Identity Protection이란?

Identity Protection은 조직에서 다음과 같은 세 가지 주요 작업을 수행할 수 있는 도구입니다.

Identity Protection은 사용자 보호를 위해 Microsoft가 Azure AD를 사용하는 조직, Microsoft 계정의 소비자 공간 및 Xbox를 이용한 게임 등에서 사용자 위치로부터 습득한 학습을 사용합니다. Microsoft는 하루 6조 5000억 개의 신호를 분석하여 고객을 위협으로부터 보호합니다.

Identity Protection에서 생성되어 전달되는 신호는 액세스 결정을 내리기 위해 조건부 액세스와 같은 도구에 추가적으로 전달되거나, 조직의 시행 정책에 따라 추가 조사를 위해 SIEM(보안 정보 및 이벤트 관리) 도구로 다시 전달될 수 있습니다.

자동화가 중요한 이유는 무엇인가요?

Microsoft의 ID 보안 및 보호 팀을 이끄는 Alex Weinert는 자신의 2018년 10월 블로그 포스트에서 많은 이벤트를 다룰 때 자동화가 중요한 이유를 설명했습니다.

Microsoft의 기계 학습 및 휴리스틱 시스템은 매일 8억 개 이상의 개별 계정에서 180억 개의 로그인 시도에 대한 위험 점수를 제공하며, 그 중 3억 개는 악의적 사용자(범죄자, 해커 등과 같은 엔터티)에 의해 식별 가능하게 이루어집니다.

작년 Ignite에서는 Microsoft의 ID 신분 시스템에 대한 상위 3가지 공격에 대해 말했습니다. 다음은 이러한 공격들의 최신 볼륨입니다.

  • 보안 위반 재생: 2018년 5월 4.6BN 공격이 감지됨
  • 암호 스프레이: 2018년 4월 350k
  • 피싱: 정확히 수치화하기 어렵지만, 2018년 3월에 23M 위험 이벤트를 확인했으며, 그 중 상당수는 피싱 관련 사건입니다.

위험 감지 및 수정

ID 보호는 다음을 포함한 다양한 유형의 위험을 식별합니다.

  • 익명 IP 주소 사용
  • 비정상적 이동
  • 맬웨어 연결 IP 주소
  • 일반적이지 않은 로그인 속성
  • 유출된 자격 증명
  • 암호 스프레이
  • 추가...

계산 방법 또는 시기를 포함하여 이러한 위험 및 기타 위험에 대한 자세한 내용은 위험이란? 문서에서 확인할 수 있습니다.

위험 신호는 사용자에게 Azure AD Multi-Factor Authentication 수행, 셀프 서비스 암호 재설정을 사용하여 암호 다시 설정, 관리자가 조치를 취할 때까지 차단 등의 수정 작업을 트리거할 수 있습니다.

위험 조사

관리자는 필요한 경우 탐지를 검토하고 수동 작업을 수행할 수 있습니다. 관리자가 Identity Protection의 조사에 사용하는 세 가지 주요 보고서는 다음과 같습니다.

  • 위험한 사용자
  • 위험한 로그인
  • 위험 탐지

자세한 내용은 방법: 위험 조사 문서를 참조하세요.

위험 수준

ID 보호는 위험을 낮음, 중간 및 높음의 세 가지 계층으로 분류합니다.

Microsoft는 위험을 계산하는 방법에 대한 구체적인 정보를 제공하지 않지만 각 수준에는 사용자 또는 로그인이 손상되었다는 확신을 더 많이 제공합니다. 예를 들어 사용자에 대한 익숙하지 않은 로그인 속성의 한 인스턴스와 같은 것은 다른 사용자의 자격 증명 유출만큼 위협적이지 않을 수 있습니다.

위험 데이터 내보내기

Identity Protection의 데이터는 보관 및 추가 조사와 상관 관계를 위해 다른 도구로 내보낼 수 있습니다. 조직에서는 Microsoft Graph 기반 API를 사용하여 SIEM 등의 도구에서 추가로 처리할 수 있도록 이 데이터를 수집할 수 있습니다. Identity Protection API에 액세스하는 방법에 대한 정보는 Azure Active Directory Identity Protection 및 Microsoft Graph 시작 문서에서 확인할 수 있습니다.

Identity Protection 정보를 Azure Sentinel과 통합하는 방법에 대한 정보는 Azure AD Identity Protection에서 정보 연결 문서에서 확인할 수 있습니다.

사용 권한

Identity Protection을 사용하려면 사용자가 보안 읽기 권한자, 보안 운영자, 보안 관리자, 글로벌 독자 또는 글로벌 관리자여야 액세스할 수 있습니다.

역할 가능한 작업 수행할 수 없음
전역 관리자 ID 보호에 대한 완전한 액세스
보안 관리자 ID 보호에 대한 완전한 액세스 사용자 암호 다시 설정
보안 운영자 모든 Identity Protection 보고서 및 개요 블레이드 보기

사용자 위험 해제, 안전 로그인 확인, 손상 확인
정책 구성 또는 변경

사용자 암호 다시 설정

경고 구성
보안 판독기 모든 Identity Protection 보고서 및 개요 블레이드 보기 정책 구성 또는 변경

사용자 암호 다시 설정

경고 구성

검색에 대한 피드백 제공

현재 보안 운영자 역할은 위험 로그인 보고서에 액세스할 수 없습니다.

조건부 액세스 관리자는 로그인 위험을 조건으로 고려하는 정책을 만들 수도 있습니다. 자세한 내용은 조건부 액세스: 조건 문서에서 찾을 수 있습니다.

라이선스 요구 사항

이 기능을 사용하려면 Azure AD Premium P2 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 무료, Office 365 앱 및 Premium 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.

기능 세부 정보 Azure AD Free / Microsoft 365 앱 Azure AD Premium P1 Azure AD Premium P2
위험 정책 사용자 위험 정책(ID 보호를 통해) 아니요
위험 정책 로그인 위험 정책(ID 보호 또는 조건부 액세스를 통해) 아니요
보안 보고서 개요 아니요
보안 보고서 위험한 사용자 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. 제한된 정보. 중간 및 높은 위험 수준의 사용자만 표시됩니다. 세부 정보 서랍 또는 위험 기록이 없습니다. 모든 권한
보안 보고서 위험한 로그인 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. 제한된 정보. 위험 정보 또는 위험 수준이 표시되지 않습니다. 모든 권한
보안 보고서 위험 탐지 제한된 정보. 세부 정보 서랍이 없습니다. 모든 권한
공지 위험에 처한 사용자가 알림을 감지함 아니요
공지 주 단위 요약 아니요
MFA 등록 정책 아니요

이러한 풍부한 보고서에 대한 자세한 내용은 방법: 위험 조사 문서를 참조하세요.

다음 단계