워크로드 ID 보안
Microsoft Entra ID Protection은 사용자 ID 외에도 애플리케이션 및 서비스 주체를 보호하기 위해 워크로드 ID를 검색, 조사 및 수정할 수 있습니다.
워크로드 ID는 애플리케이션에서 리소스에 액세스할 수 있도록 허용하는 ID이며, 경우에 따라 사용자의 컨텍스트에서 허용합니다. 이러한 워크로드 ID는 다음과 같은 점에서 기존 사용자 계정과 다릅니다.
- 다단계 인증을 수행할 수 없습니다.
- 공식적인 수명 주기 프로세스가 없는 경우가 많습니다.
- 자격 증명 또는 비밀을 어딘가에 저장해야 합니다.
이러한 차이로 인해 워크로드 ID를 관리하기가 더 어려워지고 손상 위험이 높아집니다.
Important
전체 위험 세부 정보 및 위험 기반 액세스 제어는 워크로드 ID 프리미엄 고객에게 제공됩니다. 그러나 워크로드 ID 프리미엄 라이선스가 없는 고객은 여전히 제한된 보고 세부 정보로 모든 검색을 받습니다.
참고 항목
ID 보호는 단일 테넌트, 타사 SaaS 및 다중 테넌트 앱에 대한 위험을 검색합니다. 관리 ID는 현재 범위에 없습니다.
필수 조건
포털의 위험 검색 블레이드에서 새 위험한 워크로드 ID 블레이드 및 워크로드 ID 검색 탭 을 포함하여 워크로드 ID 위험 보고서를 사용하려면 다음이 있어야 합니다.
- 다음 관리자 역할 중 하나가 할당됨
- 보안 관리자
- 보안 운영자
- 조건부 액세스 관리자 역할이 할당된 보안 읽기 권한자 사용자는 위험을 조건으로 사용하는 정책을 만들 수 있습니다.
위험한 워크로드 ID에 대한 조치를 취하려면 워크로드 ID 프리미엄 라이선스가 필요한 위험 기반 조건부 액세스 정책을 설정하는 것이 좋습니다. 워크로드 ID 블레이드에서 평가판을 보고 시작하고 라이선스를 획득할 수 있습니다.
워크로드 ID 위험 검색
로그인 동작과 오프라인 손상 지표 전반에 걸쳐 워크로드 ID에 대한 위험을 검색합니다.
검색 이름 | 검색 유형 | 설명 | riskEventType |
---|---|---|---|
Microsoft Entra 위협 인텔리전스 | 오프라인 | 이 위험 검색은 Microsoft의 내부 및 외부 위협 인텔리전스 원본을 기반으로 알려진 공격 패턴과 일치하는 일부 작업을 나타냅니다. | investigationsThreatIntelligence |
의심스러운 로그인 | 오프라인 | 이 위험 검색은 이 서비스 주체에 대해 비정상적인 로그인 속성 또는 패턴을 나타냅니다. 검색은 테넌트에서 워크로드 ID에 대한 기준 로그인 동작을 알아봅니다. 검색은 2~60일이 걸리며, 나중에 로그인하는 동안 IP 주소/ASN, 대상 리소스, 사용자 에이전트, 호스팅/비 호스팅 IP 변경, IP 국가, 자격 증명 유형 중 하나 이상의 알 수 없는 속성이 나타나면 발생합니다. 워크로드 ID 로그인의 프로그래밍 방식 때문에 특정 로그인 이벤트에 플래그를 지정하는 대신 의심스러운 작업에 대한 타임스탬프를 제공합니다. 승인된 구성 변경 후에 시작된 로그인은 이 검색을 트리거할 수 있습니다. |
suspiciousSignins |
서비스 주체가 손상되었음을 관리자가 확인함 | 오프라인 | 이 검색은 관리자가 위험한 워크로드 ID UI에서 또는 riskyServicePrincipals API를 사용하여 '손상 확인'을 선택했음을 나타냅니다. 이 계정이 손상되었음을 확인한 관리자를 확인하려면 계정 위험 기록을 확인합니다(UI 또는 API를 통해). | adminConfirmedServicePrincipalCompromised |
유출된 자격 증명 | 오프라인 | 이 위험 검색은 계정의 유효한 자격 증명이 유출되었음을 나타냅니다. 이 유출은 누군가 GitHub의 공용 코드 아티팩트에서 자격 증명을 체크인하거나 데이터 침해를 통해 자격 증명이 누출될 때 발생할 수 있습니다. Microsoft 유출 자격 증명 서비스가 GitHub, 불법 웹, 붙여넣기 사이트 또는 기타 원본에서 자격 증명을 획득하면 Microsoft Entra ID의 현재 유효한 자격 증명과 비교하여 유효한 일치 항목을 찾습니다. |
leakedCredentials |
악성 애플리케이션 | 오프라인 | 이 검색은 Microsoft가 서비스 약관을 위반하여 애플리케이션을 사용하지 않도록 설정한 경우를 나타내기 위해 ID 보호 및 Microsoft Defender for Cloud Apps의 경고를 결합합니다. 애플리케이션에 대해 조사를 수행하는 것이 좋습니다. 참고: 이러한 애플리케이션은 Microsoft Graph의 관련 애플리케이션 및 서비스 사용자 리소스 종류의 disabledByMicrosoftStatus 속성에 DisabledDueToViolationOfServicesAgreement 을(를) 표시합니다. 나중에 조직에서 다시 인스턴스화되지 않도록 하기 위해 이러한 개체를 삭제할 수 없습니다. |
maliciousApplication |
의심스러운 애플리케이션 | 오프라인 | 이 검색은 ID 보호 또는 Microsoft Defender for Cloud Apps가 서비스 약관을 위반할 수 있는 애플리케이션을 식별했지만 사용하지 않도록 설정하지 않았음을 나타냅니다. 애플리케이션에 대해 조사를 수행하는 것이 좋습니다. | suspiciousApplication |
비정상적인 서비스 주체 활동 | 오프라인 | 이 위험 검색은 Microsoft Entra ID의 일반적인 관리 서비스 주체 동작을 기준으로 하며 디렉터리에 대한 의심스러운 변경과 같은 비정상적인 동작 패턴을 발견합니다. 변경을 수행하는 관리 서비스 주체 또는 변경된 개체에 대한 검색이 트리거됩니다. | anomalousServicePrincipalActivity |
의심스러운 API 트래픽 | 오프라인 | 이 위험 검색은 서비스 주체의 비정상적인 GraphAPI 트래픽 또는 디렉터리 열거가 관찰될 때 보고됩니다. 의심스러운 API 트래픽 검색은 서비스 주체에 의한 비정상적인 정찰 또는 데이터 반출을 나타낼 수 있습니다. | suspiciousAPITraffic |
위험한 워크로드 ID 식별
조직은 다음 두 위치 중 하나에서 위험 플래그가 지정된 워크로드 ID를 찾을 수 있습니다.
