다음을 통해 공유


변칙 검색 경고 조사 방법

클라우드용 Microsoft Defender 앱은 악의적인 활동에 대한 보안 검색 및 경고를 제공합니다. 이 가이드의 목적은 각 경고에 대한 일반적이고 실용적인 정보를 제공하여 조사 및 수정 작업에 도움이 되는 것입니다. 이 가이드에는 경고 트리거 조건에 대한 일반적인 정보가 포함되어 있습니다. 그러나 변칙 검색은 본질적으로 비결정적이므로 표준에서 벗어나는 동작이 있을 때만 트리거된다는 점에 유의해야 합니다. 마지막으로 일부 경고는 미리 보기 상태일 수 있으므로 업데이트된 경고 상태 대한 공식 설명서를 정기적으로 검토하세요.

MITRE ATT&CK

클라우드용 Defender 앱 경고와 친숙한 MITRE ATT&CK Matrix 간의 관계를 설명하고 쉽게 매핑할 수 있도록 해당 MITRE ATT&CK 전술로 경고를 분류했습니다. 이 추가 참조를 사용하면 클라우드용 Defender 앱 경고가 트리거될 때 잠재적으로 사용 중인 의심스러운 공격 기술을 더 쉽게 이해할 수 있습니다.

이 가이드에서는 다음 범주의 클라우드용 Defender 앱 경고를 조사하고 수정하는 방법에 대한 정보를 제공합니다.

보안 경고 분류

적절한 조사에 따라 모든 클라우드용 Defender 앱 경고를 다음 활동 유형 중 하나로 분류할 수 있습니다.

  • 참 긍정(TP): 확인된 악성 활동에 대한 경고입니다.
  • 양성 진양성(B-TP): 침투 테스트 또는 기타 권한 있는 의심스러운 작업과 같이 의심스럽지만 악의적인 활동에 대한 경고입니다.
  • FP(가양성): 비정상 활동에 대한 경고입니다.

일반 조사 단계

권장 조치를 적용하기 전에 잠재적 위협을 보다 명확하게 이해하려면 모든 유형의 경고를 조사할 때 다음 일반 지침을 사용해야 합니다.

  • 사용자의 조사 우선 순위 점수를 검토하고 나머지 조직과 비교합니다. 이렇게 하면 조직에서 가장 큰 위험을 초래하는 사용자를 식별하는 데 도움이 됩니다.
  • TP식별하는 경우 모든 사용자의 활동을 검토하여 영향을 파악합니다.
  • 손상의 다른 지표에 대한 모든 사용자 활동을 검토하고 영향의 원본 및 범위를 탐색합니다. 예를 들어 다음 사용자 디바이스 정보를 검토하고 알려진 디바이스 정보와 비교합니다.
    • 운영 체제 및 버전
    • 브라우저 및 버전
    • IP 주소 및 위치

초기 액세스 경고

이 섹션에서는 악의적인 행위자가 조직에 초기 발판을 마련하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

익명 IP 주소에서의 활동

설명

Microsoft Threat Intelligence 또는 조직에서 익명 프록시 IP 주소로 식별된 IP 주소의 활동입니다. 이러한 프록시는 디바이스의 IP 주소를 숨기는 데 사용할 수 있으며 악의적인 활동에 사용될 수 있습니다.

TP, B-TP 또는 FP?

이 검색은 조직의 사용자가 널리 사용하는 잘못된 태그가 지정된 IP 주소와 같은 B-TP 인시던트를 줄이는 기계 학습 알고리즘을 사용합니다.

  1. TP: 익명 또는 TOR IP 주소에서 활동이 수행되었는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. B-TP: 사용자가 업무 범위에서 익명 IP 주소를 사용하는 것으로 알려진 경우 예를 들어 보안 분석가가 조직을 대신하여 보안 또는 침투 테스트를 수행하는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  • 손상의 다른 지표에 대한 모든 사용자 활동 및 경고를 검토합니다. 예를 들어 경고 다음에 비정상적인 파일 다운로드(사용자별) 또는 의심스러운 받은 편지함 전달 경고와 같은 또 다른 의심스러운 경고가 발생하는 경우 공격자가 데이터를 유출하려고 시도하는 경우가 많습니다.

자주 사용되지 않는 국가에서의 활동

악의적인 활동을 나타낼 수 있는 국가/지역의 활동입니다. 이 정책은 환경을 프로파일링하고, 최근이 아니거나 조직의 사용자가 방문한 적이 없는 위치에서 활동이 감지되면 경고를 트리거합니다.

정책은 사용자의 하위 집합으로 더 범위가 지정되거나 원격 위치로 이동하는 것으로 알려진 사용자를 제외할 수 있습니다.

학습 기간

비정상적인 위치를 검색하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업:

    1. 사용자를 일시 중단하고, 암호를 재설정하고, 계정을 안전하게 다시 사용하도록 설정할 적절한 시간을 식별합니다.
    2. 선택 사항: Power Automate를 사용하여 자주 사용하지 않는 위치에서 연결하는 것으로 감지된 사용자와 관리자에게 연락하여 활동을 확인하는 플레이북을 만듭니다.
  2. B-TP: 사용자가 이 위치에 있는 것으로 알려진 경우 예를 들어 자주 이동하며 현재 지정된 위치에 있는 사용자입니다.

    권장 작업:

    1. 경고를 해제하고 정책을 수정하여 사용자를 제외합니다.
    2. 빈번한 여행자를 위한 사용자 그룹을 만들고, 그룹을 클라우드용 Defender 앱으로 가져오고, 이 경고에서 사용자를 제외합니다.
    3. 선택 사항: Power Automate를 사용하여 자주 사용하지 않는 위치에서 연결하는 것으로 감지된 사용자와 관리자에게 연락하여 활동을 확인하는 플레이북을 만듭니다.

