Microsoft Defender for Identity를 사용하여 지능형 공격 탐지

Microsoft Defender for Identity를 사용하여 지능형 공격 탐지

2024년 7월 14일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 온-프레미스 Active Directory 신호를 활용하여 고급 위협 및 손상된 ID를 식별, 감지 및 조사하는 클라우드 기반 보안 솔루션인 MDI(Microsoft Defender for Identity)를 사용하도록 안내하는 것을 목표로 합니다. MDI는 Microsoft 365 Defender 제품군의 필수 부분으로, ID 환경에서 의심스러운 활동에 대한 중요한 가시성을 제공합니다[1].

소개

ID는 새로운 보안 경계입니다. 현대의 사이버 공격은 사용자 및 관리자 자격 증명을 손상시켜 권한 있는 액세스 권한을 얻고, 측면 이동을 수행하고, 데이터를 유출하는 것을 목표로 하는 경우가 많습니다. 기존 네트워크 보안 솔루션으로는 이러한 정교한 전술을 탐지하는 데 충분하지 않은 경우가 많습니다. Microsoft Defender for Identity는 도메인 컨트롤러의 네트워크 트래픽과 이벤트 로그를 모니터링하여 Pass-the-Hash, Pass-the-Ticket, 네트워크 정찰, 권한 상승과 같은 ID 공격을 나타내는 비정상적인 동작을 식별함으로써 이러한 격차를 메웁니다[2].

이 실무 가이드에서는 센서 배포부터 경고 분석 및 사고 조사까지 MDI의 구성 및 사용을 다룹니다. 독자가 자신의 신원 보호를 구현 및 강화하여 Microsoft 환경에서 위험 노출을 줄이고 지능형 위협에 대한 대응력을 향상시킬 수 있도록 단계별 지침, 탐지 예 및 유효성 검사 방법이 제공됩니다.

Microsoft Defender for Identity가 중요한 이유는 무엇인가요?

  • ID 기반 공격 탐지: Pass-the-Hash, Pass-the-Ticket, Golden Ticket, 네트워크 정찰, 권한 상승 등 ID 공격에 사용되는 일반적인 전술, 기술 및 절차(TTP)를 식별합니다.
  • 포괄적인 가시성: 도메인 컨트롤러 및 이벤트 로그의 네트워크 트래픽을 모니터링하여 정상적인 사용자 행동에 대한 프로필을 구축하고 이상 현상을 감지합니다.
  • Microsoft 365 Defender와의 통합: 사고에 대한 통합 보기를 위해 MDI 경고를 다른 Defender 솔루션(Endpoint, Office 365, Cloud Apps)의 신호와 연관시킵니다.
  • 행동 분석: 기계 학습 및 행동 분석을 사용하여 기존 서명으로는 감지할 수 없는 위협을 탐지합니다.
  • 오탐지 감소: Microsoft 위협 인텔리전스 및 행동 프로파일링은 소음을 제거하고 실제 위협에 집중하는 데 도움이 됩니다.

전제조건

Microsoft Defender for Identity를 구현하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft 365 E5 Security, Microsoft 365 E5, Enterprise Mobility + Security E5 라이선스 또는 Defender for Identity 독립 실행형 라이선스[3].
  2. 관리 액세스: Microsoft 365 Defender 포털('https://security.microsoft.com')에서 '전역 관리자' 또는 '보안 관리자' 역할을 가진 계정입니다.
  3. Active Directory 로컬: 하나 이상의 도메인 컨트롤러가 있는 로컬 Active Directory 도메인입니다.
  4. 센서용 서버(선택 사항이지만 권장됨): 도메인 컨트롤러에 직접 설치하지 않으려는 경우 독립 실행형 MDI 센서를 설치하기 위한 Windows Server(2012 R2 이상) 서버입니다. 도메인 컨트롤러에 설치된 경우 센서는 DC의 리소스를 사용합니다.
  5. 네트워크 연결: 센서 서버(또는 도메인 컨트롤러)에는 클라우드 MDI 서비스 엔드포인트(TCP 포트 443)에 대한 아웃바운드 연결이 있어야 합니다.

단계별: Microsoft Defender for Identity 구성 및 사용

센서 배포 및 경고 분석을 다루겠습니다.

1. Microsoft 365 Defender 포털 액세스 및 MDI 구성

  1. 브라우저를 열고 https://security.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 왼쪽 탐색 창에서 설정 > ID를 선택합니다.
  4. ID 설정 페이지에서 MDI 환경의 상태를 볼 수 있습니다. 아직 설정되지 않은 경우 지침에 따라 설정을 시작하세요.

2. ID 센서용 Microsoft Defender 다운로드 및 설치

MDI 센서는 돔 컨트롤러에 직접 설치할 수 있습니다.inium 또는 전용 서버(독립형 센서).

