위험 감지 및 해결을 위해 Azure AD ID 보호 사용

위험 감지 및 해결을 위해 Azure AD ID 보호 사용

2024년 12월 14일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Azure AD ID 보호를 사용하여 해당 환경에서 ID 위험을 감지, 조사 및 해결하도록 안내하는 것을 목표로 합니다. Azure AD ID 보호는 ID 기반 위험의 감지 및 해결을 자동화하여 손상된 자격 증명, 무차별 대입 공격, 무단 액세스와 같은 위협으로부터 조직을 보호하는 Microsoft Entra ID(이전의 Azure Active Directory)의 기능입니다[1].

소개

ID는 새로운 보안 경계입니다. 클라우드와 원격 근무로의 전환으로 인해 사용자 ID를 보호하는 것이 그 어느 때보다 중요해졌습니다. 피싱 공격, 자격 증명 유출, 비밀번호 스프레이 및 비정상적인 위치에서의 액세스는 계정 손상으로 이어질 수 있으며 결과적으로 데이터 침해 및 서비스 중단으로 이어질 수 있는 지속적인 위협입니다. Azure AD ID 보호는 위험한 활동을 식별하고, 사용자 및 로그인과 관련된 위험 수준을 평가하고, 실시간 수정 정책을 적용하여 조직의 ID를 보호하는 사전 예방적이고 자동화된 솔루션을 제공합니다[2].

이 실무 가이드에서는 위험 감지 유형, 사용자 및 로그인 위험 정책, 이러한 정책 구성, Azure AD 조건부 액세스와의 통합, 위험 조사 및 수정을 포함하여 Azure AD ID 보호의 기본 개념을 다룹니다. 독자가 Azure AD ID 보호를 구현 및 검증하여 ID 보안을 강화하고 자율적이고 전문적이며 안정적인 방식으로 ID 보안 사고에 대한 효과적인 대응을 보장할 수 있도록 단계별 지침과 구성 예제가 제공됩니다.

Azure AD ID 보호가 중요한 이유는 무엇입니까?

  • 실시간 위험 감지: Microsoft 기계 학습 및 위협 인텔리전스 알고리즘을 활용하여 익명 위치에서의 로그인, 감염된 IP, 불가능한 여행, 자격 증명 유출 등 의심스러운 활동을 자동으로 감지합니다.
  • 적응형 위험 평가: 다양한 요인을 기반으로 각 사용자와 입력에 위험 수준(낮음, 중간, 높음)을 할당하여 위협에 비례적으로 대응할 수 있습니다.
  • 자동 교정 정책: 자동으로 MFA를 요구하는 정책을 구성하거나, 비밀번호를 재설정하거나, 특정 위험 수준에 대응하여 액세스를 차단할 수 있습니다.
  • 조건부 액세스 통합: Azure AD 조건부 액세스와 함께 작동하여 ID 위험에 따라 적응형 액세스 제어를 적용합니다.
  • 가시성 및 조사: 위험 감지, 위험 사용자 및 위험 입력에 대한 자세한 보고서를 제공하여 조사 및 사고 대응을 촉진합니다.
  • SOC 작업 부하 감소: 여러 ID 사고를 분류하고 해결하는 작업을 자동화하여 보안 직원이 보다 복잡한 위협에 집중할 수 있도록 해줍니다.

전제조건

Azure AD ID 보호를 사용하려면 다음 항목이 필요합니다.

  1. 라이선스: Azure AD ID 보호에는 Microsoft Entra ID P2 라이선스(이전의 Azure AD Premium P2)[3]가 필요합니다.
  2. 관리 액세스: Azure Portal('https://portal.azure.com')에서 '보안 관리자', '조건부 액세스 관리자' 또는 '글로벌 관리자' 역할을 가진 계정입니다.
  3. MFA 구성됨: 로그인 및 사용자 위험 정책이 효과적으로 작동하려면 사용자에게 MFA(Multi-Factor Authentication)가 구성 및 등록되어 있어야 합니다. Azure AD Multi-Factor Authentication을 사용하는 것이 좋습니다.

단계별: Azure AD ID 보호 구성

귀하의 신원을 보호하기 위해 위험 정책을 구성합니다.

