자습서: UEBA(동작 분석)를 사용하여 의심스러운 사용자 활동 검색

클라우드용 Microsoft Defender 앱은 손상된 사용자, 내부자 위협, 반출, 랜섬웨어 등에 대한 공격 킬 체인 전반에서 동급 최고의 탐지 기능을 제공합니다. 이 포괄적인 솔루션은 변칙, UEBA(동작 분석) 및 규칙 기반 활동 검색을 비롯한 여러 검색 방법을 결합하여 사용자가 사용자 환경에서 앱을 사용하는 방법에 대한 광범위한 보기를 제공하여 달성됩니다.

그렇다면 의심스러운 동작을 감지하는 것이 중요한 이유는 무엇일까요? 클라우드 환경을 변경할 수 있는 사용자의 영향은 중요할 수 있으며 비즈니스를 실행하는 능력에 직접적인 영향을 줄 수 있습니다. 예를 들어 고객에게 제공하는 공개 웹 사이트 또는 서비스를 실행하는 서버와 같은 주요 회사 리소스가 손상될 수 있습니다.

클라우드용 Defender 앱은 여러 원본에서 캡처한 데이터를 사용하여 데이터를 분석하여 조직의 앱 및 사용자 활동을 추출하여 보안 분석가에게 클라우드 사용에 대한 가시성을 제공합니다. 수집된 데이터는 위협 인텔리전스, 위치 및 기타 많은 세부 정보와 상관 관계, 표준화 및 보강되어 의심스러운 활동에 대한 정확하고 일관된 보기를 제공합니다.

따라서 이러한 검색의 이점을 완전히 실현하려면 먼저 다음 원본을 구성해야 합니다.

• 활동 로그
  API 연결 앱의 활동.
• 검색 로그
  클라우드용 Defender 앱으로 전달되는 방화벽 및 프록시 트래픽 로그에서 추출된 활동입니다. 로그는 90개 이상의 위험 요소를 기반으로 클라우드 앱 카탈로그에 대해 분석되고, 순위가 매겨지고, 점수가 매겨집니다.
• 프록시 로그
  조건부 액세스 앱 제어 앱의 활동

다음으로, 정책을 조정하려고 합니다. 필터, 검색 모델을 학습하는 데 도움이 되는 UEBA(동적 임계값) 및 일반적인 가양성 검색을 줄이기 위한 억제를 설정하여 다음 정책을 미세 조정할 수 있습니다.

• 이상 감지
• 클라우드 검색 변칙 검색
• 규칙 기반 활동 검색

이 자습서에서는 사용자 활동 검색을 조정하여 진정한 타협을 식별하고 대량의 가양성 검색 처리로 인한 경고 피로를 줄이는 방법을 알아봅니다.

• IP 주소 범위 구성
• 변칙 검색 정책 조정
• 클라우드 검색 변칙 검색 정책 조정
• 규칙 기반 검색 정책 조정
• 알림 구성
• 조사 및 수정

1단계: IP 주소 범위 구성

개별 정책을 구성하기 전에 모든 유형의 의심스러운 사용자 활동 검색 정책을 미세 조정하는 데 사용할 수 있도록 IP 범위를 구성하는 것이 좋습니다.

IP 주소 정보는 거의 모든 조사에 중요하기 때문에 알려진 IP 주소를 구성하면 기계 학습 알고리즘이 알려진 위치를 식별하고 이를 기계 학습 모델의 일부로 간주하는 데 도움이 됩니다. 예를 들어 VPN의 IP 주소 범위를 추가하면 VPN 위치가 해당 사용자의 실제 위치를 나타내지 않으므로 모델이 이 IP 범위를 올바르게 분류하고 불가능한 이동 검색에서 자동으로 제외하는 데 도움이 됩니다.

참고: 구성된 IP 범위는 검색에 국한되지 않으며 활동 로그의 활동, 조건부 액세스 등과 같은 영역에서 클라우드용 Defender 앱 전체에서 사용됩니다. 범위를 구성할 때 이 점을 염두에 두어야 합니다. 예를 들어 실제 사무실 IP 주소를 식별하면 로그 및 경고가 표시되고 조사되는 방식을 사용자 지정할 수 있습니다.

