Microsoft Defender for Identity LMP(수평 이동 경로)

참고

이 페이지에서 설명하는 Microsoft Defender for Identity 기능도 새 포털을 사용하여 액세스할 수 있습니다.

횡적 이동은 공격자가 중요하지 않은 계정을 사용하여 네트워크 전체의 중요한 계정에 대한 액세스 권한을 얻으려고 하는 경우에 발생합니다. 횡적 이동은 공격자가 계정, 그룹 및 머신에 저장된 로그인 자격 증명을 공유하는 네트워크의 중요한 계정 및 머신에 대한 액세스 권한을 식별하고 얻기 위해 사용합니다. 공격자가 주요 대상을 향해 성공적으로 횡적 이동하면 공격자는 도메인 컨트롤러를 활용하고 액세스 권한을 얻을 수도 있습니다. 횡적 이동 공격은 의심스러운 활동 가이드에 설명된 많은 방법을 사용하여 수행됩니다.

Microsoft Defender for Identity 보안 인사이트의 핵심 구성 요소는 횡적 이동 경로, 즉 LMP입니다. Defender for Identity LMP는 공격자가 네트워크 내에서 횡으로 이동할 수 있는 방법을 빠르게 이해하고 식별할 수 있도록 도와주는 시각적 가이드입니다. 사이버 공격 킬 체인 내의 횡적 이동의 목적은 공격자가 중요하지 않은 계정을 사용하여 중요한 계정을 획득하고 손상시키는 것입니다. 중요한 계정을 손상시키는 것은 공격자의 궁극적인 목표인 도메인 우위에 한 걸음 더 다가갈 수 있게 합니다. 이러한 공격이 성공하는 것을 막기 위해 Defender for Identity LMP는 가장 취약하고 중요한 계정에 대한 해석하기 쉽고 직접적인 시각적 지침을 제공합니다. LMP는 향후 이러한 위험을 완화 및 예방하고 공격자가 도메인 우위를 확보하기 전에 공격자의 액세스를 차단하는 데 도움이 됩니다.

Defender for Identity 횡적 이동 경로(LMP)

횡적 이동 공격은 일반적으로 여러 가지 다른 기법을 사용하여 수행됩니다. 공격자가 가장 많이 사용하는 방법 중 일부는 자격 증명 도용 및 Pass-the-Ticket입니다. 두 가지 방법 모두 중요한 계정이 있는 계정, 그룹, 머신에 저장된 로그인 자격 증명을 공유하는 중요하지 않은 머신을 악용하여 공격자가 횡적 이동하는 데 중요하지 않은 계정이 사용됩니다.

Defender for Identity LMP는 어디에서 찾을 수 있나요?

Defender for Identity에 의해 LMP에 있다고 검색된 모든 컴퓨터 또는 사용자 프로필에는 횡적 이동 경로 탭이 있습니다. 탭이 없는 컴퓨터 및 프로필은 잠재적인 LMP 내에서 검색된 적이 없습니다.

Defender for Identity 횡적 이동 경로(LMP) 탭

각 엔터티에 대한 LMP는 엔터티의 중요도에 따라 다른 정보를 제공합니다.

  • 중요한 사용자 – 이 사용자로 이어지는 잠재적인 LMP가 표시됩니다.
  • 중요하지 않은 사용자 및 컴퓨터 – 엔터티가 관련된 잠재적인 LMP가 표시됩니다.

탭을 클릭할 때마다 Defender for Identity는 가장 최근에 검색된 LMP를 표시합니다. 각 잠재적인 LMP는 검색 후 48시간 동안 저장됩니다. LMP 기록을 사용할 수 있습니다. 다른 날짜 보기 를 클릭하여 과거에 검색된 이전 LMP를 봅니다.

Defender for Identity 횡적 이동 경로(LMP) 표시

잠재적인 LMP가 식별된 시기와 잠재적으로 관련이 있는 관련 엔터티를 검색합니다.

LMP 검색

작업 탭에서 잠재적인 새 LMP가 식별되었을 때 표시가 제공됩니다.

