자습서: 위험한 사용자 조사

  • 아티클

보안 운영 팀은 종종 연결되지 않는 여러 보안 솔루션을 사용하여 ID 공격 표면의 모든 차원에서 사용자 활동을 의심스럽거나 모니터링해야 합니다. 많은 회사에서 환경의 위협을 사전에 식별하기 위해 헌팅 팀을 보유하고 있지만, 방대한 양의 데이터에서 무엇을 찾아야 하는지 아는 것은 어려울 수 있습니다. 이제 클라우드용 Microsoft Defender 앱은 복잡한 상관 관계 규칙을 만들 필요를 제거하여 이를 간소화하고 클라우드 및 온-프레미스 네트워크에 걸쳐 있는 공격을 찾을 수 있습니다.

사용자 ID에 집중할 수 있도록 클라우드용 Microsoft Defender 앱은 클라우드에서 UEBA(사용자 엔터티 동작 분석)를 제공합니다. Id용 Microsoft Defender와 통합하여 온-프레미스 환경으로 확장할 수 있습니다. Defender for Identity와 통합하면 Active Directory와의 네이티브 통합에서 사용자 ID에 대한 컨텍스트도 얻을 수 있습니다.

트리거가 클라우드용 Defender 앱 대시보드에 표시되는 경고인지 또는 타사 보안 서비스의 정보가 있는지 여부에 관계없이 클라우드용 Defender 앱 대시보드에서 조사를 시작하여 위험한 사용자를 심층 분석합니다.

이 자습서에서는 클라우드용 Defender 앱을 사용하여 위험한 사용자를 조사하는 방법을 알아봅니다.

조사 우선 순위 점수 증가 - 사용 중단 타임라인

2024년 7월까지 클라우드용 Microsoft Defender 앱의 "조사 우선 순위 점수 증가" 지원을 점진적으로 사용 중지할 예정입니다.

신중한 분석과 고려 끝에 이 경고와 관련된 가양성의 비율이 높기 때문에 더 이상 사용되지 않기로 결정했습니다. 이는 조직의 전반적인 보안에 효과적으로 기여하지 않는 것으로 나타났습니다.

우리의 연구는이 기능이 중요한 가치를 추가하지 않았으며 고품질의 신뢰할 수있는 보안 솔루션을 제공하는 우리의 전략적 초점과 일치하지 않았다고 지적했습니다.

당사는 서비스를 지속적으로 개선하고 고객의 요구와 기대를 충족할 수 있도록 하기 위해 최선을 다하고 있습니다.

이 경고를 계속 사용하려는 경우 "고급 헌팅" 전용 쿼리를 사용하는 것이 좋습니다.

let time_back = 1d;
let last_seen_threshold = 30;
// the number of days which the resource is considered to be in use by the user lately, and therefore not indicates anomaly resource usage
// anomaly score based on LastSeenForUser column in CloudAppEvents table
let last_seen_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(LastSeenForUser)
| mv-expand LastSeenForUser
| extend resource = tostring(bag_keys(LastSeenForUser)[0])
| extend last_seen = LastSeenForUser[resource]
| where last_seen < 0 or last_seen > last_seen_threshold
// score is calculated as the number of resources which were never seen before or breaching the chosen threshold
| summarize last_seen_score = dcount(resource) by ReportId, AccountId;
// anomaly score based on UncommonForUser column in CloudAppEvents table
let uncommonality_scores =
CloudAppEvents
| where Timestamp > ago(time_back)
| where isnotempty(UncommonForUser)
| extend uncommonality_score = array_length(UncommonForUser)
// score is calculated as the number of uncommon resources on the event
| project uncommonality_score, ReportId, AccountId;
last_seen_scores | join kind=innerunique uncommonality_scores on ReportId and AccountId
| project-away ReportId1, AccountId1
| extend anomaly_score = last_seen_score + uncommonality_score
// joined scores
  • 이 수분은 제안이며 템플릿으로 사용하고 필요에 따라 수정합니다.

조사 우선 순위 점수 이해

조사 우선 순위 점수는 앱이 각 사용자에게 사용자가 조직의 다른 사용자에 비해 얼마나 위험한지 알 수 있도록 제공하는 클라우드용 Defender 점수입니다.

조사 우선 순위 점수를 사용하여 먼저 조사할 사용자를 결정합니다. 클라우드용 Defender 앱은 시간, 피어 그룹 및 예상 사용자 활동을 고려해야 하는 분석을 기반으로 각 사용자에 대한 사용자 프로필을 빌드합니다. 사용자의 기준선에 비정상적인 활동이 평가되고 점수가 매깁니다. 점수 매기기가 완료되면 Microsoft의 독점적인 동적 피어 계산 및 기계 학습이 사용자 활동에서 실행되어 각 사용자의 조사 우선 순위를 계산합니다.

