강력한 상태 모니터링 및 위협 탐지 기능이 있는 것은 Secure Future 이니셔티브의 6가지 핵심 요소 중 하나입니다. 이러한 지침은 보관 및 분석을 위한 포괄적인 로깅 시스템을 설정하는 데 도움이 되도록 설계되었습니다. 위험한 로그인, 위험한 사용자 및 인증 방법의 심사와 관련된 권장 사항을 포함합니다.
이 핵심 요소에 맞게 조정하는 첫 번째 단계는 모든 Microsoft Entra 로그에 대한 진단 설정을 구성하여 테넌트에서 수행된 모든 변경 내용을 저장하고 분석에 액세스할 수 있도록 하는 것입니다. 이 핵심 요소의 다른 권장 사항은 위험 경고 및 Microsoft Entra 권장 사항의 시기적시 심사에 중점을 줍니다. 중요한 사항은 사용할 수 있는 로그, 보고서 및 상태 모니터링 도구를 알고 정기적으로 모니터링하는 것입니다.
보안 지침
진단 설정은 모든 Microsoft Entra 로그에 대해 구성됩니다.
Microsoft Entra의 활동 로그 및 보고서는 무단 액세스 시도를 감지하거나 테넌트 구성이 변경되는 시기를 식별하는 데 도움이 될 수 있습니다. 로그를 보관하거나 SIEM(보안 정보 및 이벤트 관리) 도구와 통합하면 보안 팀은 강력한 모니터링 및 탐지 보안 제어, 사전 위협 헌팅 및 인시던트 대응 프로세스를 구현할 수 있습니다. 로그 및 모니터링 기능을 사용하여 테넌트 상태를 평가하고 규정 준수 및 감사에 대한 증거를 제공할 수 있습니다.
로그가 정기적으로 보관되거나 쿼리를 위해 SIEM 도구로 전송되지 않는 경우 로그인 문제를 조사하는 것이 어렵습니다. 기록 로그가 없으면 보안 팀이 실패한 로그인 시도 패턴, 비정상적인 활동 및 기타 손상 지표를 놓칠 수 있습니다. 이러한 가시성 부족으로 인해 위반이 적시에 탐지되는 것을 방지할 수 있으므로 공격자가 검색되지 않은 액세스를 장기간 유지할 수 있습니다.
수정 작업
- Microsoft Entra 진단 설정 구성
- Azure Monitor 로그와 Microsoft Entra 로그 통합
- Stream Microsoft Entra는 이벤트 허브 로그합니다.
권한 있는 역할 활성화에 모니터링 및 경고가 구성됨
높은 권한의 역할에 대한 적절한 활성화 경고가 없는 조직은 사용자가 이러한 중요한 권한에 액세스할 때 가시성이 부족합니다. 위협 행위자가 검색 없이 높은 권한의 역할을 활성화하여 이 모니터링 격차를 악용하여 권한 상승 작업을 수행한 다음, 관리자 계정 만들기 또는 보안 정책 수정을 통해 지속성을 설정할 수 있습니다. 실시간 경고가 없으면 공격자는 즉각적인 대응 절차를 트리거하지 않고도 횡적 이동을 수행하고 감사 구성을 수정하며 보안 제어를 사용하지 않도록 설정할 수 있습니다.
수정 작업
권한 있는 사용자는 피싱 방지 방법으로 로그인합니다.
피싱 방지 인증 방법이 없으면 권한 있는 사용자는 피싱 공격에 더 취약합니다. 이러한 유형의 공격은 사용자가 자격 증명을 공개하여 공격자에게 무단 액세스 권한을 부여하도록 유도합니다. 피싱에 저항하지 않는 인증 방법을 사용하는 경우 공격자는 악의적인 중간 공격 등의 방법을 통해 자격 증명 및 토큰을 가로채 권한 있는 계정의 보안을 약화할 수 있습니다.
약한 인증 방법으로 인해 권한 있는 계정 또는 세션이 손상되면 공격자는 계정을 조작하여 장기 액세스를 유지하거나, 다른 백도어를 만들거나, 사용자 권한을 수정할 수 있습니다. 또한 공격자는 손상된 권한 있는 계정을 사용하여 액세스를 더욱 확대하여 더 중요한 시스템을 제어할 수 있습니다.
