보안 경고 이해
Microsoft Defender for Identity 보안 경고는 네트워크에서 의심스러운 활동이 식별되고 위협과 관련된 행위자 및 컴퓨터에서 식별된 명확한 언어 및 그래픽으로 설명합니다. 경고는 심각도에 따라 등급이 매겨지고, 시각적으로 쉽게 필터링할 수 있도록 색으로 구분되며, 위협 단계에 따라 구성됩니다. 각 경고는 네트워크에서 발생하는 일을 정확하게 파악할 수 있도록 설계되었습니다. 경고 증거 목록에는 관련 사용자 및 컴퓨터에 대한 직접 링크가 포함되어 있어 조사를 쉽고 직접적으로 수행할 수 있습니다.
이 문서에서는 Defender for Identity 보안 경고의 구조와 이를 사용하는 방법을 알아봅니다.
- 보안 경고 구조
- 보안 경고 분류
- 보안 경고 범주
- 고급 보안 경고 조사
- 관련 엔터티
- Defender for Identity 및 NNR(네트워크 이름 확인)
보안 경고 구조
각 Defender for Identity 보안 경고에는 경고 스토리가 포함됩니다. 이 경고와 관련된 이벤트 체인은 시간순으로, 경고와 관련된 기타 중요한 정보입니다.
경고 페이지에서 다음을 수행할 수 있습니다.
경고 관리 - 경고의 상태, 할당 및 분류를 변경합니다. 여기에 메모를 추가할 수도 있습니다.
내보내기 - 분석을 위해 자세한 Excel 보고서 다운로드
다른 인시던 트에 경고 연결 - 새 기존 인시던트에 경고 연결
경고에 대한 자세한 내용은 Microsoft Defender XDR에서 경고 조사를 참조하세요.
보안 경고 분류
적절한 조사에 따라 모든 Defender for Identity 보안 경고를 다음 활동 유형 중 하나로 분류할 수 있습니다.
TP(True Positive) : Defender for Identity에서 검색한 악의적인 작업입니다.
무해한 참 긍정(B-TP): 승인된 애플리케이션에서 생성된 침투 테스트 또는 알려진 활동과 같이 실제이지만 악의적이지는 않은 Id용 Defender에서 검색한 작업입니다.
FP(가양성) : 활동이 발생하지 않았음을 의미하는 거짓 경보입니다.
보안 경고가 TP, B-TP 또는 FP인가요?
각 경고에 대해 다음 질문을 하여 경고 분류를 결정하고 다음에 수행할 작업을 결정하는 데 도움을 주세요.
- 사용자 환경에서 이 특정 보안 경고는 얼마나 일반적입니까?
- 경고가 동일한 유형의 컴퓨터 또는 사용자에 의해 트리거되었나요? 예를 들어 역할이 동일한 서버 또는 동일한 그룹/부서의 사용자인가요? 컴퓨터 또는 사용자가 비슷한 경우 향후 추가 FP 경고를 방지하기 위해 제외하도록 결정할 수 있습니다.
참고 항목
정확히 동일한 유형의 경고가 증가하면 일반적으로 경고의 의심스러운/중요도 수준이 줄어듭니다. 반복된 경고의 경우 구성을 확인하고 보안 경고 세부 정보 및 정의를 사용하여 반복을 트리거하는 정확한 원인을 파악합니다.
보안 경고 범주
Defender for Identity 보안 경고는 일반적인 사이버 공격 킬 체인에서 볼 수 있는 단계와 같이 다음과 같은 범주 또는 단계로 나뉩니다. 다음 링크를 사용하여 각 단계 및 각 공격을 감지하도록 설계된 경고에 대해 자세히 알아봅니다.
고급 보안 경고 조사
보안 경고에 대한 자세한 내용을 보려면 경고 세부 정보 페이지에서 내보내기를 선택하여 자세한 Excel 경고 보고서를 다운로드합니다.
다운로드한 파일에는 다음을 포함하여 첫 번째 탭의 경고에 대한 요약 세부 정보가 포함됩니다.
- 타이틀
- 설명
- 시작 시간(UTC)
- 종료 시간(UTC)
- 심각도 – 낮음/보통/높음
- 상태 – 열기/닫힘
- 상태 업데이트 시간(UTC)
- 브라우저에서 보기
계정, 컴퓨터 및 리소스를 비롯한 모든 관련 엔터티가 해당 역할로 구분되어 나열됩니다. 경고에 따라 원본, 대상 또는 공격된 엔터티에 대한 세부 정보가 제공됩니다.
대부분의 탭에는 엔터티당 다음 데이터가 포함됩니다.
