Identity Protection이란?

Microsoft Entra ID Protection은 조직이 ID 기반 위험을 검색, 조사 및 수정하는 데 도움이 됩니다. 이러한 ID 기반 위험은 조건부 액세스와 같은 도구에 추가로 입력되어 액세스 결정을 내리거나 추가 조사 및 상관 관계를 위해 SIEM(보안 정보 및 이벤트 관리) 도구에 다시 피드백될 수 있습니다.

Diagram showing how Identity Protection works at a high level.

위험 검색

Microsoft는 조직을 보호하기 위해 카탈로그에 검색 항목을 지속적으로 추가하고 업데이트합니다. 이러한 검색은 Active Directory, Microsoft 계정 및 Xbox 게임에서 매일 발생하는 수조 개의 신호 분석을 기반으로 한 학습을 통해 이루어집니다. 이러한 광범위한 신호는 ID 보호가 다음과 같은 위험한 동작을 검색하는 데 도움이 됩니다.

  • 익명 IP 주소 사용
  • 암호 스프레이 공격
  • 유출된 자격 증명
  • 추가...

각 로그인 중에 ID 보호는 로그인 세션 위험 수준을 생성하는 모든 실시간 로그인 검색을 실행하여 로그인이 손상될 가능성을 나타냅니다. 이 위험 수준에 따라 사용자와 조직을 보호하기 위한 정책이 적용됩니다.

전체 위험 목록과 위험 검색 방법을 보려면 위험이란? 문서를 참조하세요.

조사

ID에서 검색된 모든 위험은 보고를 통해 추적됩니다. ID 보호는 관리자가 위험을 조사하고 작업을 수행할 수 있도록 세 가지 주요 보고서를 제공합니다.

  • 위험 검색: 검색된 각 위험은 위험 검색으로 보고됩니다.
  • 위험한 로그인: 위험한 로그인은 해당 로그인에 대해 하나 이상의 위험 검색이 보고된 경우 보고됩니다.
  • 위험 사용자: 다음 중 하나 또는 둘 다에 해당하는 경우 위험 사용자가 보고됩니다.
    • 사용자에게 하나 이상의 위험한 로그인이 있습니다.
    • 하나 이상의 위험 검색이 보고됩니다.

보고서 사용 방법에 대한 자세한 내용은 방법: 위험 조사 문서를 참조하세요.

위험 수정

보안에 자동화가 중요한 이유는 무엇인가요?

블로그 게시물 사이버 신호: 최신 연구, 인사이트, 추세를 사용하여 사이버 위협 방어(2022년 2월 3일)에서 Microsoft는 다음 인사이트를 포함하여 위협 인텔리전스 요약을 공유했습니다.

분석된 ... 40개가 넘는 국가-주 그룹과 140개가 넘는 위협 그룹을 모니터링하여 추적하는 인텔리전스와 결합된 24조 개 보안 신호...

...2021년 1월부터 2021년 12월까지 256억 개가 넘는 Microsoft Entra 무차별 암호 대입 인증 공격을 차단했습니다...

엄청난 규모의 신호와 공격을 따라잡기 위해서는 일정 수준의 자동화가 필요합니다.

자동 수정 방법

위험 기반 조건부 액세스 정책을 사용하면 강력한 인증 방법 제공, 다단계 인증 수행 또는 검색된 위험 수준에 따라 안전한 암호 재설정 수행과 같은 액세스 제어를 요구할 수 있습니다. 사용자가 액세스 제어를 성공적으로 완료하면 위험이 자동으로 수정됩니다.

수동 수정

사용자 수정이 사용하도록 설정되지 않은 경우 관리자는 API를 통해 또는 Microsoft 365 Defender를 통해 포털의 보고서에서 수동으로 이를 검토해야 합니다. 관리자는 수동 작업을 수행하여 위험을 해제하거나, 안전한지 확인하거나, 위험에 대한 타협을 확인할 수 있습니다.

데이터 활용

ID 보호의 데이터는 보관 및 추가 조사와 상관 관계를 위해 다른 도구로 내보낼 수 있습니다. 조직에서는 Microsoft Graph 기반 API를 사용하여 SIEM 등의 도구에서 추가로 처리할 수 있도록 이 데이터를 수집할 수 있습니다. Identity Protection API에 액세스하는 방법에 대한 정보는 Microsoft Entra ID Protection 및 Microsoft Graph 시작 문서에서 확인할 수 있습니다.

Identity Protection 정보를 Microsoft Sentinel과 통합하는 방법에 대한 정보는 Microsoft Entra ID Protection에서 데이터 연결 문서에서 확인할 수 있습니다.

조직은 Microsoft Entra ID에서 진단 설정을 변경하여 더 긴 기간 동안 데이터를 저장할 수 있습니다. Log Analytics 작업 영역으로 데이터를 보내거나, 스토리지 계정에 데이터를 보관하거나, Event Hubs로 데이터를 스트리밍하거나, 다른 솔루션으로 데이터를 보내도록 선택할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 방법: 위험 데이터 내보내기 문서에서 찾을 수 있습니다.

필요한 역할

Identity Protection을 사용하려면 사용자가 보안 읽기 권한자, 보안 운영자, 보안 관리자, 글로벌 독자 또는 글로벌 관리자여야 액세스할 수 있습니다.

역할 할 수 있음 할 수 없음
보안 관리자 ID 보호에 대한 완전한 액세스 사용자 암호 다시 설정
보안 운영자 모든 ID 보호 보고서 및 개요 보기

사용자 위험 해제, 안전 로그인 확인, 손상 확인
정책 구성 또는 변경

사용자 암호 다시 설정

알림 구성
보안 읽기 권한자 모든 ID 보호 보고서 및 개요 보기 정책 구성 또는 변경

사용자 암호 다시 설정

경고 구성

검색에 대한 피드백 제공
전역 판독기 ID 보호에 대한 읽기 전용 액세스
전역 관리자 ID 보호에 대한 완전한 액세스

현재 보안 운영자 역할은 위험 로그인 보고서에 액세스할 수 없습니다.

조건부 액세스 관리자는 사용자 또는 로그인 위험을 조건으로 고려하는 정책을 만들 수 있습니다. 자세한 내용은 조건부 액세스: 조건 문서에서 확인하세요.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P2 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

기능 세부 정보 Microsoft Entra ID 무료/Microsoft 365 앱 Microsoft Entra ID P1 Microsoft Entra ID P2
위험 정책 로그인 및 사용자 위험 정책(ID 보호 또는 조건부 액세스를 통해) 아니요 없음
보안 보고서 개요 아니요 없음
보안 보고서 위험한 사용자 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. 모든 권한
보안 보고서 위험한 로그인 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. 모든 권한
보안 보고서 위험 탐지 제한된 정보. 세부 정보 서랍이 없습니다. 모든 권한
공지 위험에 처한 사용자가 알림을 감지함 아니요 없음
공지 주 단위 요약 아니요 없음
MFA 등록 정책 아니요 없음

이러한 풍부한 보고서에 대한 자세한 내용은 방법: 위험 조사 문서에서 확인할 수 있습니다.

관리 센터의 위험 검색 창에서 위험한 워크로드 ID 및 워크로드 ID 검색 탭을 포함하여 워크로드 ID 위험을 사용하려면 워크로드 ID 프리미엄 라이선스가 있어야 합니다. 자세한 내용은 워크로드 ID 보안 문서를 참조하세요.

다음 단계