조사 우선 순위 점수표준 결정적 검색에 의존하지 않고도 악의적인 내부자와 조직에서 횡적으로 이동하는 외부 공격자를 모두 검색할 수 있는 기능을 제공합니다.

조사 우선 순위 점수는 보안 경고, 비정상적인 활동 및 각 사용자와 관련된 잠재적인 비즈니스 및 자산 영향을 기반으로 하여 각 특정 사용자를 조사하는 것이 얼마나 긴급한지 평가하는 데 도움이 됩니다.

경고 또는 활동에 대한 점수 값을 선택하는 경우 클라우드용 Defender 앱이 활동을 채점한 방법을 설명하는 증거를 볼 수 있습니다.

모든 Microsoft Entra 사용자는 Defender for Identity 및 클라우드용 Defender Apps에서 평가된 데이터를 기반으로 최근 동작 및 영향에 따라 지속적으로 업데이트되는 동적 조사 우선 순위 점수를 가집니다. 이제 조사 우선 순위 점수에 따라 필터링하여 실제 가장 위험한 사용자가 누구인지 즉시 파악하고, 비즈니스 영향이 무엇인지 직접 확인하고, 손상되었는지, 데이터를 유출하는지, 내부자 위협으로 작동하는지와 같은 모든 관련 활동을 조사할 수 있습니다.

클라우드용 Defender 앱은 다음을 사용하여 위험을 측정합니다.

  • 경고 점수 매기기
    경고 점수는 특정 경고가 각 사용자에게 미칠 수 있는 영향을 나타냅니다. 경고 점수 매기기는 심각도, 사용자 영향, 사용자 및 조직의 모든 엔터티에 대한 경고 인기도를 기반으로 합니다.

  • 활동 점수 매기기
    활동 점수는 사용자 및 해당 피어의 동작 학습에 따라 특정 사용자가 특정 활동을 수행할 확률을 결정합니다. 가장 비정상으로 식별된 활동은 가장 높은 점수를 받습니다.

1단계: 보호하려는 앱에 커넥트

  1. API 커넥터를 사용하여 앱을 클라우드용 Microsoft Defender 하나 이상의 앱을 커넥트. 먼저 Microsoft 365연결하는 것이 좋습니다.
  2. 조건부 액세스 앱 제어를 달성하기 위해 프록시를 사용하여 추가 앱을 커넥트.

2단계: 가장 위험한 사용자 식별

클라우드용 Defender 앱에서 가장 위험한 사용자가 누구인지 식별하려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 자산 아래에서 ID를 선택합니다. 조사 우선 순위별로 테이블을 정렬합니다. 그런 다음, 사용자 페이지로 하나씩 이동하여 조사합니다.
    사용자 이름 옆에 있는 조사 우선 순위 번호는 지난 주에 대한 모든 사용자의 위험한 활동의 합계입니다.

    상위 사용자 대시보드.

  2. 사용자 오른쪽에 있는 세 개의 점을 선택하고 사용자 보기 페이지를 선택합니다. 사용자 페이지입니다.

  3. 사용자 페이지의 정보를 검토하여 사용자에 대한 개요를 확인하고 사용자가 해당 사용자에 대해 비정상적이거나 비정상적인 시간에 수행된 활동을 수행한 지점이 있는지 확인합니다. 조직과 비교한 사용자 점수는 조직의 순위에 따라 사용자가 있는 백분위수( 조직의 다른 사용자에 비해 조사해야 하는 사용자 목록에 얼마나 높은지)를 나타냅니다. 사용자가 조직 전체에서 위험한 사용자의 90번째 백분위수 이상인 경우 숫자는 빨간색으로 표시됩니다.
    사용자 페이지에서 질문에 답변할 수 있습니다.

    • 사용자는 누구인가요?
      왼쪽 창을 확인하여 사용자가 누구인지와 해당 사용자에 대해 알려진 내용에 대한 정보를 가져옵니다. 이 창에서는 회사 및 해당 부서에서 사용자의 역할에 대한 정보를 제공합니다. 사용자는 종종 작업의 일부로 비정상적인 활동을 수행하는 DevOps 엔지니어인가요? 사용자가 방금 승진을 위해 전달된 불만을 품은 직원인가요?

    • 사용자가 위험합니까?
      사용자를 조사할 가치가 있는지 여부를 알 수 있도록 오른쪽 창의 위쪽을 확인합니다. 직원의 위험 점수는 무엇인가요?

    • 사용자가 조직에 표시되는 위험은 무엇인가요?
      사용자가 나타내는 위험 유형을 이해하는 데 도움이 되도록 각 활동 및 사용자와 관련된 각 경고를 제공하는 아래쪽 창의 목록을 확인합니다. 타임라인 각 줄을 선택하여 활동 또는 경고 자체를 자세히 드릴다운할 수 있습니다. 또한 점수 자체에 영향을 준 증거를 이해할 수 있도록 활동 옆에 있는 숫자를 선택할 수도 있습니다.

