Microsoft Sentinel의 UEBA(사용자 및 엔터티 동작 분석)를 사용한 고급 위협 탐지

2025-07-24
적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

참고

미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드의 Microsoft Sentinel 테이블 기능 가용성을 참조하세요.

손상된 엔터티든 악의적인 내부자이든 조직 내부의 위협과 그 잠재적인 영향을 식별하는 것은 항상 시간이 많이 걸리고 노동 집약적인 프로세스였습니다. 경고를 검토하고 내용을 이해하며 적극적인 헌팅하는 과정에서 낮은 성과와 단순히 검색을 회피하는 정교한 위협으로 인해 막대한 시간과 노력이 소비됩니다. 특히 탐지가 어려운 제로 데이, 대상이 지정된 위협, 지능형 지속 위협은 조직에 매우 큰 위험을 초래할 수 있기 때문에 반드시 탐지해야 합니다.

Microsoft Sentinel의 UEBA 기능은 분석가의 워크로드와 노력의 불확실성을 없애고 높은 충실도의 실행 가능한 인텔리전스를 제공하므로 조사 및 수정에 집중할 수 있습니다.

중요합니다

Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.

2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.

Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.

UEBA의 모든 이점은 Microsoft Defender 포털에서 사용할 수 있습니다.

UEBA(사용자 및 엔터티 동작 분석)란?

Microsoft Sentinel은 연결된 모든 데이터 원본에서 로그 및 경고를 수집하고 해당 로그 및 경고를 분석하여 조직의 엔터티(예: 사용자, 호스트, IP 주소 및 애플리케이션)의 기준 동작 프로필을 시간 및 피어 그룹을 기준선으로 하여 빌드합니다. 그러면 Microsoft Sentinel은 다양한 기술과 기계 학습 기능을 사용하여 비정상적인 작업을 식별하고 자산이 손상되었는지 여부를 판단하는 데 도움을 줄 수 있습니다. 그뿐만 아니라 특정 자산의 상대적 민감도를 파악하고, 자산의 피어 그룹을 식별하고, 손상된 특정 자산("폭발 반경")의 잠재적 영향을 평가할 수도 있습니다. 이 정보를 갖추면 조사 및 인시던트 처리의 우선순위를 효과적으로 지정할 수 있습니다.

UEBA 분석 아키텍처

엔터티 동작 분석 아키텍처

보안 기반 분석

UEBA 솔루션에 대한 Gartner의 패러다임에서 영감을 받은 Microsoft Sentinel은 세 가지 참조 프레임을 기반으로 하는 "외부" 접근 방식을 제공합니다.

사용 사례: 다양한 엔터티를 살인 체인의 희생자, 가해자 또는 피벗 지점으로 두는 전술, 기술 및 하위 기술의 MITRE ATT&CK 프레임워크와 일치하는 보안 연구를 기반으로 관련 공격 벡터 및 시나리오에 우선 순위를 지정합니다. Microsoft Sentinel은 각 데이터 원본이 제공할 수 있는 가장 중요한 로그에 특히 중점을 둡니다.
데이터 원본: 가장 먼저 Azure 데이터 원본을 지원하지만 Microsoft Sentinel은 위협 시나리오와 일치하는 데이터를 제공하기 위해 타사 데이터 원본을 신중하게 선택합니다.
분석: Microsoft Sentinel은 다양한 ML(기계 학습) 알고리즘을 사용하여 비정상적인 활동을 식별하고 컨텍스트 보강의 형태로 명확하고 간결하게 증거를 제시합니다. 그 중 몇 가지 예는 다음과 같습니다.

Microsoft Sentinel은 보안 분석가가 사용자의 기준 프로필과 비교하여 컨텍스트에서 비정상적인 활동을 명확하게 이해하는 데 도움이 되는 아티팩트를 제공합니다. 사용자(또는 호스트 또는 주소)가 수행하는 작업은 상황에 따라 평가됩니다. 여기서 "true" 결과는 식별된 변칙을 나타냅니다.

지리적 위치, 디바이스 및 환경에 걸쳐.
시간 및 빈도 범위에서(사용자 고유의 기록과 비교).
피어의 동작과 비교했을 때.
조직의 동작과 비교했을 때.

Microsoft Sentinel이 사용자 프로필을 빌드하는 데 사용하는 사용자 엔터티 정보는 Microsoft Entra ID(및/또는 현재 미리 보기로 제공되는 온-프레미스 Active Directory)에서 가져옵니다. UEBA를 사용하도록 설정하면 Microsoft Entra ID가 Microsoft Sentinel과 동기화되어 IdentityInfo 테이블을 통해 표시되는 내부 데이터베이스에 정보가 저장됩니다.

Azure Portal의 Microsoft Sentinel에서 로그 페이지의 Log Analytics에서 IdentityInfo 테이블을 쿼리합니다.
Defender 포털에서 고급 헌팅에서 이 테이블을 쿼리합니다.

이제 미리 보기에서 Microsoft Defender for Identity를 사용하여 온-프레미스 Active Directory 사용자 엔터티 정보도 동기화할 수 있습니다.

