방법: 위험 조사

  • 아티클

Microsoft Entra ID 보호은 조직에서 환경의 ID 위험을 조사하는 데 사용할 수 있는 보고 기능을 제공합니다. 이러한 보고서에는 위험 사용자, 위험한 로그인, 위험한 워크로드 ID 및 위험 검색이 포함됩니다. 보안 전략의 약점을 보다 잘 이해하고 식별하려면 이벤트를 조사하는 것이 중요합니다. 이러한 모든 보고서는 .에서 이벤트를 다운로드할 수 있도록 허용합니다. 추가 분석을 위해 전용 SIEM(보안 정보 및 이벤트 관리) 도구와 같은 다른 보안 솔루션과 CSV 형식 또는 통합 조직은 Microsoft Defender 및 Microsoft Graph API 통합을 활용하여 다른 원본과 데이터를 집계할 수도 있습니다.

위험 보고서는 보호>ID 보호 아래의 Microsoft Entra 관리 센터에서 찾을 수 있습니다. 보고서로 직접 이동하거나 대시보드 보기에서 중요한 인사이트 요약을 보고 해당 보고서로 이동할 수 있습니다.

ID 보호 대시보드의 위험 수준이 높은 사용자 위젯 수를 보여 주는 스크린샷

각 보고서는 보고서 맨 위에 표시된 기간에 해당하는 모든 검색 항목 목록으로 시작됩니다. 관리자는 필요에 따라 기본 설정에 따라 열을 필터링하고 추가하거나 제거할 수 있습니다. 관리자는 .에서 데이터를 다운로드할 수 있습니다. CSV 또는 . 추가 처리를 위한 JSON 형식입니다.

관리자가 하나 이상의 항목을 선택하면 위험을 확인하거나 해제하는 옵션이 보고서 맨 위에 표시됩니다. 개별 위험 이벤트를 선택하면 조사에 도움이 되는 자세한 내용이 포함된 창이 열립니다.

관리자가 사용할 수 있는 옵션을 보여 주는 위험한 사용자 보고서의 제목 스크린샷

위험한 사용자 보고서

위험한 사용자 보고서에는 계정이 현재 있거나 손상의 위험이 있는 것으로 간주되는 모든 사용자가 포함됩니다. 리소스에 대한 무단 액세스를 방지하려면 위험 사용자를 조사하고 수정해야 합니다. 높은 신뢰도로 인해 위험 수준이 높은 사용자부터 시작하는 것이 좋습니다. 수준이 의미하는 바에 대해 자세히 알아보기

사용자가 위험에 노출되는 이유는 무엇인가요?

다음과 같은 경우 사용자는 위험 사용자가 됩니다.

위험 사용자를 조사하는 방법은?

위험한 사용자를 보고 조사하려면 위험한 사용자 보고서로 이동하고 필터를 사용하여 결과를 관리합니다. 페이지 맨 위에 위험 수준, 상태 및 위험 세부 정보와 같은 다른 열을 추가하는 옵션이 있습니다.

위험에 처한 사용자의 예를 보여 주는 위험한 사용자 보고서의 스크린샷.

관리자가 개별 사용자를 선택하면 위험한 사용자 세부 정보 창이 나타납니다. 위험한 사용자 세부 정보는 사용자 ID, 사무실 위치, 최근 위험한 로그인, 기호에 연결되지 않은 검색 및 위험 기록과 같은 정보를 제공합니다. 위험 기록 탭에는 지난 90일 동안 사용자 위험 변경을 초래한 이벤트가 표시됩니다. 이 목록에는 사용자의 위험을 증가시킨 위험 검색이 포함됩니다. 또한 사용자의 위험을 낮춘 사용자 또는 관리자 수정 작업을 포함할 수 있습니다. 예를 들어 암호를 재설정하는 사용자 또는 위험을 해제하는 관리자입니다.

