미리 정의된 분류
보안 노출 관리 디바이스, ID 및 클라우드 리소스를 포함하는 자산에 대해 미리 정의된 중요 자산 분류의 기본 카탈로그를 제공합니다.
중요한 자산을 검토하고 분류하여 필요에 따라 켜고 끌 수 있습니다.
새 중요 자산 분류를 제안하려면 피드백 단추를 사용합니다.
현재 자산 유형은 다음과 같습니다.
디바이스
분류 | 자산 유형 | 기본 중요도 수준 | 설명 |
---|---|---|---|
Microsoft Entra ID 연결 | 디바이스 | 보통 | Microsoft Entra ID Connect(이전의 AAD Connect) 서버는 온-프레미스 디렉터리 데이터 및 암호를 Microsoft Entra ID 테넌트와 동기화해야 합니다. |
ADCS | 디바이스 | 보통 | ADCS 서버를 사용하면 관리자가 PKI(공개 키 인프라)를 완전히 구현하고 네트워크에서 여러 리소스를 보호하는 데 사용할 수 있는 디지털 인증서를 발급할 수 있습니다. 또한 ADCS는 SSL 암호화, 사용자 인증 및 보안 메일과 같은 다양한 보안 솔루션에 사용할 수 있습니다. |
ADFS | 디바이스 | 높음 | ADFS 서버는 조직 경계를 넘어 있는 시스템 및 애플리케이션에 대한 Single Sign-On 액세스를 사용자에게 제공합니다. 클레임 기반 액세스 제어 권한 부여 모델을 사용하여 애플리케이션 보안을 유지하고 페더레이션 ID를 구현합니다. |
백업 | 디바이스 | 보통 | 백업 서버는 정기적인 백업을 통해 데이터를 보호하고 데이터 보호 및 재해 복구 준비를 보장합니다. |
도메인 관리 디바이스 | 디바이스 | 높음 | 도메인 관리자 디바이스는 하나 이상의 도메인 관리자가 자주 로그인하는 디바이스입니다. 이러한 디바이스는 도메인 관리자가 사용하는 관련 파일, 문서 및 자격 증명을 저장할 수 있습니다. |
도메인 컨트롤러 | 디바이스 | 높음 | 도메인 컨트롤러 서버는 Active Directory 도메인 내의 네트워크 리소스에 대한 사용자 인증, 권한 부여 및 중앙 집중식 관리를 담당합니다. |
DNS | 디바이스 | 낮음 | DNS 서버는 IP 주소에 대한 도메인 이름을 확인하여 내부 및 외부에서 네트워크 통신 및 리소스에 대한 액세스를 가능하게 하는 데 필수적입니다. |
Exchange | 디바이스 | 보통 | Exchange 서버는 organization 내의 모든 메일 트래픽을 담당합니다. 설정 및 아키텍처에 따라 각 서버에는 매우 중요한 조직 정보를 저장하는 여러 메일 데이터베이스가 포함될 수 있습니다. |
SCCM | 디바이스 | 보통 | SCCM 패치 관리, 소프트웨어 배포 및 인벤토리 관리를 포함하여 대규모 네트워크의 엔드포인트를 관리하는 데 사용됩니다. |
IT 관리 디바이스 | 디바이스 | 보통 | organization 내의 자산을 구성, 관리 및 모니터링하는 데 사용되는 중요한 디바이스는 IT 관리에 매우 중요하며 사이버 위협의 위험이 높습니다. 무단 액세스를 방지하려면 최상위 보안이 필요합니다. |
네트워크 관리 디바이스 | 디바이스 | 보통 | organization 내의 네트워크 자산을 구성, 관리 및 모니터링하는 데 사용되는 중요한 디바이스는 네트워크 관리에 매우 중요하며 사이버 위협의 위험이 높습니다. 무단 액세스를 방지하려면 최상위 보안이 필요합니다. |
VMware ESXi | 디바이스 | 높음 | VMware ESXi 하이퍼바이저는 인프라 내에서 가상 머신을 실행하고 관리하는 데 필수적입니다. 운영 체제 미설치 하이퍼바이저로서 가상 리소스를 만들고 관리하기 위한 토대를 제공합니다. |