기본 변칙 검색 경고 검토

클라우드용 Defender 앱에는 다양한 보안 시나리오를 식별하는 일련의 변칙 검색 경고가 포함되어 있습니다. 이러한 검색은 즉시 자동으로 사용하도록 설정되며, 관련 앱 커넥터가 연결되는 즉시 사용자 활동을 프로파일하고 경고를 생성하기 시작합니다 .

먼저 다양한 검색 정책을 숙지하고, 조직에 가장 관련성이 있다고 생각되는 주요 시나리오의 우선 순위를 지정하고, 그에 따라 정책을 조정합니다.

2단계: 변칙 검색 정책 조정

일반적인 보안 사용 사례에 대해 미리 구성된 클라우드용 Defender 앱에서 몇 가지 기본 제공 변칙 검색 정책을 사용할 수 있습니다. 다음과 같이 인기 있는 검색에 익숙해지려면 시간이 좀 더 걸릴 수 있습니다.

• 이동 불가능
  두 위치 간의 예상 이동 시간보다 짧은 기간 내에 다른 위치에 있는 동일한 사용자의 활동입니다.
• 자주 사용되지 않는 국가에서의 활동
  사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치의 활동입니다.
• 맬웨어 검색
  클라우드 앱의 파일을 검색하고 Microsoft의 위협 인텔리전스 엔진을 통해 의심스러운 파일을 실행하여 알려진 맬웨어와 연결되어 있는지 확인합니다.
• 랜섬웨어 활동
  랜섬웨어에 감염되었을 수 있는 클라우드에 파일을 업로드합니다.
• 의심스러운 IP 주소에서의 활동
  Microsoft 위협 인텔리전스에서 위험으로 식별된 IP 주소의 활동입니다.
• 의심스러운 받은 편지함 전달
  사용자의 받은 편지함에 설정된 의심스러운 받은 편지함 전달 규칙을 검색합니다.
• 비정상적인 여러 파일 다운로드 활동
  학습된 기준과 관련하여 단일 세션에서 여러 파일 다운로드 활동을 검색합니다. 이는 시도된 위반을 나타낼 수 있습니다.
• 비정상적인 관리 활동
  학습된 기준과 관련하여 단일 세션에서 여러 관리 활동을 검색합니다. 이는 시도된 위반을 나타낼 수 있습니다.

검색의 전체 목록과 수행하는 작업에 대한 자세한 내용은 변칙 검색 정책을 참조하세요.

참고 항목

일부 변칙 검색은 주로 문제가 있는 보안 시나리오를 검색하는 데 초점을 맞추고 있지만, 다른 항목은 반드시 타협을 나타내지 않을 수 있는 비정상적인 사용자 동작을 식별하고 조사하는 데 도움을 줄 수 있습니다. 이러한 검색을 위해 Microsoft Defender XDR 고급 헌팅 환경에서 사용할 수 있는 "동작"이라는 다른 데이터 형식을 만들었습니다. 자세한 내용은 동작을 참조 하세요.

정책에 익숙해지면 더 자세히 조사할 수 있는 더 나은 대상 활동을 위해 조직의 특정 요구 사항에 맞게 세부적으로 조정하는 방법을 고려해야 합니다.

1. 특정 사용자 또는 그룹으로 정책 범위 지정

   특정 사용자에 대한 정책 범위를 지정하면 조직과 관련이 없는 경고의 노이즈를 줄이는 데 도움이 될 수 있습니다. 다음 예제와 같이 특정 사용자 및 그룹을 포함하거나 제외하도록 각 정책을 구성할 수 있습니다.

   • 공격 시뮬레이션
     많은 조직에서 사용자 또는 그룹을 사용하여 지속적으로 공격을 시뮬레이션합니다. 물론 이러한 사용자의 활동으로부터 지속적으로 경고를 받는 것은 의미가 없습니다. 따라서 이러한 사용자 또는 그룹을 제외하도록 정책을 구성할 수 있습니다. 또한 기계 학습 모델은 이러한 사용자를 식별하고 그에 따라 동적 임계값을 미세 조정하는 데 도움이 됩니다.
   • 대상 검색
     조직에서는 관리자 또는 CXO 그룹의 구성원과 같은 특정 VIP 사용자 그룹을 조사하는 데 관심이 있을 수 있습니다. 이 시나리오에서는 검색하려는 활동에 대한 정책을 만들고 관심 있는 사용자 또는 그룹 집합만 포함하도록 선택할 수 있습니다.