위반 범위 이해

  • 잠재적인 데이터 다운로드와 같이 손상되었을 수 있는 리소스를 검토합니다.

의심스러운 IP 주소에서의 활동

Microsoft 위협 인텔리전스 또는 조직에서 위험으로 식별된 IP 주소의 활동입니다. 이러한 IP 주소는 암호 스프레이, 봇넷 명령 및 제어(C&C) 수행과 같은 악의적인 활동에 관여하는 것으로 확인되었으며 손상된 계정을 나타낼 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. B-TP: 사용자가 업무 범위에서 IP 주소를 사용하는 것으로 알려진 경우 예를 들어 보안 분석가가 조직을 대신하여 보안 또는 침투 테스트를 수행하는 경우입니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 활동 로그를 검토하고 동일한 IP 주소에서 활동을 검색합니다.
  2. 잠재적인 데이터 다운로드 또는 관리 수정과 같이 손상되었을 수 있는 리소스를 검토합니다.
  3. 이러한 경고를 자발적으로 트리거하는 보안 분석가를 위한 그룹을 만들고 정책에서 제외합니다.

불가능한 이동

두 위치 간의 예상 이동 시간보다 짧은 기간 내에 다른 위치에 있는 동일한 사용자의 활동입니다. 이는 자격 증명 위반을 나타낼 수 있지만, 예를 들어 VPN을 사용하여 사용자의 실제 위치가 마스킹될 수도 있습니다.

위반의 강력한 표시가 있는 경우에만 정확도 및 경고를 개선하기 위해 클라우드용 Defender 앱은 조직의 각 사용자에 대한 기준을 설정하고 비정상적인 동작이 감지된 경우에만 경고합니다. 불가능한 여행 정책은 요구 사항에 맞게 미세 조정할 수 있습니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

이 검색은 여행 양쪽의 IP 주소가 안전한 것으로 간주될 때와 같이 명백한 B-TP 조건을 무시하는 기계 학습 알고리즘을 사용하며, 여행은 신뢰할 수 있으며 불가능한 여행 검색을 트리거하지 않습니다. 예를 들어 회사로 태그가 지정된 경우 양쪽 모두 안전한 것으로 간주됩니다. 그러나 여행의 한쪽 IP 주소만 안전한 것으로 간주되면 검색이 정상적으로 트리거됩니다.

  1. TP: 불가능한 여행 경고의 위치가 사용자에 대해 가능성이 낮다는 것을 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP(검색되지 않은 사용자 이동): 사용자가 최근에 목적지로 이동했는지 확인할 수 있는 경우 경고에 자세히 멘션. 예를 들어 비행기 모드에 있는 사용자의 휴대폰이 다른 위치로 이동하는 동안 회사 네트워크의 Exchange Online과 같은 서비스에 다시 연결된 기본. 사용자가 새 위치에 도착하면 휴대폰이 Exchange Online에 연결하여 불가능한 이동 경고를 트리거합니다.

    권장 작업: 경고를 해제합니다.

  3. FP (태그가 지정되지 않은 VPN): IP 주소 범위가 승인된 VPN에서 온 것인지 확인할 수 있는 경우

    권장 작업: 경고를 해제하고 VPN의 IP 주소 범위를 클라우드용 Defender 앱에 추가한 다음 이를 사용하여 VPN의 IP 주소 범위에 태그를 지정합니다.

위반 범위 이해

  1. 활동 로그를 검토하여 동일한 위치 및 IP 주소에서 유사한 활동을 이해합니다.
  2. 사용자가 새 위치에서 대량의 파일을 다운로드하는 등 다른 위험한 활동을 수행한 경우 이는 가능한 손상의 강력한 표시일 수 있습니다.
  3. 회사 VPN 및 IP 주소 범위를 추가합니다.
  4. Power Automate를 사용하여 플레이북을 만들고 사용자의 관리자에게 문의하여 사용자가 합법적으로 이동 중인지 확인합니다.
  5. 조직 여행 보고에 대한 알려진 여행자 데이터베이스를 만들고 이를 사용하여 여행 활동을 상호 참조하는 것이 좋습니다.

오해의 소지가 있는 OAuth 앱 이름

이 검색은 라틴 문자와 유사한 외문과 같은 문자가 있는 앱을 식별합니다. 이는 공격자가 악의적인 앱을 다운로드하도록 사용자를 속일 수 있도록 악성 앱을 알려진 신뢰할 수 있는 앱으로 위장하려는 시도를 나타낼 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 앱에 잘못된 이름이 있는지 확인할 수 있는 경우

    권장 작업: 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다.

앱에 대한 액세스를 금지하려면 앱 거버넌스 페이지의 Google 또는 Salesforce에서 금지하려는 앱이 표시되는 행에서 금지 아이콘을 선택합니다. - 사용자가 설치하고 권한을 부여한 앱이 금지되었음을 사용자에게 알릴지 선택할 수 있습니다. 이 알림을 통해 사용자는 앱이 비활성화되었으며 연결된 앱에 액세스할 수 없음을 알 수 있습니다. 사용자에게 알리지 않으려면 대화 상자에서 이 금지된 앱에 액세스 권한을 부여한 사용자에게 알림을 선택 취소합니다. - 앱 사용자에게 앱 사용이 금지될 예정임을 알리는 것이 좋습니다.

  1. FP: 앱에 잘못된 이름이 있지만 조직에서 합법적인 비즈니스 사용이 있는지 확인하는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

OAuth 앱의 잘못된 게시자 이름

이 검색은 라틴 문자와 유사한 외문과 같은 문자가 있는 앱을 식별합니다. 이는 공격자가 악의적인 앱을 다운로드하도록 사용자를 속일 수 있도록 악성 앱을 알려진 신뢰할 수 있는 앱으로 위장하려는 시도를 나타낼 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 앱에 잘못된 게시자 이름이 있는지 확인할 수 있는 경우

    권장 작업: 이 앱에서 요청한 사용 권한 수준 및 액세스 권한을 부여한 사용자를 검토합니다. 조사에 따라 이 앱에 대한 액세스를 금지하도록 선택할 수 있습니다.