  1. Microsoft 365 Defender 포털에서 설정 > ID > 센서로 이동합니다.
  2. 센서 추가를 클릭합니다.

  3. '액세스 키'를 복사하고 '센서 설치 패키지'를 다운로드하세요.

  4. 센서를 설치하려는 서버(도메인 컨트롤러 또는 전용 서버)에서:

    • 설치 패키지(Azure Advanced Threat Protection Sensor Setup.exe)를 실행합니다.
    • 마법사의 지시를 따릅니다. 메시지가 나타나면 '액세스 키'를 붙여넣으세요.
    • 독립형 센서에 대한 참고 사항: 독립형 센서를 설치하는 경우 도메인 컨트롤러에서 독립형 센서의 네트워크 인터페이스로 네트워크 트래픽을 보내도록 네트워크 스위치에 포트 미러링이 구성되어 있는지 확인하십시오.

  5. 설치 후 센서는 MDI 포털의 센서 페이지에 '실행 중'으로 표시되어야 합니다.

3. 센서 설정 구성

최적의 감지를 보장하려면 센서 설정을 구성하는 것이 중요합니다.

  1. Microsoft 365 Defender 포털에서 설정 > ID > 센서로 이동합니다.
  2. 센서를 클릭하여 설정을 편집합니다.
  3. 다음을 확인하고 구성합니다.
    • 도메인 컨트롤러: 관련 도메인 컨트롤러가 모두 나열되어 있는지 확인하세요.
    • 동기화 계정: Active Directory 포리스트가 여러 개 있는 경우 각 포리스트에 대해 동기화 계정을 구성합니다.
    • 제외: (주의해서) 합법적이라고 알고 있는 엔터티 또는 활동에 대한 제외를 구성하고 오탐지를 생성합니다.

4. 보안 경고 분석

MDI는 의심스럽거나 악의적인 활동을 감지하면 경고를 생성합니다. 이러한 경고는 Microsoft 365 Defender 포털에 표시됩니다.

  1. Microsoft 365 Defender 포털의 왼쪽 탐색 창에서 사건 및 경고 > 경고를 선택합니다.
  2. '서비스' = 'Microsoft Defender for Identity'로 경고를 필터링합니다.
  3. 경고를 클릭하면 다음을 포함한 세부 정보를 볼 수 있습니다.
    • 설명: 공격의 성격을 설명합니다.
    • 영향을 받는 엔터티: 관련된 사용자, 컴퓨터 및 리소스입니다.
    • 공격 타임라인: 일련의 이벤트를 시각적으로 표현한 것입니다.
    • 권장 조치: 경고를 조사하고 해결하는 단계입니다.

5. 사건 조사

MDI는 사건 전반에 걸쳐 관련 경고의 상관 관계를 파악하여 공격에 대한 통합된 보기를 제공합니다.

  1. Microsoft 365 Defender 포털의 왼쪽 탐색 창에서 사고 및 경고 > 사고를 선택합니다.
  2. 사건을 클릭하면 모든 경고와 관련 엔터티는 물론 전체 공격 기록을 볼 수 있습니다.
  3. 사용자 지정 KQL(Kusto 쿼리 언어) 쿼리를 위한 'Advanced Hunting'과 같은 조사 도구를 사용하여 분석을 심화합니다.

검증 및 테스트

MDI의 유효성을 검사하는 것은 MDI가 위협을 올바르게 탐지하고 경고를 생성하는지 확인하는 데 필수적입니다.

1. PtH(Pass-the-Hash) 공격 시뮬레이션

PtH 공격을 시뮬레이션하려면 도메인 컨트롤러와 클라이언트 컴퓨터가 포함된 테스트 환경이 필요합니다. 이 테스트는 극도의 주의를 기울여 통제된 환경에서만 수행해야 합니다.

  1. 클라이언트 컴퓨터에서 Mimikatz와 같은 도구를 사용하여 권한 있는 사용자(예: '관리자')에 대한 NTLM 해시를 추출합니다.
    • 명령(예: 높은 권한 필요): ``cmd 권한::디버그 sekurlsa::로그온 비밀번호 ````
  2. 획득한 해시를 사용하여 실제 비밀번호 없이 네트워크상의 다른 컴퓨터에 인증을 시도합니다.
    • 명령(예: 높은 권한 필요): ``cmd sekurlsa::pth /user:Administrator /domain:mydomain.com /ntlm:HASH_DO_ADMIN /run:cmd.exe ````
  3. 몇 분 정도 기다립니다.
  4. Microsoft 365 Defender 포털에서 '의심스러운 측면 이동(Pass-the-Hash)' 또는 Microsoft Defender for Identity의 유사한 경고를 확인하세요.

