Microsoft Entra ID 보호에서 위험 검색 시뮬레이션

관리자는 다음 항목을 수행하기 위해 각자의 환경에서 위험을 시뮬레이션할 수 있습니다.

• 위험 검색 및 취약성을 시뮬레이션하여 Microsoft Entra ID Protection 환경에 데이터를 채웁니다.
• 위험 기반 조건부 액세스 정책을 설정하고 이러한 정책의 영향을 테스트합니다.

이 문서에서는 아래의 위험 검색 유형을 시뮬레이션하는 단계를 제공합니다.

• 익명 IP 주소(난이도 하)
• 익숙하지 않은 로그인 속성(난이도 중)
• 비정상적 이동 (난이도 상)
• 워크로드 ID에 대한 GitHub의 유출된 자격 증명(난이도 중)

다른 위험 검색은 안전한 방법으로 시뮬레이션할 수 없습니다.

각 위험 검색에 대한 자세한 내용은 사용자 및 워크로드 ID에 대한 위험이란? 문서에서 찾을 수 있습니다.

익명 IP 주소

다음 절차를 완료하려면 다음을 사용해야 합니다.

• Tor 브라우저 - 익명 IP 주소를 시뮬레이션할 수 있습니다. 조직이 Tor 브라우저를 사용하여 제한하는 경우 가상 머신을 사용해야 합니다.
• Microsoft Entra 다단계 인증에 아직 등록되지 않은 테스트 계정입니다.

익명 IP에서 로그인을 시뮬레이트하려면 다음 단계를 수행합니다.

1. Tor 브라우저를 사용하여 https://myapps.microsoft.com으로 이동합니다.
2. 익명 IP 주소에서 로그인 보고서에 표시하려는 계정의 자격 증명을 입력합니다.

로그인은 10~15분 내에 보고서에 표시됩니다.

일반적이지 않은 로그인 속성

일반적이지 않은 위치를 시뮬레이션하려면 테스트 계정이 이전에 사용하지 않은 위치 및 디바이스를 사용해야 합니다.

다음 절차에서는 새로 만든 것을 사용합니다.

• VPN 연결: 새 위치를 시뮬레이트합니다.
• 가상 머신: 새 디바이스를 시뮬레이트합니다.

다음 절차를 완료하려면 다음 항목을 포함하는 사용자 계정을 사용해야 합니다.

• 최소 30일 로그인 기록.
• Microsoft Entra 다단계 인증

익숙하지 않은 위치에서 로그인을 시뮬레이트하려면 다음 단계를 수행합니다.

1. 새 VPN을 사용하여 https://myapps.microsoft.com으로 이동하고 테스트 계정의 자격 증명을 입력합니다.
2. 테스트 계정을 사용하여 로그인하는 경우 다단계 인증 챌린지가 전달되지 않아 MFA 챌린지에 실패합니다.

로그인은 10~15분 내에 보고서에 표시됩니다.

비정상적 이동

비정상적 이동 조건을 시뮬레이션하는 것은 어렵습니다. 알고리즘이 기계 학습을 사용하여 익숙한 디바이스에서 비정상적 이동 또는 디렉터리의 다른 사용자가 사용하는 VPN의 로그인 등 가양성을 제거하기 때문입니다. 또한 알고리즘은 위험 검색의 생성을 시작하기 전에 사용자의 14일간의 로그인 또는 10회의 로그인 기록이 필요합니다. 복잡한 기계 학습 모델 및 위의 규칙으로 인해 다음 단계가 위험 검색으로 이어지지 않을 가능성이 있습니다. 이 단계를 복제해서 여러 Microsoft Entra 계정에서 이러한 위험 검색을 시뮬레이션할 수도 있습니다.

비정상적인 이동 위험 검색을 시뮬레이션하려면 다음 단계를 수행 합니다.

1. 표준 브라우저를 사용하여 https://myapps.microsoft.com으로 이동합니다.
2. 비정상적 이동 위험 검색의 생성 대상이 되는 계정의 자격 증명을 입력합니다.
3. 사용자 에이전트를 변경합니다. 개발자 도구(F12)에서 Microsoft Edge의 사용자 에이전트를 변경할 수 있습니다.
4. 사용자의 IP 주소를 변경합니다. VPN, Tor 추가 항목을 사용하거나 다른 데이터 센터의 Azure에서 새 가상 머신을 만들어 사용자의 IP 주소를 변경할 수 있습니다.
5. 이전과 동일한 자격 증명을 사용하여 이전 로그인 후 몇 분 내에 https://myapps.microsoft.com에 로그인합니다.

