Share via

자습서: 위험한 사용자 조사

  • 아티클

보안 운영 팀은 종종 연결되지 않는 여러 보안 솔루션을 사용하여 ID 공격 표면의 모든 차원에서 사용자 활동을 의심스럽거나 모니터링해야 합니다. 많은 회사에서 환경의 위협을 사전에 식별하기 위해 헌팅 팀을 보유하고 있지만, 방대한 양의 데이터에서 무엇을 찾아야 하는지 아는 것은 어려울 수 있습니다. 클라우드용 Microsoft Defender 앱은 복잡한 상관 관계 규칙을 만들 필요가 없으며 클라우드 및 온-프레미스 네트워크에 걸쳐 있는 공격을 찾을 수 있습니다.

사용자 ID에 집중할 수 있도록 클라우드용 Microsoft Defender 앱은 클라우드에서 UEBA(사용자 엔터티 동작 분석)를 제공합니다. UEBA는 Microsoft Defender for Identity와 통합하여 온-프레미스 환경으로 확장할 수 있으며, 그 후에는 Active Directory와의 네이티브 통합에서 사용자 ID에 대한 컨텍스트를 얻을 수도 있습니다.

트리거가 클라우드용 Defender 앱 대시보드에 표시되는 경고인지 또는 타사 보안 서비스의 정보가 있는지 여부에 관계없이 클라우드용 Defender 앱 대시보드에서 조사를 시작하여 위험한 사용자를 심층 분석합니다.

이 자습서에서는 클라우드용 Defender 앱을 사용하여 위험한 사용자를 조사하는 방법을 알아봅니다.

조사 우선 순위 점수 이해

조사 우선 순위 점수는 클라우드용 Defender 앱이 조직의 다른 사용자에 비해 사용자가 얼마나 위험한지 알려 주기 위해 각 사용자에게 제공하는 점수입니다. 조사 우선 순위 점수를 사용하여 먼저 조사할 사용자를 결정하고, 악의적인 내부자와 조직에서 횡적으로 이동하는 외부 공격자를 모두 검색합니다.

모든 Microsoft Entra 사용자에게는 Defender for Identity 및 클라우드용 Defender Apps에서 평가된 데이터에서 빌드된 최근 동작 및 영향에 따라 지속적으로 업데이트되는 동적 조사 우선 순위 점수가 있습니다.

클라우드용 Defender 앱은 시간에 따른 보안 경고 및 비정상적인 활동, 피어 그룹, 예상 사용자 활동 및 특정 사용자가 비즈니스 또는 회사 자산에 미칠 수 있는 영향을 고려하는 분석을 기반으로 각 사용자에 대한 사용자 프로필을 빌드합니다.

사용자의 기준선에 비정상적인 활동이 평가되고 점수가 매깁니다. 점수 매기기가 완료되면 Microsoft의 독점적인 동적 피어 계산 및 기계 학습이 사용자 활동에서 실행되어 각 사용자의 조사 우선 순위를 계산합니다.

조사 우선 순위 점수에 따라 필터링하고, 각 사용자의 비즈니스 영향을 직접 확인하고, 손상되었는지, 데이터를 유출하는지, 내부자 위협으로 작동하는지와 같은 모든 관련 활동을 조사하여 실제 가장 위험한 사용자가 바로 누구인지 이해합니다.

클라우드용 Defender 앱은 다음을 사용하여 위험을 측정합니다.

  • 경고 점수 매기기: 경고 점수는 특정 경고가 각 사용자에게 미칠 수 있는 영향을 나타냅니다. 경고 점수 매기기는 심각도, 사용자 영향, 사용자 및 조직의 모든 엔터티에 대한 경고 인기도를 기반으로 합니다.

  • 활동 점수 매기기: 활동 점수는 사용자 및 해당 동료의 행동 학습에 따라 특정 사용자가 특정 활동을 수행할 확률을 결정합니다. 가장 비정상으로 식별된 활동은 가장 높은 점수를 받습니다.