2. 비정상적인 로그인 검색 튜닝

   일부 조직에서는 다른 사용자가 하나 이상의 사용자 계정을 대상으로 지정하려고 함을 나타낼 수 있으므로 실패한 로그인 활동 으로 인해 발생하는 경고를 보려고 합니다. 반면에 사용자 계정에 대한 무차별 암호 대입 공격은 클라우드에서 항상 발생하며 조직은 이를 방지할 방법이 없습니다. 따라서 대규모 조직에서는 일반적으로 의심스러운 로그인 활동에 대한 경고만 수신하여 성공적인 로그인 활동이 발생할 수 있으므로 진정한 손상이 될 수 있습니다.

   ID 도용은 손상의 주요 원인이며 조직에 주요 위협 벡터를 발생합니다. 불가능한 여행, 의심스러운 IP 주소의 활동 및 드물게 발생하는 국가/지역 검색 경고는 계정이 잠재적으로 손상되었음을 암시하는 활동을 검색하는 데 도움이 됩니다.

3. 불가능한 이동의 민감도 조정 불가능한 이동경고를 트리거하기 전에 비정상적인 동작에 적용되는 억제 수준을 결정하는 민감도 슬라이더를 구성합니다. 예를 들어 높은 충실도에 관심이 있는 조직은 민감도 수준을 높이는 것을 고려해야 합니다. 반면에 조직에 여행 중인 사용자가 많은 경우 민감도 수준을 낮추어 이전 활동에서 배운 사용자의 공통 위치에서 활동을 표시하지 않는 것이 좋습니다. 다음 민감도 수준에서 선택할 수 있습니다.

   • 낮음: 시스템, 테넌트 및 사용자 표시 안 함
   • 중간: 시스템 및 사용자 표시 안 함
   • 높음: 시스템 표시 안 함만

   여기서

   표시 안 함 유형	설명
   시스템	항상 표시되지 않는 기본 제공 검색입니다.
   테넌트	테넌트에서 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 조직에서 이전에 경고한 ISP의 활동을 표시하지 않습니다.
   사용자	특정 사용자의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 사용자가 일반적으로 사용하는 위치에서 활동을 표시하지 않습니다.

3단계: 클라우드 검색 변칙 검색 정책 조정

변칙 검색 정책과 마찬가지로 세밀하게 조정할 수 있는 몇 가지 기본 제공 클라우드 검색 변칙 검색 정책이 있습니다. 예를 들어, 허가되지 않은 앱에 대한 데이터 반출 정책은 데이터가 허가되지 않은 앱으로 반출될 때 경고를 표시하고 보안 필드의 Microsoft 환경을 기반으로 설정으로 미리 구성됩니다.

그러나 기본 제공 정책을 미세 조정하거나 고유한 정책을 만들어 조사에 관심이 있는 다른 시나리오를 식별하는 데 도움이 될 수 있습니다. 이러한 정책은 클라우드 검색 로그를 기반으로 하므로 비정상적인 앱 동작 및 데이터 반출에 더 초점을 맞춘 서로 다른 튜닝 기능이 있습니다.

1. 사용량 모니터링 튜닝
   비정상적인 동작을 검색하기 위한 기준, 범위 및 활동 기간을 제어하도록 사용 필터를 설정합니다. 예를 들어 임원 수준 직원과 관련된 비정상적인 활동에 대한 경고를 받을 수 있습니다.

2. 경고 민감도 조정
   경고 피로를 방지하려면 경고의 민감도를 구성합니다. 민감도 슬라이더를 사용하여 주당 1,000명의 사용자당 전송되는 고위험 경고 수를 제어할 수 있습니다. 민감도가 높을수록 변칙으로 간주되고 더 많은 경고를 생성하기 위해 분산이 줄어듭니다. 일반적으로 기밀 데이터에 액세스할 수 없는 사용자에 대해 낮은 민감도를 설정합니다.