속성
세부 정보
Type
SamName
원본 컴퓨터
원본 사용자(사용 가능한 경우)
도메인 컨트롤러 하나 이상
액세스한 리소스: 시간, 컴퓨터, 이름, 세부 정보, 유형, 서비스.
관련 엔터티: ID, 형식, 이름, 고유 엔터티 Json, 고유 엔터티 프로필 Json
다음을 포함하여 경고(네트워크 또는 이벤트 활동)와 관련된 Defender for Identity 센서에서 캡처한 모든 원시 활동:
- 네트워크 활동
- 이벤트 활동
일부 경고에는 다음과 같은 추가 탭이 있습니다.
- 의심되는 공격이 무차별 대입을 사용했을 때 계정을 공격했습니다.
- 공격을 받은 것으로 의심되는 네트워크 매핑 정찰(DNS)이 관련된 경우 DNS(이름 시스템) 서버를 기본.
예시:
관련 엔터티
각 경고에서 마지막 탭은 관련 엔터티를 제공합니다. 관련 엔터티는 경고에서 발생한 "역할"을 분리하지 않고 의심스러운 활동에 관련된 모든 엔터티입니다. 각 엔터티에는 고유 엔터티 Json 및 고유 엔터티 프로필 Json의 두 Json 파일이 있습니다. 이러한 두 Json 파일을 사용하여 엔터티에 대해 자세히 알아보고 경고를 조사할 수 있습니다.
고유 엔터티 Json 파일
계정에 대해 Active Directory에서 학습한 Id용 Defender 데이터를 포함합니다. 여기에는 고유 이름, SID, LockoutTime 및 PasswordExpiryTime과 같은 모든 특성이 포함됩니다. 사용자 계정의 경우 부서, 메일 및 전화 번호와 같은 데이터를 포함합니다. 컴퓨터 계정의 경우 OperatingSystem, IsDo기본Controller 및 DnsName과 같은 데이터를 포함합니다.
고유 엔터티 프로필 Json 파일
엔터티에 프로파일된 모든 데이터 Defender for Identity를 포함합니다. Defender for Identity는 캡처된 네트워크 및 이벤트 활동을 사용하여 환경의 사용자 및 컴퓨터에 대해 알아봅니다. Defender for Identity는 엔터티당 관련 정보를 프로파일합니다. 이 정보는 Defender for Identity의 위협 식별 기능에 기여합니다.
조사에서 Defender for Identity 정보를 어떻게 사용할 수 있나요?
조사는 필요에 따라 자세히 설명할 수 있습니다. 다음은 Defender for Identity에서 제공하는 데이터를 사용하여 조사하는 방법에 대한 몇 가지 아이디어입니다.
- 모든 관련 사용자가 동일한 그룹 또는 부서에 속하는지 확인합니다.
- 관련 사용자가 리소스, 애플리케이션 또는 컴퓨터를 공유합니까?
- PasswordExpiryTime이 이미 통과된 경우에도 계정이 활성 상태인가요?
Defender for Identity 및 NNR(네트워크 이름 확인)
Defender for Identity 검색 기능은 활성 NNR(네트워크 이름 확인)을 사용하여 조직의 컴퓨터에 IP를 확인합니다. Id용 Defender는 NNR을 사용하여 원시 활동(IP 주소 포함)과 각 활동에 관련된 관련 컴퓨터 간에 상관 관계를 지정할 수 있습니다. 원시 활동에 따라 Defender for Identity는 컴퓨터를 포함한 엔터티를 프로파일하고 경고를 생성합니다.
NNR 데이터는 다음 경고를 검색하는 데 중요합니다.
- 의심되는 신원 도용(티켓 전달)
- 의심되는 DCSync 공격(디렉터리 서비스 복제본(replica))
- 네트워크 매핑 정찰(DNS)
경고 다운로드 보고서의 네트워크 활동 탭에 제공된 NNR 정보를 사용하여 경고가 FP인지 확인합니다. FP 경고의 경우 신뢰도가 낮은 NNR 확실성 결과를 제공하는 것이 일반적입니다.
보고서 데이터 다운로드는 다음 두 열에 나타납니다.
원본/대상 컴퓨터
- 확실성 – 낮은 해상도의 확실성은 잘못된 이름 확인을 나타낼 수 있습니다.
원본/대상 컴퓨터
- 해결 방법 – 조직의 컴퓨터에 IP를 확인하는 데 사용되는 NNR 메서드를 제공합니다.
Defender for Identity 보안 경고를 사용하는 방법에 대한 자세한 내용은 보안 경고 작업을 참조 하세요.