VMware vCenter | 디바이스 | 높음 | VMware vCenter Server는 가상 환경을 관리하는 데 매우 중요합니다. 가상 머신 및 ESXi 호스트의 중앙 집중식 관리를 제공합니다. 실패하면 프로비저닝, 마이그레이션, 가상 머신의 부하 분산 및 데이터 센터 자동화를 비롯한 가상 인프라의 관리 및 제어가 중단됩니다. 그러나 중복 vCenter 서버 및 고가용성 구성이 있는 경우가 많으므로 모든 작업이 즉시 중단되지 않을 수 있습니다. 실패로 인해 여전히 상당한 불편과 잠재적 성능 문제가 발생할 수 있습니다. |
Hyper-V Server | 디바이스 | 높음 | Hyper-V 하이퍼바이저는 인프라 내에서 가상 머신을 실행하고 관리하는 데 필수적이며, 만들기 및 관리를 위한 핵심 플랫폼 역할을 합니다. Hyper-V 호스트가 실패하면 호스트된 가상 머신을 사용할 수 없게 되어 가동 중지 시간이 발생하고 비즈니스 운영이 중단될 수 있습니다. 또한 상당한 성능 저하 및 운영 문제를 초래할 수 있습니다. 따라서 가상 환경에서 원활한 작업을 유지 관리하려면 Hyper-V 호스트의 안정성과 안정성을 보장하는 것이 중요합니다. |
ID
분류 | 자산 유형 | 기본 중요도 수준 | 설명 |
---|---|---|---|
권한 있는 Azure 역할이 있는 ID | ID | 높음 | 다음 ID(사용자, 그룹, 서비스 주체 또는 관리 ID)에는 중요한 리소스를 포함하는 구독 scope 할당된 기본 제공 또는 사용자 지정 권한 Azure RBAC 역할이 있습니다. 역할에는 Azure 역할 할당에 대한 권한, Azure 정책 수정, 실행 명령을 사용하여 VM에서 스크립트 실행, 스토리지 계정 및 keyvaults에 대한 읽기 액세스 등이 포함될 수 있습니다. |
애플리케이션 관리자 | ID | 매우 높음 | 이 역할의 사용자는 엔터프라이즈 애플리케이션, 애플리케이션 등록 및 애플리케이션 프록시 설정의 모든 측면을 만들고 관리할 수 있습니다. |
응용 프로그램 개발자 | ID | 높음 | 이 역할의 사용자는 '사용자가 애플리케이션을 등록할 수 있습니다' 설정과 관계없이 애플리케이션 등록을 만들 수 있습니다. |
인증 관리자 | ID | 매우 높음 | 이 역할의 사용자는 관리자가 아닌 사용자에 대해 인증 방법(암호 포함)을 설정하고 재설정할 수 있습니다. |
B2C IEF 키 집합 관리자 | ID | 높음 | 이 역할의 사용자는 IEF(Identity Experience Framework)에서 페더레이션 및 암호화에 대한 비밀을 관리할 수 있습니다. |
클라우드 응용 프로그램 관리자 | ID | 매우 높음 | 이 역할의 사용자는 앱 프록시를 제외한 앱 등록 및 엔터프라이즈 앱의 모든 측면을 만들고 관리할 수 있습니다. |
클라우드 디바이스 관리자 | ID | 높음 | 이 역할의 사용자는 Microsoft Entra ID 디바이스를 관리할 수 있는 액세스 권한이 제한됩니다. Microsoft Entra ID 디바이스를 활성화, 비활성화 및 삭제하고 Azure Portal Windows 10 BitLocker 키를 읽을 수 있습니다. |
조건부 액세스 관리자 | ID | 높음 | 이 역할을 가진 사용자는 Microsoft Entra 조건부 액세스 설정을 관리할 수 있습니다. |
디렉터리 동기화 계정 | ID | 매우 높음 | 이 역할이 있는 사용자는 모든 디렉터리 동기화 설정을 관리할 수 있습니다. Microsoft Entra Connect 서비스에서만 사용해야 합니다. |