위험 기록 샘플이 포함된 위험한 사용자 세부 정보 플라이아웃을 보여 주는 스크린샷.

보안용 Copilot가 있는 경우 사용자 위험 수준이 상승된 이유, 완화 및 대응 방법에 대한 지침, 기타 유용한 항목 또는 설명서에 대한 링크 등 자연어 요약에 액세스할 수 있습니다.

위험한 사용자 세부 정보 플라이아웃에서 Copilot가 제공한 위험 요약을 보여 주는 스크린샷.

위험한 사용자 보고서에서 제공하는 정보를 통해 관리자는 다음을 볼 수 있습니다.

  • 수정되었거나, 해제되었거나, 현재 위험에 처해 있으며 조사가 필요한 사용자 위험
  • 탐지 항목에 대한 세부 정보
  • 지정된 사용자와 연결된 위험한 로그인
  • 위험 기록

사용자 수준에서 작업을 수행하면 현재 해당 사용자와 연결된 모든 검색에 적용됩니다. 관리자는 사용자에 대해 조치를 취하고 다음을 선택할 수 있습니다.

  • 암호 재설정 - 이 작업은 사용자의 현재 세션을 해지합니다.
  • 사용자 손상 확인 - 이 작업은 진정한 긍정으로 수행됩니다. ID 보호는 사용자 위험을 높음으로 설정하고 새 검색을 추가합니다. 관리자는 사용자가 손상된 것으로 확인했습니다. 수정 단계가 수행될 때까지 사용자는 위험한 것으로 간주됩니다.
  • 사용자 안전 확인 - 이 작업은 가양성으로 수행됩니다. 이렇게 하면 이 사용자에 대한 위험 및 검색이 제거되고 학습 모드에 배치되어 사용 속성을 다시 학습시킵니다. 이 옵션을 사용하여 가양성 표시를 할 수 있습니다.
  • 사용자 위험 해제 - 이 작업은 양성 긍정 사용자 위험에 대해 수행됩니다. 감지한 이 사용자 위험은 알려진 침투 테스트와 같이 실제이지만 악의적이지는 않습니다. 유사한 사용자는 앞으로도 위험을 계속 평가해야 합니다.
  • 사용자 차단 - 공격자가 암호에 액세스하거나 MFA를 수행할 수 있는 권한이 있는 경우 사용자가 로그인하지 못하도록 차단합니다.
  • Microsoft 365 Defender 로 조사 - 이 작업을 수행하면 관리자가 Microsoft Defender 포털로 이동하여 관리자가 추가 조사를 수행할 수 있습니다.

위험한 사용자 세부 정보 플라이아웃 및 관리자가 수행할 수 있는 추가 작업을 보여 주는 스크린샷

위험한 로그인 보고서

위험한 로그인 보고서에는 최대 지난 30일(1개월) 동안의 필터링 가능한 데이터가 포함되어 있습니다. ID 보호는 대화형이든 비대화형이든 관계없이 모든 인증 흐름에 대한 위험을 평가합니다. 위험한 로그인 보고서에는 대화형 로그인과 비대화형 로그인이 모두 표시됩니다. 이 보기를 수정하려면 "로그인 유형" 필터를 사용합니다.

위험한 로그인 보고서를 보여 주는 스크린샷.

위험한 로그인 보고서에서 제공하는 정보를 통해 관리자는 다음을 볼 수 있습니다.

  • 위험에 처해 있거나, 손상된 것으로 확인되거나, 안전한 것으로 확인되거나, 해제되거나, 수정된 로그인입니다.
  • 로그인 시도와 관련된 실시간 및 집계 위험 수준
  • 트리거된 검색 유형
  • 적용된 조건부 액세스 정책
  • MFA 세부 정보
  • 디바이스 정보
  • 애플리케이션 정보
  • 위치 정보

관리자는 위험한 로그인 이벤트에 대한 조치를 취하고 다음을 선택할 수 있습니다.

