다음을 통해 공유

자습서: 위험한 사용자 조사

  • 아티클

보안 운영 팀은 종종 연결되지 않는 여러 보안 솔루션을 사용하여 ID 공격 표면의 모든 차원에서 사용자 활동을 모니터링해야 합니다. 많은 회사에서 환경의 위협을 사전에 식별할 수 있는 헌팅 팀을 보유하고 있지만, 방대한 양의 데이터에서 무엇을 찾아야 하는지 아는 것은 어려울 수 있습니다. Microsoft Defender for Cloud Apps 복잡한 상관 관계 규칙을 만들 필요가 없으며 클라우드 및 온-프레미스 네트워크에 걸쳐 있는 공격을 찾을 수 있습니다.

사용자 ID에 집중할 수 있도록 Microsoft Defender for Cloud Apps 클라우드에서 UEBA(사용자 엔터티 동작 분석)를 제공합니다. UEBA는 Microsoft Defender for Identity 통합하여 온-프레미스 환경으로 확장할 수 있으며, 그 후에는 Active Directory와의 네이티브 통합에서 사용자 ID에 대한 컨텍스트를 얻을 수도 있습니다.

트리거가 Defender for Cloud Apps dashboard 표시되는 경고인지 또는 타사 보안 서비스의 정보가 있는지 여부에 관계없이 Defender for Cloud Apps dashboard 조사를 시작하여 위험한 사용자를 심층 분석합니다.

이 자습서에서는 Defender for Cloud Apps 사용하여 위험한 사용자를 조사하는 방법을 알아봅니다.

조사 우선 순위 점수 이해

조사 우선 순위 점수는 Defender for Cloud Apps 사용자가 organization 다른 사용자에 비해 얼마나 위험한지 알 수 있도록 각 사용자에게 제공하는 점수입니다. 조사 우선 순위 점수를 사용하여 먼저 조사할 사용자를 결정하고, 표준 결정적 검색에 의존하지 않고도 조직에서 악의적인 내부자와 외부 공격자가 횡적으로 이동하는 것을 모두 검색합니다.

모든 Microsoft Entra 사용자에게는 동적 조사 우선 순위 점수가 있으며, 이는 Defender for Identity 및 Defender for Cloud Apps 평가된 데이터에서 빌드된 최근 동작 및 영향에 따라 지속적으로 업데이트됩니다.

Defender for Cloud Apps 시간 경과에 따른 보안 경고 및 비정상적인 활동, 피어 그룹, 예상 사용자 활동 및 특정 사용자가 비즈니스 또는 회사 자산에 미칠 수 있는 영향을 고려하는 분석을 기반으로 각 사용자에 대한 사용자 프로필을 빌드합니다.

사용자의 기준에 비정상인 활동은 평가되고 점수가 매깁니다. 점수 매기기가 완료되면 Microsoft의 독점 동적 피어 계산 및 기계 학습이 사용자 활동에서 실행되어 각 사용자의 조사 우선 순위를 계산합니다.

조사 우선 순위 점수에 따라 필터링하고, 각 사용자의 비즈니스 영향을 직접 확인하고, 손상된 활동, 데이터 유출 또는 내부자 위협 행위 등 모든 관련 활동을 조사하여 실제 가장 위험한 사용자가 누구인지 즉시 파악합니다.

Defender for Cloud Apps 다음을 사용하여 위험을 측정합니다.

  • 경고 점수 매기기: 경고 점수는 특정 경고가 각 사용자에게 미치는 잠재적 영향을 나타냅니다. 경고 점수 매기기는 심각도, 사용자 영향, 사용자 전체의 경고 인기도 및 organization 모든 엔터티를 기반으로 합니다.

  • 활동 점수 매기기: 활동 점수는 사용자 및 해당 동료의 행동 학습에 따라 특정 사용자가 특정 활동을 수행할 확률을 결정합니다. 가장 비정상으로 식별된 활동은 가장 높은 점수를 받습니다.

