Microsoft Entra ID Protection은 사용자 ID 외에도 애플리케이션 및 서비스 주체를 보호하기 위해 워크로드 ID를 검색, 조사 및 수정할 수 있습니다.
워크로드 ID는 애플리케이션이 리소스에 액세스할 수 있는 ID이며, 때로는 사용자의 컨텍스트에서 액세스할 수 있습니다. 이러한 워크로드 ID는 다음과 같은 점에서 기존 사용자 계정과 다릅니다.
- 다단계 인증을 수행할 수 없습니다.
- 공식적인 수명 주기 프로세스가 없는 경우가 많습니다.
- 자격 증명 또는 비밀을 어딘가에 저장해야 합니다.
이러한 차이로 인해 워크로드 ID를 관리하기가 더 어려워지고 손상 위험이 높아집니다.
중요하다
전체 위험 세부 정보 및 위험 기반 액세스 제어는 워크로드 ID 프리미엄 고객에게 제공됩니다. 그러나 워크로드 ID 프리미엄 라이선스가 없는 고객은 여전히 제한된 보고 세부 정보로 모든 검색을 받습니다.
참고
ID 보호는 단일 테넌트, 타사 SaaS 및 다중 테넌트 앱에서 위험을 감지합니다. 관리 ID는 현재 범위에 없습니다.
필수 조건
관리 센터의 위험 검색의 위험한 워크로드 ID와 워크로드 ID 탐지 탭을 비롯한 워크로드 ID 위험 보고서를 사용하려면 다음이 있어야 합니다.
할당된 다음 관리자 역할 중 하나
조건부 액세스 관리자 역할이 할당된 사용자는 위험을 조건으로 사용하는 정책을 만들 수 있습니다.
위험한 워크로드 ID에 대한 조치를 취하려면 워크로드 ID 프리미엄 라이선스가 필요한 위험 기반 조건부 액세스 정책을 설정하는 것이 좋습니다. 워크로드 ID에 대한 라이선스를 보고, 시작하고, 라이선스를 획득할 수 있습니다.
참고
Microsoft Security Copilot를 사용하면 자연어 프롬프트를 사용하여 위험한 워크로드 ID에 대한 인사이트를 얻을 수 있습니다. Microsoft Entra에서 Microsoft Security Copilot를 사용하여 애플리케이션 위험을
워크로드 아이덴티티 위험 탐지
로그인 동작과 오프라인 손상 지표 전반에 걸쳐 워크로드 ID에 대한 위험을 검색합니다.
| 탐지 이름 | 검색 유형 | 설명 | 위험 이벤트 유형 |
|---|---|---|---|
| Microsoft Entra 위협 인텔리전스 | 오프라인 | 이 위험 검색은 Microsoft의 내부 및 외부 위협 인텔리전스 원본을 기반으로 알려진 공격 패턴과 일치하는 일부 작업을 나타냅니다. | 위협 인텔리전스 조사 |
| 의심스러운 로그인 | 오프라인 | 이 위험 탐지에서는 이 서비스 주체의 비정상적인 로그인 특성 또는 패턴이 나타납니다. 탐지는 테넌트 내 워크로드 ID의 로그인 패턴을 학습합니다. 검색은 2~60일이 걸리며, 나중에 로그인하는 동안 IP 주소/ASN, 대상 리소스, 사용자 에이전트, 호스팅/비 호스팅 IP 변경, IP 국가, 자격 증명 유형 중 하나 이상의 알 수 없는 속성이 나타나면 발생합니다. 워크로드 ID 로그인의 프로그래밍 방식 때문에 특정 로그인 이벤트에 플래그를 지정하는 대신 의심스러운 작업에 대한 타임스탬프를 제공합니다. 승인된 구성 변경 후에 시작된 로그인은 이 탐지를 트리거할 수 있습니다. | 의심스러운 로그인 |
| 서비스 주체가 손상되었음을 관리자가 확인함 | 오프라인 | 이 탐지는 관리자가 위험한 워크로드 ID 사용자 인터페이스에서 '손상 확인'을 선택했거나 riskyServicePrincipals API를 사용해서 '손상 확인'을 선택했음을 나타냅니다. 이 계정이 손상되었음을 확인한 관리자를 확인하려면 계정 위험 기록을 확인합니다(UI 또는 API를 통해). | 관리자가 서비스 주체의 손상됨을 확인함 |
| 유출된 자격 증명 | 오프라인 | 이 위험 검색은 계정의 유효한 자격 증명이 유출되었음을 나타냅니다. 이 유출은 누군가 GitHub의 공용 코드 아티팩트에서 자격 증명을 체크인하거나 데이터 침해를 통해 자격 증명이 누출될 때 발생할 수 있습니다. Microsoft 유출 자격 증명 서비스가 GitHub, 불법 웹, 붙여넣기 사이트 또는 기타 원본에서 자격 증명을 획득하면 Microsoft Entra ID의 현재 유효한 자격 증명과 비교하여 유효한 일치 항목을 찾습니다. | 유출된 자격 증명 |
| 악성 애플리케이션 | 오프라인 | 이 검색은 Microsoft가 서비스 약관을 위반하여 애플리케이션을 사용하지 않도록 설정한 경우를 나타내기 위해 ID 보호 및 Microsoft Defender for Cloud Apps의 경고를 결합합니다. 애플리케이션 에 대한 조사를 수행하는 것이 좋습니다. 참고: 이러한 애플리케이션은 Microsoft Graph의 관련 DisabledDueToViolationOfServicesAgreement 및 disabledByMicrosoftStatus 리소스 종류의 속성에 을(를) 표시합니다. 나중에 조직에서 다시 인스턴스화되지 않도록 하기 위해 이러한 개체를 삭제할 수 없습니다. |
악성 응용 프로그램 |
| 의심스러운 애플리케이션 | 오프라인 | 이 검색은 ID 보호 또는 Microsoft Defender for Cloud Apps가 서비스 약관을 위반할 수 있는 애플리케이션을 식별했지만 사용하지 않도록 설정하지 않았음을 나타냅니다. 애플리케이션 에 대한 조사를 수행하는 것이 좋습니다. | 의심스러운 애플리케이션 |
| 비정상적인 서비스 주체 활동 | 오프라인 | 이 위험 검색은 Microsoft Entra ID의 일반적인 관리 서비스 주체 동작을 기준으로 하며 디렉터리에 대한 의심스러운 변경과 같은 비정상적인 동작 패턴을 발견합니다. 변경을 초래하는 관리 서비스 주체 또는 변경된 개체에 대한 탐지가 트리거됩니다. | 비정상적인 서비스 주체 활동 |
| 의심스러운 API 트래픽 | 오프라인 | 이 위험 검출은 서비스 주체의 비정상적인 Graph API 트래픽 또는 디렉터리 나열이 관찰될 때 보고됩니다. 의심스러운 API 트래픽 검색은 서비스 주체에 의한 비정상적인 정찰 또는 데이터 반출을 나타낼 수 있습니다. | 의심스러운 API 트래픽 |
위험한 워크로드 ID 식별
조직은 다음 두 위치 중 하나에서 위험 플래그가 지정된 워크로드 ID를 찾을 수 있습니다.
