Identity Protection이란?

Identity Protection은 사용자 보호를 위해 Microsoft가 Azure Active Directory를 사용하는 조직, Microsoft 계정의 소비자 공간 및 Xbox를 이용한 게임 등에서 사용자 위치로부터 습득한 학습을 사용합니다. Microsoft는 위협으로부터 고객을 식별하고 보호하기 위해 매일 수조 개의 신호를 분석합니다. ID 보호를 통해 조직은 세 가지 주요 작업을 수행할 수 있습니다.

ID 보호에 의해 생성되어 제공되는 신호는 액세스 결정을 내리기 위해 조건부 액세스와 같은 도구에 추가로 제공되거나 추가 조사를 위해 SIEM(보안 정보 및 이벤트 관리) 도구에 다시 제공될 수 있습니다.

자동화가 중요한 이유는 무엇인가요?

블로그 게시물 사이버 신호: 최신 연구, 인사이트, 추세를 사용하여 사이버 위협 방어(2022년 2월 3일)에서 다음 통계를 포함하여 위협 인텔리전스 요약을 공유했습니다.

  • 분석된 ... 40개가 넘는 국가-주 그룹과 140개가 넘는 위협 그룹을 모니터링하여 추적하는 인텔리전스와 결합된 24조 개 보안 신호...
  • ...2021년 1월부터 2021년 12월까지 256억 개가 넘는 Azure AD 무차별 암호 대입 인증 공격을 차단했습니다...

일관된 규모의 신호와 공격을 계속할 수 있으려면 일정 수준의 자동화가 필요합니다.

위험 검색

ID 보호는 다음을 포함한 다양한 형식의 위험을 검색합니다.

  • 익명 IP 주소 사용
  • 비정상적 이동
  • 맬웨어 연결 IP 주소
  • 일반적이지 않은 로그인 속성
  • 유출된 자격 증명
  • 암호 스프레이
  • 추가...

위험 신호는 다단계 인증 수행, 셀프 서비스 암호 재설정을 사용하여 암호 재설정 또는 관리자가 작업을 취할 때까지 액세스 차단과 같은 수정 활동을 트리거할 수 있습니다.

계산 방법 또는 시기를 포함하여 이러한 위험과 기타 위험에 대한 자세한 내용은 위험이란? 문서에서 확인할 수 있습니다.

위험 조사

관리자는 필요한 경우 탐지를 검토하고 수동 작업을 수행할 수 있습니다. 관리자가 Identity Protection의 조사에 사용하는 세 가지 주요 보고서는 다음과 같습니다.

  • 위험한 사용자
  • 위험한 로그인
  • 위험 탐지

자세한 내용은 방법: 위험 조사 문서를 참조하세요.

위험 수준

ID 보호는 위험을 낮음, 중간, 높음의 계층으로 분류합니다.

Microsoft는 위험 계산 방법에 대한 구체적인 세부 정보를 제공하지 않습니다. 각 위험 수준은 사용자 또는 로그인이 손상되었다는 높은 신뢰도를 제공합니다. 예를 들어 사용자에 대한 익숙하지 않은 로그인 속성의 한 인스턴스와 같은 것은 다른 사용자의 자격 증명 유출만큼 위협적이지 않을 수 있습니다.

위험 정보를 추가로 활용

Identity Protection의 데이터는 보관 및 추가 조사와 상관 관계를 위해 다른 도구로 내보낼 수 있습니다. 조직에서는 Microsoft Graph 기반 API를 사용하여 SIEM 등의 도구에서 추가로 처리할 수 있도록 이 데이터를 수집할 수 있습니다. Identity Protection API에 액세스하는 방법에 대한 정보는 Azure Active Directory Identity Protection 및 Microsoft Graph 시작 문서에서 확인할 수 있습니다.

Identity Protection 정보를 Microsoft Sentinel과 통합하는 방법에 대한 정보는 Azure AD Identity Protection에서 데이터 연결 문서에서 확인할 수 있습니다.

조직은 Azure AD에서 진단 설정을 변경하여 더 오랜 기간 동안 데이터를 저장하도록 선택할 수 있습니다. Log Analytics 작업 영역으로 데이터를 보내거나, 스토리지 계정에 데이터를 보관하거나, Event Hubs로 데이터를 스트리밍하거나, 파트너 솔루션으로 데이터를 보내도록 선택할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 방법: 위험 데이터 내보내기 문서에서 찾을 수 있습니다.

필요한 역할

Identity Protection을 사용하려면 사용자가 보안 읽기 권한자, 보안 운영자, 보안 관리자, 글로벌 독자 또는 글로벌 관리자여야 액세스할 수 있습니다.

역할 가능한 작업 수행할 수 없음
전역 관리자 ID 보호에 대한 완전한 액세스
보안 관리자 ID 보호에 대한 완전한 액세스 사용자 암호 다시 설정
보안 운영자 모든 ID 보호 보고서 및 개요 보기

사용자 위험 해제, 안전 로그인 확인, 손상 확인
정책 구성 또는 변경

사용자 암호 다시 설정

경고 구성
보안 Reader 모든 ID 보호 보고서 및 개요 보기 정책 구성 또는 변경

사용자 암호 다시 설정

경고 구성

검색에 대한 피드백 제공
전역 Reader ID 보호에 대한 읽기 전용 액세스

현재 보안 운영자 역할은 위험 로그인 보고서에 액세스할 수 없습니다.

조건부 액세스 관리자는 사용자 또는 로그인 위험을 조건으로 고려하는 정책을 만들 수 있습니다. 자세한 내용은 조건부 액세스: 조건 문서에서 찾을 수 있습니다.

라이선스 요구 사항

이 기능을 사용하려면 Azure AD Premium P2 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Azure AD의 일반 공급 기능 비교를 참조하세요.

기능 세부 정보 Azure AD Free / Microsoft 365 앱 Azure AD Premium P1 Azure AD Premium P2
위험 정책 로그인 및 사용자 위험 정책(ID 보호 또는 조건부 액세스를 통해)
보안 보고서 개요 아니요
보안 보고서 위험한 사용자 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. 모든 권한
보안 보고서 위험한 로그인 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. 모든 권한
보안 보고서 위험 탐지 제한된 정보. 세부 정보 서랍이 없습니다. 모든 권한
공지 위험에 처한 사용자가 알림을 감지함 아니요
공지 주 단위 요약 아니요
MFA 등록 정책 아니요 아니요

이러한 풍부한 보고서에 대한 자세한 내용은 방법: 위험 조사 문서를 참조하세요.

다음 단계