Microsoft Entra 권한 관리 경고 가이드
권한 문제를 해결하는 데는 경고가 필수적입니다. 경고를 사용하면 조직에서 ID 및 리소스에 대한 액세스를 관리하는 사전 예방적 접근 방식을 취할 수 있습니다.
Microsoft Entra Permissions Management를 사용하여 과도한 계정 및 비활성 ID와 같은 시나리오에 대한 환경을 지속적으로 모니터링하도록 경고를 구성합니다. 잠재적인 위협, 서비스 중단 및 비정상적인 사용 권한을 알릴 수도 있습니다.
권한 관리 경고는 전자 메일로 구독된 사용자에게 전달되며, 트리거된 경고, 문제의 권한 부여 시스템 및 경고와 관련된 ID, 작업 및 리소스의 수와 같은 요약 보기가 있습니다. 트리거에 대한 자세한 내용은 권한 관리의 경고를 봅니다.
참고 항목
권한 관리 경고는 실시간이 아닙니다. 제품 활동 로그 새로 고침을 기반으로 하므로 활동과 경고 사이에 지연이 있을 수 있습니다.
Microsoft Entra Permissions Management에는 다음과 같은 네 가지 유형의 경고가 구성됩니다.
통계 변칙 경고
통계 변칙 경고는 Microsoft Entra Permissions Management AI(인공 지능) 및 ML(기계 학습) 기능을 사용합니다. 이전 활동 로그 정보에 따라 Permissions Management는 각 ID에 대한 일반적인 동작을 분류하고 결정합니다. 사용자 환경에서 비정형 또는 의심스러운 활동에 대해 미리 구성된 경고 중에서 선택합니다. 예를 들어 ID가 많은 수의 작업을 수행하거나 ID가 비정상적인 시간에 작업을 수행하는 경우 알림을 받을 수 있습니다.
통계 변칙 경고는 사용자 환경에서 비정상적인 활동이 손상된 계정의 징후일 수 있으므로 위협 감지에 유용합니다. 이러한 경고를 사용하여 잠재적인 서비스 중단을 검색합니다. 미리 구성된 6가지 통계 변칙 경고는 다음과 같습니다.
- ID가 많은 수의 작업을 수행함: 위협 탐지에 이 경고를 사용합니다. 일반적으로 많은 수의 작업을 수행하는 ID는 손상의 표시일 수 있습니다.
- ID가 수행 적은 수의 작업을 수행함: 이 경고는 특히 컴퓨터 계정에서 잠재적인 서비스 중단을 감지하는 데 유용합니다. 비정상적으로 적은 수의 작업을 수행하는 ID는 갑작스런 중단 또는 권한 문제를 나타낼 수 있습니다.
- ID가 여러 가지 비정상적인 패턴으로 작업을 수행함: 위협 탐지에 이 경고를 사용합니다. 몇 가지 비정상적인 작업 패턴이 있는 ID는 손상된 계정의 표시일 수 있습니다.
- ID가 비정상적인 결과가 있는 작업을 수행함: 이 경고는 잠재적인 서비스 중단을 감지하는 데 유용합니다. 실패한 작업과 같이 비정상적인 결과가 있는 작업을 수행하는 ID는 갑작스런 중단 또는 권한 문제를 나타낼 수 있습니다.
- ID가 비정상적인 타이밍에 작업을 수행함: 이 경고는 위협 탐지를 위한 것입니다. 일반적인 시간 외에 작업을 수행하는 ID는 손상된 계정 또는 비정형 위치에서 리소스에 액세스하는 사용자를 나타낼 수 있습니다.
- ID가 비정상적인 유형의 작업을 수행함: 이 경고는 위협 탐지를 위한 것입니다. 일반적으로 수행하지 않는 작업을 갑자기 수행하는 ID는 손상된 계정을 나타낼 수 있습니다.
이러한 미리 구성된 경고에 대한 자세한 내용은 통계 변칙 경고 및 경고 트리거 만들기 및 보기를 참조하세요.