경고 또는 활동에 대한 조사 우선 순위 점수를 선택하여 Defender for Cloud Apps 활동을 채점한 방법을 설명하는 증거를 확인합니다.

참고

2024년 8월까지 Microsoft Defender for Cloud Apps 조사 우선 순위 점수 증가 경고를 점진적으로 사용 중지합니다. 이 문서에 설명된 조사 우선 순위 점수 및 절차는 이 변경의 영향을 받지 않습니다.

자세한 내용은 조사 우선 순위 점수 증가 사용 중단 타임라인 참조하세요.

1단계: 보호하려는 앱에 연결

API 커넥터를 사용하여 Microsoft Defender for Cloud Apps 하나 이상의 앱을 연결합니다. 먼저 Microsoft 365를 연결하는 것이 좋습니다.

Microsoft Entra ID 앱은 조건부 액세스 앱 제어를 위해 자동으로 온보딩됩니다.

2단계: 가장 위험한 사용자 식별

Defender for Cloud Apps 가장 위험한 사용자가 누구인지 식별하려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 자산에서 ID를 선택합니다. 조사 우선 순위별로 테이블을 정렬합니다. 그런 다음 하나씩 사용자 페이지로 이동하여 조사합니다.
    사용자 이름 옆에 있는 조사 우선 순위 번호는 지난 주에 대한 모든 사용자의 위험한 활동의 합계입니다.

    상위 사용자 dashboard 스크린샷

  2. 사용자 오른쪽에 있는 세 개의 점을 선택하고 사용자 보기 페이지를 선택합니다.

    사용자 세부 정보 페이지의 스크린샷.

  3. 사용자 세부 정보 페이지의 정보를 검토하여 사용자에 대한 개요를 확인하고 사용자가 해당 사용자에 대해 비정상적인 활동을 수행했거나 비정상적인 시간에 수행된 지점이 있는지 확인합니다.

    organization 비해 사용자의 점수는 organization 순위에 따라 사용자가 있는 백분위수를 나타내며, organization 다른 사용자에 비해 조사해야 하는 사용자 목록에 얼마나 높은지 나타냅니다. 사용자가 organization 위험 사용자의 90번째 백분위수 이상에 있는 경우 숫자는 빨간색입니다.

사용자 세부 정보 페이지는 다음 질문에 답변하는 데 도움이 됩니다.

질문 세부 정보
사용자는 누구인가요? 회사 및 해당 부서에서 사용자의 역할을 포함하여 사용자 및 시스템에 대해 알고 있는 내용에 대한 기본 세부 정보를 찾습니다.

예를 들어 사용자는 종종 작업의 일부로 비정상적인 활동을 수행하는 DevOps 엔지니어인가요? 아니면 사용자가 방금 승진을 위해 넘겨진 불만을 품은 직원인가요?
사용자가 위험합니까? 직원의 위험 점수는 무엇이며 조사하는 동안 가치가 있습니까?
사용자가 organization 어떤 위험이 있나요? 아래로 스크롤하여 사용자와 관련된 각 활동 및 경고를 조사하여 사용자가 나타내는 위험 유형을 이해하기 시작합니다.

타임라인 각 줄을 선택하여 활동을 자세히 드릴다운하거나 자체적으로 경고합니다. 점수 자체에 영향을 준 증거를 이해할 수 있도록 활동 옆에 있는 숫자를 선택합니다.
organization 다른 자산에 대한 위험은 무엇인가요? 횡적 이동 경로 탭을 선택하여 공격자가 organization 다른 자산을 제어하는 데 사용할 수 있는 경로를 이해합니다.

예를 들어 조사 중인 사용자에게 민감하지 않은 계정이 있더라도 공격자는 계정에 대한 연결을 사용하여 네트워크에서 중요한 계정을 검색하고 손상하려고 시도할 수 있습니다.

자세한 내용은 횡적 이동 경로 사용을 참조하세요.