1. Azure AD ID 보호에 액세스

  1. 브라우저를 열고 Azure Portal https://portal.azure.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 상단 검색 필드에 'Azure AD Identity Protection'을 입력하고 결과에서 선택합니다.

2. 사용자 위험 정책 구성

이 정책은 사용자가 감지될 때 수행할 작업을 정의합니다.위험에 처해 있는 것으로 간주합니다(예: 자격 증명 유출, 지속적인 비정상적인 활동).

  1. Azure AD ID 보호 왼쪽 탐색 창에서 사용자 위험 정책을 선택합니다.

  2. 책임:

    • '사용자'에서 '모든 사용자' 또는 '개인 및 그룹 선택'을 선택하면 특정 사용자나 테스트 그룹에 정책을 적용할 수 있습니다. 우선 테스트 그룹에 지원하는 것이 좋습니다.
    • 선택적으로 '사용자 및 그룹 삭제'(예: 서비스 계정, 긴급 관리자)를 수행할 수 있습니다.

  3. 조건:

    • '사용자 위험'에서 정책을 실행할 위험 수준(예: '높음')을 설정합니다. '중간 이상'으로 시작하여 필요에 따라 조정할 수 있습니다.

  4. 컨트롤:

    • 접근: '접근 허용'을 선택하세요.
    • 정책 시행: '보안 비밀번호 변경 요구'를 선택합니다.
      • 설명: 사용자가 구성된 위험 수준에 도달하면 다음 로그인 시 비밀번호를 변경해야 합니다. 이는 유출된 자격 증명에 매우 중요합니다.

  5. 정책 활성화: '켜기'로 설정합니다.

  6. 저장을 클릭합니다.

3. 로그인 위험 정책 구성

이 정책은 로그인 시도가 위험한 것으로 감지될 때(예: 비정상적인 위치, 익명 IP, 감염된 IP에서) 취해야 할 조치를 정의합니다.

  1. Azure AD ID 보호 왼쪽 탐색 창에서 인바운드 위험 정책을 선택합니다.

  2. 책임:

    • '사용자' 항목에서 '모든 사용자' 또는 '개인 및 그룹 선택'을 선택하세요.
    • 선택적으로 사용자 및 그룹 삭제를 할 수 있습니다.

  3. 조건:

    • 'Input Risk'에서는 정책을 실행할 위험 수준을 정의합니다(예: 'Medium').

  4. 컨트롤:

    • 접근: '접근 허용'을 선택하세요.
    • 정책 시행: '다단계 인증 필요'를 선택합니다.
      • 설명: 항목이 위험한 것으로 감지되면 일반적으로 필요하지 않더라도 사용자는 MFA 챌린지를 완료해야 합니다. 이는 사용자의 신원을 확인하는 데 도움이 됩니다.

  5. 정책 활성화: '켜기'로 설정합니다.

  6. 저장을 클릭합니다.

4. 레지스트리 MFA 정책 구성

이 정책은 신규 사용자 또는 아직 MFA를 등록하지 않은 사용자에게 MFA를 등록하라는 메시지를 표시하며 이는 위험 정책의 전제 조건입니다.

  1. Azure AD ID 보호 왼쪽 탐색 창에서 MFA 등록 정책을 선택합니다.

  2. 책임:

    • '사용자' 항목에서 '모든 사용자' 또는 '개인 및 그룹 선택'을 선택하세요.
    • 선택적으로 사용자 및 그룹 삭제를 할 수 있습니다.

  3. 정책 시행: '사용'으로 설정합니다.

  4. 저장을 클릭합니다.

5. 위험한 사용자 및 입력 조사

Identity Protection은 위험한 활동을 모니터링하고 조사하기 위한 보고서를 제공합니다.

  1. Azure AD ID 보호 왼쪽 탐색 창에서 위험 사용자를 선택합니다.

    • 이 보고서에는 위험 수준 및 마지막 위험 감지와 함께 위험에 처한 것으로 감지된 사용자가 나열됩니다.

  2. 사용자를 클릭하면 특정 위험 탐지(예: '누출된 자격 증명', '익명 IP 항목')를 포함한 위험 세부 정보를 볼 수 있습니다.

  3. 왼쪽 탐색 창에서 위험 입력을 선택합니다.

