방법: 위험 조사

Identity Protection은 조직의 사용자 환경에서 ID 위험을 조사하는 데 사용할 수 있는 세 가지 보고서를 조직에 제공합니다. 이러한 보고서는 위험한 사용자, 위험한 로그인, 위험 검색입니다. 보안 전략의 약점을 보다 잘 이해하고 식별하려면 이벤트를 조사하는 것이 중요합니다.

세 보고서는 모두 Azure Portal 외부에서 추가로 분석할 수 있게 .CSV 형식으로 이벤트를 다운로드하는 것을 허용합니다. 위험한 사용자 및 위험한 로그인 보고서에서는 가장 최근의 2500개 항목을 다운로드할 수 있고, 위험 검색 보고서에서는 가장 최근의 5000개 레코드를 다운로드할 수 있습니다.

조직에서는 Microsoft Graph API 통합을 활용하여 조직의 권한으로 액세스할 수 있는 다른 원본으로 데이터를 집계할 수 있습니다.

이 세 개의 보고서는 Azure Portal>Azure Active Directory>보안에서 확인할 수 있습니다.

각 보고서는 보고서 맨 위에 표시된 기간에 해당하는 모든 검색 항목 목록으로 시작됩니다. 각 보고서에서 관리자 기본 설정에 따라 열을 추가하거나 제거할 수 있습니다. 관리자는 .CSV 또는 .JSON 형식으로 데이터를 다운로드하도록 선택할 수 있습니다. 보고서의 맨 위에 있는 필터를 사용하여 보고서를 필터링할 수 있습니다.

개별 항목을 선택하면 로그인이 도용되었는지, 안전한지 확인하는 기능, 사용자가 도용되었는지 확인하는 기능 또는 사용자 위험을 해제하는 기능 등 더 많은 항목이 보고서 맨 위에 활성화될 수 있습니다.

개별 항목을 선택하면 검색 항목 아래의 세부 정보 창이 확장됩니다. 관리자는 세부 정보 보기를 사용하여 각 검색 항목을 살펴보고 관련 작업을 수행할 수 있습니다.

위험한 사용자

Azure Portal 위험한 사용자 보고서

관리자는 위험한 사용자 보고서에 제공되는 정보를 통해 다음을 확인할 수 있습니다.

  • 위험에 노출된 사용자, 위험을 해결한 사용자 또는 위험을 해제한 사용자
  • 탐지 항목에 대한 세부 정보
  • 모든 위험한 로그인 기록
  • 위험 기록

그러면 관리자는 이러한 이벤트에 대한 작업을 수행하도록 선택할 수 있습니다. 관리자는 다음을 선택할 수 있습니다.

  • 사용자 암호 재설정
  • 사용자 도용 확인
  • 사용자 위험 해제
  • 사용자가 로그인하지 못하도록 차단
  • Azure ATP를 사용하여 자세히 조사

위험한 로그인

Azure Portal 위험한 로그인 보고서

위험한 로그인 보고서에는 최대 지난 30일(1개월) 동안의 필터링 가능한 데이터가 포함되어 있습니다.

관리자는 위험한 로그인 보고서에 제공되는 정보를 통해 다음을 확인할 수 있습니다.

  • 위험한 것으로 분류된 로그인, 도용된 것으로 확인된 로그인, 안전한 것으로 확인된 로그인, 위험이 해제된 로그인 또는 위험이 해결된 로그인
  • 로그인 시도와 관련된 실시간 및 집계 위험 수준
  • 트리거된 검색 유형
  • 적용된 조건부 액세스 정책
  • MFA 세부 정보
  • 디바이스 정보
  • 애플리케이션 정보
  • 위치 정보

그러면 관리자는 이러한 이벤트에 대한 작업을 수행하도록 선택할 수 있습니다. 관리자는 다음을 선택할 수 있습니다.

  • 로그인 도용 확인
  • 로그인 보안 확인

참고

Identity Protection은 대화형인지 여부에 관계없이 모든 인증 흐름의 위험을 평가합니다. 이제 위험한 로그인 보고서에 대화형 및 비 대화형 로그인이 모두 표시됩니다. 이 보기를 수정하려면 "로그인 유형" 필터를 사용하세요.