참고

사용자 세부 정보 페이지는 모든 활동에서 디바이스, 리소스 및 계정에 대한 정보를 제공하지만 조사 우선 순위 점수에는 지난 7일 동안의 모든 위험한 활동 및 경고의 합계 가 포함됩니다.

사용자 점수 다시 설정

사용자가 조사되고 손상에 대한 의심이 없는 경우 또는 다른 이유로 사용자의 조사 우선 순위 점수를 다시 설정하려는 경우 다음과 같이 수동으로 다음을 수행합니다.

  1. Microsoft Defender 포털의 자산에서 ID를 선택합니다.

  2. 조사된 사용자의 오른쪽에 있는 세 개의 점을 선택한 다음 조사 우선 순위 점수 다시 설정을 선택합니다. 사용자 페이지 보기를 선택한 다음, 사용자 세부 정보 페이지의 세 가지 점 중에서 조사 우선 순위 점수 다시 설정을 선택할 수도 있습니다.

    참고

    조사 우선 순위 점수가 0이 아닌 사용자만 다시 설정할 수 있습니다.

    조사 우선 순위 점수 재설정 링크의 스크린샷.

  3. 확인 창에서 점수 재설정을 선택합니다.

    점수 다시 설정 단추의 스크린샷

3단계: 사용자 추가 조사

일부 활동은 자체 경보의 원인이 아닐 수 있지만 다른 활동과 함께 집계될 때 의심스러운 이벤트를 나타낼 수 있습니다.

사용자를 조사할 때 표시되는 활동 및 경고에 대해 다음 질문을 할 수 있습니다.

  • 이 직원이 이러한 활동을 수행할 수 있는 비즈니스 근거가 있나요? 예를 들어 마케팅의 누군가가 코드 베이스에 액세스하거나 개발의 누군가가 재무 데이터베이스에 액세스하는 경우 직원이 이를 의도적이고 정당한 활동인지 확인해야 합니다.

  • 다른 활동이 그렇지 않은 동안 이 활동이 높은 점수를 받은 이유는 무엇인가요? 활동 로그로 이동하여 조사 우선 순위를Is로 설정하여 의심스러운 활동을 파악합니다.

    예를 들어 특정 지역에서 발생한 모든 활동에 대해 조사 우선 순위 에 따라 필터링할 수 있습니다. 그런 다음 위험한 다른 활동이 있는지, 사용자가 연결되었는지, 그리고 최근 비인식 클라우드 및 온-프레미스 활동과 같은 다른 드릴다운으로 쉽게 피벗하여 조사를 계속할 수 있는지 확인할 수 있습니다.

4단계: organization 보호

조사 결과 사용자가 손상되었다는 결론을 내릴 경우 다음 단계를 사용하여 위험을 완화합니다.

  • 사용자에게 문의 – Active Directory의 Defender for Cloud Apps 통합된 사용자 연락처 정보를 사용하여 각 경고 및 활동으로 드릴다운하여 사용자 ID를 resolve 수 있습니다. 사용자가 활동에 대해 잘 알고 있는지 확인합니다.

  • Microsoft Defender 포털의 ID 페이지에서 조사된 사용자가 세 개의 점을 선택하고 사용자에게 다시 로그인하도록 요구할지, 사용자를 일시 중단할지 또는 손상된 것으로 확인하도록 할지 선택합니다.

  • 손상된 ID의 경우 사용자에게 암호를 재설정하도록 요청하여 암호가 길이 및 복잡성에 대한 모범 사례 지침을 충족하는지 확인할 수 있습니다.

  • 경고를 드릴다운하고 활동이 경고를 트리거하지 않아야 한다고 판단하는 경우 활동 서랍에서 피드백 보내기 링크를 선택하여 organization 염두에 두고 경고 시스템을 미세 조정할 수 있습니다.

  • 문제를 해결한 후 경고를 닫습니다.

참고 항목

organization 보호하기 위한 모범 사례

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.