2. 네트워크 정찰 시뮬레이션

  1. 테스트 시스템에서 MDI가 감지할 수 있는 네트워크 검색 명령을 실행합니다.
    • 명령(모든 사용자에 대한 LDAP 쿼리 예): cmd nltest /domain_trusts ```` 또는cmd dsquery 사용자 제한 0 ````
  2. 몇 분 정도 기다리십시오.
  3. Microsoft 36 포털을 확인하세요.5 Microsoft Defender for Identity의 '네트워크 인식(사용자/그룹 열거)' 또는 이와 유사한 경고를 방어합니다.

보안 팁 및 모범 사례

  • 완전한 도메인 컨트롤러 적용 범위: 모든 도메인 컨트롤러에 MDI 센서를 설치하여 인증 트래픽과 로그를 완벽하게 적용합니다.
  • 적절한 포트 미러링: 독립형 센서의 경우 포트 미러링이 모든 관련 트래픽을 캡처하도록 올바르게 구성되었는지 확인하십시오.
  • 지속적인 경고 모니터링: Microsoft 365 Defender 포털에서 MDI에 의해 생성된 경고를 적극적으로 모니터링하고 즉시 조사합니다.
  • SIEM/SOAR 통합: 사고 대응 자동화 및 다른 보안 데이터와의 상관 관계를 위해 MDI 경고를 SIEM(예: Microsoft Sentinel) 또는 SOAR과 통합합니다.
  • Active Directory 위생: 비활성 계정을 제거하고, 최소 권한 원칙을 적용하고, 권한 있는 계정을 보호하여 Active Directory를 깨끗하고 안전하게 유지합니다.
  • 권한 있는 계정 보호: MDI와 함께 PIM(Privileged Identity Management)을 구현하여 권한 있는 계정을 더욱 보호합니다.
  • 패치 및 업데이트: MDI 센서를 호스팅하는 도메인 컨트롤러와 서버를 최신 보안 패치로 업데이트하세요.

일반적인 문제 해결

  • 센서가 "실행 중"으로 표시되지 않음: 클라우드 MDI 서비스(포트 443)에 대한 센서의 네트워크 연결을 확인하십시오. 센서 서버의 이벤트 로그에서 설치 또는 통신 오류를 확인하세요. 센서 서비스를 다시 시작하십시오.
  • 경고가 생성되지 않음: 센서가 "실행 중"인지 확인하세요. 도메인 컨트롤러의 네트워크 트래픽이 독립형 센서로 올바르게 미러링되고 있는지 확인하십시오(해당하는 경우). 탐지를 방해할 수 있는 구성된 제외가 ​​있는지 확인하세요.
  • 오탐지 경고: 경고 세부 정보를 조사합니다. 소음을 줄이기 위해 제외 또는 설정을 조정해야 할 수도 있지만 실제 위협을 무시하지 않도록 주의해서 조정해야 합니다.
  • 도메인 컨트롤러 성능 문제: MDI 센서가 도메인 컨트롤러에 직접 설치되어 있고 성능 문제가 있는 경우 하드웨어 요구 사항을 확인하고 전용 서버에 독립형 센서를 설치하는 것을 고려하십시오.
  • 도메인 동기화 문제: 각 AD 포리스트의 동기화 계정이 MDI 설정에서 올바르게 구성되었는지 확인하세요.

결론

Microsoft Defender for Identity는 조직의 ID 인프라를 대상으로 하는 지능형 공격을 방어하는 데 필수적인 도구입니다. MDI는 Active Directory에 대한 깊은 가시성을 제공하고 실시간으로 비정상적인 동작을 감지함으로써 보안 팀이 측면 이동, 권한 상승, 자격 증명 손상과 같은 위협을 신속하게 식별하고 대응할 수 있도록 지원합니다. ID 보안 모범 사례 및 다른 Microsoft 365 Defender 솔루션과의 통합과 결합된 MDI의 신중한 구현은 전반적인 보안 상태를 크게 강화합니다. 이 실용적인 가이드를 통해 보안 전문가는 Microsoft Defender for Identity를 사용하여 가장 중요한 ID를 보호하고 공격자의 가장 정교한 전술에 맞서 보다 안전하고 탄력적인 환경을 보장할 수 있습니다.

참고자료:

[1] 마이크로소프트 런. Microsoft Defender for Identity란 무엇인가요?. 사용 가능: https://learn.microsoft.com/pt-br/defender-for-identity/what-is [2] 마이크로소프트 런. Microsoft Defender for Identity 배포 개요. 사용 가능: https://learn.microsoft.com/pt-br/defender-for-identity/deploy/deploy-defender-identity [3] 마이크로소프트 런. Microsoft Defender for Identity 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/defender-for-identity/what-is#licensing-requirements