사 로그를 검토하여 몇 가지 이름을 지정해야 할 수 있습니다.

로그를 확인하고 의심스러운 활동이 지정된 사용자에 대해 정상인지 확인합니다.
1. 다음 속성을 포함하여 사용자의 과거 활동을 확인하여 지정된 사용자에 대해 정상인지 확인합니다.
  1. 애플리케이션
  2. 디바이스 - 디바이스가 등록되었거나 규정을 준수하나요?
  3. 위치 - 사용자가 다른 위치로 이동하거나 여러 위치에서 디바이스에 액세스하나요?
  4. IP 주소
  5. 사용자 에이전트 문자열
2. Microsoft Sentinel과 같은 다른 보안 도구에 액세스할 수 있는 경우 더 큰 문제를 나타낼 수 있는 해당 경고를 확인합니다.
3. Microsoft 365 Defender에 액세스할 수 있는 조직은 다른 관련 경고 및 인시던트 및 MITRE ATT&CK 체인을 통해 사용자 위험 이벤트를 따를 수 있습니다.
  1. 위험 사용자 보고서에서 사용자를 선택합니다.
  2. 도구 모음에서 줄임표(...)를 선택한 다음 Microsoft 365 Defender를 사용하여 조사를 선택합니다.
사용자에게 연락하여 로그인을 인식하는지 확인합니다. 이메일 또는 Teams 같은 메서드가 손상될 수 있습니다.
1. 다음과 같은 정보를 확인합니다.
  1. 애플리케이션
  2. 장치
  3. 위치
  4. IP 주소

Important

공격자가 사용자를 가장하고, 암호를 재설정하고, MFA를 수행할 수 있다고 의심되는 경우 사용자를 차단하고 모든 새로 고침 및 액세스 토큰을 해지해야 합니다.

Microsoft Entra 위협 인텔리전스 검색 조사

Microsoft Entra 위협 인텔리전스 위험 검색을 조사하려면 다음 단계를 따릅니다.

검색에 대한 자세한 정보가 표시되는 경우:

의심스러운 IP 주소에서 로그인:
1. IP 주소에서 사용자 환경에서 의심스러운 동작을 보이는지 확인합니다.
2. IP가 디렉터리의 사용자 또는 사용자 집합에 대해 많은 수의 오류를 생성하나요?
3. IP의 트래픽이 예기치 않은 프로토콜 또는 애플리케이션에서 들어오나요(예: Exchange 레거시 프로토콜)?
4. IP 주소가 클라우드 서비스 공급자에 해당하는 경우 동일한 IP에서 실행되는 합법적인 엔터프라이즈 애플리케이션이 없다는 점을 배제합니다.
이 계정은 암호 스프레이 공격의 희생자였습니다.
1. 디렉터리에 있는 다른 사용자가 동일한 공격의 대상이 아닌지 확인합니다.
2. 다른 사용자에게 동일한 시간 프레임 내에서 검색된 로그인에서 볼 수 있는 유사한 비정상적인 패턴을 가진 로그인이 있나요? 암호 스프레이 공격에는 다음과 같은 비정상적인 패턴이 나타날 수 있습니다.
  1. 사용자 에이전트 문자열
  2. 애플리케이션
  3. 프로토콜
  4. IP/ASN 범위
  5. 로그인 시간 및 빈도
이 검색은 실시간 규칙에 의해 트리거되었습니다.
1. 디렉터리에 있는 다른 사용자가 동일한 공격의 대상이 아닌지 확인합니다. 규칙에 할당된 TI_RI_#### 번호로 찾을 수 있습니다.
2. 실시간 규칙은 Microsoft의 위협 인텔리전스로 식별된 새로운 공격으로부터 보호합니다. 디렉터리의 여러 사용자가 동일한 공격의 대상인 경우 로그인의 다른 특성에서 비정상적인 패턴을 조사합니다.

Microsoft 365 Defender를 사용하여 위험 조사

Microsoft 365 Defender와 Microsoft Defender for Identity를 배포한 조직은 ID 보호 신호에서 추가 가치를 얻습니다. 이 값은 조직 내 다른 부분의 다른 데이터와 향상된 상관 관계 및 추가 자동화된 조사 및 응답의 형태로 제공됩니다.

Microsoft 365 Defender 보안 전문가 및 관리자는 다음과 같은 영역에서 의심스러운 활동에 연결할 수 있습니다.

Defender for Identity의 경고
엔드포인트에 대한 Microsoft Defender
Microsoft Defender for Cloud
Microsoft Defender for Cloud 앱

Microsoft 365 Defender를 사용하여 의심스러운 활동을 조사하는 방법에 대한 자세한 내용은 Microsoft Defender for Identity에서 자산 조사 및 Microsoft 365 Defender에서 인시던트 조사를 참조하세요.

이러한 경고 및 해당 구조에 대한 자세한 내용은 보안 경고 이해 문서를 참조하세요.

조사 상태

보안 담당자가 Microsoft 365 Defender 및 Defender for Identity의 위험을 조사할 때 다음 상태 및 이유가 포털 및 API의 ID 보호로 반환됩니다.

Microsoft 365 Defender 상태	Microsoft 365 Defender 분류	Microsoft Entra ID 보호 위험 상태	Microsoft Entra ID 보호의 위험 세부 정보
New	거짓 긍정	안전 확인됨	`M365DAdminDismissedDetection`
New	무해한 진양성	안전 확인됨	`M365DAdminDismissedDetection`
New	진양성	손상 확인됨	`M365DAdminDismissedDetection`
진행 중	설정 안 함	위험 노출
진행 중	거짓 긍정	안전 확인됨	`M365DAdminDismissedDetection`
진행 중	무해한 진양성	안전 확인됨	`M365DAdminDismissedDetection`
진행 중	진양성	손상 확인됨	`M365DAdminDismissedDetection`
해결됨	설정 안 함	해제됨	`M365DAdminDismissedDetection`
해결됨	거짓 긍정	안전 확인됨	`M365DAdminDismissedDetection`
해결됨	무해한 진양성	안전 확인됨	`M365DAdminDismissedDetection`
해결됨	진양성	수정됨	`M365DAdminDismissedDetection`