- Microsoft Entra 관리 센터에 보안 읽기 권한자 이상의 권한으로 로그인합니다.
- 보호>ID 보호>위험한 워크로드 ID로 이동합니다.
Microsoft Graph API
Microsoft Graph API를 사용하여 위험한 워크로드 ID를 쿼리할 수도 있습니다. ID 보호 API에는 두 가지 새로운 컬렉션이 있습니다.
riskyServicePrincipals
servicePrincipalRiskDetections
위험 데이터 내보내기
조직은 Microsoft Entra ID의 진단 설정을 구성하여 위험 데이터를 Log Analytics 작업 영역으로 보내거나, 스토리지 계정에 보관하거나, 이벤트 허브로 스트리밍하거나, SIEM 솔루션으로 보내도록 데이터를 내보낼 수 있습니다.
위험 기반 조건부 액세스를 사용하여 액세스 제어 적용
워크로드 ID에 조건부 액세스를 사용하면 ID 보호에서 "위험"으로 표시할 때 선택한 특정 계정에 대한 액세스를 차단할 수 있습니다. 정책은 테넌트에서 등록된 단일 테넌트 서비스 주체에 적용할 수 있습니다. 타사 SaaS, 다중 테넌트 앱 및 관리 ID는 범위를 벗어납니다.
워크로드 ID의 보안 및 복원력 향상을 위해 워크로드 ID에 대한 CAE(지속적인 액세스 평가)는 조건부 액세스 정책 및 검색된 위험 신호를 즉시 적용할 수 있는 강력한 도구입니다. CAE 지원 자사 리소스에 액세스하는 CAE 지원 타사 워크로드 ID에는 지속적인 보안 검사가 적용되는 24시간 LLT(수명이 긴 토큰)가 장착되어 있습니다. CAE 및 최신 기능 범위에 대한 워크로드 ID 클라이언트 구성에 대한 정보는 워크로드 ID에 대한 CAE 설명서를 참조하세요.
위험한 워크로드 ID 조사
ID 보호는 워크로드 ID 위험을 조사하는 데 사용할 수 있는 두 가지 보고서를 조직에 제공합니다. 이러한 보고서는 위험한 워크로드 ID 및 워크로드 ID에 대한 위험 검색입니다. 모든 보고서는 추가 분석을 위해 .CSV 형식으로 이벤트를 다운로드할 수 있습니다.
조사 중 답변해야 할 주요 질문은 다음과 같습니다.
- 계정에 의심스러운 로그인 작업이 표시되나요?
- 자격 증명에 대한 무단 변경이 있었나요?
- 계정에 의심스러운 구성 변경 내용이 있나요?
- 계정이 승인되지 않은 애플리케이션 역할을 획득했나요?
애플리케이션용 Microsoft Entra 보안 운영 가이드는 위의 조사 영역에 대한 자세한 지침을 제공합니다.
워크로드 ID가 손상되었는지 확인했으면 위험한 워크로드 ID 보고서에서 계정 위험을 무시하거나 계정이 손상된 것으로 확인합니다. 계정을 더 이상 로그인하지 못하도록 차단하려면 "서비스 주체 사용 안 함"을 선택할 수도 있습니다.
위험한 워크로드 ID 수정
- 서비스 주체 또는 애플리케이션 개체에 대해 위험한 워크로드 ID에 할당된 인벤토리 자격 증명입니다.
- 새 자격 증명을 추가합니다. Microsoft는 x509 인증서를 사용할 것을 권장합니다.
- 손상된 자격 증명을 제거합니다. 계정이 위험하다고 생각되면 기존 자격 증명을 모두 제거하는 것이 좋습니다.
- 서비스 주체가 액세스할 수 있는 Azure KeyVault 비밀을 교체하여 수정합니다.
Microsoft Entra Toolkit은 이러한 작업 중 일부를 수행할 수 있도록 하는 PowerShell 모듈입니다.