  • 로그인이 손상되어 있는지 확인합니다. 이 작업은 로그인이 진정한 긍정임을 확인합니다. 문제 수정 단계가 수행될 때까지 로그인은 위험한 것으로 간주됩니다. 
  • 로그인 안전 확인 – 이 작업은 로그인이 가양성인지 확인합니다. 앞으로는 유사한 로그인을 위험한 것으로 간주해서는 안 됩니다. 
  • 로그인 위험 해제 – 이 작업은 무해한 참 긍정에 사용됩니다. 감지한 이 로그인 위험은 알려진 침투 테스트 또는 승인된 애플리케이션에서 생성된 알려진 활동과 같이 실제이지만 악성이 아닙니다. 앞으로도 유사한 로그인에 대한 위험을 계속 평가해야 합니다.

이러한 각 작업을 수행하는 시기에 대한 자세한 내용은 Microsoft에서 내 위험 피드백을 사용하는 방법을 참조 하세요.

위험 검색 보고서

위험 검색 보고서에는 최대 지난 90일(3개월) 동안의 필터링 가능한 데이터가 포함되어 있습니다.

위험 검색 보고서를 보여 주는 스크린샷.

관리자는 위험 검색 보고서에서 제공하는 정보를 사용하여 다음을 찾을 수 있습니다.

  • 각 위험 검색에 대한 정보
  • MITRE ATT&CK 프레임워크를 기반으로 하는 공격 유형
  • 동시에 트리거되는 기타 위험
  • 로그인 시도 위치
  • Microsoft Defender for Cloud Apps에서 자세한 내용을 보려면 링크를 클릭합니다.

그러면 관리자는 사용자의 위험 또는 로그인 보고서로 돌아가서 수집된 정보에 따라 작업을 수행하도록 선택할 수 있습니다.

참고 항목

시스템에서 사용자 위험 점수에 기여한 위험 이벤트가 가양성이거나 사용자 위험이 MFA 프롬프트 완료 또는 보안 암호 변경과 같은 정책 적용으로 수정되었음을 감지할 수 있습니다. 따라서 시스템은 위험 상태를 해제하고 "AI로 확인된 로그인 안전"의 위험 세부 정보가 표시되며 더 이상 사용자의 위험에 기여하지 않습니다.

초기 심사

초기 심사를 시작할 때는 다음 작업을 수행하는 것이 좋습니다.

  1. ID 보호 대시보드를 검토하여 사용자 환경의 검색을 기반으로 공격 횟수, 위험 수준이 높은 사용자 수 및 기타 중요한 메트릭을 시각화합니다.
  2. 영향 분석 통합 문서를 검토하여 위험 수준이 높은 사용자 및 로그인을 관리하기 위해 사용자 환경에서 위험이 분명한 시나리오와 위험 기반 액세스 정책을 사용하도록 설정해야 하는 시나리오를 이해합니다.
  3. 가양성 감소를 위해 명명된 위치에 회사 VPN 및 IP 주소 범위를 추가합니다.
  4. 업데이트된 조직 여행 보고를 위해 알려진 여행자 데이터베이스를 만들고 이를 사용하여 여행 활동을 상호 참조하는 것이 좋습니다.
  5. 로그를 검토하여 동일한 특성을 가진 유사한 활동을 식별합니다. 이 활동은 더 많은 손상된 계정을 나타낼 수 있습니다.
    1. IP 주소, 지리, 성공/실패 등과 같은 일반적인 특성이 있는 경우 조건부 액세스 정책으로 차단하는 것이 좋습니다.
    2. 잠재적인 데이터 다운로드 또는 관리 수정을 포함하여 손상될 수 있는 리소스를 검토합니다.
    3. 조건부 액세스를 통해 자체 수정 정책 사용
  6. 사용자가 새 위치에서 대량의 파일을 다운로드하는 등 다른 위험한 활동을 수행했는지 확인합니다. 이 동작은 가능한 손상의 강력한 표시입니다.