    • 이 보고서에는 위험 수준 및 로그인 세부 정보와 함께 위험한 것으로 감지된 로그인 시도가 나열되어 있습니다.

  4. 탐지 유형, 위치, 장치 및 애플리케이션을 포함한 전체 세부 정보를 보려면 위험 항목을 클릭합니다.

6. 위험을 수동으로 해결하기

정책은 교정을 자동화하지만 위험을 수동으로 교정해야 할 수도 있습니다.

  1. 위험한 사용자의 경우:

    • '위험 사용자' 리포트에서 사용자를 선택하세요.
    • '사용자 위험 확인'(사용자 위험 정책이 실행되어 비밀번호 변경이 강제로 실행됨) 또는 '사용자 위험 해제'(위험이 오탐지로 판단되는 경우)를 선택할 수 있습니다.

  2. 위험 입력의 경우:

    • '위험 입력' 보고서에서 항목을 선택합니다.
    • 'Confirm Compromise' 또는 'Confirm Security'(오탐인 경우)를 선택할 수 있습니다.

검증 및 테스트

정책이 제대로 작동하는지 확인하려면 Azure AD ID 보호를 테스트하는 것이 중요합니다.예상대로.

1. 인바운드 위험 시뮬레이션(익명 IP)

  1. VPN이나 프록시를 사용하여 익명 IP로 분류될 수 있는 평소 직장이 아닌 다른 위치(예: 공용 프록시 서버, Tor)에서 인터넷에 연결합니다.

  2. 테스트 계정으로 Azure Portal 또는 Azure AD 연결 애플리케이션에 로그인해 보세요.

    • 예상 결과: 로그인 위험 정책이 '보통' 또는 '높음' 및 '다단계 인증 필요'로 설정된 경우 MFA를 완료하라는 메시지가 표시됩니다. 위험도가 '높음'이고 정책이 '접근 차단'으로 설정된 경우 접근이 거부됩니다.

  3. Azure AD ID 보호에서 '위험 항목' 보고서를 확인하세요. 감지 유형이 '익명 IP 항목'인 테스트 계정에 대한 위험 항목이 표시되어야 합니다.

2. 사용자 위험 시뮬레이션(자격 증명 유출)

유출된 자격 증명을 직접 시뮬레이션할 수는 없지만 테스트 사용자를 '높음' 위험 수준으로 수동으로 설정하여 사용자 위험 정책을 테스트할 수 있습니다(통제된 환경에서만 테스트 목적).

  1. '위험 사용자' 보고서에서 테스트 사용자를 선택합니다.
  2. '감염된 사용자 확인'을 클릭합니다(이렇게 하면 사용자 위험이 '높음'으로 설정되고 정책이 실행됩니다).
  3. 테스트 사용자에게 로그인을 시도하도록 요청합니다.
    • 예상 결과: 사용자 위험 정책에 구성된 대로 다음 로그인 시 비밀번호를 변경하라는 메시지가 사용자에게 표시되어야 합니다.

3. 감사 로그 및 입력 로그 확인

  1. Azure Portal에서 Azure Active Directory > 모니터링 > 인바운드 로그로 이동합니다.
  2. '입력 위험 상태' 및 '사용자 위험 상태'를 기준으로 로그를 필터링하여 평가된 입력과 취한 조치를 확인합니다.

보안 팁 및 모범 사례

  • 보고 모드로 시작: 위험 정책을 구성할 때 '보고 전용' 모드로 시작하여 정책을 시행 모드에 적용하기 전에 정책의 영향을 이해하세요. 이를 통해 사용자를 방해하지 않고 오탐지를 식별하는 데 도움이 됩니다.
  • 사용자 교육: 사용자에게 MFA의 중요성과 암호 변경 요청 또는 MFA 문제에 대응하는 방법을 교육합니다. 신원 보호의 이점을 설명하십시오.
  • 조건부 액세스와의 통합: 조건부 액세스와 함께 ID 보호를 사용하여 보다 정교한 적응형 액세스 정책을 만듭니다. 예를 들어 진입 위험이 '높음'인 경우 중요한 애플리케이션에 대한 액세스를 차단합니다.
  • 지속적인 모니터링: '위험 사용자' 및 '위험 입력' 보고서를 정기적으로 모니터링하여 의심스러운 활동을 조사하고 정책이 예상대로 작동하는지 확인합니다.
  • 정기적인 정책 검토: 위협 환경 및 비즈니스 요구 사항의 변화에 ​​맞춰 정기적으로 위험 정책을 검토하고 조정합니다.
  • SIEM/SOAR 통합: 중앙 집중식 보기와 보다 포괄적인 사고 대응 자동화를 위해 Azure AD ID 보호 경고를 SIEM(예: Microsoft Sentinel)과 통합합니다.
  • 권한 있는 사용자 우선순위: 가장 엄격한 위험 정책으로 높은 권한을 가진 사용자(관리자)를 보호하는 데 중점을 둡니다.

