다음을 통해 공유

Microsoft Entra ID Protection에서 위험 검색 시뮬레이트

관리자는 Microsoft Entra ID Protection에서 위험 검색을 시뮬레이션하여 데이터를 채우고 위험 기반 조건부 액세스 정책을 테스트할 수 있습니다.

이 문서에서는 아래의 위험 검색 유형을 시뮬레이션하는 단계를 제공합니다.

  • 익명 IP 주소 (간단함)
  • 익숙하지 않은 로그인 속성(난이도 중)
  • 비정상적 이동 (난이도 상)
  • GitHub에서 워크로드 정체성에 대한 유출된 자격 증명(중간)

다른 위험 검색은 안전한 방법으로 시뮬레이션할 수 없습니다.

각 위험 검색에 대한 자세한 내용은 사용자워크로드 ID에 대한 위험 관련 문서에서 찾을 수 있습니다.

익명 IP 주소 시뮬레이션

다음 절차를 완료하려면 다음을 사용해야 합니다.

  • Tor 브라우저 - 익명 IP 주소를 시뮬레이션할 수 있습니다. 조직이 Tor 브라우저를 사용하여 제한하는 경우 가상 머신을 사용해야 합니다.
  • Microsoft Entra 다단계 인증에 아직 등록되지 않은 테스트 계정입니다.

익명 IP에서 로그인을 시뮬레이트하려면 다음 단계를 수행합니다.

  1. Tor 브라우저를 사용하여 https://myapps.microsoft.com으로 이동합니다.
  2. 익명 IP 주소에서 로그인 보고서에 표시하려는 계정의 자격 증명을 입력합니다.

로그인은 10~15분 내에 보고서에 표시됩니다.

익숙하지 않은 Sign-In 속성 시뮬레이션

일반적이지 않은 위치를 시뮬레이션하려면 테스트 계정이 이전에 사용하지 않은 위치 및 디바이스를 사용해야 합니다.

다음 절차에서는 새로 만든 것을 사용합니다.

  • 새 위치를 시뮬레이션하기 위한 VPN 연결
  • 새 디바이스를 시뮬레이션하기 위한 가상 머신

다음 절차를 완료하려면 로그인 기록이 30일 이상인 사용자 계정과 사용 가능한 다단계 인증 방법을 사용해야 합니다.

익숙하지 않은 위치에서 로그인을 시뮬레이트하려면 다음 단계를 수행합니다.

  1. 새 VPN을 사용하여 https://myapps.microsoft.com으로 이동하고 테스트 계정의 자격 증명을 입력합니다.
  2. 테스트 계정으로 로그인할 때, 다중 인증(MFA) 챌린지를 고의로 통과하지 않아 다중 인증 실패 상태가 됩니다.

로그인은 10~15분 내에 보고서에 표시됩니다.

비정형 이동 시뮬레이트

비정상적 이동 조건을 시뮬레이션하는 것은 어렵습니다. 알고리즘이 기계 학습을 사용하여 익숙한 디바이스로부터의 비정상적 이동이나 디렉터리의 다른 사용자가 사용하는 VPN으로부터의 로그인과 같은 가양성을 제거합니다. 또한 알고리즘은 위험 검색의 생성을 시작하기 전에 사용자의 14일간의 로그인 또는 10회의 로그인 기록이 필요합니다. 복잡한 기계 학습 모델 및 위의 규칙으로 인해 다음 단계가 위험 검색으로 이어지지 않을 가능성이 있습니다. 이 단계들을 여러 Microsoft Entra 계정에서 반복하여 이러한 위험 탐지를 시뮬레이션할 수 있습니다.

비정상적인 이동 위험 검색을 시뮬레이션하려면 다음 단계를 수행 합니다.