디렉터리 작성자 | ID | 높음 | 이 역할의 사용자는 기본 디렉터리 정보를 읽고 쓸 수 있습니다. 사용자가 아닌 애플리케이션에 대한 액세스 권한을 부여합니다. |
전역 관리자 | ID | 매우 높음 | 이 역할의 사용자는 Microsoft Entra ID를 사용하는 Microsoft Entra ID 및 Microsoft 서비스의 모든 측면을 관리할 수 있습니다. |
전역 읽기 권한자 | ID | 높음 | 이 역할의 사용자는 전역 관리자가 할 수 있는 모든 것을 읽을 수 있지만 업데이트할 수는 없습니다. |
지원 센터 관리자 | ID | 매우 높음 | 이 역할의 사용자는 비관리자 및 기술 지원팀 관리자의 암호를 재설정할 수 있습니다. |
하이브리드 ID 관리자 | ID | 매우 높음 | 이 역할의 사용자는 Active Directory를 관리하여 클라우드 프로비저닝, Microsoft Entra Connect, PTA(통과 인증), PHS(암호 해시 동기화), 원활한 SSO(Single Sign-On) 및 페더레이션 설정을 Microsoft Entra 수 있습니다. |
Intune 관리자 | ID | 매우 높음 | 이 역할의 사용자는 Intune 제품의 모든 측면을 관리할 수 있습니다. |
파트너 계층1 지원 | ID | 매우 높음 | 이 역할의 사용자는 비고급 사용자의 암호를 재설정하고, 애플리케이션에 대한 자격 증명을 업데이트하고, 사용자를 만들고 삭제하고, OAuth2 권한 부여를 만들 수 있습니다. 이 역할은 더 이상 사용되지 않으며 향후 Microsoft Entra ID 제거될 예정입니다. 사용하지 마세요. 일반적인 용도로는 사용되지 않습니다. |
파트너 계층2 지원 | ID | 매우 높음 | 이 역할의 사용자는 모든 사용자(전역 관리자 포함)의 암호를 재설정하고, 애플리케이션에 대한 자격 증명을 업데이트하고, 사용자를 만들고 삭제하고, OAuth2 권한 부여를 만들 수 있습니다. 이 역할은 더 이상 사용되지 않으며 향후 Microsoft Entra ID 제거될 예정입니다. 사용하지 마세요. 일반적인 용도로는 사용되지 않습니다. |
암호 관리자 | ID | 매우 높음 | 이 역할의 사용자는 비관리자 및 암호 관리자에 대한 암호를 재설정할 수 있습니다. |
권한 있는 인증 관리자 | ID | 매우 높음 | 이 역할의 사용자는 모든 사용자(관리자 또는 비고급)에 대한 인증 방법 정보를 보고, 설정하고, 재설정할 수 있습니다. |
권한 있는 역할 관리자 | ID | 높음 | 이 역할의 사용자는 Microsoft Entra ID 역할 할당 및 Privileged Identity Management 모든 측면을 관리할 수 있습니다. |
보안 관리자 | ID | 높음 | 이 역할의 사용자는 보안 정보 및 보고서를 읽고 Microsoft Entra ID 및 Office 365 구성을 관리할 수 있습니다. |
보안 운영자 | ID | 높음 | 이 역할의 사용자는 보안 이벤트를 만들고 관리할 수 있습니다. |
보안 읽기 권한자 | ID | 높음 | 이 역할의 사용자는 Microsoft Entra ID 및 Office 365 보안 정보 및 보고서를 읽을 수 있습니다. |
사용자 관리자 | ID | 매우 높음 | 이 역할의 사용자는 제한된 관리자에 대한 암호 재설정을 포함하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다. |
Exchange 관리자 | ID | 높음 | 이 역할의 사용자는 Exchange 제품의 모든 측면을 관리할 수 있습니다. |
