Microsoft Entra ID 보호 설명

  • 7분

Microsoft Entra ID Protection은 조직이 ID 기반 위험을 검색, 조사 및 수정하는 데 도움이 됩니다. 여기에는 사용자 ID 및 워크로드 ID가 포함됩니다.

이러한 ID 기반 위험은 조건부 액세스와 같은 도구에 추가로 입력되어 액세스 결정을 내리거나 추가 조사 및 상관 관계를 위해 SIEM(보안 정보 및 이벤트 관리) 도구에 다시 피드백될 수 있습니다.

Microsoft Entra ID Protection의 구성 요소를 보여 주는 다이어그램. 사용자가 위험을 감지하는 신호, 위험 유형, 위험을 조사하고 해결하는 단계.

위험 검색

Microsoft는 잠재적인 위협을 식별하기 위해 매일 수조 개의 신호를 분석합니다. 이러한 신호는 Microsoft Entra ID, Microsoft 계정의 소비자 공간, Xbox를 사용한 게임 등 다양한 소스에서 Microsoft가 획득한 학습에서 비롯됩니다.

Microsoft Entra ID Protection은 조직에 테넌트에서 의심스러운 활동에 대한 정보를 제공하고 추가 위험이 발생하지 않도록 신속하게 대응할 수 있도록 합니다. 위험 감지에는 디렉터리의 사용자 계정과 관련된 의심스럽거나 비정상적인 활동이 포함될 수 있습니다. ID 보호 위험 감지는 로그인 이벤트(로그인 위험) 또는 개별 사용자(사용자 위험)에 연결될 수 있습니다.

  • 로그인 위험 로그인은 ID 소유자가 지정된 인증 요청에 권한을 부여하지 않았을 가능성을 나타냅니다. 예를 들어 익명 IP 주소의 로그인, 비정상적 이동(지리적으로 먼 위치에서 발생한 두 개의 로그인), 익숙하지 않은 로그인 속성 등이 있습니다.

  • 사용자 위험. 사용자 위험은 주어진 ID 또는 계정이 손상될 확률을 나타냅니다. 예를 들어 유출된 자격 증명, 사용자가 보고한 의심스러운 활동, 의심스러운 전송 패턴 등이 있습니다.

로그인 및 사용자 위험 감지에 대한 자세한 목록은 riskEventType 매핑된 위험 감지를 참조하세요.

ID 보호는 인증 요청에 올바른 자격 증명이 사용된 경우에만 위험 감지을 생성합니다. 사용자가 잘못된 자격 증명을 사용하는 경우 악의적인 행위자가 올바른 자격 증명을 사용하지 않는 한 자격 증명 손상의 위험이 없으므로 ID 보호에 의해 플래그가 지정되지 않습니다.

위험 감지를 실시할 경우 사용자가 다단계 인증을 제공하거나, 암호를 재설정하거나, 관리자가 조치를 취할 때까지 액세스를 차단해야 하는 등의 작업을 트리거할 수 있습니다.

위험 조사

ID에서 검색된 모든 위험은 보고를 통해 추적됩니다. ID 보호는 관리자가 위험을 조사하고 작업을 수행할 수 있도록 세 가지 주요 보고서를 제공합니다.

  • 위험 검색: 검색된 각 위험은 위험 검색으로 보고됩니다.

  • 위험한 로그인: 위험한 로그인은 해당 로그인에 대해 하나 이상의 위험 검색이 보고된 경우 보고됩니다.

  • 위험 사용자: 다음 중 하나 또는 둘 다에 해당하는 경우 위험 사용자가 보고됩니다.

    • 사용자에게 하나 이상의 위험한 로그인이 있습니다.
    • 하나 이상의 위험 검색이 보고되었습니다.

    Microsoft Security Copilot에 온보딩된 기업의 경우 위험한 사용자 보고서는 Microsoft Security Copilot의 기능을 포함하여 사용자의 위험 수준을 요약하고, 현재 인시던트와 관련된 인사이트를 제공하며, 신속한 위험 완화를 위한 권장 사항을 제공합니다.

보안 전략의 약점을 이해하고 식별하려면 이벤트를 조사하는 것이 중요합니다.

수정

조사를 완료한 후에는 관리자가 위험을 수정하거나 사용자를 차단 해제하기 위한 조치를 취합니다. 조직은 위험 정책을 사용하여 자동화된 수정을 사용하도록 설정할 수 있습니다. 예를 들어, 위험 기반 조건부 액세스 정책을 사용하도록 설정하여 강력한 인증 방법 제공, 다단계 인증 수행 또는 검색된 위험 수준에 따라 보안 암호 재설정 수행과 같은 액세스 제어를 요구할 수 있습니다. 사용자가 액세스 제어를 성공적으로 완료하면 위험이 자동으로 수정됩니다.

자동화된 수정이 사용하도록 설정되지 않은 경우 관리자는 포털, API 또는 Microsoft Defender XDR을 통해 보고서에서 식별된 위험을 수동으로 검토해야 합니다. 관리자는 수동 작업을 수행하여 위험을 해제하거나, 안전한지 확인하거나, 위험에 대한 타협을 확인할 수 있습니다.

내보내기

Identity Protection의 데이터는 보관 및 추가 조사와 상관 관계를 위해 다른 도구로 내보낼 수 있습니다. Microsoft Graph 기반 API를 사용하면 조직은 SIEM과 같은 도구에서 추가 처리를 위해 이 데이터를 수집할 수 있습니다. 데이터는 Log Analytics 작업 영역으로 전송되거나, 데이터를 스토리지 계정에 보관되거나, Event Hubs 또는 솔루션으로 스트리밍될 수도 있습니다.