공격자가 사용자를 가장할 수 있다고 의심되는 경우 사용자가 암호를 재설정하고 MFA를 수행하거나 사용자를 차단하고 모든 새로 고침 및 액세스 토큰을 해지하도록 요구해야 합니다.

조사 및 위험 수정 프레임워크

조직은 다음 프레임워크를 사용하여 의심스러운 활동에 대한 조사를 시작할 수 있습니다. 권장되는 첫 번째 단계는 옵션인 경우 자체 수정입니다. 셀프 수정은 셀프 서비스 암호 재설정을 통해 또는 위험 기반 조건부 액세스 정책의 수정 흐름을 통해 수행될 수 있습니다.

자체 수정이 옵션이 아닌 경우 관리자는 위험을 수정해야 합니다. 수정은 암호 재설정을 호출하거나, 사용자가 MFA에 대해 다시 등록하도록 요구하거나, 사용자를 차단하거나, 시나리오에 따라 사용자 세션을 해지하여 수행됩니다. 다음 순서도는 위험이 감지되면 권장되는 흐름을 보여 있습니다.

위험 수정 흐름을 보여 주는 다이어그램

위험이 포함되면 위험을 안전, 손상 또는 해제로 표시하기 위해 더 많은 조사가 필요할 수 있습니다. 확실한 결론을 얻으려면 해당 사용자와 대화를 나누고, 로그인 로그를 검토하거나, 감사 로그를 검토하거나, Log Analytics에서 위험 로그를 쿼리해야 할 수 있습니다. 다음은 이 조사 단계에서 권장되는 작업을 간략하게 설명합니다.

  1. 로그를 확인하고 지정된 사용자에 대한 활동이 정상인지 확인합니다.
    1. 다음 속성을 포함하여 사용자의 과거 활동을 확인하여 지정된 사용자에게 정상인지 확인합니다.
      1. 애플리케이션
      2. 디바이스 - 디바이스가 등록되었거나 규정을 준수하나요?
      3. 위치 - 사용자가 다른 위치로 이동하거나 여러 위치에서 디바이스에 액세스하나요?
      4. IP 주소
      5. 사용자 에이전트 문자열
    2. Microsoft Sentinel과 같은 다른 보안 도구에 액세스할 수 있는 경우 더 큰 문제를 나타낼 수 있는 해당 경고를 확인합니다.
    3. Microsoft 365 Defender액세스할 수 있는 조직은 다른 관련 경고, 인시던트 및 MITRE ATT&CK 체인을 통해 사용자 위험 이벤트를 따를 수 있습니다.
      1. 위험한 사용자 보고서에서 이동하려면 위험한 사용자 보고서에서 사용자를 선택하고 도구 모음에서 줄임표(...)를 선택한 다음, Microsoft 365 Defender로 조사를 선택합니다.
  2. 사용자에게 연락하여 로그인을 인식하는지 확인합니다. 그러나 전자 메일 또는 Teams와 같은 방법이 손상되었을 수 있습니다.
    1. 다음과 같은 정보를 확인합니다.
      1. 타임스탬프
      2. 애플리케이션
      3. 장치
      4. 위치
      5. IP 주소
  3. 조사 결과에 따라 사용자 또는 로그인을 확인된 손상됨, 확인된 안전성 또는 위험 해제로 표시합니다.
  4. 유사한 공격을 방지하거나 적용 범위의 격차를 해결하기 위해 위험 기반 조건부 액세스 정책을 설정합니다.

특정 검색 조사

Microsoft Entra 위협 인텔리전스

Microsoft Entra Threat Intelligence 위험 검색을 조사하려면 위험 검색 세부 정보 창의 "추가 정보" 필드에 제공된 정보에 따라 다음 단계를 수행합니다.