  2. FP: 앱에 잘못된 게시자 이름이 있지만 합법적인 게시자인지 확인하는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 앱 거버넌스 페이지의 Google 또는 Salesforce 탭에서 앱을 선택하여 앱 서랍연 다음 관련 활동을 선택합니다. 그러면 앱에서 수행하는 활동에 대해 필터링된 활동 로그 페이지가 열립니다. 일부 앱의 경우 사용자가 수행하는 것으로 등록된 활동을 수행합니다. 이러한 활동은 활동 로그의 결과에서 자동으로 필터링됩니다. 활동 로그를 사용하여 더 자세히 조사하려면 활동 로그를 참조하세요.
  2. 앱이 의심스럽다고 의심되는 경우 다른 앱 스토어에서 앱의 이름과 게시자를 조사하는 것이 좋습니다. 앱 저장소를 검사 경우 다음 유형의 앱에 집중합니다.
    • 다운로드 수가 적은 앱.
    • 등급 또는 점수가 낮거나 좋지 않은 의견이 달린 앱.
    • 게시자 또는 웹 사이트가 의심스러운 앱.
    • 최근에 업데이트되지 않은 앱입니다. 앱이 더 이상 지원되지 않음을 나타낼 수 있습니다.
    • 관련 없는 권한을 보유한 앱. 위험한 앱임을 나타낼 수 있습니다.
  3. 앱이 여전히 의심스럽다고 의심되는 경우 온라인에서 앱 이름, 게시자 및 URL을 검색할 수 있습니다.

실행 경고

이 섹션에서는 악의적인 행위자가 조직에서 악성 코드를 실행하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

여러 스토리지 삭제 작업

학습된 기준과 비교할 때 사용자가 Azure Blob, AWS S3 버킷 또는 Cosmos DB와 같은 리소스에서 비정상적인 수의 클라우드 스토리지 또는 데이터베이스 삭제를 수행했음을 나타내는 단일 세션의 활동입니다. 이는 조직의 위반 시도를 나타낼 수 있습니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 삭제가 승인되지 않은지 확인하는 경우

    권장 작업: 사용자를 일시 중단하고, 암호를 재설정하고, 모든 디바이스에서 악의적인 위협을 검색합니다. 손상의 다른 지표에 대한 모든 사용자 활동을 검토하고 영향 범위를 탐색합니다.

  2. FP: 조사 후 관리자가 이러한 삭제 작업을 수행할 권한이 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 사용자에게 문의하고 활동을 확인합니다.
  2. 다른 손상 지표에 대한 활동 로그를 검토하고 변경한 사용자를 확인합니다.
  3. 다른 서비스에 대한 변경 내용은 해당 사용자의 활동을 검토합니다.

여러 VM 만들기 작업

학습된 기준과 비교할 때 사용자가 비정상적인 수의 VM 만들기 작업을 수행했음을 나타내는 단일 세션의 활동입니다. 위반된 클라우드 인프라에서 여러 VM을 만들면 조직 내에서 암호화 마이닝 작업을 실행하려는 시도를 나타낼 수 있습니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

위반에 대한 강력한 표시가 있을 때만 정확도 및 경고를 개선하기 위해 이 검색은 조직 내 각 환경에 대한 기준을 설정하여 관리자가 설정된 기준보다 더 많은 VM을 합법적으로 만든 것과 같은 B-TP 인시던트를 줄이고 비정상적인 동작이 감지될 때만 경고합니다.

  • TP: 합법적인 사용자가 생성 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 암호를 재설정하고, 모든 디바이스에서 악의적인 위협을 검색합니다. 손상의 다른 지표에 대한 모든 사용자 활동을 검토하고 영향 범위를 탐색합니다. 또한 사용자에게 연락하여 합법적인 작업을 확인한 다음 손상된 VM을 사용하지 않도록 설정하거나 삭제해야 합니다.

  • B-TP: 조사 후 관리자가 이러한 만들기 작업을 수행할 권한이 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 손상의 다른 지표에 대한 모든 사용자 활동을 검토합니다.
  2. 사용자가 만들거나 수정한 리소스를 검토하고 조직의 정책을 준수하는지 확인합니다.

클라우드 지역에 대한 의심스러운 만들기 작업(미리 보기)

학습된 기준과 비교할 때 사용자가 일반적이지 않은 AWS 지역에서 비정상적인 리소스 생성 작업을 수행했음을 나타내는 활동입니다. 드문 클라우드 지역에서 리소스를 만들면 조직 내에서 암호화 마이닝 작업과 같은 악의적인 작업을 수행하려는 시도를 나타낼 수 있습니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

위반에 대한 강력한 표시가 있는 경우에만 정확도 및 경고를 개선하기 위해 이 검색은 B-TP 인시던트를 줄이기 위해 조직의 각 환경에 대한 기준을 설정합니다.

  • TP: 합법적인 사용자가 생성 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 암호를 재설정하고, 모든 디바이스에서 악의적인 위협을 검색합니다. 손상의 다른 지표에 대한 모든 사용자 활동을 검토하고 영향 범위를 탐색합니다. 또한 사용자에게 연락하여 합법적인 작업을 확인한 다음 손상된 클라우드 리소스를 사용하지 않도록 설정하거나 삭제해야 합니다.

  • B-TP: 조사 후 관리자가 이러한 만들기 작업을 수행할 권한이 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 손상의 다른 지표에 대한 모든 사용자 활동을 검토합니다.
  2. 만든 리소스를 검토하고 조직의 정책을 준수하는지 확인합니다.

