위험이란?

Azure AD ID 보호의 위험 검색에는 디렉터리에서 사용자 계정과 관련하여 식별된 의심스러운 작업이 포함됩니다. 위험 검색(사용자 및 로그인 연결 모두)은 위험 사용자 보고서에 있는 전체 사용자 위험 점수에 영향을 미칩니다.

각 조직은 ID 보호를 사용해 강력한 리소스에 액세스하여 이러한 의심스러운 작업을 신속하게 확인하고 대응할 수 있습니다.

Security overview showing risky users and sign-ins

참고

ID 보호는 올바른 자격 증명을 사용하는 경우에만 위험 검색을 생성합니다. 로그인에서 잘못된 자격 증명이 사용되는 경우에는 자격 증명 손상의 위험을 나타내지 않습니다.

위험 유형 및 검색

위험은 사용자로그인 수준에서 검색할 수 있으며 검색 또는 계산은 실시간오프라인 두 유형이 있습니다.

실시간 검색은 5~10분 동안 보고에 표시되지 않을 수 있습니다. 오프라인 검색은 48시간 동안 보고에 표시되지 않을 수 있습니다.

참고

시스템에서는 위험 사용자 위험 점수에 영향을 준 위험 이벤트가 가양성이었는지 또는 MFA 프롬프트 또는 보안 암호 변경 완료와 같은 정책 적용으로 사용자 위험이 수정되었는지 검색할 수 있습니다. 따라서 시스템에서는 위험 상태를 해제하며, “AI 확인된 로그인 안전”의 위험 세부 정보가 표시되고 더 이상 사용자 위험에 영향을 주지 않습니다.

사용자 연결 검색

특정 악성 로그인에 연결되지 않았지만 사용자 자체에 연결된 사용자에 대해 위험한 활동을 검색할 수 있습니다.

이러한 위험은 보안 연구원, 사법 전문가, Microsoft의 보안 팀 및 기타 신뢰할 수 있는 출처를 비롯해 Microsoft 내부 및 외부 위협 인텔리전스 소스를 사용하여 오프라인에서 계산됩니다.

위험 검색 Description
유출된 자격 증명 이 위험 검색은 사용자의 유효한 자격 증명이 유출되었음을 나타냅니다. 사이버 범죄자가 합법적인 사용자의 유효한 암호를 손상시키는 경우 범죄자는 종종 이러한 자격 증명을 공유합니다. 이 공유는 주로 다크 웹, 붙여넣기 사이트에 공개적으로 게시하거나 암시장에서 자격 증명을 거래하고 판매하는 방식으로 이루어집니다. Microsoft의 유출된 자격 증명 서비스는 불법 웹 사이트, 붙여넣기 사이트 또는 기타 출처에서 사용자 자격 증명을 확보하면 Azure AD 사용자의 유효한 현재 자격 증명과 비교 대조하여 일치하는 항목을 찾습니다. 유출된 자격 증명에 대한 자세한 내용은 일반적인 질문을 참조하세요.
Azure AD 위협 인텔리전스 이 위험 검색 유형은 Microsoft 내부 및 외부 위협 인텔리전스 소스에 따라 지정된 사용자에게 비정상적이거나 알려진 공격 패턴과 일치하는 사용자 활동을 표시합니다.

로그인 위험

로그인 위험은 ID 소유자가 지정된 인증 요청에 권한을 부여하지 않았을 가능성을 나타냅니다.

이러한 위험은 보안 연구원, 법률 집행 전문가, Microsoft의 보안 팀 및 기타 신뢰할 수 있는 출처를 비롯해 Microsoft 내부 및 외부 위협 인텔리전스 소스를 사용하여 실시간으로 계산되거나 오프라인에서 계산될 수 있습니다.

