각서 22-09에서 다루는 제로 트러스트의 기타 영역

본 참고 자료의 다른 문서에서는 미국 OMB(예산관리국) M 22-09 행정 부처 및 기관장을 위한 각서에 설명된 대로 제로 트러스트 원칙의 ID 기반을 다루고 있습니다. 이 문서에서는 ID 기반을 넘어서는 제로 트러스트 완성도 모델 영역에 대해 설명하며 다음 테마를 다룹니다.

• 표시 유형
• 분석
• 자동화 및 오케스트레이션
• 거버넌스

표시 유형

Microsoft Entra 테넌트를 모니터링해야 합니다. 위반 사고방식을 가정하고 각서 22-09 및 각서 21-31의 규정 준수 표준을 충족합니다. 다음과 같은 세 가지 기본 로그 형식이 보안 분석 및 수집에 사용됩니다.

• Azure 감사 로그는 사용자 또는 그룹과 같은 개체 만들기, 삭제, 업데이트와 같은 디렉터리 운영 활동을 모니터링합니다.
  • 조건부 액세스 정책 수정과 같이 Microsoft Entra 구성을 변경하는 데에도 사용됩니다.
  • Microsoft Entra ID의 감사 로그 참조
• 프로비전 로그에는 Microsoft Entra ID에서 Microsoft Identity Manager를 사용하는 Service Now와 같은 애플리케이션으로 동기화된 개체에 대한 정보가 있습니다.
  • Microsoft Entra ID의 프로비전 로그 참조
• Microsoft Entra 로그인 로그는 사용자, 애플리케이션 및 서비스 주체와 관련된 로그인 작업을 모니터링합니다.
  • 로그인 로그에는 차별화를 위한 범주가 있습니다.
  • 대화형 로그인에는 성공한 로그인과 실패한 로그인, 적용된 정책, 기타 메타데이터가 표시됩니다.
  • 비대화형 사용자 로그인은 로그인 중에 상호 작용을 표시하지 않습니다. 클라이언트는 모바일 애플리케이션 또는 메일 클라이언트와 같이 사용자를 대신하여 로그인합니다.
  • 서비스 주체 로그인에는 서비스 주체 또는 애플리케이션 로그인이 표시됩니다. REST API를 통해 서비스, 애플리케이션 또는 Microsoft Entra 디렉터리에 액세스하는 서비스 또는 애플리케이션
  • Azure 리소스 로그인을 위한 관리 ID: Azure SQL 백 엔드에 인증하는 웹 애플리케이션 서비스와 같이 Azure 리소스에 액세스하는 Azure 리소스 또는 애플리케이션입니다.
  • Microsoft Entra ID의 로그인 로그(미리 보기) 참조

Microsoft Entra ID Free 테넌트에서는 로그 항목이 7일 동안 저장됩니다. Microsoft Entra ID P1 또는 P2 라이선스가 있는 테넌트는 30일 동안 로그 항목을 보존합니다.

SIEM(보안 정보 및 이벤트 관리) 도구가 로그를 수집하는지 확인합니다. 로그인 및 감사 이벤트를 사용하여 애플리케이션, 인프라, 데이터, 디바이스, 네트워크 로그와의 상관 관계를 지정합니다.

Microsoft Entra 로그를 Microsoft Sentinel과 통합하는 것이 좋습니다. Microsoft Entra 테넌트 로그를 수집하도록 커넥터를 구성합니다.

자세히 보기:

• Microsoft Sentinel이란?
• Microsoft Entra ID를 Microsoft Sentinel에 연결

Microsoft Entra 테넌트의 경우 Azure Storage 계정, Azure Event Hubs 또는 Log Analytics 작업 영역으로 데이터를 보내도록 진단 설정을 구성할 수 있습니다. 해당 스토리지 옵션을 사용하면 다른 SIEM 도구를 통합하여 데이터를 수집할 수 있습니다.

자세히 보기:

• Microsoft Entra 모니터링이란?
• Microsoft Entra 보고 및 모니터링 배포 종속성

분석

다음 도구의 분석을 사용하여 Microsoft Entra ID의 정보를 집계하고 기준과 비교하여 보안 태세의 추세를 표시할 수 있습니다. 분석을 사용하여 Microsoft Entra ID 전반에 걸쳐 패턴이나 위협을 평가하고 찾을 수도 있습니다.