지속성 경고

이 섹션에서는 악의적인 행위자가 조직에서 자신의 발판을 기본 하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

종료된 사용자가 수행한 활동

종료된 사용자가 수행한 활동은 회사 리소스에 대한 액세스 권한이 있는 종료된 직원이 악의적인 활동을 수행하려고 함을 나타낼 수 있습니다. 클라우드용 Defender 앱은 조직의 사용자를 프로파일링하고 종료된 사용자가 작업을 수행할 때 경고를 트리거합니다.

TP, B-TP 또는 FP?

  1. TP: 종료된 사용자가 여전히 특정 회사 리소스에 액세스할 수 있고 활동을 수행하고 있는지 확인할 수 있는 경우

    권장 작업: 사용자를 사용하지 않도록 설정합니다.

  2. B-TP: 사용자가 일시적으로 비활성화되었거나 삭제되어 다시 등록되었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. HR 레코드를 상호 참조하여 사용자가 종료되었음을 확인합니다.
  2. Microsoft Entra 사용자 계정이 있는지 확인합니다.

    참고 항목

    Microsoft Entra 커넥트 사용하는 경우 온-프레미스 Active Directory 개체의 유효성을 검사하고 성공적인 동기화 주기를 확인합니다.

  3. 종료된 사용자가 액세스 권한이 있는 모든 앱을 식별하고 계정을 서비스 해제합니다.
  4. 서비스 해제 절차를 업데이트합니다.

CloudTrail 로깅 서비스의 의심스러운 변경

사용자가 AWS CloudTrail 로깅 서비스에 의심스러운 변경을 수행했음을 나타내는 단일 세션의 활동입니다. 이는 조직의 위반 시도를 나타낼 수 있습니다. CloudTrail을 사용하지 않도록 설정하면 운영 변경 내용이 더 이상 기록되지 않습니다. 공격자는 S3 버킷을 프라이빗에서 퍼블릭으로 수정하는 등 CloudTrail 감사 이벤트를 피하면서 악의적인 활동을 수행할 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 암호를 재설정하고, CloudTrail 작업을 취소합니다.

  2. FP: 사용자가 CloudTrail 서비스를 합법적으로 사용하지 않도록 설정했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 활동 로그에서 다른 손상 지표를 검토하고 CloudTrail 서비스를 변경한 사용자를 확인합니다.
  2. 선택 사항: Power Automate를 사용하여 플레이북을 만들어 사용자 및 관리자에게 문의하여 활동을 확인합니다.

의심스러운 이메일 삭제 활동(사용자별)

사용자가 의심스러운 전자 메일 삭제를 수행했음을 나타내는 단일 세션의 활동입니다. 삭제 유형은 전자 메일 항목을 삭제하고 사용자의 사서함에서 사용할 수 없는 "하드 삭제" 유형이었습니다. 삭제는 ISP, 국가/지역 및 사용자 에이전트와 같은 일반적이지 않은 기본 설정을 포함하는 연결에서 수행되었습니다. 이는 스팸 활동과 관련된 전자 메일을 삭제하여 작업을 마스킹하려는 공격자와 같은 조직의 위반 시도를 나타낼 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP: 사용자가 메시지를 삭제하는 규칙을 합법적으로 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  • 의심스러운 받은 편지함 전달 경고와 불가능한 이동 경고와 같은 다른 손상 지표에 대한 모든 사용자 활동을 검토합니다. 살펴볼 항목:

    1. 다음과 같이 새 SMTP 전달 규칙:
      • 악의적인 전달 규칙 이름을 확인합니다. 규칙 이름은 "모든 전자 메일 전달" 및 "자동 전달"과 같은 간단한 이름 또는 거의 보이지 않는 "."와 같은 기만적인 이름에 따라 달라질 수 있습니다. 전달 규칙 이름은 비어 있을 수도 있고 전달 받는 사람은 단일 전자 메일 계정 또는 전체 목록일 수 있습니다. 악의적인 규칙은 사용자 인터페이스에서 숨길 수도 있습니다. 검색되면 사서함에서 숨겨진 규칙을 삭제하는 방법에 대한 이 유용한 블로그 게시물을 사용할 수 있습니다.
      • 알 수 없는 내부 또는 외부 전자 메일 주소로 인식할 수 없는 전달 규칙을 검색하는 경우 받은 편지함 계정이 손상되었다고 가정할 수 있습니다.
    2. "모두 삭제", "메시지를 다른 폴더로 이동"과 같은 새 받은 편지함 규칙 또는 모호한 명명 규칙이 있는 규칙(예: "...")입니다.
    3. 보낸 전자 메일의 증가입니다.

의심스러운 받은 편지함 조작 규칙

공격자가 사용자의 받은 편지함에 액세스하고 의심스러운 규칙을 만들었다는 것을 나타내는 활동입니다. 사용자의 받은 편지함에서 메시지 또는 폴더 삭제 또는 이동과 같은 조작 규칙은 조직에서 정보를 유출하려는 시도일 수 있습니다. 마찬가지로 사용자가 보는 정보를 조작하거나 받은 편지함을 사용하여 스팸, 피싱 전자 메일 또는 맬웨어를 배포하려는 시도를 나타낼 수 있습니다. 클라우드용 Defender 앱은 사용자의 받은 편지함에서 의심스러운 받은 편지함 조작 규칙이 검색되면 환경을 프로파일링하고 경고를 트리거합니다. 이는 사용자의 계정이 손상되었음을 나타낼 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 악의적인 받은 편지함 규칙이 생성되고 계정이 손상되었는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 암호를 재설정하고, 전달 규칙을 제거합니다.

  2. FP: 사용자가 규칙을 합법적으로 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 의심스러운 받은 편지함 전달 경고와 불가능한 이동 경고와 같은 다른 손상 지표에 대한 모든 사용자 활동을 검토합니다. 찾으세요:
    • 새 SMTP 전달 규칙입니다.
    • "모두 삭제", "메시지를 다른 폴더로 이동"과 같은 새 받은 편지함 규칙 또는 모호한 명명 규칙이 있는 규칙(예: "...")입니다.
  2. 작업에 대한 IP 주소 및 위치 정보를 수집합니다.
  3. 다른 손상된 사용자를 검색하는 규칙을 만드는 데 사용되는 IP 주소에서 수행된 활동을 검토합니다.

