클라우드용 Defender 앱의 변칙 검색 정책

  • 아티클

클라우드용 Microsoft Defender 앱 변칙 검색 정책은 처음부터 클라우드 환경에서 고급 위협 탐지를 실행할 준비가 되도록 UEBA(기본 사용자 및 엔터티 동작 분석) 및 ML(기계 학습)을 제공합니다. 자동으로 사용하도록 설정되므로 새 변칙 검색 정책은 결과를 검색하고 정렬하는 프로세스를 즉시 시작하여 사용자와 네트워크에 연결된 컴퓨터 및 디바이스에서 수많은 동작 변칙을 대상으로 합니다. 또한 정책은 클라우드용 Defender 앱 검색 엔진에서 더 많은 데이터를 노출하여 조사 프로세스를 가속화하고 지속적인 위협을 포함하는 데 도움이 됩니다.

변칙 검색 정책은 자동으로 사용하도록 설정되지만 클라우드용 Defender 앱에는 모든 변칙 검색 경고가 발생하지 않는 7일의 초기 학습 기간이 있습니다. 그런 다음, 구성된 API 커넥터에서 데이터가 수집되면 각 세션이 활동, 사용자가 활성 상태였던 경우, IP 주소, 디바이스 등과 비교하여 지난 한 달 동안 검색된 활동과 이러한 활동의 위험 점수를 검색합니다. API 커넥터에서 데이터를 사용할 수 있으려면 몇 시간이 걸릴 수 있습니다. 이러한 검색은 환경을 프로파일링하고 조직의 활동에 대해 학습된 기준과 관련하여 경고를 트리거하는 추론 변칙 검색 엔진의 일부입니다. 또한 이러한 검색은 사용자를 프로파일링하고 로그인 패턴을 사용하여 가양성도 줄이도록 설계된 기계 학습 알고리즘을 사용합니다.

변칙은 사용자 활동을 검사하여 검색합니다. 다음과 같이 위험 요소로 그룹화된 30개 이상의 다양한 위험 표시기를 확인하여 위험을 평가합니다.

  • 위험한 IP 주소
  • 로그인 실패
  • 관리자 활동
  • 비활성 계정
  • 위치
  • 이동 불가능
  • 디바이스 및 사용자 에이전트
  • 활동률

정책 결과에 따라 보안 경고가 트리거됩니다. 클라우드용 Defender 앱은 클라우드의 모든 사용자 세션을 살펴보고 조직의 기준이나 사용자의 일반 활동과 다른 문제가 발생하면 경고합니다.

네이티브 클라우드용 Defender 앱 경고 외에도 Microsoft Entra ID Protection에서 받은 정보에 따라 다음과 같은 검색 경고가 표시됩니다.

  • 유출된 자격 증명: 사용자의 유효한 자격 증명이 유출되었을 때 트리거됩니다. 자세한 내용은 Microsoft Entra ID의 유출된 자격 증명 검색을 참조하세요.
  • 위험한 로그인: 여러 Microsoft Entra ID Protection 로그인 검색을 단일 검색으로 결합합니다. 자세한 내용은 Microsoft Entra ID의 로그인 위험 검색을 참조 하세요.

이러한 정책은 클라우드용 Defender 앱 정책 페이지에 표시되며 사용하거나 사용하지 않도록 설정할 수 있습니다.

변칙 검색 정책

Cloud Apps -Policies ->>Policy 관리로 이동하여 Microsoft Defender 포털에서 변칙 검색 정책을 볼 수 있습니다. 그런 다음, 정책 유형에 대한 변칙 검색 정책을 선택합니다.

새 변칙 검색 정책입니다.

다음과 같은 변칙 검색 정책을 사용할 수 있습니다.

