중요한 작업 보고서 통합 문서

IT 관리자는 환경에서 손상을 식별하여 환경을 정상 상태로 유지할 수 있어야 합니다.

중요한 작업 보고서 통합 문서는 사용자 환경의 손상을 나타낼 수 있는 의심스러운 애플리케이션 및 서비스 주체 작업을 식별하는 데 도움을 주기 위한 것입니다.

이 문서에서는 중요한 작업 보고서 통합 문서의 개요를 제공합니다.

필수 조건

Microsoft Entra ID용 Azure 통합 문서를 사용하려면 다음이 필요합니다.

• 프리미엄 P1 라이선스가 있는 Microsoft Entra 테넌트
• Log Analytics 작업 영역 및 해당 작업 영역에 대한 액세스
• Azure Monitor 및 Microsoft Entra ID에 대한 적절한 역할

Log Analytics 작업 영역

Microsoft Entra 통합 문서를 사용하려면 먼저 Log Analytics 작업 영역을 만들어야 합니다. 여러 요인에 따라 Log Analytics 작업 영역에 대한 액세스가 결정됩니다. 작업 영역 및 데이터 송신 리소스에 적절한 역할이 필요합니다.

자세한 내용은 Log Analytics 작업 영역에 대한 액세스 관리를 참조하세요.

Azure Monitor 역할

Azure Monitor는 모니터링 데이터를 보고 모니터링 설정을 편집하기 위한 두 가지 기본 제공 역할을 제공합니다. Azure RBAC(역할 기반 액세스 제어)도 유사한 액세스 권한을 부여하는 두 가지 Log Analytics 기본 제공 역할을 제공합니다.

• 보기:

  • Monitoring Reader
  • Log Analytics 독자

• 설정 보기 및 수정:

  • Monitoring Contributor
  • Log Analytics 참가자

Microsoft Entra 역할

읽기 전용 액세스를 사용하면 통합 문서 내에서 Microsoft Entra ID 로그 데이터를 보거나, Log Analytics에서 데이터를 쿼리하거나, Microsoft Entra 관리 센터에서 로그를 읽을 수 있습니다. 업데이트 액세스는 진단 설정을 만들고 편집하여 Microsoft Entra 데이터를 Log Analytics 작업 영역으로 보내는 기능을 추가합니다.

• 읽기:

  • 보고서 구독자
  • 보안 읽기 권한자
  • 전역 읽기 권한자

• 업데이트:

  • 보안 관리자

Microsoft Entra 기본 제공 역할에 대한 자세한 내용은 Microsoft Entra 기본 제공 역할을 참조하세요.

Log Analytics RBAC 역할에 대한 자세한 내용은 Azure 기본 제공 역할을 참조하세요.

설명

이 통합 문서에서는 테넌트에서 수행되었으며 서비스 주체가 손상될 수 있는 최근의 중요한 작업을 식별합니다.

조직에서 Azure Monitor 통합 문서를 처음 사용하는 경우 통합 문서에 액세스하기 전에 Microsoft Entra 로그인 및 감사 로그를 Azure Monitor와 통합해야 합니다. 이러한 통합을 통해 최대 2년 동안 통합 문서를 사용하여 로그를 저장, 쿼리 및 시각화할 수 있습니다. Azure Monitor와 통합한 후에 만든 로그인 및 감사 이벤트만 저장되므로 통합 문서에는 해당 날짜 이전의 인사이트가 포함되지 않습니다. Microsoft Entra ID용 Azure Monitor 통합 문서의 필수 구성 요소에 대해 자세히 알아봅니다. 이전에 Microsoft Entra 로그인 및 감사 로그를 Azure Monitor와 통합한 경우 통합 문서를 사용하여 과거 정보를 평가할 수 있습니다.

통합 문서에 액세스하는 방법

1. 적절한 역할 조합을 사용하여 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>모니터링 및 상태>통합 문서로 이동합니다.

3. 문제 해결 섹션에서 중요한 작업 보고서 통합 문서를 선택합니다.

섹션

이 통합 문서는 4개의 섹션으로 나뉩니다.

• 수정된 애플리케이션 및 서비스 주체 자격 증명/인증 방법 - 이 보고서는 최근에 여러 서비스 주체 자격 증명을 변경한 행위자와 각 유형의 서비스 주체 자격 증명이 변경된 횟수에 플래그를 적용합니다.

• 서비스 주체에 부여된 새 권한 - 이 통합 문서는 최근에 서비스 주체에 부여된 OAuth 2.0 권한도 강조 표시합니다.