권한 상승 경고

이 섹션에서는 악의적인 행위자가 조직에서 더 높은 수준의 권한을 얻으려고 시도할 수 있음을 나타내는 경고를 설명합니다.

비정상적인 관리 작업(사용자별)

공격자가 사용자 계정을 손상하고 해당 사용자에게 일반적이지 않은 관리 작업을 수행했음을 나타내는 활동입니다. 예를 들어 공격자는 사용자에 대한 보안 설정을 변경하려고 시도할 수 있으며, 이는 일반 사용자에게는 비교적 드문 작업입니다. 클라우드용 Defender 앱은 사용자의 동작에 따라 기준을 만들고 비정상적인 동작이 감지되면 경고를 트리거합니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 관리자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP: 관리자가 비정상적인 양의 관리 활동을 합법적으로 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 의심스러운 받은 편지함 전달 또는 불가능한 이동과 같은 다른 손상 지표에 대한 모든 사용자 활동을 검토합니다.
  2. 지속성에 사용할 수 있는 사용자 계정 만들기와 같은 다른 구성 변경 내용을 검토합니다.

자격 증명 액세스 경고

이 섹션에서는 악의적인 행위자가 조직에서 계정 이름 및 암호를 도용하려고 시도할 수 있음을 나타내는 경고를 설명합니다.

여러 번의 로그인 시도 실패

실패한 로그인 시도는 계정 위반 시도를 나타낼 수 있습니다. 그러나 실패한 로그인은 정상적인 동작일 수도 있습니다. 예를 들어 사용자가 실수로 잘못된 암호를 입력한 경우입니다. 위반 시도에 대한 강력한 표시가 있는 경우에만 정확도 및 경고를 달성하기 위해 클라우드용 Defender 앱은 조직의 각 사용자에 대한 로그인 습관의 기준을 설정하고 비정상적인 동작이 감지된 경우에만 경고합니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

이 정책은 사용자의 일반적인 로그인 동작 학습을 기반으로 합니다. 표준의 편차가 감지되면 경고가 트리거됩니다. 검색에서 동일한 동작이 계속되는지 확인하기 시작하면 경고가 한 번만 발생합니다.

  1. TP (MFA 실패): MFA가 제대로 작동하는지 확인할 수 있는 경우 이는 무차별 암호 대입 공격 시도의 징후일 수 있습니다.

    권장 작업은 다음과 같습니다.

    1. 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 다시 설정합니다.
    2. 실패한 인증을 수행한 앱을 찾아 다시 구성합니다.
    3. 활동이 손상되었을 수도 있으므로 활동 시간 전후에 로그인한 다른 사용자를 찾습니다. 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 다시 설정합니다.
  2. B-TP (MFA 실패): MFA 문제로 인해 경고가 발생했는지 확인할 수 있는 경우.

    권장 작업: Power Automate를 사용하여 플레이북을 만들어 사용자에게 문의하고 MFA에 문제가 있는 경우 검사.

  3. B-TP (잘못 구성된 앱): 잘못 구성된 앱이 만료된 자격 증명으로 서비스에 여러 번 연결하려고 시도하는 것을 확인할 수 있는 경우.

    권장 작업: 경고를 해제합니다.

  4. B-TP (암호 변경): 사용자가 최근에 암호를 변경했음을 확인할 수 있지만 네트워크 공유에서 자격 증명에 영향을 주지 않은 경우

    권장 작업: 경고를 해제합니다.

  5. B-TP (보안 테스트): 보안 또는 침투 테스트가 조직을 대신하여 보안 분석가에 의해 수행되고 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 모든 사용자 활동을 검토하여 경고와 같은 다른 손상 지표를 검토한 다음 불가능한 여행, 익명 IP 주소의 활동 또는 드문 국가의 활동 경고 중 하나를 수행합니다.
  2. 다음 사용자 디바이스 정보를 검토하고 알려진 디바이스 정보와 비교합니다.
    • 운영 체제 및 버전
    • 브라우저 및 버전
    • IP 주소 및 위치
  3. 인증 시도가 발생한 원본 IP 주소 또는 위치를 식별합니다.
  4. 사용자가 최근에 암호를 변경했는지 확인하고 모든 앱과 디바이스에 업데이트된 암호가 있는지 확인합니다.

OAuth 앱에 비정상적으로 자격 증명 추가

이 검색은 OAuth 앱에 대한 권한 있는 자격 증명의 의심스러운 추가를 식별합니다. 이는 공격자가 앱을 손상시키고 악의적인 활동에 사용하고 있음을 나타낼 수 있습니다.

학습 기간

조직의 환경을 학습하려면 7일의 기간이 필요하며, 이 기간 동안 많은 양의 경고가 발생할 수 있습니다.

OAuth 앱에 대한 비정상적인 ISP

검색은 앱에서 일반적이지 않은 ISP에서 클라우드 애플리케이션에 연결하는 OAuth 앱을 식별합니다. 이는 공격자가 합법적인 손상된 앱을 사용하여 클라우드 애플리케이션에서 악의적인 활동을 수행하려 했음을 나타낼 수 있습니다.

학습 기간

이 검색에 대한 학습 기간은 30일입니다.

TP, B-TP 또는 FP?

  1. TP: 활동이 OAuth 앱의 합법적인 활동이 아니거나 합법적인 OAuth 앱에서 이 ISP를 사용하지 않는지 확인할 수 있는 경우

    권장 작업: OAuth 앱의 모든 액세스 토큰을 해지하고 공격자가 OAuth 액세스 토큰 생성에 액세스할 수 있는지 조사합니다.