    • 조직의 다른 자산에 대한 위험은 무엇인가요?
      횡적 이동 경로 탭을 선택하여 공격자가 조직의 다른 자산을 제어하는 데 사용할 수 있는 경로를 파악합니다. 예를 들어 조사 중인 사용자에게 중요하지 않은 계정이 있더라도 공격자는 계정에 대한 연결을 사용하여 네트워크에서 중요한 계정을 검색하고 손상하려고 시도할 수 있습니다. 자세한 내용은 횡적 이동 경로 사용을 참조 하세요.

참고 항목

사용자 페이지에서 모든 활동에서 디바이스, 리소스 및 계정에 대한 정보를 제공하지만 조사 우선 순위 점수는 지난 7일 동안의 모든 위험한 활동 및 경고의 합계입니다.

사용자 점수 다시 설정

사용자가 조사를 받고 손상에 대한 의심이 없거나 어떤 이유로든 사용자의 조사 우선 순위 점수를 재설정하려는 경우 점수를 수동으로 다시 설정할 수 있습니다.

  1. Microsoft Defender 포털의 자산 아래에서 ID를 선택합니다.

  2. 조사된 사용자의 오른쪽에 있는 세 개의 점을 선택하고 조사 우선 순위 점수 다시 설정을 선택합니다. 사용자 페이지 보기를 선택한 다음 사용자 페이지의 세 점 중에서 조사 우선 순위 점수 재설정을 선택할 수도 있습니다.

    참고 항목

    조사 우선 순위 점수가 0이 아닌 사용자만 다시 설정할 수 있습니다.

    조사 우선 순위 점수 다시 설정을 선택합니다.

  3. 확인 창에서 다시 설정 점수를 선택합니다.

    점수 다시 설정 단추를 선택합니다.

3단계: 사용자 추가 조사

경고를 기반으로 사용자를 조사하거나 외부 시스템에서 경고를 본 경우 단독으로는 알람이 발생하지 않을 수 있지만 클라우드용 Defender 앱이 다른 활동과 함께 집계하는 경우 경고는 의심스러운 이벤트를 나타내는 것일 수 있습니다.

사용자를 조사할 때 표시되는 활동 및 경고에 대해 다음과 같은 질문을 할 수 있습니다.

  • 이 직원이 이러한 활동을 수행할 수 있는 비즈니스 정당성이 있나요? 예를 들어 마케팅 담당자가 코드 베이스에 액세스하거나 개발 담당자가 Finance 데이터베이스에 액세스하는 경우 직원에게 후속 조치를 통해 의도적이고 정당한 활동인지 확인해야 합니다.

  • 활동 로그이동하여 다른 활동이 그렇지 않은 동안 이 활동이 높은 점수를 받은 이유를 이해합니다. 의심스러운 활동을 이해하도록 조사 우선 순위를 Is로 설정할수 있습니다. 예를 들어 우크라이나에서 발생한 모든 활동에 대해 조사 우선 순위에 따라 필터링할 수 있습니다. 그런 다음 위험한 다른 활동이 있는지, 사용자가 연결되었는지 여부를 확인할 수 있으며, 최근 비정상 클라우드 및 온-프레미스 활동과 같은 다른 드릴다운으로 쉽게 피벗하여 조사를 계속할 수 있습니다.

4단계: 조직 보호

조사를 통해 사용자가 손상되었다는 결론을 내릴 경우 다음 단계에 따라 위험을 완화합니다.

  • 사용자에게 문의 - Active Directory의 클라우드용 Defender 앱과 통합된 사용자 연락처 정보를 사용하여 각 경고 및 활동으로 드릴다운하여 사용자 ID를 확인할 수 있습니다. 사용자가 활동에 대해 잘 알고 있는지 확인합니다.

  • Microsoft Defender 포털 의 ID 페이지에서 조사된 사용자가 세 개의 점을 선택하고 사용자에게 다시 로그인하도록 요구할지, 사용자를 일시 중단할지 또는 손상된 것으로 확인하도록 할지를 선택합니다.

  • 손상된 ID의 경우 암호가 길이 및 복잡성에 대한 모범 사례 지침을 충족하는지 확인하여 사용자에게 암호를 재설정하도록 요청할 수 있습니다.

  • 경고를 드릴다운하고 활동이 경고를 트리거하지 않아야 한다고 판단하는 경우 활동 서랍에서 사용자 의견 보내기 링크를 선택하여 조직과 함께 경고 시스템을 미세 조정할 수 있습니다.

  • 문제를 해결한 후 경고를 닫습니다.

참고 항목

조직 보호를 위한 모범 사례

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.