자습서: LMP(횡적 이동 경로) 사용

참고

이 페이지에서 설명하는 Microsoft Defender for Identity 기능도 새 포털을 사용하여 액세스할 수 있습니다.

횡적 이동 공격은 일반적으로 여러 가지 다른 기법을 사용하여 수행됩니다. 공격자가 가장 많이 사용하는 방법 중 일부는 자격 증명 도용Pass-the-Ticket 공격입니다. 두 가지 방법 모두 중요한 계정이 있는 계정, 그룹, 머신에 저장된 로그인 자격 증명을 공유하는 중요하지 않은 머신을 악용하여 공격자가 횡적 이동하는 데 중요하지 않은 계정이 사용됩니다.

이 자습서에서는 Microsoft Defender for Identity LMP를 사용하여 잠재적인 횡적 이동 경로를 조사하고, Defender for Identity 보안 경고와 함께 네트워크에서 무슨 일이 어떻게 발생했는지에 대한 이해를 높이는 방법을 알아봅니다. 또한 중요한 계정 보고서에 LMP를 사용하여 기간별로 네트워크에서 발견된 잠재적인 횡적 이동 경로가 있는 모든 중요 계정을 검색하는 방법을 알아봅니다.

  • LMP 조사
  • 위험성 있는 중요한 계정 검색
  • 중요한 계정에 대한 횡적 이동 경로 보고서에 액세스

조사

LMP를 사용 및 조사하는 방법은 여러 가지가 있습니다. Defender for Identity 포털에서 엔터티별로 검색한 다음, 경로 또는 활동별로 탐색합니다.

  1. 포털에서 사용자 또는 컴퓨터를 검색합니다. 횡적 이동 배지가 엔터티 프로필에 추가되었는지 확인합니다. 배지는 지난 48시간 이내에 잠재적 LMP에서 엔터티가 검색된 경우에만 표시됩니다.

    횡적 아이콘 or 경로 아이콘.

  2. 열린 사용자 프로필 페이지에서 횡적 이동 경로 탭을 클릭합니다.

    Defender for Identity 횡적 이동 경로(LMP) 탭

  3. 표시되는 그래프는 48시간 동안 중요한 사용자에게 가능한 경로의 맵을 제공합니다. 지난 이틀 동안 아무런 활동이 검색되지 않은 경우 그래프가 표시되지 않습니다. 다른 날짜 보기 옵션을 사용하여 엔터티의 이전 횡적 이동 경로 검색에 대한 그래프를 표시합니다.

    LMP 다른 날짜 보기

  4. 그래프를 검토하여 중요한 사용자의 자격 증명 노출에 대해 자세히 알아볼 수 있습니다. 예를 들어 이 경로에서 로그인 기준 회색 화살표를 따라 Nick이 권한 있는 자격 증명을 사용하여 로그인한 위치를 확인할 수 있습니다. 이 경우에 Nick의 중요한 자격 증명이 SHAREPOINT-SRV 컴퓨터에 저장되었습니다. 이제 로그인한 사용자 및 최대 노출 및 취약성을 만든 컴퓨터를 확인하세요. 관리자 검정 화살표를 확인하여 리소스에 대해 권한 있는 사용자를 확인할 수 있습니다. 이 예제에서는 HelpDesk 그룹의 모든 사용자는 해당 리소스에서 사용자 자격 증명에 액세스할 수 있습니다.

    Defender for Identity 횡적 이동 경로(LMP)

위험성 있는 중요한 계정 검색

횡적 이동 경로에 있는 중요하지 않은 계정, 그룹 및 머신과의 연결로 인해 네트워크에서 노출된 모든 중요한 계정을 검색하려면 다음 단계를 수행합니다.

  1. Defender for Identity 포털 메뉴에서 보고서 아이콘(보고서 아이콘)을 클릭합니다.

  2. 중요한 계정에 대한 횡적 이동 경로 에서 잠재적인 횡적 이동 경로를 찾을 수 없는 경우 보고서는 회색으로 표시됩니다. 잠재적인 횡적 이동 경로가 있는 경우 보고서는 관련 데이터가 있는 첫 번째 날짜를 자동으로 미리 선택합니다. 횡적 이동 경로 보고서는 최대 60일 동안의 데이터를 제공합니다.

    보고서 날짜 선택을 보여주는 스크린샷

  3. 다운로드 를 클릭합니다.

  4. 잠재적인 횡적 이동 경로 및 선택한 데이터에 대한 중요한 계정 노출에 대한 세부 정보를 제공하는 Excel 파일이 생성됩니다. 요약 탭에서는 중요한 계정, 컴퓨터 및 위험성 있는 액세스의 평균 수에 대해 자세히 설명하는 그래프를 제공합니다. 세부 정보 탭에서는 더 조사해야 하는 중요한 계정 목록을 제공합니다.

보고서 예약

중요한 계정 보고서에 대한 횡적 이동은 예약된 보고서 기능 집합을 사용하여 예약할 수도 있습니다.

다운로드 가능한 보고서에 자세히 설명된 실제 LMP는 과거에 검색되었기 때문에 더 이상 사용할 수 없으며 검색된 이후 변경, 수정 또는 해결되었을 수 있습니다.

기록 LMP를 검토하려면 보고서를 만들 때 일정 선택 영역에서 사용 가능한 다른 날짜를 선택합니다.

다음 단계

이 자습서에서는 LMP를 사용하여 의심스러운 작업을 조사하는 방법을 알아보았습니다. LMP에서 관련된 엔터티에 대한 자세한 내용은 조사 엔터티 자습서를 계속 진행하세요.

참고 항목

자세한 정보