- Microsoft Entra 관리 센터에 최소한 보안 읽기 권한자로 로그인합니다.
- ID 보호>위험한 워크로드 ID로 이동합니다.
Microsoft Graph API
Microsoft Graph API를 사용하여 위험한 워크로드 ID를 쿼리할 수도 있습니다. ID 보호 API에는 두 개의 새 컬렉션이 있습니다.
riskyServicePrincipalsservicePrincipalRiskDetections
위험 데이터 내보내기
조직은 Microsoft Entra ID에서 진단 설정을 구성하여 Log Analytics 작업 영역으로 위험 데이터를 보내거나, 스토리지 계정에 보관하거나, 이벤트 허브로 스트리밍하거나, SIEM 솔루션으로 보내도록 데이터를 내보낼 수 있습니다.
위험 기반 조건부 액세스를 사용하여 액세스 제어 적용
워크로드 ID에 조건부 액세스를 사용하면 ID 보호에서 "위험"으로 표시할 때 선택한 특정 계정에 대한 액세스를 차단할 수 있습니다. 테넌트에 등록된 단일 테넌트 서비스 주체에 정책을 적용할 수 있습니다. 타사 SaaS, 다중 테넌트 앱 및 관리 ID는 범위를 벗어났습니다.
워크로드 ID의 보안 및 복원력 향상을 위해 워크로드 ID에 대한 CAE(지속적인 액세스 평가)는 조건부 액세스 정책 및 검색된 위험 신호를 즉시 적용할 수 있는 강력한 도구입니다. CAE 지원 1차 리소스에 액세스하는 CAE 지원 비 Microsoft 워크로드 ID에는 지속적인 보안 검사를 위해 24시간 동안 유지되는 LLT(Long Lived Token)가 장착되어 있습니다. CAE 및 현재 기능 범위에 대한 워크로드 ID 클라이언트를 구성하는 방법에 대한 자세한 내용은 워크로드 ID 설명서에 대한 CAE를 참조하세요.
위험한 워크로드 정체성 조사
ID 보호는 워크로드 ID 위험을 조사하는 데 사용할 수 있는 두 가지 보고서를 조직에 제공합니다. 이러한 보고서는 워크로드 정체성의 위험성 및 워크로드 정체성에 대한 위험 탐지입니다. 모든 보고서는 추가 분석을 위해 .CSV 형식으로 이벤트를 다운로드할 수 있습니다.
조사 중 답변해야 할 주요 질문은 다음과 같습니다.
- 계정에 의심스러운 로그인 작업이 표시되나요?
- 자격 증명이 무단으로 변경되었나요?
- 계정에 의심스러운 구성 변경이 있었나요?
- 계정이 승인되지 않은 애플리케이션 역할을 획득했나요?
애플리케이션에 대한 Microsoft Entra 보안 작업 가이드는 조사 영역에 대한 자세한 지침을 제공합니다.
워크로드 ID가 손상되었는지 확인되면 계정의 위험을 해제하거나 위험한 워크로드 ID 보고서에서 계정이 손상된 것으로 확인해야 합니다. 계정을 더 이상 로그인하지 못하도록 차단하려면 "서비스 주체 사용 안 함"을 선택할 수도 있습니다.
위험한 워크로드 ID 수정
- 서비스 주체 또는 애플리케이션 개체에 대해 위험한 워크로드 ID에 할당된 자격 증명을 인벤토리로 작성합니다.
- 새 자격 증명을 추가합니다. Microsoft는 x509 인증서를 사용할 것을 권장합니다.
- 손상된 자격 증명을 제거합니다. 계정이 위험하다고 생각되면 기존 자격 증명을 모두 제거하는 것이 좋습니다.
- 서비스 주체가 액세스할 수 있는 Azure KeyVault 비밀을 순환하여 수정합니다.
Microsoft Entra Toolkit은 이러한 작업 중 일부를 수행하는 데 도움이 되는 PowerShell 모듈입니다.