위험 탐지

Azure Portal 위험 검색 보고서

위험 검색 보고서에는 최대 지난 90일(3개월) 동안의 필터링 가능한 데이터가 포함되어 있습니다.

관리자는 위험 검색 보고서에 제공되는 정보를 통해 다음을 확인할 수 있습니다.

  • 각 위험 검색에 대한 정보(예: 유형)
  • 동시에 트리거되는 기타 위험
  • 로그인 시도 위치
  • Microsoft Defender for Cloud Apps에서 자세한 내용을 보려면 링크를 클릭합니다.

그러면 관리자는 사용자의 위험 또는 로그인 보고서로 돌아가서 수집된 정보에 따라 작업을 수행하도록 선택할 수 있습니다.

참고

시스템에서는 위험 사용자 위험 점수에 영향을 준 위험 이벤트가 가양성이었는지 또는 MFA 프롬프트 또는 보안 암호 변경 완료와 같은 정책 적용으로 사용자 위험이 수정되었는지 검색할 수 있습니다. 따라서 시스템에서는 위험 상태를 해제하며, “AI 확인된 로그인 안전”의 위험 세부 정보가 표시되고 더 이상 사용자 위험에 영향을 주지 않습니다.

조사 프레임워크

조직은 다음 프레임워크를 사용하여 의심스러운 활동에 대한 조사를 시작할 수 있습니다. 조사에는 해당 사용자와 대화하거나, 로그인 로그를 검토하거나, 감사 로그를 검토하여 몇 가지 이름을 지정해야 할 수 있습니다.

  1. 로그를 확인하고 의심스러운 활동이 지정된 사용자에 대해 정상인지 확인합니다.
    1. 다음 속성을 포함하여 사용자의 과거 활동을 확인하여 지정된 사용자에 대해 정상인지 확인합니다.
      1. 애플리케이션
      2. 디바이스 - 디바이스가 등록되었거나 규정을 준수하나요?
      3. 위치 - 사용자가 다른 위치로 이동하거나 여러 위치에서 디바이스에 액세스하나요?
      4. IP 주소
      5. 사용자 에이전트 문자열
    2. Microsoft Sentinel과 같은 다른 보안 도구에 액세스할 수 있는 경우 더 큰 문제를 나타낼 수 있는 해당 경고를 확인합니다.
  2. 사용자에게 연락하여 로그인을 인식하는지 확인합니다. 이메일 또는 Teams 같은 메서드가 손상될 수 있습니다.
    1. 다음과 같은 정보를 확인합니다.
      1. 애플리케이션
      2. 디바이스
      3. 위치
      4. IP 주소

Azure AD 위협 인텔리전스 검색 조사

Azure AD 위협 인텔리전스 위험 검색을 조사하려면 다음 단계를 수행합니다.

검색에 대한 자세한 정보가 표시되는 경우:

  1. 의심스러운 IP 주소에서 로그인:
    1. IP 주소에서 사용자 환경에서 의심스러운 동작을 보이는지 확인합니다.
    2. IP가 디렉터리의 사용자 또는 사용자 집합에 대해 많은 수의 오류를 생성하나요?
    3. IP의 트래픽이 예기치 않은 프로토콜 또는 애플리케이션에서 들어오나요(예: Exchange 레거시 프로토콜)?
    4. IP 주소가 클라우드 서비스 공급자에 해당하는 경우 동일한 IP에서 실행되는 합법적인 엔터프라이즈 애플리케이션이 없다는 점을 배제합니다.
  2. 이 계정은 암호 스프레이의 공격을 받았습니다.
    1. 디렉터리에 있는 다른 사용자가 동일한 공격의 대상이 아닌지 확인합니다.
    2. 다른 사용자에게 동일한 시간 프레임 내에서 검색된 로그인에서 볼 수 있는 유사한 비정상적인 패턴을 가진 로그인이 있나요? 암호 스프레이 공격에는 다음과 같은 비정상적인 패턴이 나타날 수 있습니다.
      1. 사용자 에이전트 문자열
      2. 애플리케이션
      3. 프로토콜
      4. IP/ASN 범위
      5. 로그인 시간 및 빈도

다음 단계