Identity Protection이란?
Identity Protection은 사용자 보호를 위해 Microsoft가 Azure Active Directory를 사용하는 조직, Microsoft 계정의 소비자 공간 및 Xbox를 이용한 게임 등에서 사용자 위치로부터 습득한 학습을 사용합니다. Microsoft는 위협으로부터 고객을 식별하고 보호하기 위해 매일 수조 개의 신호를 분석합니다. ID 보호를 통해 조직은 세 가지 주요 작업을 수행할 수 있습니다.
- ID 기반 위험의 감지 및 수정을 자동화합니다.
- 포털에서 데이터를 사용하여 위험을 조사합니다.
- 위험 검색 데이터를 다른 도구로 내보냅니다.
ID 보호에 의해 생성되어 제공되는 신호는 액세스 결정을 내리기 위해 조건부 액세스와 같은 도구에 추가로 제공되거나 추가 조사를 위해 SIEM(보안 정보 및 이벤트 관리) 도구에 다시 제공될 수 있습니다.
자동화가 중요한 이유는 무엇인가요?
블로그 게시물 사이버 신호: 최신 연구, 인사이트, 추세를 사용하여 사이버 위협 방어(2022년 2월 3일)에서 다음 통계를 포함하여 위협 인텔리전스 요약을 공유했습니다.
- 분석된 ... 40개가 넘는 국가-주 그룹과 140개가 넘는 위협 그룹을 모니터링하여 추적하는 인텔리전스와 결합된 24조 개 보안 신호...
- ...2021년 1월부터 2021년 12월까지 256억 개가 넘는 Azure AD 무차별 암호 대입 인증 공격을 차단했습니다...
일관된 규모의 신호와 공격을 계속할 수 있으려면 일정 수준의 자동화가 필요합니다.
위험 검색
ID 보호는 다음을 포함한 다양한 형식의 위험을 검색합니다.
- 익명 IP 주소 사용
- 비정상적 이동
- 맬웨어 연결 IP 주소
- 일반적이지 않은 로그인 속성
- 유출된 자격 증명
- 암호 스프레이
- 추가...
위험 신호는 다단계 인증 수행, 셀프 서비스 암호 재설정을 사용하여 암호 재설정 또는 관리자가 작업을 취할 때까지 액세스 차단과 같은 수정 활동을 트리거할 수 있습니다.
계산 방법 또는 시기를 포함하여 이러한 위험과 기타 위험에 대한 자세한 내용은 위험이란? 문서에서 확인할 수 있습니다.
위험 조사
관리자는 필요한 경우 탐지를 검토하고 수동 작업을 수행할 수 있습니다. 관리자가 Identity Protection의 조사에 사용하는 세 가지 주요 보고서는 다음과 같습니다.
- 위험한 사용자
- 위험한 로그인
- 위험 탐지
자세한 내용은 방법: 위험 조사 문서를 참조하세요.
위험 수준
ID 보호는 위험을 낮음, 중간, 높음의 계층으로 분류합니다.
Microsoft는 위험 계산 방법에 대한 구체적인 세부 정보를 제공하지 않습니다. 각 위험 수준은 사용자 또는 로그인이 손상되었다는 높은 신뢰도를 제공합니다. 예를 들어 사용자에 대한 익숙하지 않은 로그인 속성의 한 인스턴스와 같은 것은 다른 사용자의 자격 증명 유출만큼 위협적이지 않을 수 있습니다.
위험 정보를 추가로 활용
Identity Protection의 데이터는 보관 및 추가 조사와 상관 관계를 위해 다른 도구로 내보낼 수 있습니다. 조직에서는 Microsoft Graph 기반 API를 사용하여 SIEM 등의 도구에서 추가로 처리할 수 있도록 이 데이터를 수집할 수 있습니다. Identity Protection API에 액세스하는 방법에 대한 정보는 Azure Active Directory Identity Protection 및 Microsoft Graph 시작 문서에서 확인할 수 있습니다.
Identity Protection 정보를 Microsoft Sentinel과 통합하는 방법에 대한 정보는 Azure AD Identity Protection에서 데이터 연결 문서에서 확인할 수 있습니다.
조직은 Azure AD에서 진단 설정을 변경하여 더 오랜 기간 동안 데이터를 저장하도록 선택할 수 있습니다. Log Analytics 작업 영역으로 데이터를 보내거나, 스토리지 계정에 데이터를 보관하거나, Event Hubs로 데이터를 스트리밍하거나, 파트너 솔루션으로 데이터를 보내도록 선택할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 방법: 위험 데이터 내보내기 문서에서 찾을 수 있습니다.
필요한 역할
Identity Protection을 사용하려면 사용자가 보안 읽기 권한자, 보안 운영자, 보안 관리자, 글로벌 독자 또는 글로벌 관리자여야 액세스할 수 있습니다.
| 역할 | 가능한 작업 | 수행할 수 없음 |
|---|---|---|
| 전역 관리자 | ID 보호에 대한 완전한 액세스 | |
| 보안 관리자 | ID 보호에 대한 완전한 액세스 | 사용자 암호 다시 설정 |
| 보안 운영자 | 모든 ID 보호 보고서 및 개요 보기 사용자 위험 해제, 안전 로그인 확인, 손상 확인 |
정책 구성 또는 변경 사용자 암호 다시 설정 경고 구성 |
| 보안 Reader | 모든 ID 보호 보고서 및 개요 보기 | 정책 구성 또는 변경 사용자 암호 다시 설정 경고 구성 검색에 대한 피드백 제공 |
| 전역 Reader | ID 보호에 대한 읽기 전용 액세스 |
현재 보안 운영자 역할은 위험 로그인 보고서에 액세스할 수 없습니다.
조건부 액세스 관리자는 사용자 또는 로그인 위험을 조건으로 고려하는 정책을 만들 수 있습니다. 자세한 내용은 조건부 액세스: 조건 문서에서 찾을 수 있습니다.
라이선스 요구 사항
이 기능을 사용하려면 Azure AD Premium P2 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Azure AD의 일반 공급 기능 비교를 참조하세요.
| 기능 | 세부 정보 | Azure AD Free / Microsoft 365 앱 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|
| 위험 정책 | 로그인 및 사용자 위험 정책(ID 보호 또는 조건부 액세스를 통해) | 예 | 예 | 예 |
| 보안 보고서 | 개요 | 아니요 | 예 | 예 |
| 보안 보고서 | 위험한 사용자 | 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. | 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. | 모든 권한 |
| 보안 보고서 | 위험한 로그인 | 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. | 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. | 모든 권한 |
| 보안 보고서 | 위험 탐지 | 예 | 제한된 정보. 세부 정보 서랍이 없습니다. | 모든 권한 |
| 공지 | 위험에 처한 사용자가 알림을 감지함 | 아니요 | 예 | 예 |
| 공지 | 주 단위 요약 | 아니요 | 예 | 예 |
| MFA 등록 정책 | 아니요 | 아니요 | 예 |
이러한 풍부한 보고서에 대한 자세한 내용은 방법: 위험 조사 문서를 참조하세요.