  2. FP: 정품 OAuth 앱에서 활동을 합법적으로 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. OAuth 앱에서 수행하는 활동을 검토합니다.

  2. 공격자가 OAuth 액세스 토큰 생성에 액세스할 수 있는지 조사합니다.

컬렉션 경고

이 섹션에서는 악의적인 행위자가 조직에서 해당 목표에 대한 관심 있는 데이터를 수집하려고 할 수 있음을 나타내는 경고를 설명합니다.

여러 Power BI 보고서 공유 활동

학습된 기준과 비교할 때 사용자가 Power BI에서 비정상적인 수의 공유 보고서 활동을 수행했음을 나타내는 단일 세션의 활동입니다. 이는 조직의 위반 시도를 나타낼 수 있습니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: Power BI에서 공유 액세스를 제거합니다. 계정이 손상되었는지 확인할 수 있는 경우 사용자를 일시 중단하고 사용자를 손상된 것으로 표시하고 암호를 다시 설정합니다.

  2. FP: 사용자에게 이러한 보고서를 공유할 비즈니스 근거가 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 활동 로그를 검토하여 사용자가 수행한 다른 활동을 더 잘 이해할 수 있습니다. 로그인한 IP 주소와 디바이스 세부 정보를 확인합니다.
  2. 내부 및 외부에서 보고서를 공유하기 위한 지침을 이해하려면 Power BI 팀 또는 Information Protection 팀에 문의하세요.

의심스러운 Power BI 보고서 공유

사용자가 NLP를 사용하여 식별된 중요한 정보를 포함할 수 있는 Power BI 보고서를 공유하여 보고서의 메타데이터를 분석했음을 나타내는 활동입니다. 보고서는 외부 전자 메일 주소와 공유되었거나 웹에 게시되었거나 스냅샷 외부 구독 전자 메일 주소로 배달되었습니다. 이는 조직의 위반 시도를 나타낼 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: Power BI에서 공유 액세스를 제거합니다. 계정이 손상되었는지 확인할 수 있는 경우 사용자를 일시 중단하고 사용자를 손상된 것으로 표시하고 암호를 다시 설정합니다.

  2. FP: 사용자에게 이러한 보고서를 공유할 비즈니스 근거가 있는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 활동 로그를 검토하여 사용자가 수행한 다른 활동을 더 잘 이해할 수 있습니다. 로그인한 IP 주소와 디바이스 세부 정보를 확인합니다.
  2. 내부 및 외부에서 보고서를 공유하기 위한 지침을 이해하려면 Power BI 팀 또는 Information Protection 팀에 문의하세요.

비정상적인 가장 활동(사용자별)

일부 소프트웨어에는 다른 사용자가 다른 사용자를 가장할 수 있도록 허용하는 옵션이 있습니다. 예를 들어 전자 메일 서비스를 사용하면 사용자가 다른 사용자가 대신 전자 메일을 보낼 수 있도록 권한을 부여할 수 있습니다. 이 활동은 일반적으로 공격자가 조직에 대한 정보를 추출하기 위해 피싱 이메일을 만드는 데 사용됩니다. 클라우드용 Defender 앱은 사용자의 동작에 따라 기준을 만들고 비정상적인 가장 활동이 감지되면 활동을 만듭니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP (비정상적인 동작): 사용자가 비정상적인 활동을 합법적으로 수행했는지 또는 설정된 기준보다 더 많은 활동을 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

  3. FP: Teams와 같은 앱이 사용자를 합법적으로 가장했는지 확인할 수 있는 경우

    권장 작업: 작업을 검토하고 필요한 경우 경고를 해제합니다.

위반 범위 이해

  1. 모든 사용자 활동 및 경고를 검토하여 추가 손상 지표를 검토합니다.
  2. 가장 활동을 검토하여 잠재적인 악의적인 활동을 식별합니다.
  3. 위임된 액세스 구성을 검토합니다.

반출 경고

이 섹션에서는 악의적인 행위자가 조직에서 데이터를 도용하려고 할 수 있음을 나타내는 경고에 대해 설명합니다.

의심스러운 받은 편지함 전달

공격자가 사용자의 받은 편지함에 액세스하고 의심스러운 규칙을 만들었다는 것을 나타내는 활동입니다. 모든 전자 메일 또는 특정 전자 메일을 다른 전자 메일 계정으로 전달하는 것과 같은 조작 규칙은 조직에서 정보를 유출하려는 시도일 수 있습니다. 클라우드용 Defender 앱은 사용자의 받은 편지함에서 의심스러운 받은 편지함 조작 규칙이 검색되면 환경을 프로파일링하고 경고를 트리거합니다. 이는 사용자의 계정이 손상되었음을 나타낼 수 있습니다.

TP, B-TP 또는 FP?

  1. TP: 악의적인 받은 편지함 전달 규칙이 생성되고 계정이 손상되었는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 암호를 재설정하고, 전달 규칙을 제거합니다.

  2. FP: 사용자가 합법적인 이유로 새 또는 개인 외부 전자 메일 계정에 전달 규칙을 만들었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 경고 다음에 불가능한 이동 경고와 같은 추가 손상 지표가 있는지 모든 사용자 활동을 검토합니다. 살펴볼 항목:

    1. 다음과 같이 새 SMTP 전달 규칙:
      • 악의적인 전달 규칙 이름을 확인합니다. 규칙 이름은 "모든 전자 메일 전달" 및 "자동 전달"과 같은 간단한 이름 또는 거의 보이지 않는 "."와 같은 기만적인 이름에 따라 달라질 수 있습니다. 전달 규칙 이름은 비어 있을 수도 있고 전달 받는 사람은 단일 전자 메일 계정 또는 전체 목록일 수 있습니다. 악의적인 규칙은 사용자 인터페이스에서 숨길 수도 있습니다. 검색되면 사서함에서 숨겨진 규칙을 삭제하는 방법에 대한 이 유용한 블로그 게시물을 사용할 수 있습니다.
      • 알 수 없는 내부 또는 외부 전자 메일 주소로 인식할 수 없는 전달 규칙을 검색하는 경우 받은 편지함 계정이 손상되었다고 가정할 수 있습니다.
    2. "모두 삭제", "메시지를 다른 폴더로 이동"과 같은 새 받은 편지함 규칙 또는 모호한 명명 규칙이 있는 규칙(예: "...")입니다.
  2. 다른 손상된 사용자를 검색하는 규칙을 만드는 데 사용되는 IP 주소에서 수행된 활동을 검토합니다.