  1. 의심스러운 IP 주소에서 로그인:
    1. IP 주소에서 사용자 환경에서 의심스러운 동작을 보이는지 확인합니다.
    2. IP가 디렉터리의 사용자 또는 사용자 집합에 대해 많은 수의 오류를 생성하나요?
    3. IP의 트래픽이 예기치 않은 프로토콜 또는 애플리케이션에서 들어오나요(예: Exchange 레거시 프로토콜)?
    4. IP 주소가 클라우드 서비스 공급자에 해당하는 경우 동일한 IP에서 실행되는 합법적인 엔터프라이즈 애플리케이션이 없다는 점을 배제합니다.
  2. 이 계정은 암호 스프레이 공격의 희생자였습니다.
    1. 디렉터리에 있는 다른 사용자가 동일한 공격의 대상이 아닌지 확인합니다.
    2. 다른 사용자에게 동일한 시간 프레임 내에서 검색된 로그인에서 볼 수 있는 유사한 비정상적인 패턴을 가진 로그인이 있나요? 암호 스프레이 공격은 다음과 같은 비정상적인 패턴을 표시할 수 있습니다.
      1. 사용자 에이전트 문자열
      2. 애플리케이션
      3. 프로토콜
      4. IP/ASN 범위
      5. 로그인 시간 및 빈도
  3. 이 검색은 실시간 규칙에 의해 트리거되었습니다.
    1. 디렉터리에 있는 다른 사용자가 동일한 공격의 대상이 아닌지 확인합니다. 이 정보는 규칙에 할당된 TI_RI_#### 번호를 사용하여 찾을 수 있습니다.
    2. 실시간 규칙은 Microsoft의 위협 인텔리전스로 식별된 새로운 공격으로부터 보호합니다. 디렉터리의 여러 사용자가 동일한 공격의 대상인 경우 로그인의 다른 특성에서 비정상적인 패턴을 조사합니다.

비정상적 이동 검색 조사

  1. 활동이 합법적인 사용자에 의해 수행되지 않았음을 확인할 수 있는 경우:
    1. 권장 작업: 로그인을 손상됨으로 표시하고, 자체 수정으로 아직 수행되지 않은 경우 암호 재설정을 호출합니다. 공격자가 암호를 재설정하거나 MFA를 수행하고 암호를 재설정할 수 있는 액세스 권한이 있는 경우 사용자를 차단합니다.
  2. 사용자가 자신의 업무 범위에서 IP 주소를 사용하는 것으로 알려진 경우:
    1. 권장 작업: 로그인을 안전한 것으로 확인합니다.
  3. 사용자가 최근에 경고에 자세히 설명된 대상으로 이동했음을 확인할 수 있는 경우:
    1. 권장 작업: 로그인을 안전한 것으로 확인합니다.
  4. IP 주소 범위가 승인된 VPN에서 온 것임을 확인할 수 있는 경우:
    1. 권장 작업: 로그인을 안전한 것으로 확인하고 Microsoft Entra ID 및 클라우드용 Microsoft Defender 앱의 명명된 위치에 VPN IP 주소 범위를 추가합니다.

비정상적인 토큰 및 토큰 발급자 변칙 검색 조사

  1. 활동이 합법적인 사용자에 의해 수행되지 않았음을 위험 경고, 위치, 애플리케이션, IP 주소, 사용자 에이전트 또는 사용자에게 예기치 않은 기타 특성을 조합하여 확인할 수 있는 경우:
    1. 권장 작업: 로그인을 손상됨으로 표시하고, 자체 수정으로 아직 수행되지 않은 경우 암호 재설정을 호출합니다. 공격자가 암호를 재설정하거나 수행할 수 있는 액세스 권한이 있는 경우 사용자를 차단합니다.
    2. 권장 작업: 위험 기반 조건부 액세스 정책을 설정하여 암호 재설정을 요구하거나, MFA를 수행하거나, 모든 고위험 로그인에 대한 액세스를 차단합니다.
  2. 사용자에게 위치, 애플리케이션, IP 주소, 사용자 에이전트 또는 기타 특징을 확인할 수 있으며 손상의 다른 징후가 없는 경우:
    1. 권장 작업: 사용자가 위험 기반 조건부 액세스 정책을 사용하여 자체 수정하거나 관리자가 로그인을 안전한 것으로 확인하도록 허용합니다.
  3. 토큰 기반 검색에 대한 추가 조사는 토큰 도난 조사 플레이북의 클라우드 토큰 도난 을 방지, 감지 및 대응하는 방법이라는 블로그 게시물 토큰 전술을 참조하세요.