• 서비스 주체에 대한 디렉터리 역할 및 그룹 멤버 자격 업데이트

• 수정된 페더레이션 설정 - 이 보고서는 사용자 또는 애플리케이션에서 도메인의 페더레이션 설정을 수정하는 경우를 강조 표시합니다. 예를 들어 서명 인증서와 같은 새 ADFS(Active Directory Federated Service) TrustedRealm 개체가 도메인에 추가될 때 보고합니다. 도메인 페더레이션 설정을 수정하는 경우는 거의 없습니다.

수정된 애플리케이션 및 서비스 주체 자격 증명/인증 방법

공격자가 환경에서 지속성을 확보하는 가장 일반적인 방법 중 하나는 새 자격 증명을 기존 애플리케이션 및 서비스 주체에 추가하는 것입니다. 공격자는 자격 증명을 통해 대상 애플리케이션 또는 서비스 주체로 인증하여 권한이 있는 모든 리소스에 대한 액세스 권한을 부여할 수 있습니다.

이 섹션에는 검색하는 데 도움이 되는 다음 데이터가 포함되어 있습니다.

• 자격 증명 유형을 포함하여 앱 및 서비스 주체에 추가된 모든 새 자격 증명

• 상위 행위자 및 이러한 행위자가 수행한 자격 증명 수정의 수

• 모든 자격 증명 변경에 대한 타임라인

서비스 주체에 부여된 새 권한

공격자가 액세스 권한을 얻을 수 있는 높은 권한 세트가 있는 서비스 주체 또는 애플리케이션을 찾을 수 없는 경우 권한을 다른 서비스 주체 또는 앱에 추가하려고 시도하는 경우가 많습니다.

이 섹션에는 기존 서비스 주체에 부여하는 AppOnly 권한에 대한 분석이 포함되어 있습니다. 관리자는 Exchange Online 및 Microsoft Graph를 포함하되 이에 국한되지 않고 과도하게 높은 권한이 부여된 인스턴스를 조사해야 합니다.

서비스 주체에 대한 디렉터리 역할 및 그룹 멤버 자격 업데이트

다른 방법은 새 권한을 기존 서비스 주체 및 애플리케이션에 추가하는 공격자의 논리에 따라 권한을 기존 디렉터리 역할 또는 그룹에 추가하는 것입니다.

이 섹션에는 서비스 주체 멤버 자격에 대한 모든 변경 내용에 대한 개요가 포함되어 있으며 높은 권한 역할 및 그룹에 대한 추가 사항을 검토해야 합니다.

수정된 페더레이션 설정

환경에서 장기적 발판을 확보하기 위한 또 다른 일반적인 방법은 다음과 같습니다.

• 테넌트의 페더레이션된 도메인 트러스트를 수정합니다.
• 공격자가 제어하는 다른 SAML IDP를 신뢰할 수 있는 인증 원본으로 추가합니다.

이 섹션에는 다음 데이터가 포함되어 있습니다.

• 기존 도메인 페더레이션 트러스트에 수행된 변경 내용

• 새 도메인 및 트러스트 추가

필터

이 단락에는 각 섹션에 지원되는 필터가 나와 있습니다.

수정된 애플리케이션 및 서비스 주체 자격 증명/인증 방법

• 시간 범위
• 작업 이름
• 자격 증명
• 행위자
• 행위자 제외

서비스 주체에 부여된 새 권한

• 시간 범위
• 클라이언트 앱
• 리소스

서비스 주체에 대한 디렉터리 역할 및 그룹 멤버 자격 업데이트

• 시간 범위
• 연산
• 사용자 또는 앱 시작

수정된 페더레이션 설정

• 시간 범위
• 연산
• 사용자 또는 앱 시작

모범 사례

• • 수정된 애플리케이션 및 서비스 주체 자격 증명을 사용**하여 조직에서 자주 사용되지 않는 서비스 주체에 추가되는 자격 증명을 찾습니다. 이 섹션에 있는 필터를 사용하여 수정된 의심스러운 행위자 또는 서비스 주체를 추가로 조사합니다.

• 서비스 주체에 부여된 새 권한을 사용하여 행위자가 손상될 수 있는 서비스 주체에 추가하는 광범위하거나 과도한 권한을 찾습니다.

• 수정된 페더레이션 설정 섹션을 사용하여 추가되거나 수정된 대상 도메인/URL이 합법적인 관리자 동작인지 확인합니다. 도메인 페더레이션 트러스트를 수정하거나 추가하는 작업은 거의 수행되지 않으며, 가능한 한 빨리 조사할 수 있도록 충실도가 높은 것으로 처리해야 합니다.