Microsoft Defender for Identity를 사용하여 공격 조사

  • 20분

Microsoft Defender for Identity 사용하여 조직의 ID에 대한 다양한 종류의 공격을 감지할 수 있다는 것을 배웠습니다. 그러나 조직의 보안 분석가는 이러한 보안 분석가를 이해하고 이를 처리하고 나중에 다시 발생하지 않도록 할 수 있어야 합니다. 여기서는 공격에 대응하여 조사를 수행하는 방법을 알아봅니다.

악의적인 활동 조사

공격은 회사 도메인 내에서 또는 외부에서 실행할 수 있습니다. 일반적으로 공격자는 외부에서 단일 컴퓨터 또는 사용자 계정을 손상한 다음 시스템의 나머지 부분에 대한 발사대로 사용할 수 있습니다. 비정상적인 활동에 대해 경고가 트리거되는 것을 관찰하는 경우 네트워크에서 이러한 경고의 출처를 조사해야 합니다. Microsoft Defender for Identity 관련된 다양한 사용자 계정, 컴퓨터 및 기타 엔터티를 조사할 수 있는 정보를 캡처합니다.

사용자 조사

특정 사용자에 대한 활동이 검색되면 Microsoft Defender for Identity 생성된 로그를 사용하여 다음 질문에 대답할 수 있습니다.

  • 이 사용자는 누구인가요? 이 사용자 계정이 실제로 존재해야 하나요, 아니면 잘못 만들어졌나요? 이 사용자에게 관리자 권한이 있나요? 시스템의 중요한 정보를 제어할 수 있나요? 이전에 이 계정의 비정상적인 활동을 감시 목록에 — 표시를 했나요?
  • 이 사용자가 엔드포인트용 Microsoft Defender 또는 Defender for Cloud Apps 같은 Microsoft Defender for Identity 또는 다른 도구에서 다른 경고를 트래핑했나요?
  • 이 사용자에게 실패한 로그인 시도 레코드가 있나요?
  • 이 사용자가 일반적으로 액세스하는 리소스는 어느 것이며, 현재 비정상적인 요청 패턴을 나타내는 계정인가요? 지금 사용자가 중요한 데이터에 액세스하려고 합니까?
  • 이 사용자가 로그인한 컴퓨터는 어느 것이고, 사용자가 일반적으로 이 컴퓨터에 연결하나요?
  • 이 사용자와 더 중요한 데이터에 액세스할 수 있는 계정 간에 횡적 이동 경로가 있나요? 한 컴퓨터에서 비교적 보호되지 않는 계정은 다른 컴퓨터에서 더 중요한 데이터에 액세스할 수 있는 그룹의 일부일 수 있습니다. 횡적 이동 경로를 사용하면 공격자가 약하게 보호된 계정의 자격 증명을 악용하여 도메인의 다른 곳에서 사용할 수 있습니다.

Microsoft Defender for Identity 조사를 위한 사용자 활동을 보여 주는 스크린샷

컴퓨터 조사

Microsoft Defender for Identity를 사용하여 컴퓨터별 활동을 추적할 수도 있습니다. 이 정보를 사용하면 경고가 발생할 때 다음과 같은 질문을 할 수 있습니다.

  • 어느 사용자가 컴퓨터에 로그인했나요? 이 사용자가 일반적으로 이 컴퓨터를 사용하나요? 사용자가 액세스를 시도한 컴퓨터의 리소스는 무엇인가요?
  • 최근에 이 컴퓨터로 로그인 시도를 실패한 적이 많이 있나요?
  • 이 컴퓨터가 Microsoft Defender for Identity 또는 엔드포인트용 Microsoft Defender와 같은 다른 솔루션에서 다른 경고를 검색했나요?
  • 이 컴퓨터에 새 프로그램이 설치된 적이 있나요?
  • 이 컴퓨터로부터 또는 이 컴퓨터에 파일이 업로드된 적이 있나요?

Microsoft Defender for Identity 조사를 위한 컴퓨터 활동을 보여 주는 스크린샷

횡적 이동 경로 조사

횡적 이동 경로는 위험한 것으로 간주되는 계정에서 발생합니다. 위험 계정이 손상되면 횡적 이동 경로의 다른 계정이 대상이 될 수 있습니다. Microsoft Defender for Identity 계정에 대한 가능한 횡적 이동 경로를 나타내는 보고서를 생성할 수 있습니다.

Microsoft Defender for Identity 횡적 이동 경로를 다운로드하는 방법을 보여 주는 스크린샷.

횡적 이동 경로의 가능성을 최소화하기 위해 다음 모범 사례를 고려할 수 있습니다.

  • 사용자가 강화된 컴퓨터를 사용할 때만 관리 자격 증명을 제공해야 합니다. 사용자가 관리 작업을 수행할 필요가 없는 경우 사용자는 일반 비관리 계정을 사용하여 로그인해야 합니다.
  • 사용자 및 그룹에 필요한 권한만 부여합니다.
  • 사용자 및 그룹에 필요한 리소스에 대한 액세스 권한만 부여합니다.

장치에서 엔터티 조사

엔터티는 도메인 내의 사용자, 컴퓨터 또는 디바이스입니다. Microsoft Defender for Identity를 사용하면 도메인의 각 엔터티에 대한 세부 정보 페이지가 표시됩니다. 여기에는 엔터티가 액세스할 수 있는 리소스 및 해당 기록을 비롯한 자세한 정보가 포함됩니다. 프로필 페이지에서는 발생된 활동 그룹(최대 1분으로 집계)을 보고 단일 논리 활동으로 그룹화하여 사용자의 실제 활동을 보다 잘 이해할 수 있는 Microsoft Defender for Identity 논리 활동 번역을 사용 합니다.

공격 조사 및 대응 살펴보기

ID에 대한 Microsoft Defender의 공격 조사 및 대응.

비디오 플레이어에서 전체 화면 옵션을 클릭해야 합니다. 작업이 완료되면 브라우저에서 뒤로가기 화살표를 사용하여 해당 페이지로 돌아갑니다.