이동 불가능

    • 이 검색은 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸린 시간보다 짧은 기간 내에 지리적으로 먼 위치에서 발생하는 두 개의 사용자 활동(단일 또는 여러 세션)을 식별하여 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타냅니다. 이 검색은 조직의 다른 사용자가 정기적으로 사용하는 VPN 및 위치와 같이 불가능한 이동 조건에 기여하는 명백한 "가양성"을 무시하는 기계 학습 알고리즘을 사용합니다. 검색에는 새 사용자의 활동 패턴을 학습하는 동안 7일의 초기 학습 기간이 있습니다. 불가능한 이동 검색 기능은 두 위치 간의 비정상적이고 불가능한 사용자 활동을 식별합니다. 이 활동은 손상 표시로 간주되고 경고할 가치가 있을 정도로 충분히 비정상적이어야 합니다. 이를 위해 검색 논리에는 VPN 활동 또는 물리적 위치를 나타내지 않는 클라우드 공급자의 활동과 같이 가양성 트리거할 수 있는 시나리오를 해결하기 위한 다양한 수준의 표시 안 함이 포함됩니다. 민감도 슬라이 를 사용하면 알고리즘에 영향을 미치고 검색 논리가 얼마나 엄격한지 정의할 수 있습니다. 민감도 수준이 높을수록 검색 논리의 일부로 더 적은 활동이 억제됩니다. 이러한 방식으로 검사 요구 사항 및 SNR 대상에 따라 검색을 조정할 수 있습니다.

      참고 항목

      • 여행 양쪽의 IP 주소가 안전한 것으로 간주되고 민감도 슬라이더가 높음으로 설정되지 않은 경우 이동은 신뢰할 수 있으며 불가능한 여행 검색을 트리거하지 않습니다. 예를 들어 회사로 태그가 지정된 경우 양쪽 모두 안전한 것으로 간주됩니다. 그러나 여행의 한쪽 IP 주소만 안전한 것으로 간주되면 검색이 정상적으로 트리거됩니다.
      • 위치는 국가/지역 수준에서 계산됩니다. 즉, 동일한 국가/지역 또는 국경 국가/지역에서 발생하는 두 가지 작업에 대한 경고가 없습니다.

자주 사용되지 않는 국가에서의 활동

  • 이 검색은 새롭고 자주 사용되지 않는 위치를 결정하기 위해 과거의 활동 위치를 고려합니다. 변칙 검색 엔진은 사용자가 사용한 이전 위치에 대한 정보를 저장합니다. 사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치에서 활동이 발생하면 경고가 트리거됩니다. 가양성 경고를 줄이기 위해 검색은 사용자에 대한 일반적인 기본 설정이 특징인 연결을 표시하지 않습니다.

맬웨어 검색

이 검색은 Microsoft 앱인지 타사 앱인지와 상관 없이 클라우드 스토리지에서 악성 파일을 식별합니다. 클라우드용 Microsoft Defender 앱은 Microsoft의 위협 인텔리전스를 사용하여 파일 형식 및 공유 수준과 같은 위험 추론과 일치하는 특정 파일이 알려진 맬웨어 공격과 관련이 있으며 잠재적으로 악의적인지 여부를 인식합니다. 이 기본 제공 정책은 기본적으로 비활성화됩니다. 악성 파일이 검색되면 감염된 파일 목록을 볼 수 있습니다. 파일 서랍에서 맬웨어 파일 이름을 선택하여 파일이 감염된 맬웨어 유형에 대한 정보를 제공하는 맬웨어 보고서를 엽니다.

이 검색을 사용하여 세션 정책을 사용하여 파일 업로드 및 다운로드를 실시간으로 제어할 수 있습니다.

파일 샌드박싱

파일 샌드박싱을 사용하도록 설정하면 메타데이터에 따라 소유 추론을 기반으로 잠재적으로 위험할 수 있는 파일도 안전한 환경에서 샌드박스를 스캔합니다. 샌드박스 검사는 위협 인텔리전스 원본을 기반으로 검색되지 않은 파일을 검색할 수 있습니다.

클라우드용 Defender 앱은 다음 앱에 대한 맬웨어 검색을 지원합니다.

  • Box
  • Dropbox
  • Google 작업 영역
  • Microsoft 365(Microsoft Defender for Microsoft 365 P1에 유효한 라이선스 필요)

참고 항목

  • Microsoft 365 앱에서 검색된 맬웨어는 앱에 의해 자동으로 차단됩니다. 사용자는 차단된 파일에 연결할 수 없으며 앱 관리자만 액세스할 수 있습니다.

  • Box, DropboxGoogle Workspace에서 클라우드용 Defender 앱은 자동으로 파일을 차단하지 않지만 앱의 기능 및 고객이 설정한 앱의 구성에 따라 차단이 수행될 수 있습니다.