통계 변칙 경고에 응답
통계적 변칙 경고는 잠재적인 보안 인시던트 또는 서비스 중단을 나타낼 수 있습니다. 반드시 인시던트가 발생했음을 의미하지는 않습니다. 이러한 경고를 트리거하는 유효한 사용 사례가 있습니다. 예를 들어 새 표준 시간대의 외국 출장 중인 직원은 ID가 비정상적인 타이밍에 작업을 수행함 경고를 트리거 할 수 있습니다.
일반적으로 ID를 조사하여 작업이 필요한지 확인하는 것이 좋습니다. 권한 관리에서 감사 탭을 사용하거나 최근 로깅 정보를 분석합니다.
규칙 기반 변칙 경고
규칙 기반 변칙 경고는 미리 구성됩니다. 사용자 환경의 초기 활동에 대한 알림에 사용합니다. 예를 들어 초기 리소스 액세스에 대한 경고를 만들거나 사용자가 처음으로 작업을 수행하는 경우입니다.
매우 중요한 프로덕션 권한 부여 시스템 또는 자세히 모니터링하려는 ID에 규칙 기반 변칙 경고를 사용합니다.
세 가지 미리 구성된 규칙 기반 변칙 경고가 있습니다.
- 처음으로 액세스한 리소스: 이 트리거를 사용하여 권한 부여 시스템의 새 활성 리소스에 대한 알림을 받습니다. 예를 들어 사용자가 사용자 모르게 구독에 새 Microsoft Azure Blob Storage 인스턴스를 만듭니다. 트리거는 새 Blob Storage에 처음으로 액세스할 때 경고를합니다.
- ID가 처음으로 특정 작업을 수행함: 이 트리거를 사용하여 범위 크리프 또는 사용자의 권한 증가를 검색합니다. 예를 들어 사용자가 처음으로 다른 작업을 수행하는 경우 계정이 손상되거나 사용자가 최근에 새 작업을 수행할 수 있는 권한이 변경되었을 수 있습니다.
- ID가 처음으로 작업을 수행함: 구독의 새 활성 사용자에 대해 이 경고 트리거를 사용하거나 손상된 비활성 계정을 검색합니다. 예를 들어 새 사용자가 Azure 구독에서 프로비전됩니다. 이 트리거는 새 사용자가 첫 번째 작업을 수행할 때 경고를 표시합니다.
참고 항목
ID가 특정 작업을 처음으로 수행함은 처음으로 특정 작업을 수행할 때 알림을 보냅니다. ID가 작업을 처음으로 수행함은 처음으로 작업을 수행할 때 알림을 보냅니다.
자세한 내용은 규칙 기반 변칙 경고 및 경고 트리거 만들기 및 보기를 참조하세요.
규칙 기반 변칙 경고에 응답
규칙 기반 변칙 경고는 많은 경고를 생성할 수 있습니다. 따라서 매우 중요한 권한 부여 시스템에 사용하는 것이 좋습니다.
규칙 기반 변칙 경고가 수신되면 ID 또는 리소스를 조사하여 작업이 필요한지 확인합니다. 권한 관리에서 감사 탭을 사용하거나 최근 로깅 정보를 분석합니다.
권한 분석 경고
권한 분석 경고는 미리 구성됩니다. 사용자 환경의 주요 결과에 사용합니다. 각 경고는 사용 권한 분석 보고서의 범주에 연결됩니다. 예를 들어 사용자 비활성 또는 사용자가 초과 면제되는 경우 알림을 받을 수 있습니다.
사용 권한 분석 경고를 사용하여 주요 결과에 대해 사전에 알아봅니다. 예를 들어 사용자 환경에서 초과 할당된 새 사용자에 대한 경고를 만듭니다.
권한 분석 경고는 권장되는 Discover-Remediate-Monitor 흐름에서 중요한 역할을 합니다. 다음 예제에서는 흐름을 사용하여 사용자 환경에서 비활성 사용자를 정리합니다.
- 검색: 사용 권한 분석 보고서를 사용하여 사용자 환경에서 비활성 사용자를 검색합니다.
- 수정: 비활성 사용자를 수동으로 정리하거나 Microsoft Entra Permissions Management의 수정 도구를 사용하여 정리합니다.