로그인은 2~4시간 내에 보고서에 표시됩니다.

워크로드 ID에 대한 유출된 자격 증명

이 위험 검색은 애플리케이션의 유효한 자격 증명이 유출되었음을 나타냅니다. 이 유출은 누군가 GitHub의 공용 코드 아티팩트에서 자격 증명을 체크 인할 때 발생할 수 있습니다. 따라서 이 검색을 시뮬레이션하려면 GitHub 계정이 필요하며 아직 계정이 없는 경우 GitHub 계정에 등록할 수 있습니다.

워크로드 ID에 대해 GitHub에서 유출된 자격 증명 시뮬레이션

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>애플리케이션>앱 등록으로 이동합니다.

3. 새 등록을 선택하여 새 애플리케이션을 등록하거나 오래된 기존 애플리케이션을 다시 사용합니다.

4. 인증서 및 비밀>새 클라이언트 암호를 차례로 선택하고, 클라이언트 암호에 대한 설명을 추가하고, 비밀에 대한 만료를 설정하거나 사용자 지정 수명을 지정하고, 추가를 선택합니다. 나중에 GitHub 커밋에 사용할 비밀 값을 기록합니다.

   참고 항목

   이 페이지를 나가면 비밀을 다시 검색할 수 없습니다.

5. 개요 페이지에서 TenantID 및 Application(클라이언트) ID를 가져옵니다.

6. ID>애플리케이션>엔터프라이즈 애플리케이션>속성>설정사용자가 로그인할 수 있도록 설정을 아니요로 설정하여 애플리케이션을 사용하지 않도록 설정해야 합니다.

7. 공용 GitHub 리포지토리를 만들고 다음 구성을 추가한 후 변경 내용을 확장자가 .txt인 파일로 커밋합니다.

     "AadClientId": "XXXX-2dd4-4645-98c2-960cf76a4357",
     "AadSecret": "p3n7Q~XXXX",
     "AadTenantDomain": "XXXX.onmicrosoft.com",
     "AadTenantId": "99d4947b-XXX-XXXX-9ace-abceab54bcd4",
   

8. 약 8시간 후에 보호>ID 보호>위험 검색>워크로드 ID 검색 아래에서 유출된 자격 증명 검색을 볼 수 있습니다. 여기서 기타 정보에는 GitHub 커밋의 URL이 포함됩니다.

위험 정책 테스트

이 섹션에서는 방법: 위험 정책 구성 및 설정 문서에서 만든 사용자 및 로그인 위험 정책을 테스트하는 단계를 제공합니다.

사용자 위험 정책

사용자 위험 보안 정책을 테스트하려면 다음 단계를 수행합니다.

1. 테스트하려는 사용자를 대상으로 사용자 위험 정책을 구성합니다.
2. 예를 들어 위험 검색 중 하나를 몇 차례 시뮬레이션하여 테스트 계정의 사용자 위험을 상승시킵니다.
3. 몇 분 정도 기다린 다음, 사용자에 대하여 위험이 상승되었는지 확인합니다. 상승되지 않았다면 사용자에 대해 여러 번 더 위험 검색을 시뮬레이션합니다.
4. 위험 정책으로 돌아가서 정책 적용을 켜기로 설정하고 정책 변경 내용을 저장합니다.
5. 이제 위험 수준이 상승한 사용자로 로그인하여 사용자 위험 기반 조건부 액세스를 테스트할 수 있습니다.

로그인 위험 보안 정책

로그인 위험 정책을 테스트하려면 다음 단계를 수행합니다.

1. 테스트하려는 사용자를 대상으로 로그인 위험 정책을 구성합니다.
2. 이제 위험한 세션을 사용하여(예를 들어 Tor 브라우저 사용) 로그인하여 로그인 위험 기반 조건부 액세스를 테스트할 수 있습니다.

다음 단계

• 위험이란?

• ID를 사용하여 워크로드 ID 보호

• 방법: 위험 정책 구성 및 사용

• Microsoft Entra ID 보호