  3. Exchange Online 메시지 추적을 사용하여 전달된 메시지 목록을 검토합니다.

비정상적인 파일 다운로드(사용자별)

학습된 기준과 비교할 때 사용자가 클라우드 스토리지 플랫폼에서 비정상적인 수의 파일 다운로드를 수행했음을 나타내는 활동입니다. 이는 조직에 대한 정보를 얻으려는 시도를 나타낼 수 있습니다. 클라우드용 Defender 앱은 사용자의 동작에 따라 기준을 만들고 비정상적인 동작이 감지되면 경고를 트리거합니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP (비정상적인 동작): 사용자가 설정된 기준보다 더 많은 파일 다운로드 작업을 합법적으로 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

  3. FP (소프트웨어 동기화): OneDrive와 같은 소프트웨어가 경고를 발생시킨 외부 백업과 동기화되었는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 다운로드 활동을 검토하고 다운로드한 파일 목록을 만듭니다.
  2. 리소스 소유자와 함께 다운로드한 파일의 민감도를 검토하고 액세스 수준의 유효성을 검사합니다.

비정상적인 파일 액세스(사용자별)

사용자가 학습된 기준과 비교하여 재무 데이터 또는 네트워크 데이터가 포함된 파일에 대해 SharePoint 또는 OneDrive에서 비정상적인 수의 파일 액세스를 수행했음을 나타내는 활동입니다. 이는 재무 목적이나 자격 증명 액세스 및 횡적 이동을 위해 조직에 대한 정보를 얻으려는 시도를 나타낼 수 있습니다. 클라우드용 Defender 앱은 사용자의 동작에 따라 기준을 만들고 비정상적인 동작이 감지되면 경고를 트리거합니다.

학습 기간

학습 기간은 사용자의 활동에 따라 달라집니다. 일반적으로 학습 기간은 대부분의 사용자에게 21일에서 45일 사이입니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP (비정상적인 동작): 사용자가 설정된 기준보다 더 많은 파일 액세스 활동을 합법적으로 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 액세스 활동을 검토하고 액세스된 파일 목록을 만듭니다.
  2. 리소스 소유자와 함께 액세스한 파일의 민감도를 검토하고 액세스 수준의 유효성을 검사합니다.

비정상적인 파일 공유 작업(사용자별)

학습된 기준과 비교할 때 사용자가 클라우드 스토리지 플랫폼에서 비정상적인 수의 파일 공유 작업을 수행했음을 나타내는 활동입니다. 이는 조직에 대한 정보를 얻으려는 시도를 나타낼 수 있습니다. 클라우드용 Defender 앱은 사용자의 동작에 따라 기준을 만들고 비정상적인 동작이 감지되면 경고를 트리거합니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP (비정상적인 동작): 사용자가 설정된 기준보다 더 많은 파일 공유 활동을 합법적으로 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 공유 활동을 검토하고 공유 파일 목록을 만듭니다.
  2. 리소스 소유자와 공유 파일의 민감도를 검토하고 액세스 수준의 유효성을 검사합니다.
  3. 유사한 문서에 대한 파일 정책을 만들어 중요한 파일의 향후 공유를 검색합니다.

영향 경고

이 섹션에서는 악의적인 행위자가 조직의 시스템 및 데이터를 조작, 중단 또는 삭제하려고 시도할 수 있음을 나타내는 경고에 대해 설명합니다.

복수 삭제 VM 작업

학습된 기준과 비교할 때 사용자가 비정상적인 수의 VM 삭제를 수행했음을 나타내는 단일 세션의 활동입니다. 여러 VM 삭제는 환경을 중단하거나 삭제하려는 시도를 나타낼 수 있습니다. 그러나 VM이 삭제되는 일반적인 시나리오는 많습니다.

TP, B-TP 또는 FP?

위반의 강력한 표시가 있는 경우에만 정확도 및 경고를 개선하기 위해 이 검색은 B-TP 인시던트를 줄이고 비정상적인 동작이 감지된 경우에만 경고하도록 조직의 각 환경에 대한 기준을 설정합니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

  • TP: 삭제가 승인되지 않은 것을 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 암호를 재설정하고, 모든 디바이스에서 악의적인 위협을 검색합니다. 손상의 다른 지표에 대한 모든 사용자 활동을 검토하고 영향 범위를 탐색합니다.

  • B-TP: 조사 후 관리자가 이러한 삭제 작업을 수행할 권한이 있는지 확인할 수 있습니다.

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 사용자에게 문의하고 활동을 확인합니다.
  2. 모든 사용자 활동을 검토하여 경고와 같은 추가 손상 지표를 검토한 다음, 불가능한 여행, 익명 IP 주소의 활동 또는 드문 국가의 활동 경고 중 하나를 수행합니다.

랜섬웨어 활동

랜섬웨어는 공격자가 디바이스에서 피해자를 잠그거나 피해자가 몸값을 지불할 때까지 파일에 액세스하지 못하도록 차단하는 사이버 공격입니다. 랜섬웨어는 악의적인 공유 파일 또는 손상된 네트워크에 의해 확산될 수 있습니다. 클라우드용 Defender 앱은 보안 연구 전문 지식, 위협 인텔리전스 및 학습된 행동 패턴을 사용하여 랜섬웨어 활동을 식별합니다. 예를 들어 파일 업로드 또는 파일 삭제 비율이 높을수록 랜섬웨어 작업에서 흔히 발생하는 암호화 프로세스를 나타낼 수 있습니다.