• Microsoft Entra ID Protection는 위험한 동작에 대한 로그인 및 기타 원격 분석 원본을 분석합니다.
  • ID 보호는 로그인 이벤트에 위험 점수를 할당합니다.
  • 위험 점수에 따라 리소스 또는 애플리케이션에 액세스하기 위한 로그인을 방지하거나 단계별 인증을 강제합니다.
  • ID 보호란?을 참조하세요.
• Microsoft Entra 사용량 및 인사이트 보고서에는 사용량 또는 로그인 추세가 가장 높은 애플리케이션을 포함하여 Azure Sentinel 통합 문서와 유사한 정보가 있습니다.
  • 보고서를 사용하여 공격 또는 기타 이벤트를 나타낼 수 있는 집계 추세를 이해합니다.
  • Microsoft Entra ID의 사용 및 인사이트 참조
• Microsoft Sentinel은 Microsoft Entra ID의 정보를 분석합니다.
  • Microsoft Sentinel UEBA(사용자 및 엔터티 동작 분석)는 사용자, 호스트, IP 주소, 애플리케이션 엔터티의 잠재적인 위협에 대한 인텔리전스를 제공합니다.
  • 분석 규칙 템플릿을 사용하여 Microsoft Entra 로그에서 위협 및 경고를 찾아보세요. 보안 또는 운영 분석가가 위협을 심사하고 수정할 수 있습니다.
  • Microsoft Sentinel 통합 문서는 Microsoft Entra 데이터 원본을 시각화하는 데 도움이 됩니다. 국가/지역 또는 애플리케이션별 로그인을 참조하세요.
  • 일반적으로 사용되는 Microsoft Sentinel 통합 문서를 참조하세요.
  • 수집된 데이터 시각화를 참조하세요.
  • Microsoft Sentinel에서 UEBA를 사용하여 고급 위협 식별을 참조하세요.

자동화 및 오케스트레이션

제로 트러스트의 자동화는 위협 또는 보안 변경으로 인한 경고를 수정하는 데 도움이 됩니다. Microsoft Entra ID에서 자동화 통합은 보안 태세를 개선하기 위한 작업을 명확하게 하는 데 도움이 됩니다. 자동화는 모니터링 및 분석에서 받은 정보를 기반으로 합니다.

Microsoft Graph API REST 호출을 사용하여 프로그래밍 방식으로 Microsoft Entra ID에 액세스합니다. 이 액세스에는 권한 및 범위가 포함된 Microsoft Entra ID가 필요합니다. Graph API를 사용하여 다른 도구를 통합하세요.

시스템이 할당한 관리 ID를 사용하려면 Azure 함수 또는 Azure 논리 앱을 설정하는 것이 좋습니다. 논리 앱 또는 함수에는 작업을 자동화하는 단계 또는 코드가 있습니다. 서비스 주체 디렉터리에 작업을 수행할 수 있는 권한을 부여하려면 관리 ID에 권한을 할당하세요. 관리 ID에 최소 권한을 부여합니다.

자세한 정보: Azure 리소스에 대한 관리 ID란?

또 다른 자동화 통합 지점은 Microsoft Graph PowerShell 모듈입니다. Microsoft Graph PowerShell을 사용하여 Microsoft Entra ID에서 일반적인 작업 또는 구성을 수행하거나 Azure 함수 또는 Azure Automation Runbook에 통합합니다.

거버넌스

Microsoft Entra 환경을 운영하기 위한 프로세스를 문서화합니다. Microsoft Entra ID의 범위에 적용되는 거버넌스 기능을 위해 Microsoft Entra 기능을 사용합니다.

자세히 보기:

• Microsoft Entra ID 거버넌스 운영 참조 가이드
• Microsoft Entra 보안 운영 가이드
• Microsoft Entra ID Governance가 무엇인가요?
• 각서 22-09의 권한 부여 요구 사항 충족

다음 단계

• Microsoft Entra ID를 사용하여 각서 22-09의 ID 요구 사항을 충족합니다.
• 엔터프라이즈 수준 ID 관리 시스템
• 각서 22-09의 다단계 인증 요구 사항 충족
• 각서 22-09의 권한 부여 요구 사항 충족
• 제로 트러스트를 통한 ID 보호