일반적인 문제 해결

  • 사용자에게 MFA/암호 변경 메시지가 표시되지 않습니다: 사용자에게 Azure AD P2 라이선스가 있는지 확인합니다. 위험 정책이 '사용'으로 설정되어 있고 사용자가 할당에 포함되어 있는지 확인하세요. 사용자가 이미 MFA를 등록했는지 확인하세요.
  • 위험 오탐: 위험 감지를 조사하여 트리거된 이유를 파악합니다. 위협이 없다고 확신하는 경우 항목에 대해 '보안 확인'을 수행하거나 사용자에 대해 '사용자 위험 해제'를 수행할 수 있습니다. 필요한 경우 위험 정책 조건을 조정합니다(예: 정책을 촉발하는 위험 수준 높이기).
  • 사용자가 부적절하게 차단됨: 로그인 위험 정책이 '보통' 또는 '낮음' 위험에 대해 '액세스 차단'으로 설정된 경우 과도한 차단이 발생할 수 있습니다. 위험 수준과 정책 조치를 검토합니다. 중간 위험의 경우 '액세스 차단' 대신 '다단계 인증 필요'를 사용하는 것이 좋습니다.
  • MFA 등록 문제: MFA 등록 정책이 '사용'으로 설정되어 있고 사용자가 포함되어 있는지 확인하세요.너. 방해할 수 있는 다른 조건부 액세스 정책이 있는지 확인하세요.
  • 위험 감지가 표시되지 않음: ID 보호가 활성화되어 있고 Azure AD에 인증 트래픽이 있는지 확인하세요. 특히 사용자 위험의 경우 위험 감지가 표시되는 데 다소 시간이 걸릴 수 있습니다.

결론

Azure AD ID 보호는 최신 클라우드 기반 환경에서 ID를 보호하는 데 없어서는 안 될 도구입니다. ID 위험 감지 및 해결을 자동화함으로써 조직은 위협에 신속하게 대응하고 공격 표면을 줄이며 전반적인 보안 태세를 강화할 수 있습니다. 사용자 교육 및 지속적인 모니터링과 결합된 위험 정책의 신중한 구현을 통해 보안 팀은 가장 중요한 ID를 사전에 보호할 수 있습니다. 이 실용적인 가이드를 통해 보안 전문가는 Azure AD ID 보호를 구성, 검증 및 관리하여 끊임없이 진화하는 사이버 위협에 맞서 ID를 안전하게 유지하고 탄력성을 유지할 수 있습니다.

참고자료:

[1] 마이크로소프트 런. Microsoft Entra ID 보호란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection [2] 마이크로소프트 런. 위험 감지란 무엇입니까?. 사용 가능: https://learn.microsoft.com/pt-br/entra/id-protection/concept-identity-protection-risks [3] 마이크로소프트 런. Microsoft Entra ID Protection에 대한 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/entra/id-protection/overview-identity-protection#license-requirements [4] 마이크로소프트 런. Microsoft Entra ID 보호에 대한 위험 정책을 구성합니다. 이용 가능: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-configure-risk-policies [5] 마이크로소프트 런. Microsoft Entra ID Protection으로 위험을 조사하세요. 사용 가능: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-investigate-risk [6] 마이크로소프트 런. 위험을 해결하고 사용자 차단을 해제합니다. 사용 가능: https://learn.microsoft.com/pt-br/entra/id-protection/howto-identity-protection-remediate-unblock