4단계: 규칙 기반 검색(활동) 정책 조정

규칙 기반 검색 정책을 사용하면 조직별 요구 사항으로 변칙 검색 정책을 보완할 수 있습니다. 활동 정책 템플릿 중 하나를 사용하여 규칙 기반 정책을 만든 다음(컨트롤>템플릿으로 이동하여 유형 필터를 활동 정책으로 설정) 환경에 대해 정상이 아닌 동작을 검색하도록 구성하는 것이 좋습니다. 예를 들어 특정 국가/지역에 없는 일부 조직의 경우 해당 국가/지역의 비정상적인 활동을 감지하고 경고하는 정책을 만드는 것이 합리적일 수 있습니다. 해당 국가/지역에 큰 지점이 있는 다른 사용자의 경우 해당 국가/지역의 활동은 정상이며 이러한 활동을 감지하는 것은 의미가 없습니다.

1. 작업 볼륨 튜닝
   검색에서 경고를 발생하기 전에 필요한 활동 볼륨을 선택합니다. 국가/지역 예제를 사용하면 국가/지역에 없는 경우 단일 활동도 중요하며 경고를 보증합니다. 그러나 단일 로그인 실패는 사람의 오류일 수 있으며 짧은 기간 동안 많은 오류가 있는 경우에만 관심을 가질 수 있습니다.
2. 작업 필터 조정
   경고하려는 활동의 유형을 검색하는 데 필요한 필터를 설정합니다. 예를 들어 국가/지역에서 활동을 검색하려면 Location 매개 변수를 사용합니다.
3. 경고 조정
   경고 피로를 방지하려면 일일 경고 제한을 설정합니다.

5단계: 경고 구성

참고 항목

2022년 12월 15일부터 경고/SMS(문자 메시지)는 더 이상 사용되지 않습니다. 텍스트 경고를 받으려면 사용자 지정 경고 자동화에 Microsoft Power Automate를 사용해야 합니다. 자세한 내용은 사용자 지정 경고 자동화를 위해 Microsoft Power Automate와 통합을 참조하세요.

요구 사항에 가장 적합한 형식 및 매체로 경고를 수신하도록 선택할 수 있습니다. 하루 중 언제든지 즉각적인 경고를 받으려면 전자 메일을 통해 알림을 받는 것이 좋습니다.

조직의 다른 제품에 의해 트리거되는 다른 경고의 컨텍스트에서 경고를 분석하여 잠재적인 위협에 대한 전체적인 보기를 제공할 수도 있습니다. 예를 들어 클라우드 기반 이벤트와 온-프레미스 이벤트 간에 상관 관계를 지정하여 공격을 확인할 수 있는 다른 완화 증거가 있는지 확인할 수 있습니다.

또한 Microsoft Power Automate와의 통합을 사용하여 사용자 지정 경고 자동화를 트리거할 수도 있습니다. 예를 들어 플레이북을 설정하여 ServiceNow에서 자동으로 문제를 만들거나 승인 이메일을 보내 경고가 트리거될 때 사용자 지정 거버넌스 작업을 실행할 수 있습니다.

다음 지침을 사용하여 경고를 구성합니다.

1. Email
   전자 메일로 경고를 받으려면 이 옵션을 선택합니다.
2. 시 엠 리아
   Microsoft Sentinel, Microsoft Graph 보안 API 및 기타 일반 SIEM을 비롯한 여러 SIEM 통합 옵션이 있습니다. 요구 사항을 가장 잘 충족하는 통합을 선택합니다.
3. Power Automate 자동화
   필요한 자동화 플레이북을 만들고 Power Automate 작업에 대한 정책의 경고로 설정합니다.

6단계: 조사 및 수정

정책을 설정하고 의심스러운 활동 경고 수신을 시작했습니다. 당신은 그들에 대해 무엇을해야합니까? 시작하려면 활동을 조사하는 단계를 수행해야 합니다. 예를 들어 사용자가 손상되었음을 나타내는 활동을 살펴볼 수 있습니다.

보호를 최적화하려면 조직에 대한 위험을 최소화하기 위해 자동 수정 작업을 설정하는 것이 좋습니다. Microsoft 정책을 사용하면 조사를 시작하기 전에 조직에 대한 위험을 줄일 수 있도록 경고와 함께 거버넌스 작업을 적용할 수 있습니다. 사용 가능한 작업은 사용자 일시 중단 또는 요청된 리소스에 대한 액세스 차단과 같은 작업을 포함하여 정책 유형에 따라 결정됩니다.

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.

자세한 정보

• 대화형 가이드 시도: 클라우드용 Microsoft Defender 앱을 사용하여 위협 감지 및 경고 관리