UEBA를 사용하도록 설정하고 사용자 ID를 동기화하는 방법을 알아보려면 Microsoft Sentinel에서 UEBA(사용자 및 엔터티 동작 분석) 사용을 참조하세요.

점수 매기기

각 활동은 “조사 우선 순위 점수”로 점수가 매겨지며 해당 점수는 특정 사용자가 사용자와 피어의 동작 학습에 따라 특정 활동을 수행할 확률을 결정합니다. 가장 비정상으로 식별된 활동은 가장 높은 점수(0~10점)를 받습니다.

작동 방식에 대한 예제는 Microsoft Defender for Cloud Apps 에서 동작 분석이 사용되는 방법을 참조하세요.

Microsoft Sentinel의 엔터티에 대해 자세히 알아보고 지원되는 엔터티 및 식별자의 전체 목록을 참조하세요.

엔터티 페이지

엔터티 페이지에 대한 정보는 이제 Microsoft Sentinel의 엔터티 페이지에서 찾을 수 있습니다.

동작 분석 데이터 쿼리

KQL을 사용하여 BehaviorAnalytics 테이블을 쿼리할 수 있습니다.

예를 들어 Azure 리소스에 로그인하지 못한 사용자의 모든 사례를 찾으려고 하고(사용자가 지정된 국가/지역에서 연결을 처음으로 시도함), 해당 국가/지역에서의 연결이 일반적으로 사용자의 피어에 대해서도 발생하지 않는 경우 다음 쿼리를 사용할 수 있습니다.

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

Azure 포털의 Microsoft Sentinel에서 Logs 탭의 Log Analytics에서 BehaviorAnalytics 테이블을 쿼리합니다.
Defender 포털에서 고급 헌팅에서 이 테이블을 쿼리합니다.

사용자 피어 메타데이터 - 테이블 및 Notebook

사용자 피어의 메타데이터는 위협 검색, 인시던트 조사 및 잠재적 위협에 대한 헌팅에서 중요한 컨텍스트를 제공합니다. 보안 분석가는 사용자의 피어에 대한 정상적인 활동을 관찰하여 사용자의 활동이 사용자의 피어와 비교하여 비정상적인지 확인할 수 있습니다.

Microsoft Sentinel은 사용자의 Microsoft Entra 보안 그룹 멤버 자격, 메일 그룹, 등 cetera를 기준으로 사용자의 피어를 계산하고 순위를 지정하며 UserPeerAnalytics 테이블에 1-20으로 순위가 매겨진 피어를 저장합니다. 아래 스크린샷은 UserPeerAnalytics 테이블의 스키마를 표시하고, 사용자 Kendall Collins의 상위 8개 순위 피어를 표시합니다. Microsoft Sentinel은 문서 빈도 반비례 빈도 (TF-IDF) 알고리즘을 사용하여 순위를 계산하기 위한 가중치를 정규화합니다. 그룹 크기가 작을수록 가중치가 높습니다.

Microsoft Sentinel GitHub 리포지토리에 제공된 Jupyter Notebook 을 사용하여 사용자 피어 메타데이터를 시각화할 수 있습니다. Notebook을 사용하는 방법에 대한 자세한 내용은 단계별 분석 - 사용자 보안 메타데이터 Notebook을 참조하세요.

참고

UserAccessAnalytics 테이블은 더 이상 사용되지 않습니다.

헌팅 쿼리 및 탐색 쿼리

Microsoft Sentinel은 BehaviorAnalytics 테이블을 기반으로 하는 헌팅 쿼리, 탐색 쿼리 및 사용자 및 엔터티 동작 분석 통합 문서 집합을 기본적으로 제공합니다. 이러한 도구는 비정상적인 동작을 나타내는 특정 사용 사례에 초점을 맞춘 보강된 데이터를 제공합니다.

자세한 내용은 다음을 참조하세요.

레거시 방어 도구가 더 이상 사용되지 않게 됨에 따라 조직에는 환경에서 발생할 수 있는 위험 및 상태에 대한 포괄적인 계획을 수립하는 것이 관리할 수 없을 정도로 방대하고 다공성인 디지털 자산이 있을 수 있습니다. 분석 및 규칙과 같은 사후 대응 노력에 크게 의존함으로써 악의적인 행위자는 이러한 노력을 회피하는 방법을 배울 수 있습니다. 실제로 무슨 일이 일어나고 있는지 파악하기 위해 위험 점수 매기기 방법론과 알고리즘을 제공함으로써 UEBA가 작동하게 하는 곳입니다.

다음 단계

이 문서에서는 Microsoft Sentinel의 엔터티 동작 분석 기능에 대해 배웠습니다. 구현에 대한 유용한 지침을 알아보고 얻은 인사이트를 사용하려면 다음 문서를 참조하세요.

Microsoft Sentinel에서 엔터티 동작 분석을 사용하도록 설정합니다.
UEBA 엔진에서 검색한 변칙 목록을 참조하세요.
UEBA 데이터를 사용하여 인시던트 조사
보안 위협을 탐지합니다

자세한 내용은 Microsoft Sentinel UEBA 참조도 참조하세요.