- 모니터: 사용자 환경에서 감지된 새 비활성 사용자에 대한 권한 분석 경고를 만들어 부실 계정을 정리하는 사전 예방적 방법을 사용하도록 설정합니다.
이 문서에서는 권한 분석 트리거 만들기 및 보기에 대해 자세히 알아봅니다.
다음 권장 권한 분석 경고 목록은 지원되는 클라우드 환경에 대한 것입니다. 필요에 따라 권한 분석 경고를 더 추가합니다. Microsoft Azure, AWS(Amazone Web Services) 및 GCP(Google Cloud Platform)에 대한 권장 사항은 특정 환경을 반영하지 않습니다.
Azure: 권한 분석 경고 권장 사항
- 과도하게 프로비전된 활성 사용자
- 과도하게 프로비전된 활성 시스템 ID
- 과도하게 프로비전된 활성 서버리스 함수
- 슈퍼 사용자
- 슈퍼 시스템 ID
- 수퍼 서버리스 함수
- 비활성 사용자
- 비활성 그룹
- 비활성 서버리스 함수
- 비활성 시스템 ID
AWS: 권한 분석 경고 권장 사항
- 과도하게 프로비전된 활성 사용자
- 과도하게 프로비전된 활성 역할
- 과도하게 프로비전된 활성 리소스
- 과도하게 프로비전된 활성 서버리스 함수
- 권한 상승 사용자
- 권한 상승 역할
- 권한 상승 계절
- 슈퍼 사용자
- 슈퍼 역할
- 슈퍼 리소스
- 수퍼 서버리스 함수
- 비활성 사용자
- 비활성 역할
- 비활성 그룹
- 비활성 리소스
- 비활성 서버리스 함수
- MFA가 없는 사용자(MFA용 IDP 사용에 따라 선택 사항)
GCP: 권한 분석 경고 권장 사항
- 과도하게 프로비전된 활성 사용자
- 과도하게 프로비저닝된 활성 서비스 계정
- 과도하게 프로비전된 활성 서버리스 함수
- 권한 상승 사용자
- 권한 상승이 있는 서비스 계정
- 슈퍼 사용자
- 슈퍼 서비스 계정
- 수퍼 서버리스 함수
- 비활성 사용자
- 비활성 그룹
- 비활성 서버리스 함수
- 비활성 서버리스 계정
권한 분석 경고에 대한 응답
수정은 각 경고에 따라 다릅니다. 권한 분석 경고를 트리거하는 유효한 사용 사례가 있습니다. 예를 들어 관리자 계정 또는 응급 액세스 계정은 과도하게 프로비전된 활성 사용자에 대한 경고를 트리거할 수 있습니다. 수정이 필요하지 않은 경우 ID에 ck_exclude_from_pci 및 ck_exclude_from_reports 태그를 적용할 수 있습니다.
- ck_exclude_from_pci 태그는 권한 부여 시스템의 PCI 점수 계산에서 ID를 제거합니다.
- ck_exclude_from_reports는 권한 분석 보고서 결과에서 ID를 제거합니다.
활성 경고
활성 경고는 중요한 ID 및 리소스를 지속적으로 모니터링하여 사용자 환경에서 위험 수준이 높은 활동을 파악하는 데 도움이 됩니다. 예를 들어 이러한 경고는 사용자 환경에서 액세스된 리소스 또는 수행된 작업을 알릴 수 있습니다. 활동 경고는 사용자 지정할 수 있습니다. 코드 인터페이스 없이 사용하기 쉬운 경고 조건을 만들 수 있습니다. 활동 경고 및 경고 트리거 만들기 및 보기하는 방법을 알아봅니다.
다음 섹션에는 만들 수 있는 예제 활동 경고가 있습니다. 일반적인 아이디어, Azure, AWS 및 GCP에 대한 시나리오로 구성됩니다.
일반 활동 경고 아이디어
다음의 지원되는 클라우드 환경에 활동 경고를 적용합니다. Azure, AWS 및 GCP.
긴급 액세스 계정 활동을 모니터링하는 경고 트리거
응급 액세스 계정은 일반 관리 계정을 사용할 수 없는 시나리오를 위한 것입니다. 손상 및 잠재적 오용을 감지하기 위해 이러한 계정 활동을 모니터링하는 경고를 만듭니다.