수정 작업
- 피싱 방지 암호 없는 인증 배포 시작
- 권한 있는 계정이 피싱 방지 메서드를 등록하고 사용하는지
- 권한 있는 계정을 대상으로 하고 피싱에 강한 자격 증명이 필요한 조건부 액세스 정책 배포
- 인증 방법 활동 모니터링
모든 고위험 사용자는 심사됩니다.
Microsoft Entra ID Protection의 위험이 높은 것으로 간주되는 사용자는 위협 행위자가 손상될 가능성이 높습니다. 위협 행위자는 위험 지표를 트리거했음에도 불구하고 의심스러운 활동이 계속되는 손상된 유효한 계정을 통해 초기 액세스를 얻을 수 있습니다. 이 감독은 위협 행위자가 비정상적인 로그인 패턴 또는 의심스러운 받은 편지함 조작과 같이 일반적으로 조사를 보증하는 활동을 수행하므로 지속성을 가능하게 할 수 있습니다.
이러한 위험한 사용자를 심사하지 않으면 정찰 활동 및 횡적 이동이 확장될 수 있으며 비정상적인 동작 패턴은 조사되지 않은 경고를 계속 생성합니다. 보안 팀이 위험 지표에 적극적으로 대응하지 않는다는 것을 보여주면서 위협 행위자가 강화됩니다.
수정 작업
- Microsoft Entra ID Protection에서 고위험 사용자 조사
- Microsoft Entra ID Protection에서 위험 수준이 높은 사용자를 수정하고 차단을 해제하는
모든 고위험 로그인은 심사됩니다.
Microsoft Entra ID Protection에 의해 플래그가 지정된 위험한 로그인은 무단 액세스 시도 가능성이 높음을 나타냅니다. 위협 행위자는 이러한 로그인을 사용하여 초기 발판을 얻습니다. 이러한 로그인이 조사되지 않은 상태로 유지되면 악의적 사용자는 합법적인 사용자를 가장하여 반복적으로 인증하여 지속성을 설정할 수 있습니다.
응답이 부족하면 공격자가 정찰을 실행하고, 액세스를 에스컬레이션하고, 정상적인 패턴으로 혼합할 수 있습니다. 시도되지 않은 로그인이 계속 경고를 생성하고 개입이 없으면 보안 격차가 확대되어 악의적 사용자가 적극적인 보안 대응의 부재를 인식하므로 횡적 이동 및 방어 회피를 용이하게 합니다.
수정 작업
- 위험한 로그인 조사
- 위험을 완화하고 사용자의 차단을 해제하기
모든 사용자 로그인 활동은 강력한 인증 방법을 사용합니다.
공격자는 MFA(다단계 인증)가 보편적으로 적용되지 않거나 예외가 있는 경우 액세스 권한을 얻을 수 있습니다. 공격자는 소셜 엔지니어링 기술을 통해 SMS 및 전화 통화와 같은 약한 MFA 방법의 취약성을 악용하여 액세스 권한을 얻을 수 있습니다. 이러한 기술에는 인증 코드를 가로채는 SIM 교환 또는 피싱이 포함될 수 있습니다.
공격자는 이러한 계정을 테넌트에 대한 진입점으로 사용할 수 있습니다. 공격자는 가로채는 사용자 세션을 사용하여 활동을 합법적인 사용자 작업으로 위장하고 탐지를 회피하며 의심을 제기하지 않고 공격을 계속할 수 있습니다. 여기에서 MFA 설정을 조작하여 손상된 계정의 권한에 따라 지속성, 계획 및 추가 공격을 실행하려고 할 수 있습니다.
수정 작업
우선 순위가 높은 Microsoft Entra 권장 사항이 해결됨
우선 순위가 높은 Microsoft Entra 권장 사항을 해결되지 않은 상태로 두면 조직의 보안 태세에 차이가 발생하여 위협 행위자가 알려진 약점을 악용할 수 있는 기회를 제공할 수 있습니다. 이러한 항목에 대해 동작하지 않으면 공격 노출 영역이 증가하거나, 최적이 아닌 작업이 발생하거나, 사용자 환경이 저하될 수 있습니다.