의심스러운 브라우저 검색 조사

  • 브라우저는 일반적으로 사용자가 사용하지 않거나 브라우저 내의 활동이 사용자의 일반적인 동작과 일치하지 않습니다.
    • 권장 작업: 로그인이 손상된 것으로 확인하고, 자체 수정으로 아직 수행되지 않은 경우 암호 재설정을 호출합니다. 공격자가 암호를 재설정하거나 MFA를 수행할 수 있는 액세스 권한이 있는 경우 사용자를 차단합니다.
    • 권장 작업: 위험 기반 조건부 액세스 정책을 설정하여 암호 재설정을 요구하거나, MFA를 수행하거나, 모든 고위험 로그인에 대한 액세스를 차단합니다.

악성 IP 주소 검색 조사

  1. 활동이 합법적인 사용자에 의해 수행되지 않았음을 확인할 수 있는 경우:
    1. 권장 작업: 로그인이 손상된 것으로 확인하고, 자체 수정으로 아직 수행되지 않은 경우 암호 재설정을 호출합니다. 공격자가 암호를 재설정하거나 MFA를 수행하고 암호를 재설정하고 모든 토큰을 해지할 수 있는 액세스 권한이 있는 경우 사용자를 차단합니다.
    2. 권장 작업: 암호 재설정을 요구하거나 모든 고위험 로그인에 대해 MFA를 수행하도록 위험 기반 조건부 액세스 정책을 설정합니다.
  2. 사용자가 자신의 업무 범위에서 IP 주소를 사용하는 것으로 알려진 경우:
    1. 권장 작업: 로그인을 안전한 것으로 확인합니다.

암호 스프레이 검색 조사

  1. 활동이 합법적인 사용자에 의해 수행되지 않았음을 확인할 수 있는 경우:
    1. 권장 작업: 로그인을 손상됨으로 표시하고, 자체 수정으로 아직 수행되지 않은 경우 암호 재설정을 호출합니다. 공격자가 암호를 재설정하거나 MFA를 수행하고 암호를 재설정하고 모든 토큰을 해지할 수 있는 액세스 권한이 있는 경우 사용자를 차단합니다.
  2. 사용자가 자신의 업무 범위에서 IP 주소를 사용하는 것으로 알려진 경우:
    1. 권장 작업: 로그인 안전 확인
  3. 계정이 손상되지 않은 것을 확인할 수 있고 계정에 대한 무차별 암호 스프레이 표시기 또는 무차별 암호 스프레이 표시기가 표시되지 않습니다.
    1. 권장 작업: 사용자가 위험 기반 조건부 액세스 정책을 사용하여 자체 수정하거나 관리자가 로그인을 안전한 것으로 확인하도록 허용합니다.

암호 스프레이 위험 검색에 대한 추가 조사는 암호 스프레이 조사 문서를 참조하세요.

유출된 자격 증명 검색 조사

  • 이 검색에서 사용자에 대해 유출된 자격 증명을 식별한 경우:
    • 권장 작업: 사용자를 손상된 것으로 확인하고, 자체 수정으로 아직 수행되지 않은 경우 암호 재설정을 호출합니다. 공격자가 암호를 재설정하거나 MFA를 수행하고 암호를 재설정하고 모든 토큰을 해지할 수 있는 액세스 권한이 있는 경우 사용자를 차단합니다.

다음 단계