  1. 표준 브라우저를 사용하여 https://myapps.microsoft.com으로 이동합니다.
  2. 비정상적 이동 위험 검색의 생성 대상이 되는 계정의 자격 증명을 입력합니다.
  3. 사용자 에이전트를 변경합니다. 개발자 도구(F12)에서 Microsoft Edge의 사용자 에이전트를 변경할 수 있습니다.
  4. 사용자의 IP 주소를 변경합니다. VPN, Tor 추가 항목을 사용하거나 다른 데이터 센터의 Azure에서 새 가상 머신을 만들어 사용자의 IP 주소를 변경할 수 있습니다.
  5. 이전과 동일한 자격 증명을 사용하여 이전 로그인 후 몇 분 내에 https://myapps.microsoft.com에 로그인합니다.

로그인은 2~4시간 내에 보고서에 표시됩니다.

워크로드 ID에 대한 유출된 자격 증명

이 위험 검색은 애플리케이션의 유효한 자격 증명이 유출되었음을 나타냅니다. 이 유출은 누군가 GitHub의 공용 코드 아티팩트에서 자격 증명을 체크 인할 때 발생할 수 있습니다. 따라서 이 검색을 시뮬레이션하려면 GitHub 계정이 필요하며 아직 계정이 없는 경우 GitHub 계정에 등록할 수 있습니다.

GitHub에서 워크로드 정체성을 위한 유출된 자격 증명 시뮬레이션

  1. 최소한 보안 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. Entra ID>앱 등록으로 이동합니다.

  3. 새 등록을 선택하여 새 애플리케이션을 등록하거나 오래된 기존 애플리케이션을 다시 사용합니다.

  4. 인증서 및 비밀>새 클라이언트 암호를 차례로 선택하고, 클라이언트 암호에 대한 설명을 추가하고, 비밀에 대한 만료를 설정하거나 사용자 지정 수명을 지정하고, 추가를 선택합니다. 나중에 GitHub 커밋에 사용할 비밀 값을 기록합니다.

    참고

    이 페이지를 나가면 비밀을 다시 검색할 수 없습니다.

  5. 개요 페이지에서 TenantID 및 Application(클라이언트) ID를 가져옵니다.

  6. 애플리케이션을 Entra ID>엔터프라이즈 애플리케이션>속성>을 통해 사용하지 않도록 설정해야 합니다. 사용자가 로그인할 수 있도록 활성화됨No로 설정하세요.

  7. 공용 GitHub 리포지토리를 만들고 다음 구성을 추가한 후 변경 내용을 확장자가 .txt인 파일로 커밋합니다.

      "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
  "AadSecret": "p3n7Q~XXXX",
  "AadTenantDomain": "XXXX.onmicrosoft.com",
  "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",

  8. 약 8시간 후에 다른 정보에 GitHub 커밋의 URL이 포함된 ID 보호>대시보드>위험 검색>에서 유출된 자격 증명 검색 을 볼 수 있습니다.

위험 정책 테스트

이 섹션에서는 방법: 위험 정책 구성 및 설정 문서에서 만든 사용자 및 로그인 위험 정책을 테스트하는 단계를 제공합니다.

사용자 위험 정책

사용자 위험 보안 정책을 테스트하려면 다음 단계를 수행합니다.

  1. 테스트하려는 사용자를 대상으로 사용자 위험 정책을 구성합니다.
  2. 예를 들어 위험 검색 중 하나를 몇 차례 시뮬레이션하여 테스트 계정의 사용자 위험을 상승시킵니다.
  3. 몇 분 정도 기다린 다음, 사용자에 대하여 위험이 상승되었는지 확인합니다. 그렇지 않다면 사용자에게 위험 감지를 더 많이 모의 실험을 수행하십시오.
  4. 위험 정책으로 돌아가서 정책 적용켜기로 설정하고 정책 변경 내용을 저장합니다.
  5. 이제 위험 수준이 상승한 사용자로 로그인하여 사용자 위험 기반 조건부 액세스를 테스트할 수 있습니다.

로그인 위험 보안 정책

로그인 위험 정책을 테스트하려면 다음 단계를 수행합니다.

  1. 테스트하려는 사용자를 대상으로 로그인 위험 정책을 구성합니다.
  2. 이제 위험한 세션을 사용하여(예를 들어 Tor 브라우저 사용) 로그인하여 로그인 위험 기반 조건부 액세스를 테스트할 수 있습니다.

관련 콘텐츠