경고 또는 활동에 대한 조사 우선 순위 점수를 선택하여 클라우드용 Defender 앱이 활동을 채점한 방법을 설명하는 증거를 확인합니다.

참고 항목

2024년 8월까지 클라우드용 Microsoft Defender 앱에서 조사 우선 순위 점수 증가 경고를 점진적으로 사용 중지하고 있습니다. 이 문서에 설명된 조사 우선 순위 점수 및 절차는 이 변경의 영향을 받지 않습니다.

자세한 내용은 조사 우선 순위 점수 증가 사용 중단 타임라인 참조하세요.

1단계: 보호하려는 앱에 커넥트

  1. API 커넥터를 사용하여 앱을 클라우드용 Microsoft Defender 하나 이상의 앱을 커넥트. 먼저 Microsoft 365연결하는 것이 좋습니다.

  2. 조건부 액세스 앱 제어를 달성하기 위해 프록시를 사용하여 다른 앱을 커넥트.

2단계: 가장 위험한 사용자 식별

클라우드용 Defender 앱에서 가장 위험한 사용자가 누구인지 식별하려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 자산 아래에서 ID를 선택합니다. 조사 우선 순위별로 테이블을 정렬합니다. 그런 다음, 사용자 페이지로 하나씩 이동하여 조사합니다.
    사용자 이름 옆에 있는 조사 우선 순위 번호는 지난 주에 대한 모든 사용자의 위험한 활동의 합계입니다.

    상위 사용자 대시보드의 스크린샷.

  2. 사용자 오른쪽에 있는 세 개의 점을 선택하고 사용자 보기 페이지를 선택합니다.

    사용자 세부 정보 페이지의 스크린샷.

  3. 사용자 세부 정보 페이지의 정보를 검토하여 사용자에 대한 개요를 확인하고 사용자가 해당 사용자에게 비정상적인 활동을 수행했거나 비정상적인 시간에 수행된 지점이 있는지 확인합니다.

    조직과 비교한 사용자 점수는 조직의 순위에 따라 사용자가 있는 백분위수( 조직의 다른 사용자에 비해 조사해야 하는 사용자 목록에 얼마나 높은지)를 나타냅니다. 사용자가 조직 전체에서 위험한 사용자의 90번째 백분위수 이상인 경우 숫자는 빨간색입니다.

사용자 세부 정보 페이지에서는 다음 질문에 답변할 수 있습니다.

질문 세부 정보
사용자는 누구인가요? 회사 및 해당 부서에서 사용자의 역할을 포함하여 사용자 및 시스템에 대해 알고 있는 내용에 대한 기본 세부 정보를 찾습니다.

예를 들어 사용자는 종종 작업의 일부로 비정상적인 활동을 수행하는 DevOps 엔지니어인가요? 아니면 사용자가 방금 승진을 위해 전달된 불만을 품은 직원인가요?
사용자가 위험합니까? 직원의 위험 점수는 무엇이며 조사하는 동안 가치가 있습니까?
사용자가 조직에 표시되는 위험은 무엇인가요? 아래로 스크롤하여 사용자와 관련된 각 활동 및 경고를 조사하여 사용자가 나타내는 위험 유형을 이해하기 시작합니다.

타임라인 각 줄을 선택하여 활동을 자세히 드릴다운하거나 자체적으로 경고합니다. 점수 자체에 영향을 준 증거를 이해할 수 있도록 활동 옆에 있는 숫자를 선택합니다.
조직의 다른 자산에 대한 위험은 무엇인가요? 횡적 이동 경로 탭을 선택하여 공격자가 조직의 다른 자산을 제어하는 데 사용할 수 있는 경로를 파악합니다.

예를 들어 조사 중인 사용자에게 민감하지 않은 계정이 있더라도 공격자는 계정에 대한 연결을 사용하여 네트워크에서 중요한 계정을 검색하고 손상하려고 시도할 수 있습니다.

자세한 내용은 횡적 이동 경로 사용을 참조 하세요.

