Microsoft Defender for Identity를 사용하여 공격 조사
Microsoft Defender for Identity 사용하여 조직의 ID에 대한 다양한 종류의 공격을 감지할 수 있다는 것을 배웠습니다. 그러나 조직의 보안 분석가는 이러한 보안 분석가를 이해하고 이를 처리하고 나중에 다시 발생하지 않도록 할 수 있어야 합니다. 여기서는 공격에 대응하여 조사를 수행하는 방법을 알아봅니다.
악의적인 활동 조사
공격은 회사 도메인 내에서 또는 외부에서 실행할 수 있습니다. 일반적으로 공격자는 외부에서 단일 컴퓨터 또는 사용자 계정을 손상한 다음 시스템의 나머지 부분에 대한 발사대로 사용할 수 있습니다. 비정상적인 활동에 대해 경고가 트리거되는 것을 관찰하는 경우 네트워크에서 이러한 경고의 출처를 조사해야 합니다. Microsoft Defender for Identity 관련된 다양한 사용자 계정, 컴퓨터 및 기타 엔터티를 조사할 수 있는 정보를 캡처합니다.
사용자 조사
특정 사용자에 대한 활동이 검색되면 Microsoft Defender for Identity 생성된 로그를 사용하여 다음 질문에 대답할 수 있습니다.
- 이 사용자는 누구인가요? 이 사용자 계정이 실제로 존재해야 하나요, 아니면 잘못 만들어졌나요? 이 사용자에게 관리자 권한이 있나요? 시스템의 중요한 정보를 제어할 수 있나요? 이전에 이 계정의 비정상적인 활동을 감시 목록에 — 표시를 했나요?
- 이 사용자가 엔드포인트용 Microsoft Defender 또는 Defender for Cloud Apps 같은 Microsoft Defender for Identity 또는 다른 도구에서 다른 경고를 트래핑했나요?
- 이 사용자에게 실패한 로그인 시도 레코드가 있나요?
- 이 사용자가 일반적으로 액세스하는 리소스는 어느 것이며, 현재 비정상적인 요청 패턴을 나타내는 계정인가요? 지금 사용자가 중요한 데이터에 액세스하려고 합니까?
- 이 사용자가 로그인한 컴퓨터는 어느 것이고, 사용자가 일반적으로 이 컴퓨터에 연결하나요?
- 이 사용자와 더 중요한 데이터에 액세스할 수 있는 계정 간에 횡적 이동 경로가 있나요? 한 컴퓨터에서 비교적 보호되지 않는 계정은 다른 컴퓨터에서 더 중요한 데이터에 액세스할 수 있는 그룹의 일부일 수 있습니다. 횡적 이동 경로를 사용하면 공격자가 약하게 보호된 계정의 자격 증명을 악용하여 도메인의 다른 곳에서 사용할 수 있습니다.
컴퓨터 조사
Microsoft Defender for Identity를 사용하여 컴퓨터별 활동을 추적할 수도 있습니다. 이 정보를 사용하면 경고가 발생할 때 다음과 같은 질문을 할 수 있습니다.
- 어느 사용자가 컴퓨터에 로그인했나요? 이 사용자가 일반적으로 이 컴퓨터를 사용하나요? 사용자가 액세스를 시도한 컴퓨터의 리소스는 무엇인가요?
- 최근에 이 컴퓨터로 로그인 시도를 실패한 적이 많이 있나요?
- 이 컴퓨터가 Microsoft Defender for Identity 또는 엔드포인트용 Microsoft Defender와 같은 다른 솔루션에서 다른 경고를 검색했나요?
- 이 컴퓨터에 새 프로그램이 설치된 적이 있나요?
- 이 컴퓨터로부터 또는 이 컴퓨터에 파일이 업로드된 적이 있나요?
횡적 이동 경로 조사
횡적 이동 경로는 위험한 것으로 간주되는 계정에서 발생합니다. 위험 계정이 손상되면 횡적 이동 경로의 다른 계정이 대상이 될 수 있습니다. Microsoft Defender for Identity 계정에 대한 가능한 횡적 이동 경로를 나타내는 보고서를 생성할 수 있습니다.
횡적 이동 경로의 가능성을 최소화하기 위해 다음 모범 사례를 고려할 수 있습니다.
- 사용자가 강화된 컴퓨터를 사용할 때만 관리 자격 증명을 제공해야 합니다. 사용자가 관리 작업을 수행할 필요가 없는 경우 사용자는 일반 비관리 계정을 사용하여 로그인해야 합니다.
- 사용자 및 그룹에 필요한 권한만 부여합니다.
- 사용자 및 그룹에 필요한 리소스에 대한 액세스 권한만 부여합니다.
장치에서 엔터티 조사
엔터티는 도메인 내의 사용자, 컴퓨터 또는 디바이스입니다. Microsoft Defender for Identity를 사용하면 도메인의 각 엔터티에 대한 세부 정보 페이지가 표시됩니다. 여기에는 엔터티가 액세스할 수 있는 리소스 및 해당 기록을 비롯한 자세한 정보가 포함됩니다. 프로필 페이지에서는 발생된 활동 그룹(최대 1분으로 집계)을 보고 단일 논리 활동으로 그룹화하여 사용자의 실제 활동을 보다 잘 이해할 수 있는 Microsoft Defender for Identity 논리 활동 번역을 사용 합니다.
공격 조사 및 대응 살펴보기
비디오 플레이어에서 전체 화면 옵션을 클릭해야 합니다. 작업이 완료되면 브라우저에서 뒤로가기 화살표를 사용하여 해당 페이지로 돌아갑니다.