  • 검색된 파일이 실제로 맬웨어인지 아니면 가양성인지 확실하지 않은 경우 Microsoft 보안 인텔리전스 페이지 https://www.microsoft.com/wdsi/filesubmission 로 이동하여 추가 분석을 위해 파일을 제출합니다.

익명 IP 주소에서의 활동

  • 이 검색은 익명 프록시 IP 주소로 식별된 IP 주소에서 사용자가 활성화되었음을 나타냅니다. 이러한 프록시는 디바이스의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도에 사용될 수 있습니다. 이 검색은 조직의 사용자가 널리 사용하는 잘못된 태그가 지정된 IP 주소와 같은 "가양성"을 줄이는 기계 학습 알고리즘을 사용합니다.

랜섬웨어 활동

  • 클라우드용 Defender 앱은 변칙 검색을 통해 랜섬웨어 검색 기능을 확장하여 정교한 랜섬웨어 공격에 대해 보다 포괄적인 범위를 보장합니다. 클라우드용 Defender 앱은 보안 연구 전문 지식을 사용하여 랜섬웨어 활동을 반영하는 행동 패턴을 식별하여 전체적이고 강력한 보호를 보장합니다. 예를 들어 클라우드용 Defender 앱이 파일 업로드 또는 파일 삭제 작업의 비율이 높은 경우 불리한 암호화 프로세스를 나타낼 수 있습니다. 이 데이터는 연결된 API에서 받은 로그에 수집된 후 알려진 랜섬웨어 확장과 같은 학습된 동작 패턴 및 위협 인텔리전스와 결합됩니다. 클라우드용 Defender 앱이 랜섬웨어를 감지하는 방법에 대한 자세한 내용은 랜섬웨어로부터 조직 보호를 참조하세요.

종료된 사용자가 수행한 활동

  • 이 검색을 통해 해고된 직원이 SaaS 앱에서 계속 작업을 수행하는 경우를 식별할 수 있습니다. 데이터는 내부자 위협의 가장 큰 위험이 불편한 관계로 퇴사한 직원을 통해 제공됨을 보여 주므로 해고된 직원의 계정에서 활동을 계속 감시해야 합니다. 경우에 따라 퇴사한 직원의 계정은 회사 앱에서 프로비전이 해제되지만 대부분의 경우 특정 회사 리소스에 대한 액세스 권한은 계속 유지됩니다. 이전 관리자가 수행할 수 있는 잠재적 손상이 본질적으로 더 크기 때문에 권한 있는 계정을 고려할 때 훨씬 더 중요합니다. 이 검색은 앱 간에 사용자 동작을 모니터링하는 클라우드용 Defender 앱 기능을 활용하여 사용자의 정기적인 활동, 계정이 삭제되었다는 사실 및 다른 앱의 실제 활동을 식별할 수 있습니다. 예를 들어 Microsoft Entra 계정이 삭제되었지만 회사 AWS 인프라에 대한 액세스 권한이 있는 직원은 대규모 손상을 일으킬 가능성이 있습니다.

검색은 Microsoft Entra ID에서 계정이 삭제된 사용자를 찾지만 AWS 또는 Salesforce와 같은 다른 플랫폼에서도 작업을 수행합니다. 이는 사용자가 회사를 떠날 때 이러한 계정이 삭제되지 않는 경우가 많기 때문에 리소스를 관리하기 위해 다른 계정(기본 Single Sign-On 계정이 아님)을 사용하는 사용자와 특히 관련이 있습니다.

의심스러운 IP 주소에서의 활동

  • 이 검색은 Microsoft Threat Intelligence에서 위험한 것으로 식별된 IP 주소에서 사용자가 활동했음을 나타냅니다. 이러한 IP 주소는 암호 스프레이, Botnet C&C 수행과 같은 악의적인 활동에 관여하며 손상된 계정을 나타낼 수 있습니다. 이 검색은 조직의 사용자가 널리 사용하는 잘못된 태그가 지정된 IP 주소와 같은 "가양성"을 줄이는 기계 학습 알고리즘을 사용합니다.

의심스러운 받은 편지함 전달

  • 이 검색은 의심스러운 메일 전달 규칙(예: 사용자가 모든 메일의 복사본을 외부 주소로 전달하는 받은 편지함 규칙을 만든 경우)을 찾습니다.

참고 항목

클라우드용 Defender 앱은 사용자의 일반적인 동작에 따라 의심스러운 것으로 식별되는 각 전달 규칙에 대해서만 경고합니다.

