Microsoft Defender for Identity 설명

4분

Microsoft Defender for Identity는 온-프레미스 ID 인프라 서버의 신호를 사용하여 권한 상승이나 위험성이 높은 수평 이동과 같은 위협을 검색하고 쉽게 악용될 수 있는 ID 문제에 대해 보고하는 클라우드 기반 보안 솔루션입니다.

높은 수준에서 Microsoft Defender for Identity의 작동 방식은 다음과 같습니다.

Microsoft Defender for Identity는 온-프레미스 ID 인프라 서버(도메인 컨트롤러와 Active Directory Federated Services 및 Active Directory 인증서 서비스를 실행하는 서버)에 설치된 소프트웨어 기반 센서를 사용합니다.
Defender for Identity 센서는 필요한 이벤트 로그에 서버에서 직접 액세스합니다. 센서가 로그와 네트워크 트래픽을 분석한 후, Defender for Identity는 분석된 정보만 Defender for Identity 클라우드 서비스로 전송합니다. Defender for Identity 클라우드 서비스는 수집된 데이터/신호를 활용해 IDTR(ID 위협 감지 및 응답) 솔루션을 제공합니다. Microsoft Defender for Identity는 하이브리드 환경을 관리하는 보안 전문가에게 다음과 같은 기능을 제공합니다.
- 보안 위반을 예방하려면 적극적으로 ID 태세를 평가해야 합니다.
- 실시간 분석과 데이터 인텔리전스를 활용하여 위협을 검색합니다.
- 명확하고 실행 가능한 인시던트 정보를 사용하여 의심스러운 활동을 조사합니다.
- 손상된 ID에 대한 자동 응답을 통해 공격에 응답합니다.
Microsoft Defender for Identity 서비스에서 생성된 신호와 인사이트, 서비스 구성은 보안 팀에 공격을 조사하고 대응하기 위한 통합된 환경을 제공하는 Microsoft Defender 포털을 통해 공개됩니다.

적극적으로 자신의 ID 태세 평가

Defender for Identity는 ID 보안 태세를 명확하게 보여 주고 공격자가 악용하기 전에 보안 문제를 식별하고 해결하는 데 도움을 줍니다. 예를 들어, Microsoft Defender for Identity는 사용자 환경을 지속적으로 모니터링하여 보안 위험을 노출시키는 가장 위험한 수평 이동 경로를 가진 중요 계정을 식별하고 이러한 계정에 대한 보고서를 작성하여 환경 관리에 도움을 줍니다. Microsoft Secure Score에서 제공하는 Defender for Identity 보안 평가는 조직의 보안 태세와 정책을 개선하기 위한 추가적인 인사이트를 제공합니다.

실시간 분석 및 Data Intelligence를 사용하여 위협 검색

Defender for Identity는 사용 권한, 그룹 멤버 자격 등 사용자 네트워크에서 발생하는 사용자 활동 및 정보를 모니터링하고 분석하여 각 사용자에 대한 동작 기준을 생성합니다. 그런 다음, Defender for Identity는 기본 제공 적응형 인텔리전스를 통해 변칙을 식별합니다. 의심스러운 활동 및 이벤트에 대한 인사이트를 제공하고 조직이 직면한 고급 위협, 사용자 손상 및 내부자 위협을 밝혀냅니다. Defender for Identity는 원본에서 다음과 같은 전체 사이버 공격 킬 체인을 통한 고급 위협을 식별합니다.

정찰: Rogue 사용자와 공격자의 정보 입수 시도를 파악합니다.
손상된 자격 증명: 무차별 암호 대입 공격(brute force attack), 인증 실패, 사용자 그룹 등록 변경 및 기타 방법을 통한 사용자 자격 증명 손상 시도를 파악합니다.
횡적 이동 - 중요한 사용자를 추가로 제어하기 위해 네트워크 내에서 횡적으로 이동하려는 시도를 검색합니다.
도메인 우위 - 위협 작업자가 도메인 컨트롤러에서 원격 코드 실행이나 다른 방법을 통해 Active Directory에 대한 제어권을 확보(도메인 우위라고 함)할 경우 공격자의 동작을 확인합니다.

경고 및 사용자 활동 조사

Defender for Identity는 일반 경고 노이즈를 줄이도록 설계되었으며, 관련된 중요한 보안 경고만 간단한 실시간 조직 공격 타임라인으로 제공합니다.

Defender for Identity 공격 타임라인 보기와 스마트 분석 인텔리전스를 사용하여 중요한 사항에 집중합니다. Defender for Identity를 사용하여 신속하게 위협을 조사하고 조직 전체의 사용자, 디바이스, 네트워크 리소스에 대한 인사이트를 얻을 수도 있습니다.

Microsoft Defender for Identity는 손상된 ID, 고급 위협 및 악의적인 내부자 작업으로부터 조직을 보호합니다.

수정 작업

Microsoft Defender for Identity는 온-프레미스 ID에서 직접 수행할 수 있는 수정 작업을 지원합니다. 예를 들면 다음과 같습니다.

Active Directory에서 사용자 사용 안 함: 이렇게 하면 사용자가 온-프레미스 네트워크에 일시적으로 로그인할 수 없게 됩니다. 이를 통해 손상된 사용자가 측면으로 이동하여 데이터를 빼내거나 네트워크를 추가로 손상시키는 것을 방지할 수 있습니다.
사용자 암호 초기화 – 이 옵션을 선택하면 사용자에게 다음 로그인 시 암호를 변경하라는 메시지가 표시되어 해당 계정이 더 이상 가장하려고 할 수 없게 됩니다.

Microsoft Entra ID 역할에 따라 사용자에게 다시 로그인하도록 요구하고 사용자가 침해되었음을 확인하는 등 추가적인 Microsoft Entra ID 작업이 표시될 수 있습니다.

Microsoft Defender 포털의 Microsoft Defender for Identity

Microsoft Defender for Identity는 Microsoft Defender 포털을 통해 경험할 수 있습니다. Defender 포털은 Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반의 보안을 모니터링하고 관리하는 곳으로, 보안 관리자가 한곳에서 보안 작업을 수행할 수 있도록 합니다.

Microsoft Defender 포털의 왼쪽 탐색 패널에 있는 ID 노드에는 다음이 포함됩니다.

Microsoft Defender for Identity 대시보드는 ITDR(ID 위협 감지 및 응답)에 대한 중요한 인사이트와 실시간 데이터를 제공합니다.
상태 문제 페이지에는 Defender for Identity 배포 및 센서에 대한 현재 상태 문제가 나열되어 있으며 Defender for Identity 배포에 문제가 있을 경우 경고를 보냅니다.
도구 페이지에는 Microsoft Defender for Identity 환경을 관리하는 데 도움이 되는 추가 정보가 나열되어 있습니다. 예를 들어, 모든 Microsoft Defender for Identity 필수 구성 요소가 내부에 있는지 확인하기 위해 실행할 수 있는 준비 스크립트, Microsoft Defender for Identity가 작동하도록 환경을 구성하고 유효성을 검사하는 데 도움이 되는 함수 컬렉션이 포함된 PowerShell 모듈 등이 있습니다.