중요한 리소스에서 수행된 활동을 모니터링 하는 경고 트리거
모니터링하려는 환경의 중요한 리소스의 경우 특정 리소스, 특히 위협 탐지에 대한 활동을 알리는 경고를 만듭니다.
Azure 활동 경고 아이디어
직접 역할 할당을 모니터링하는 경고 트리거
조직에서 JIT(Just-In-Time) 액세스 모델을 사용하는 경우 경고 트리거를 만들어 Azure 구독에서 직접 역할 할당을 알립니다.
가상 머신 턴오프 및 다시 시작을 모니터링하는 경고 트리거
활동 경고를 사용하여 리소스 유형을 모니터링하고 잠재적인 서비스 중단을 감지합니다. 다음 예제는 Azure 구독에서 VM(가상 머신) 턴오프 및 다시 시작에 대한 활동 경고입니다.
관리되는 ID를 모니터링하는 경고 트리거
특정 ID 또는 리소스 종류를 모니터링하려면 특정 ID 또는 리소스 종류에서 수행하는 활동에 대한 경고를 만듭니다. 다음 예제는 Azure 구독에서 관리 ID의 활동을 모니터링하는 경고입니다.
AWS 활동 경고 아이디어
루트 사용자 활동을 모니터링하는 경고 트리거
모니터 하려는 권한이 높은 계정이 있는 경우 해당 계정이 수행하는 활동에 대한 경고를 만듭니다. 다음 예제는 루트 사용자 활동을 모니터링하는 활동 경고입니다.
ITAdmins 역할이 없는 사용자가 만든 사용자를 모니터링하는 경고 트리거
특정 사용자 또는 역할이 사용자 환경에서 수행하는 작업의 경우 다른 사용자가 수행한 작업에 대한 경고를 만들어 악의적인 행위자를 알릴 수 있습니다. 다음 예제는 ITAdmins 역할에 없는 사용자가 만든 사용자에 대한 활동 경고입니다.
S3 버킷에서 시도된 무단 개체 다운로드를 모니터링하는 경고 트리거
실패한 활동, 위협 탐지 및 서비스 중단 검색에 대한 경고를 만드는 데 유용합니다. 다음 예제 활동 경고는 Amazon S3(Simple Storage Service) 버킷 개체 다운로드 실패에 대한 것으로, 권한 없는 리소스에 액세스하려고 시도하는 손상된 계정을 나타낼 수 있습니다.
액세스 키 대한 권한 부여 실패 활동을 모니터링하는 경고 트리거
특정 액세스 키를 모니터링하려면 권한 부여 실패에 대한 활동 경고를 만듭니다.
GCP 활동 경고 아이디어
클라우드 SQL Database 만들기를 모니터링하는 경고 트리거
사용자 환경에서 만든 새 리소스를 모니터하려면 특정 리소스 종류 생성에 대한 경고를 설정합니다. 다음 예제는 클라우드 SQL Database 만들기에 대한 경고입니다.
서비스 계정 키에 대한 권한 부여 실패를 모니터링하는 경고 트리거
잠재적인 중단에 대한 서비스 키를 모니터하려면 GCP 프로젝트에서 서비스 계정 키에 대한 권한 부여 실패에 대한 활동 경고를 만듭니다.
활동 경고에 응답
일반적으로 활동 경고가 수신되면 활동을 조사하여 작업이 필요한지 확인하는 것이 좋습니다. 권한 관리에서 감사 탭을 사용하거나 최근 로깅 정보를 분석합니다.
참고 항목
활동 경고는 사용자 지정할 수 있으므로 응답은 구현된 활동 경고 유형에 따라 달라집니다.
다음 단계
경고를 구성하는 것은 Microsoft Entra Permissions Management의 중요한 운영 구성 요소입니다. 이러한 경고를 사용하면 과도한 계정 및 비활성 ID와 같은 시나리오에 대한 환경을 지속적으로 모니터링하고 잠재적인 위협, 서비스 중단 및 비정상적인 사용 권한을 알릴 수 있습니다. Microsoft Entra Permissions Management 작업에 대한 추가 지침은 다음 리소스를 참조하세요.