의심스러운 받은 편지함 조작 규칙

  • 이 검색 기능은 사용자 환경을 프로파일링하여 메시지나 폴더를 삭제하거나 이동하는 의심스러운 규칙이 사용자의 받은 편지함에 설정된 경우 경고를 트리거합니다. 이는 사용자의 계정이 손상되고, 메시지가 의도적으로 숨겨져 있으며, 사서함이 조직에서 스팸 또는 맬웨어를 배포하는 데 사용되고 있음을 나타낼 수 있습니다.

의심스러운 이메일 삭제 작업(미리 보기)

  • 이 정책은 환경을 프로파일링하고 사용자가 단일 세션에서 의심스러운 이메일 삭제 작업을 수행할 때 경고를 트리거합니다. 이 정책은 전자 메일을 통한 명령 및 제어 통신(C&C/C2)과 같은 잠재적인 공격 벡터에 의해 사용자의 사서함이 손상될 수 있음을 나타낼 수 있습니다.

참고 항목

클라우드용 Defender 앱은 Microsoft Defender XDR과 통합되어 URL 폭발, 맬웨어 보호 등을 포함하여 Exchange Online에 대한 보호를 제공합니다. Microsoft 365용 Defender를 사용하도록 설정하면 클라우드용 Defender 앱 활동 로그에 경고가 표시되기 시작합니다.

의심스러운 OAuth 앱 파일 다운로드 활동

  • 사용자 환경에 연결된 OAuth 앱을 검색하고 앱이 Microsoft SharePoint 또는 Microsoft OneDrive에서 여러 파일을 다운로드할 때 사용자에게 비정상적인 방식으로 경고를 트리거합니다. 이는 사용자 계정이 손상되었음을 나타낼 수 있습니다.

OAuth 앱 대한 비정상적인 ISP

  • 이 정책은 환경을 프로파일링하고 OAuth 앱이 일반적이지 않은 ISP에서 클라우드 애플리케이션에 연결할 때 경고를 트리거합니다. 이 정책은 공격자가 합법적인 손상된 앱을 사용하여 클라우드 애플리케이션에서 악의적인 활동을 수행하려 했음을 나타낼 수 있습니다.

비정상적인 활동(사용자별)

이러한 검색은 다음을 수행하는 사용자를 식별합니다.

  • 비정상적인 여러 파일 다운로드 활동
  • 비정상적인 파일 공유 활동
  • 비정상적인 파일 삭제 활동
  • 비정상적인 가장된 활동
  • 비정상적인 관리 활동
  • 비정상적인 Power BI 보고서 공유 활동(미리 보기)
  • 비정상적인 여러 VM 만들기 작업(미리 보기)
  • 비정상적인 여러 스토리지 삭제 작업(미리 보기)
  • 클라우드 리소스에 대한 비정상적인 지역(미리 보기)
  • 비정상적인 파일 액세스

이러한 정책은 학습된 기준과 관련하여 단일 세션 내에서 위반 시도를 나타낼 수 있는 활동을 찾습니다. 이러한 검색은 사용자 로그온 패턴을 프로파일링하고 가양성 값을 줄이는 기계 학습 알고리즘을 활용합니다. 이러한 검색은 환경을 프로파일링하고 조직의 활동에 대해 학습된 기준과 관련하여 경고를 트리거하는 추론 변칙 검색 엔진의 일부입니다.

여러 번의 로그인 시도 실패

  • 이 검색은 학습된 기준과 관련하여 단일 세션에서 로그인 시도가 여러 번 실패한 사용자를 나타냅니다. 이는 위반 시도일 수 있습니다.

승인되지 않은 앱으로 데이터 반출

  • 이 정책은 사용자 또는 IP 주소가 조직에서 정보를 반출하려는 시도와 유사한 작업을 수행하도록 승인되지 않은 앱을 사용할 때 자동으로 경고하도록 활성화됩니다.

복수 삭제 VM 작업

  • 이 정책은 환경을 프로파일링하고 사용자가 조직의 기준선과 관련하여 단일 세션에서 여러 VM을 삭제할 때 경고를 트리거합니다. 이는 보안 위반이 시도되었음을 나타낼 수 있습니다.

자동화된 거버넌스 사용

변칙 검색 정책에 의해 생성된 경고에 자동화된 수정 작업을 사용할 수 있습니다.