위험 검색 검색 유형 Description
익명 IP 주소 실시간 이 위험 검색 유형은 익명 IP 주소(예: Tor 브라우저, 익명 VPN)에서 수행하는 로그인을 나타냅니다. 악의적일 수 있는 의도로 IP 주소, 위치, 디바이스 등의 로그인 원격 분석 정보를 숨기려는 사용자가 대개 이러한 IP 주소를 사용합니다.
비정상적 이동 오프라인 이 위험 검색 유형은 지역적으로 떨어진 위치에서 시작된 두 번의 로그인을 식별합니다. 과거 동작을 고려하면 이 위치 중 하나 이상이 사용자에 대해 불규칙적입니다. 다른 요인 중에서 이 Machine Learning 알고리즘은 두 번의 로그인 간 시간과 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간을 고려하여 서로 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타냅니다.

이 알고리즘은 조직의 다른 사용자가 정기적으로 사용하는 VPN 및 위치와 같은 불가능한 이동 조건에 영향을 주는 확실한 "가양성"을 무시합니다. 시스템은 초기 학습 기간(14일 또는 로그인 10회 중 먼저 다가오는 날짜) 동안 새 사용자의 로그인 동작을 학습합니다.
비정상 토큰 오프라인 이 검색은 비정상적인 토큰 수명 또는 낯선 위치에서 재생된 토큰 등 토큰에 비정상적인 특성이 있음을 나타냅니다. 이 검색에서는 세션 토큰 및 새로 고침 토큰을 다룹니다.
토큰 발급자 이상 오프라인 이 위험 검색은 연결된 SAML 토큰에 대한 SAML 토큰 발급자가 잠재적으로 손상되었음을 나타냅니다. 토큰에 포함된 클레임아 비정상적이거나 알려진 공격자 패턴과 일치합니다.
맬웨어 연결 IP 주소 오프라인 이 위험 검색 유형은 봇 서버와 실제로 통신하는 것으로 확인된 맬웨어에 감염된 IP 주소에서 수행하는 로그인을 나타냅니다. 봇 서버가 활성 상태인 동안 해당 서버와 연결되어 있던 IP 주소와 사용자 디바이스의 IP 주소 상관 관계를 설정하는 방식으로 이 검색을 확인합니다.

이 검색은 더 이상 사용되지 않습니다 . ID 보호는 새 "맬웨어 연결 IP 주소" 검색을 더 이상 생성하지 않습니다. 현재 테넌트에 "맬웨어 연결 IP 주소" 검색을 보유하고 있는 고객은 90일 검색 보존 시간에 도달할 때까지 계속해서 보고 수정하거나 해제할 수 있습니다.
의심스러운 브라우저 오프라인 의심스러운 브라우저 검색은 동일한 브라우저에서 서로 다른 국가의 여러 테넌트에서 의심스러운 로그인 활동을 기반으로 하는 비정상적인 동작을 나타냅니다.
일반적이지 않은 로그인 속성 실시간 이 위험 검색 유형은 비정상적인 로그인을 찾기 위해 과거의 로그인 기록(IP, 위도/경도 및 ASN)을 고려합니다. 시스템은 사용자가 사용한 이전 위치에 대한 정보를 저장하고 이러한 "친숙한" 위치를 고려합니다. 로그인이 익숙한 위치 목록에 없는 곳에서 발생하는 경우 위험 검색이 트리거됩니다. 새로 만든 사용자는 알고리즘이 사용자의 행동을 파악하는 동안 익숙하지 않은 로그인 속성 위험 검색이 해제되는 기간 동안 "학습 모드"로 설정됩니다. 학습 모드 기간은 유동적이며, 알고리즘이 사용자의 로그인 패턴에 대한 충분한 정보를 수집하는 데 얼마나 많은 시간이 걸리는지에 따라 달라집니다. 최소 기간은 5일입니다. 장기간 비활성 상태였던 사용자는 학습 모드로 돌아갈 수 있습니다. 또한 시스템은 익숙한 디바이스 및 익숙한 위치에 지리적으로 가까운 위치에서 시도한 로그인을 무시합니다.