SharePoint 관리자 | ID | 높음 | 이 역할의 사용자는 SharePoint 서비스의 모든 측면을 관리할 수 있습니다. |
준수 관리자 | ID | 높음 | 이 역할의 사용자는 Microsoft Entra ID 및 Microsoft 365에서 규정 준수 구성 및 보고서를 읽고 관리할 수 있습니다. |
그룹 관리자 | ID | 높음 | 이 역할의 사용자는 이름 지정 및 만료 정책과 같은 그룹 및 그룹 설정을 만들거나 관리하고 그룹 활동 및 감사 보고서를 볼 수 있습니다. |
외부 ID 공급자 관리자 | ID | 매우 높음 | 이 역할의 사용자는 직접 페더레이션에 사용할 ID 공급자를 구성할 수 있습니다. |
도메인 이름 관리자 | ID | 매우 높음 | 이 역할의 사용자는 클라우드 및 온-프레미스에서 도메인 이름을 관리할 수 있습니다. |
사용 권한 관리 관리자 | ID | 매우 높음 | 이 역할의 사용자는 EPM(Microsoft Entra 사용 권한 관리)의 모든 측면을 관리할 수 있습니다. |
대금 청구 관리자 | ID | 높음 | 이 역할의 사용자는 결제 정보 업데이트와 같은 일반적인 청구 관련 작업을 수행할 수 있습니다. |
라이선스 관리자 | ID | 높음 | 이 역할의 사용자는 사용자 및 그룹에 대한 제품 라이선스를 관리할 수 있습니다. |
Teams 관리자 | ID | 높음 | 이 역할의 사용자는 Microsoft Teams 서비스를 관리할 수 있습니다. |
사용자 흐름 관리자 외부 ID | ID | 높음 | 이 역할의 사용자는 사용자 흐름의 모든 측면을 만들고 관리할 수 있습니다. |
사용자 흐름 특성 관리자 외부 ID | ID | 높음 | 이 역할의 사용자는 모든 사용자 흐름에서 사용할 수 있는 특성 스키마를 만들고 관리할 수 있습니다. |
B2C IEF 정책 관리자 | ID | 높음 | 이 역할의 사용자는 IEF(Identity Experience Framework)에서 신뢰 프레임워크 정책을 만들고 관리할 수 있습니다. |
규정 준수 데이터 관리자 | ID | 높음 | 이 역할의 사용자는 규정 준수 콘텐츠를 만들고 관리할 수 있습니다. |
인증 정책 관리자 | ID | 높음 | 이 역할의 사용자는 인증 방법 정책, 테넌트 전체 MFA 설정, 암호 보호 정책 및 확인 가능한 자격 증명을 만들고 관리할 수 있습니다. |
지식 관리자 | ID | 높음 | 이 역할의 사용자는 지식, 학습 및 기타 지능형 기능을 구성할 수 있습니다. |
지식 관리자 | ID | 높음 | 이 역할의 사용자는 topics 및 지식을 구성, 생성, 관리 및 승격할 수 있습니다. |
특성 정의 관리자 | ID | 높음 | 이 역할의 사용자는 사용자 지정 보안 특성의 정의를 정의하고 관리할 수 있습니다. |
특성 할당 관리자 | ID | 높음 | 이 역할의 사용자는 지원되는 Microsoft Entra 개체에 사용자 지정 보안 특성 키 및 값을 할당할 수 있습니다. |
ID 거버넌스 관리자 | ID | 높음 | 이 역할의 사용자는 ID 거버넌스 시나리오에 Microsoft Entra ID 사용하여 액세스를 관리할 수 있습니다. |
Cloud App Security 관리자 | ID | 높음 | 이 역할의 사용자는 Defender for Cloud Apps 제품의 모든 측면을 관리할 수 있습니다. |
Windows 365 관리자 | ID | 높음 | 이 역할의 사용자는 클라우드 PC의 모든 측면을 프로비전하고 관리할 수 있습니다. |
Yammer 관리자 | ID | 높음 | 이 역할의 사용자는 Yammer 서비스의 모든 측면을 관리할 수 있습니다. |