  1. 정책 페이지에서 검색 정책의 이름을 선택합니다.
  2. 열리는 변칙 검색 정책 편집 창의 거버넌스 작업에서 연결된 각 앱 또는 모든 앱에 대해 원하는 수정 작업을 설정합니다.
  3. 업데이트를 선택합니다.

변칙 검색 정책 조정

기본 설정에 따라 경고를 표시하거나 표면에 표시하도록 변칙 검색 엔진에 영향을 미치려면:

  • 불가능한 이동 정책에서는 민감도 슬라이더를 설정하여 경고가 트리거되기 전에 필요한 비정상적인 동작의 수준을 확인할 수 있습니다. 예를 들어 낮음 또는 보통으로 설정하면 사용자의 공통 위치에서 불가능한 이동 경고가 표시되지 않으며 높은 위치로 설정하면 이러한 경고가 표시됩니다. 다음 민감도 수준에서 선택할 수 있습니다.

    • 낮음: 시스템, 테넌트 및 사용자 표시 안 함

    • 중간: 시스템 및 사용자 표시 안 함

    • 높음: 시스템 표시 안 함만

      여기서

      표시 안 함 유형 설명
      시스템 항상 표시되지 않는 기본 제공 검색입니다.
      테넌트 테넌트에서 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 조직에서 이전에 경고한 ISP의 활동을 표시하지 않습니다.
      사용자 특정 사용자의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 사용자가 일반적으로 사용하는 위치에서 활동을 표시하지 않습니다.

참고 항목

불가능한 이동, 드문 국가/지역의 활동, 익명 IP 주소의 활동 및 의심스러운 IP 주소 경고의 활동은 실패한 로그인 및 비대화형 로그인에는 적용되지 않습니다.

변칙 검색 정책 범위 지정

정책에서 포함하고 제외할 사용자 및 그룹에만 정책이 적용되도록 각 변칙 검색 정책의 범위를 독립적으로 지정할 수 있습니다. 예를 들어, 자주 여행하는 특정 사용자를 무시하도록 자주 사용되지 않는 국가에서의 활동 검색을 설정할 수 있습니다.

변칙 검색 정책의 범위를 지정하려면

  1. Microsoft Defender 포털에서 Cloud Apps -Policies ->>Policy 관리이동합니다. 그런 다음, 정책 유형에 대한 변칙 검색 정책을 선택합니다.

  2. 범위를 지정할 정책을 선택합니다.

  3. 범위 아래의 기본 설정 모든 사용자 및 그룹 드롭다운을 특정 사용자 및 그룹으로 변경합니다.

  4. 포함을 선택하여 이 정책을 적용할 사용자 및 그룹을 지정합니다. 여기에서 선택하지 않은 모든 사용자나 그룹은 위협으로 간주되지 않고 경고를 생성하지 않습니다.

  5. 제외를 선택하여 이 정책이 적용되지 않는 사용자를 지정합니다. 여기에서 선택한 모든 사용자는 위협으로 간주되지 않고 경고를 생성하지 않으며, 포함에서 선택한 그룹의 멤버인 경우에도 마찬가지입니다.

    변칙 검색 범위 지정

변칙 검색 경고 심사

새 변칙 검색 정책으로 트리거된 다양한 경고를 신속하게 심사하여 먼저 주의를 기울여야 할 경고를 결정할 수 있습니다. 이렇게 하려면 경고에 대한 컨텍스트가 필요하므로 더 큰 그림을 보고 악의적인 일이 실제로 발생하는지 여부를 이해할 수 있습니다.

  1. 활동 로그에서 활동을 열어 활동 서랍을 표시할 수 있습니다. 사용자를 선택하여 사용자 인사이트 탭을 봅니다. 이 탭에는 경고 수, 활동 및 연결 위치와 같은 정보가 포함되어 있으며 이는 조사에서 중요합니다.

    변칙 검색 경고입니다.

  2. 맬웨어 감염된 파일의 경우 파일을 검색한 후에 감염된 파일 목록을 확인할 수 있습니다. 파일 서랍에서 맬웨어 파일 이름을 선택하여 파일이 감염된 해당 유형의 맬웨어에 대한 정보를 제공하는 맬웨어 보고서를 엽니다.

위협 방지 웨비나

다음 단계

조직 보호를 위한 모범 사례

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.