기본 인증이나 레거시 프로토콜의 경우에도 이 검색이 실행됩니다. 이러한 프로토콜에는 클라이언트 ID와 같은 최신 속성이 없으므로 가양성을 줄일 수 있는 원격 분석 정보가 제한적으로만 제공됩니다. 따라서 고객은 최신 인증 방식으로 이전하는 것이 좋습니다.

익숙하지 않은 로그인 속성은 대화형 및 비 대화형 로그인 모두에서 검색할 수 있습니다. 비 대화형 로그인에서 이 검색을 감지하면 토큰 재생 공격의 위험으로 인해 검사가 증가합니다.
관리자가 확인한 사용자 손상 오프라인 이 검색은 관리자가 위험 사용자 UI 또는 riskyUsers API를 사용하여 '사용자 손상 확인'을 선택했음을 나타냅니다. 이 사용자가 손상되었음을 확인한 관리자를 확인하려면 사용자의 위험 기록을 확인합니다(UI 또는 API를 통해).
악성 IP 주소 오프라인 이 검색은 악성 IP 주소에서의 로그인을 나타냅니다. IP 주소 또는 다른 IP 평판 출처에서 받은 잘못된 자격 증명으로 인한 높은 실패율을 기준으로 IP 주소를 악성으로 간주합니다.
의심스러운 받은 편지함 조작 규칙 오프라인 이 검색은 Microsoft Defender for Cloud Apps에서 검색됩니다. 이 검색 기능은 사용자 환경을 프로파일링하여 메시지나 폴더를 삭제하거나 이동하는 의심스러운 규칙이 사용자의 받은 편지함에 설정된 경우 경고를 트리거합니다. 이 검색은 사용자의 계정이 손상되어 메시지가 의도적으로 숨겨지거나 편지함이 조직 내 스팸 및 맬웨어 발송에 사용되고 있음을 나타낼 수 있습니다.
암호 스프레이 오프라인 암호 스프레이 공격은 무단으로 액세스하기 위해 일반적인 암호를 무차별 대입 방식으로 사용하여 여러 사용자 이름을 공격하는 경우입니다. 이 위험 검색은 암호 스프레이 공격이 수행되었을 때 트리거됩니다.
이동 불가능 오프라인 이 검색은 Microsoft Defender for Cloud Apps에서 검색됩니다. 이 검색은 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간보다 짧은 기간 내에 지리적으로 먼 위치에서 시작되는 두 개의 사용자 활동(단일 또는 복수 세션)을 식별합니다. 이는 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타냅니다.
새 국가 오프라인 이 검색은 Microsoft Defender for Cloud Apps에서 검색됩니다. 이 검색은 이전 활동 위치를 고려하여 새 위치 및 드문 위치를 확인합니다. 이상 문제 검색 엔진은 조직의 사용자가 사용하는 이전 위치에 대한 정보를 저장합니다.
익명 IP 주소에서의 활동 오프라인 이 검색은 Microsoft Defender for Cloud Apps에서 검색됩니다. 이 검색은 익명 프록시 IP 주소로 식별된 IP 주소에서 사용자가 활성 상태인지 식별합니다.
의심스러운 받은 편지함 전달 오프라인 이 검색은 Microsoft Defender for Cloud Apps에서 검색됩니다. 이 검색은 의심스러운 메일 전달 규칙(예: 사용자가 모든 메일의 복사본을 외부 주소로 전달하는 받은 편지함 규칙을 만든 경우)을 찾습니다.
Azure AD 위협 인텔리전스 오프라인 이 위험 검색 유형은 Microsoft 내부 및 외부 위협 인텔리전스 소스에 따라 지정된 사용자에게 비정상적이거나 알려진 공격 패턴과 일치하는 로그인 활동을 표시합니다.

기타 위험 검색

위험 검색 검색 유형 Description
검색된 추가 위험 실시간 또는 오프라인 이 검색은 위의 프리미엄 검색 중 하나가 검색되었음을 나타냅니다. 프리미엄 검색은 Azure AD Premium P2 고객만 볼 수 있어 Azure AD Premium P2 라이선스가 없는 고객에게는 "추가 위험 검색됨"으로 표시됩니다.