이 검색은 사용자가 클라우드에 액세스하는 시기 및 일반적으로 클라우드에서 수행하는 작업과 같이 조직의 각 사용자의 정상적인 작업 패턴에 대한 기준을 설정합니다.

클라우드용 Defender 앱 자동화된 위협 탐지 정책은 연결하는 순간부터 백그라운드에서 실행되기 시작합니다. 클라우드용 Defender 앱은 보안 연구 전문 지식을 사용하여 조직의 랜섬웨어 활동을 반영하는 행동 패턴을 식별하여 정교한 랜섬웨어 공격에 대한 포괄적인 범위를 제공합니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP (비정상적인 동작): 사용자는 짧은 기간 동안 유사한 파일의 여러 삭제 및 업로드 작업을 합법적으로 수행했습니다.

    권장 작업: 활동 로그를 검토하고 파일 확장 프로그램이 의심스럽지 않은지 확인한 후 경고를 해제합니다.

  3. FP (일반 랜섬웨어 파일 확장명): 영향을 받는 파일의 확장이 알려진 랜섬웨어 확장과 일치하는지 확인할 수 있는 경우.

    권장 작업: 사용자에게 문의하고 파일이 안전한지 확인한 다음 경고를 해제합니다.

위반 범위 이해

  1. 파일의 대량 다운로드 또는 대량 삭제와 같은 손상의 다른 지표는 활동 로그를 검토합니다.
  2. 엔드포인트용 Microsoft Defender 사용하는 경우 사용자의 컴퓨터 경고를 검토하여 악성 파일이 검색되었는지 확인합니다.
  3. 활동 로그에서 악성 파일 업로드 및 공유 활동을 검색합니다.

비정상적인 파일 삭제 작업(사용자별)

학습된 기준과 비교할 때 사용자가 비정상적인 파일 삭제 작업을 수행했음을 나타내는 활동입니다. 랜섬웨어 공격을 나타낼 수 있습니다. 예를 들어 공격자는 사용자의 파일을 암호화하고 모든 원본을 삭제할 수 있으며, 피해자가 몸값을 지불하도록 강제하는 데 사용할 수 있는 암호화된 버전만 남게 됩니다. 클라우드용 Defender 앱은 사용자의 정상적인 동작에 따라 기준을 만들고 비정상적인 동작이 감지되면 경고를 트리거합니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 새 위치에 대해 경고가 트리거되지 않는 7일의 초기 학습 기간이 필요합니다.

TP, B-TP 또는 FP?

  1. TP: 합법적인 사용자가 활동을 수행하지 않았는지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. FP: 사용자가 설정된 기준보다 더 많은 파일 삭제 작업을 합법적으로 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 삭제 작업을 검토하고 삭제된 파일 목록을 만듭니다. 필요한 경우 삭제된 파일을 복구합니다.
  2. 필요에 따라 Power Automate를 사용하여 사용자 및 관리자에게 문의하여 활동을 확인하는 플레이북을 만듭니다.

조사 우선 순위 점수 증가(미리 보기)

경고를 트리거한 비정상적인 활동 및 활동에는 사용자의 심각도, 사용자 영향 및 행동 분석에 따라 점수가 지정됩니다. 분석은 테넌트에서 다른 사용자를 기반으로 수행됩니다.

특정 사용자의 조사 우선 순위 점수가 상당히 비정상적으로 증가하면 경고가 트리거됩니다.

이 경고를 사용하면 특정 경고를 반드시 트리거하지는 않지만 사용자의 의심스러운 동작에 누적되는 활동이 특징인 잠재적 위반을 검색할 수 있습니다.

학습 기간

새 사용자의 활동 패턴을 설정하려면 7일의 초기 학습 기간이 필요하며, 이 기간 동안에는 점수 증가에 대한 경고가 트리거되지 않습니다.

TP, B-TP 또는 FP?

  1. TP: 사용자의 활동이 합법적이지 않은지 확인할 수 있는 경우

    권장 작업: 사용자를 일시 중단하고, 사용자를 손상된 것으로 표시하고, 암호를 재설정합니다.

  2. B-TP: 사용자가 실제로 일반적인 동작에서 크게 벗어난 것을 확인할 수 있지만 잠재적인 위반은 없습니다.

  3. FP (비정상적인 동작): 사용자가 비정상적인 활동을 합법적으로 수행했는지 또는 설정된 기준보다 더 많은 활동을 수행했는지 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

위반 범위 이해

  1. 모든 사용자 활동 및 경고를 검토하여 추가 손상 지표를 검토합니다.

사용 중단 타임라인

2024년 8월까지 클라우드용 Microsoft Defender 앱에서 조사 우선 순위 점수 증가 경고를 점진적으로 사용 중지하고 있습니다.

신중한 분석과 고려 끝에 이 경고와 관련된 가양성의 비율이 높기 때문에 이를 중단하기로 결정했습니다. 이는 조직의 전반적인 보안에 효과적으로 기여하지 않는 것으로 나타났습니다.

우리의 연구는이 기능이 중요한 가치를 추가하지 않았으며 고품질의 신뢰할 수있는 보안 솔루션을 제공하는 우리의 전략적 초점과 일치하지 않았다고 지적했습니다.

당사는 서비스를 지속적으로 개선하고 고객의 요구와 기대를 충족할 수 있도록 하기 위해 최선을 다하고 있습니다.

이 경고를 계속 사용하려는 사용자를 위해 다음 고급 헌팅 쿼리를 대신 제안된 템플릿으로 사용하는 것이 좋습니다. 필요에 따라 쿼리를 수정합니다.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores

참고 항목