수정 작업
- Microsoft Entra 관리 센터 모든 높은 우선 순위 권장 사항 해결
ID 보호 알림 사용
ID 보호 알림을 사용하도록 설정하지 않으면 위협 행위자가 사용자 계정을 손상시키거나 정찰 활동을 수행할 때 조직이 중요한 실시간 경고를 잃게 됩니다. Microsoft Entra ID Protection이 위험에 처한 계정을 검색하면 위험으로 감지된 사용자 와 함께 전자 메일 경고를 보내고 위험 보고서에 플래그가 지정된 사용자에 대한 링크를 보냅니다. 이러한 알림이 없으면 보안 팀은 활성 위협을 인식하지 못하므로 위협 행위자가 검색되지 않고 손상된 계정에서 지속성을 유지할 수 있습니다. 이러한 위험을 조건부 액세스와 같은 도구에 공급하여 액세스 결정을 내리거나 조사 및 상관 관계를 위해 SIEM(보안 정보 및 이벤트 관리) 도구로 보낼 수 있습니다. 위협 행위자가 이 검색 간격을 사용하여 횡적 이동 활동, 권한 상승 시도 또는 데이터 반출 작업을 수행할 수 있지만 관리자는 지속적인 손상에 대해 알지 못합니다. 지연된 응답을 사용하면 위협 행위자가 문제를 해결하기 전에 더 많은 지속성 메커니즘을 설정하거나, 사용자 권한을 변경하거나, 중요한 리소스에 액세스할 수 있습니다. 위험 탐지에 대한 사전 알림이 없으면 조직은 위험 보고서의 수동 모니터링에만 의존해야 하므로 ID 기반 공격을 감지하고 대응하는 데 걸리는 시간이 크게 증가합니다.
수정 작업
레거시 인증 로그인 활동 없음
SMTP 및 IMAP에 대한 기본 인증과 같은 레거시 인증 프로토콜은 무단 액세스로부터 보호하는 데 중요한 MFA(다단계 인증)와 같은 최신 보안 기능을 지원하지 않습니다. 이러한 보호가 부족하면 이러한 프로토콜을 사용하는 계정이 암호 기반 공격에 취약하게 되며 공격자에게 도난 또는 추측된 자격 증명을 사용하여 초기 액세스 권한을 얻을 수 있는 수단을 제공합니다.
공격자가 자격 증명에 대한 무단 액세스를 성공적으로 획득하면 약한 인증 방법을 진입점으로 사용하여 연결된 서비스에 액세스할 수 있습니다. 레거시 인증을 통해 액세스 권한을 얻는 공격자는 메일 전달 규칙 구성 또는 다른 설정 변경과 같이 Microsoft Exchange를 변경하여 중요한 통신에 대한 지속적인 액세스를 유지할 수 있습니다.
또한 레거시 인증은 보안 경고를 트리거하거나 재인증을 요구하지 않고 손상된 자격 증명을 사용하여 시스템을 다시 입력하는 일관된 방법을 공격자에게 제공합니다.
여기에서 공격자는 레거시 프로토콜을 사용하여 손상된 계정을 통해 액세스할 수 있는 다른 시스템에 액세스하여 횡적 이동을 용이하게 할 수 있습니다. 레거시 프로토콜을 사용하는 공격자는 합법적인 사용자 활동과 혼합될 수 있으므로 보안 팀이 정상적인 사용과 악의적인 동작을 구분하기가 어렵습니다.
수정 작업
- Exchange 프로토콜은 Exchange 비활성화할 수 있습니다.
- 조건부 액세스 레거시 인증 프로토콜을 차단할 수 있습니다.
- 레거시 인증 통합 문서를 사용하여 로그인을 레거시 인증 해제해도 안전한지 여부를 확인하는 데 도움이 됩니다.
모든 Microsoft Entra 권장 사항이 해결됨
Microsoft Entra 권장 사항은 조직이 모범 사례를 구현하고 보안 상태를 최적화할 수 있는 기회를 제공합니다. 이러한 항목에 대해 동작하지 않으면 공격 노출 영역이 증가하거나, 최적이 아닌 작업이 발생하거나, 사용자 환경이 저하될 수 있습니다.
수정 작업
- Microsoft Entra 관리 센터 모든 활성 또는 연기된 권장 사항을 해결합니다.