  • 중요한 사용자 – 중요한 사용자에 대한 새 경로가 식별되는 경우

Defender for Identity 횡적 이동 경로(LMP) 중요함 식별됨

  • 중요하지 않은 사용자 및 컴퓨터 – 이 엔터티가 중요한 사용자로 연결되는 잠재적인 LMP에서 식별되는 경우

Defender for Identity 횡적 이동 경로(LMP) 중요하지 않음 식별됨

LMP는 이제 직접 조사 프로세스를 지원할 수 있습니다. Defender for Identity 보안 경고 증거 목록은 각 잠재적 횡적 이동 경로와 관련된 관련 엔터티를 제공합니다. 증거 목록은 보안 대응 팀이 관련 엔터티에 대한 보안 경고 및/또는 조사의 중요성을 증가시키거나 줄이는 데 직접적으로 도움이 됩니다. 예를 들어 Pass-the-Ticket 경고가 발생하면 원본 컴퓨터, 손상된 사용자 및 도난당한 티켓이 사용된 대상 컴퓨터는 모두 중요한 사용자로 이어지는 잠재적인 횡적 이동 경로의 일부입니다. 검색된 LMP의 존재로 인해 공격자가 추가 횡적 이동을 하지 못하도록 경고를 조사하고 의심되는 사용자를 관찰하는 것이 더욱 중요합니다. 추적 가능한 증거는 LMP에서 제공되므로 공격자가 네트워크에서 더 쉽고 빠르게 이동하는 것을 방지할 수 있습니다.

중요한 계정에 대한 횡적 이동 경로 보고서

LMP 데이터는 중요한 계정에 대한 횡적 이동 경로 보고서에서도 사용할 수 있습니다. 이 보고서에는 횡적 이동 경로를 통해 노출되는 중요한 계정이 나열되며 특정 기간 동안 수동으로 선택되거나 예약된 보고서의 기간에 포함된 경로가 포함됩니다. 달력 선택 영역을 사용하여 포함된 날짜 범위를 사용자 지정합니다.

예방 모범 사례

보안 인사이트는 다음 공격을 방지하고 손상을 복구하는 데 결코 늦지 않습니다. 이러한 이유로 도메인 우위 단계 중에도 공격을 조사하는 것은 다르지만 중요한 예를 제공합니다. 일반적으로 원격 코드 실행과 같은 보안 경고를 조사하는 동안 경고가 참 긍정이면 도메인 컨트롤러가 이미 손상되었을 수 있습니다. 그러나 LMP는 공격자가 권한을 얻은 위치와 네트워크에서 사용한 경로를 알려줍니다. 이러한 방식으로 LMP는 해결 방법에 대한 핵심 인사이트를 제공할 수도 있습니다.

  • 조직 내에서 횡적 이동 노출을 방지하는 가장 좋은 방법은 강화된 컴퓨터에 로그인할 경우에만 중요한 사용자가 관리자 자격 증명을 사용하도록 하는 것입니다. 이 예제에서 경로의 관리자가 실제로 공유 컴퓨터에 액세스해야 하는지 확인합니다. 액세스 권한이 필요한 경우 관리자 자격 증명이 아닌 사용자 이름과 암호를 사용하여 공유 컴퓨터에 로그인했는지 확인합니다.

  • 사용자에게 불필요한 관리자 권한이 없는지 확인합니다. 이 예제에서 공유 그룹의 모든 사용자에게 노출된 컴퓨터에 대한 관리자 권한이 실제로 필요한지 확인합니다.

  • 사용자에게 필요한 리소스에 대한 액세스 권한만 있는지 확인합니다. 이 예제에서 Ron Harper는 Nick Cowley의 노출을 크게 확대합니다. Ron Harper가 그룹에 포함되어야 하나요? 횡적 이동 노출을 최소화하기 위해 만들 수 있는 하위 그룹이 있나요?

– 지난 48시간 동안 엔터티에 대한 횡적 이동 경로 활동이 검색되지 않으면 다른 날짜 보기 및 이전의 잠재적인 횡적 이동 경로를 확인합니다. LMP가 검색된 경우 중요한 사용자에 대한 LMP 보고서 를 항상 사용할 수 있으며, 이 보고서는 중요한 사용자에 대해 검색된 잠재적인 횡적 이동 경로에 대한 정보를 제공합니다.

- Defender for Identity가 횡적 이동 경로 검색에 필요한 SAM-R 작업을 수행할 수 있도록 클라이언트 및 서버를 설정하는 방법에 대한 지침은 SAM-R 구성을 참조하세요.

LMP 조사

Defender for Identity 횡적 이동 경로를 통해 식별하고 조사하는 방법에 대한 지침은 횡적 이동 경로 조사를 참조하세요.

참고 항목