일반적인 질문

위험 수준

ID 보호는 위험을 낮음, 중간 및 높음의 세 가지 계층으로 분류합니다. 사용자 지정 ID 보호 정책을 구성하면 위험 없음 수준에서도 트리거되도록 구성할 수 있습니다. 위험 없음은 사용자의 ID가 손상되었음을 나타내는 활성 표시가 없음을 의미합니다.

Microsoft는 위험을 계산하는 방법에 대한 구체적인 정보를 제공하지 않지만 각 수준에는 사용자 또는 로그인이 손상되었다는 확신을 더 많이 제공합니다. 예를 들어 사용자에 대한 익숙하지 않은 로그인 속성의 한 인스턴스와 같은 것은 다른 사용자의 자격 증명 유출만큼 위협적이지 않을 수 있습니다.

암호 해시 동기화

유출된 자격 증명 같은 위험 검색은 암호 해시가 있어야 검색할 수 있습니다. 암호 해시 동기화에 관한 자세한 내용은 Azure AD Connect 동기화를 사용하여 암호 해시 동기화 구현 문서를 참조하세요.

비활성화된 사용자 계정에 대해 생성되는 위험 검색은 왜 있나요?

비활성화된 사용자 계정을 다시 활성화할 수 있습니다. 비활성화된 계정의 자격 증명이 손상되고 계정을 다시 활성화하면 잘못된 행위자는 이러한 자격 증명을 사용하여 액세스 권한을 얻을 수 있습니다. 따라서 ID 보호는 비활성화된 사용자 계정에 대한 의심스러운 활동에 대한 위험 검색을 생성하여 잠재적인 계정 손상에 대해 고객에게 알립니다. 계정이 더 이상 사용되지 않으며 다시 활성화되지 않은 경우 고객은 이를 삭제하여 손상을 방지해야 합니다. 삭제된 계정에 대해서는 위험 검색이 생성되지 않습니다.

유출된 자격 증명

Microsoft는 유출된 자격 증명을 어디에서 찾나요?

Microsoft는 다음을 비롯한 다양한 위치에서 유출된 자격 증명을 찾습니다.

  • 일반적으로 공격자가 이러한 자료를 게시하는 pastebin.com 및 paste.ca 같은 공개 붙여넣기 사이트. 이 위치는 도난당한 자격 증명을 찾을 때 대부분의 공격자가 처음 들르는 곳입니다.
  • 법률 집행 기관.
  • 다크 웹을 조사하는 Microsoft 내 기타 그룹.

유출된 자격 증명이 표시되지 않는 이유는 무엇인가요?

Microsoft에서 공개된 새 일괄 처리를 찾을 때마다 유출된 자격 증명이 처리됩니다. 유출된 자격 증명은 중요하기 때문에 처리 직후 삭제됩니다. PHS(암호 해시 동기화)를 활성화한 후 발견된 새로 유출된 자격 증명만 테넌트에 대해 처리됩니다. 이전에 찾은 자격 증명 쌍에 대한 확인은 수행되지 않습니다.

상당 기간 동안 유출된 자격 증명 위험 이벤트가 표시되지 않았습니다.

유출된 자격 증명 위험 이벤트가 표시되지 않았다면 그 이유는 다음과 같습니다.

  • 테넌트에 PHS를 사용하도록 설정하지 않았습니다.
  • Microsoft에서 사용자와 일치하는 유출된 자격 증명 쌍을 찾지 못했습니다.

Microsoft에서 얼마나 자주 새 자격 증명을 처리하나요?

자격 증명은 일반적으로 매일 여러 번의 일괄 처리에서 검색된 후 즉시 처리됩니다.

위치

위험 검색의 위치는 IP 주소 조회에 의해 결정됩니다.

다음 단계