Microsoft Defender for Identity 소개

  • 35분

ID용 Microsoft Defender는 온-프레미스 Active Directory 신호를 활용하여 조직에서 일어나는 고급 위협, ID 손상 및 악의적인 내부자 작업을 식별, 감지 및 조사하는 클라우드 기반 보안 솔루션입니다.

Microsoft Defender for Identity의 이점.

Microsoft Defender for Identity는 다음과 같은 이점을 제공합니다.

  • 학습 기반 분석을 사용하여 사용자, 엔터티 동작 및 활동을 모니터링합니다.
  • Active Directory에 저장된 사용자 ID와 자격 증명을 보호합니다.
  • 킬체인에서 수상한 사용자 활동과 고급 공격을 식별하고 조사합니다.
  • 빠른 분류를 위해 간단한 타임라인에 명확한 인시던트 정보를 제공합니다.

사용자 동작 및 활동 모니터링 및 프로파일링

Microsoft Defender for Identity는 사용자의 네트워크에서 사용 권한 및 그룹 멤버십과 같은 사용자 활동과 정보를 모니터링하고 분석합니다. 그런 다음 각 사용자에 대한 행동 기준을 만듭니다. Microsoft Defender for Identity는 적응 기본 제공 인텔리전스를 사용하여 문제를 식별하고, 의심스러운 활동과 이벤트에 대한 정보를 제공하고, 고급 위협, 노출된 사용자 및 조직이 직면한 내부자 위협을 드러냅니다. Microsoft Defender for Identity의 독점 센서는 조직 도메인 컨트롤러를 모니터링하여 모든 장치에서 모든 사용자 활동에 대한 포괄적인 보기를 제공합니다.

사용자 활동 개요.

사용자 ID 보호 및 공격 표면 줄이기

Microsoft Defender for Identity는 ID 구성과 모범 최상의 보안 모범 사례에 대한 중요한 인사이트를 제공합니다. 보안 보고서 및 사용자 프로필 분석을 통해 Microsoft Defender for Identity는 조직의 공격 영역을 크게 줄여 사용자 자격 증명을 훼손하고 공격을 진행하기 어렵게 합니다. Microsoft Defender for Identity 시각적 측면 이동 경로는 어떻게 공격자가 조직 내부에서 측면으로 이동하여 중요한 계정을 훼손할 수 있는지 신속하게 파악하고 이러한 위험을 사전에 방지하는 데 도움이 됩니다. Microsoft Defender for Identity 보안 보고서는 일반 텍스트 암호를 사용하여 인증하는 사용자 및 장치를 식별하고, 추가 정보를 제공하여 조직의 보안 태세와 정책을 개선하는 데 도움이 됩니다.

보안 보고서 사용자 개선 제안.

사이버 공격 킬체인에서 수상한 활동 및 고급 공격 식별

일반적으로 공격은 권한이 낮은 사용자와 같은 액세스 가능한 엔터티에 대해 시작된 다음 공격자가 중요한 계정, 도메인 관리자 및 중요한 데이터와 같이 중요한 자산에 대한 액세스 권한을 얻을 때까지 빠르게 측면으로 이동합니다. Microsoft Defender for Identity에서는 정찰에서부터 손상된 자격 증명, 측면 이동도메인 우위에 이르는 킬체인 전반에 걸쳐 광범위한 감지를 제공합니다.

킬체인 전반에 걸친 측면 이동.

예를 들어, 정찰 단계에서 LDAP 정찰은 공격자가 도메인 환경에 대한 중요한 정보를 얻는 데 사용됩니다. 공격자가 도메인 구조를 매핑하고 나중에 사용하기 위해 권한 있는 계정을 식별하는 데 도움이 되는 정보입니다. 이 감지는 의심스러운 LDAP 열거형 쿼리 또는 중요한 그룹을 대상으로 하는 쿼리를 실행하는 컴퓨터에 따라 트리거됩니다.

무작위 공격은 자격 증명을 손상시키는 일반적인 방법입니다. 이는 공격자가 정확한 암호를 찾을 때까지 여러 암호를 사용하거나 하나 이상의 계정에서 제대로 동작하는 대규모 암호 스프레이에서 하나의 암호를 사용하여 인증을 시도하는 경우입니다. 암호를 발견하면 공격자는 인증된 계정을 사용하여 로그인합니다. Microsoft Defender for Identity는 Kerberos, NTLM 또는 암호 스프레이를 사용하여 여러 인증 오류가 발생하는 경우 이를 감지할 수 있습니다.

다음 단계는 예를 들어, 공격자가 pass-the-ticket을 사용하여 사용자 환경을 통해 측면으로 이동하려고 시도하는 경우입니다. Pass-the-ticket은 공격자가 한 컴퓨터에서 Kerberos 티켓을 훔쳐 훔친 티켓을 재사용하여 다른 컴퓨터에 액세스하는 데 사용하는 측면 이동 기술입니다. 이 감지에서는 둘 이상의 다른 컴퓨터에서 Kerberos 티켓이 사용됩니다.

공격자는 궁극적으로 도메인 우위를 확립하고 싶을 것입니다. 예를 들어 DCShadow 공격은 한 가지 방법입니다. 이 공격은 악의적인 복제를 사용하여 디렉터리 개체를 변경할 수 있도록 설계되었습니다. 이 공격은 복제 프로세스를 사용하여 불법 도메인 컨트롤러를 만들어 모든 컴퓨터에서 수행할 수 있습니다. 이 경우 Microsoft Defender for Identity는 네트워크의 컴퓨터에서 불법 도메인 컨트롤러로 등록하려고 할 때 경고를 트리거합니다.

이는 전체 감지 집합은 아니지만, Microsoft Defender for Identity에서 다루는 감지의 폭을 보여줍니다.