인증 확장성 관리자 | ID | 높음 | 이 역할의 사용자는 사용자 지정 인증 확장을 만들고 관리하여 사용자의 로그인 및 등록 환경을 사용자 지정할 수 있습니다. |
수명 주기 워크플로 관리자 | ID | 높음 | 이 역할의 사용자는 Microsoft Entra ID 수명 주기 워크플로와 관련된 워크플로 및 작업의 모든 측면을 만들고 관리합니다. |
클라우드 리소스
분류 | 자산 유형 | 기본 중요도 수준 | 설명 |
---|---|---|---|
중요한 데이터가 있는 데이터베이스 | 클라우드 리소스 | 높음 | 중요한 데이터가 포함된 데이터 저장소입니다. 데이터의 민감도는 비밀, 기밀 문서, 개인 식별 정보 등 다양할 수 있습니다. |
기밀 Azure Virtual Machine | 클라우드 리소스 | 높음 | 이 규칙은 Azure 기밀 가상 머신에 적용됩니다. 기밀 VM은 향상된 격리, 개인 정보 보호 및 암호화를 제공하며 중요하거나 매우 중요한 데이터 및 워크로드에 사용됩니다. |
잠긴 Azure Virtual Machine | 클라우드 리소스 | 보통 | 잠금으로 보호되는 가상 머신입니다. 잠금은 삭제 및 수정으로부터 자산을 보호하는 데 사용됩니다. 일반적으로 관리자는 잠금을 사용하여 환경에서 중요한 클라우드 자산을 보호하고 실수로 인한 삭제 및 무단 수정으로부터 보호합니다. |
고가용성 및 성능이 있는 Azure Virtual Machine | 클라우드 리소스 | 낮음 | 이 규칙은 프리미엄 Azure Storage를 사용하고 가용성 집합으로 구성된 Azure 가상 머신에 적용됩니다. Premium Storage는 프로덕션 워크로드와 같은 고성능 요구 사항이 있는 컴퓨터에 사용됩니다. 가용성 집합은 복원력을 향상시키며 고가용성이 필요한 중요 비즈니스용 VM에 대해 자주 표시됩니다. |
변경할 수 없는 Azure Storage | 클라우드 리소스 | 보통 | 이 규칙은 불변성 지원이 사용하도록 설정된 Azure Storage 계정에 적용됩니다. 불변성은 WORM(많은 읽기) 상태일 때 비즈니스 데이터를 쓰기에 저장하며, 일반적으로 스토리지 계정에 수정으로부터 보호해야 하는 중요하거나 중요한 데이터가 있음을 나타냅니다. |
변경할 수 없음 및 잠긴 Azure Storage | 클라우드 리소스 | 높음 | 이 규칙은 잠긴 정책으로 불변성 지원을 사용하도록 설정된 Azure Storage 계정에 적용됩니다. 불변성은 WORM(많은 읽기)을 읽은 후에는 비즈니스 데이터를 쓰기에 저장합니다. 데이터를 삭제할 수 없거나 보존 시간이 단축되도록 잠긴 정책으로 데이터 보호가 증가합니다. 이러한 설정은 일반적으로 스토리지 계정에 수정 또는 삭제로부터 보호해야 하는 중요하거나 중요한 데이터를 보유함을 나타냅니다. 데이터는 데이터 보호를 위한 규정 준수 정책과 일치해야 할 수도 있습니다. |
중요한 사용자가 로그인한 Azure Virtual Machine | 클라우드 리소스 | 높음 | 이 규칙은 중요도가 높거나 매우 높은 사용자가 로그인되는 엔드포인트용 Defender로 보호되는 가상 머신에 적용됩니다. 로그인한 사용자는 조인 또는 등록된 디바이스, 활성 브라우저 세션 또는 기타 수단을 통해서일 수 있습니다. |
많은 연결된 ID가 있는 Azure Key Vault | 클라우드 리소스 | 높음 | 이 규칙은 다른 Key Vault에 비해 많은 수의 ID에서 액세스할 수 있는 Key Vault를 식별합니다. 이는 종종 프로덕션 서비스와 같은 중요한 워크로드에서 Key Vault 사용됨을 나타냅니다. |