참고 항목

사용자 세부 정보 페이지는 모든 활동에서 디바이스, 리소스 및 계정에 대한 정보를 제공하지만 조사 우선 순위 점수에는 지난 7일 동안의 모든 위험한 활동 및 경고의 합계가 포함됩니다.

사용자 점수 다시 설정

사용자가 조사를 받고 손상에 대한 의혹이 발견되지 않거나 다른 이유로 사용자의 조사 우선 순위 점수를 다시 설정하려는 경우 다음과 같이 수동으로 다음을 수행합니다.

  1. Microsoft Defender 포털의 자산 아래에서 ID를 선택합니다.

  2. 조사 대상 사용자의 오른쪽에 있는 점 3개를 선택한 다음 조사 우선 순위 점수 다시 설정을 선택합니다. 사용자 페이지 보기를 선택한 다음 사용자 세부 정보 페이지의 세 점 중에서 조사 우선 순위 점수 재설정을 선택할 수도 있습니다.

    참고 항목

    조사 우선 순위 점수가 0이 아닌 사용자만 다시 설정할 수 있습니다.

    다시 설정 조사 우선 순위 점수 링크의 스크린샷.

  3. 확인 창에서 다시 설정 점수를 선택합니다.

    점수 다시 설정 단추의 스크린샷.

3단계: 사용자 추가 조사

일부 활동은 자체 경보의 원인이 아닐 수 있지만 다른 활동과 함께 집계될 때 의심스러운 이벤트를 나타내는 표시일 수 있습니다.

사용자를 조사할 때 표시되는 활동 및 경고에 대해 다음과 같은 질문을 할 수 있습니다.

  • 이 직원이 이러한 활동을 수행할 수 있는 비즈니스 정당성이 있나요? 예를 들어 마케팅 담당자가 코드 베이스에 액세스하거나 개발 담당자가 재무 데이터베이스에 액세스하는 경우 직원에게 후속 조치를 통해 의도적이고 정당한 활동인지 확인해야 합니다.

  • 다른 사용자가 그렇지 않은 동안 이 활동이 높은 점수를 받은 이유는 무엇인가요? 활동 로그이동하여 조사 우선 순위를 Is로 설정 하여 의심스러운 활동을 파악합니다.

    예를 들어 특정 지역에서 발생한 모든 활동에 대해 조사 우선 순위따라 필터링할 수 있습니다. 그런 다음 위험한 다른 활동이 있었는지, 사용자가 연결되었는지 여부를 확인할 수 있으며, 최근 비정규 클라우드 및 온-프레미스 활동과 같은 다른 드릴다운으로 쉽게 피벗하여 조사를 계속할 수 있습니다.

4단계: 조직 보호

조사를 통해 사용자가 손상되었다는 결론을 내릴 경우 다음 단계를 사용하여 위험을 완화합니다.

  • 사용자에게 문의 - Active Directory의 클라우드용 Defender 앱과 통합된 사용자 연락처 정보를 사용하여 각 경고 및 활동으로 드릴다운하여 사용자 ID를 확인할 수 있습니다. 사용자가 활동에 대해 잘 알고 있는지 확인합니다.

  • Microsoft Defender 포털 의 ID 페이지에서 조사된 사용자가 세 개의 점을 선택하고 사용자에게 다시 로그인하도록 요구할지, 사용자를 일시 중단할지 또는 손상된 것으로 확인하도록 할지를 선택합니다.

  • 손상된 ID의 경우 암호가 길이 및 복잡성에 대한 모범 사례 지침을 충족하는지 확인하여 사용자에게 암호를 재설정하도록 요청할 수 있습니다.

  • 경고를 드릴다운하고 활동이 경고를 트리거하지 않아야 한다고 판단하는 경우 활동 서랍에서 사용자 의견 보내기 링크를 선택하여 조직과 함께 경고 시스템을 미세 조정할 수 있습니다.

  • 문제를 해결한 후 경고를 닫습니다.

참고 항목

조직 보호를 위한 모범 사례

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.