Microsoft Defender for Identity란?

Microsoft Defender for Identity(이전의 Azure Advanced Threat Protection, Azure ATP라고도 함)는 온-프레미스 Active Directory 신호를 활용하여 고급 위협, 손상된 ID 및 사용자의 조직을 대상으로 한 악의적인 내부자 작업을 식별하고 검색하고 조사하는 클라우드 기반 보안 솔루션입니다.

Defender for Identity를 사용하면 SecOp 분석가 및 보안 전문가가 하이브리드 환경에서 고급 공격을 검색하는 데 노력을 기울일 수 있습니다.

  • 모니터링 사용자, 엔터티 동작 및 학습 기반 분석을 사용한 활동
  • Active Directory에 저장된 사용자 ID 및 자격 증명 보호
  • 킬 체인 전체에 걸친 고급 공격 및 의심스러운 사용자 활동 식별 및 조사
  • 신속한 심사를 위해 단순한 타임라인에 대한 명확한 인시던트 정보 제공

사용자 동작 및 작업을 모니터링 및 프로파일링

Defender for Identity는 사용 권한 및 그룹 구성원 자격 같이 사용자 네트워크를 통한 사용자 작업 및 정보를 모니터링 및 분석하여 각 사용자에 대한 동작 기준을 만듭니다. 그런 다음 Defender for Identity는 기본 제공 적응형 인텔리전스를 통해 이상 현상을 파악하여 의심스러운 활동과 이벤트에 대한 인사이트를 제공하고 고급 위협, 손상된 사용자 및 조직이 직면한 내부자 위협을 밝혀냅니다. Defender for Identity의 전용 센서는 조직의 도메인 컨트롤러를 모니터링하면서 모든 디바이스에서의 모든 사용자 활동을 포괄적으로 확인할 수 있습니다.

사용자 ID 보호 및 공격 노출 영역 축소

Defender for Identity는 ID 구성 및 제안된 보안 모범 사례에 관한 귀중한 인사이트를 제공합니다. 보안 보고서 및 사용자 프로필 분석을 통해 Defender for Identity는 조직의 공격 표면을 크게 줄일 수 있으며, 사용자 자격 증명을 손상시키고 공격을 계속 진행하는 것을 어렵게 만듭니다. Defender for Identity의 시각적 횡적 이동 경로를 통해 사용자는 이러한 위험을 사전에 방지하는 데 중요한 지원 및 계정을 손상시키기 위해 공격자가 조직 내부에서 어떻게 횡적으로 이동할 수 있는지 정확하고 신속하게 파악할 수 있습니다. Defender for Identity 보안 보고서를 통해 일반 텍스트 암호를 사용하여 인증하는 사용자 및 디바이스를 확인하고, 조직의 보안 상태 및 정책을 개선하기 위한 추가 정보를 제공할 수 있습니다.

하이브리드 환경에서 AD FS 보호

Active Directory Federation Services(AD FS)는 하이브리드 환경에서의 인증과 관련해 오늘날의 인프라에서 중요한 역할을 합니다. Defender for Identity는 AD FS에 대한 온-프레미스 공격을 감지하고 AD FS에서 생성된 인증 이벤트에 대한 가시성을 제공하여 사용자 환경의 AD FS를 보호합니다.

의심스러운 활동 및 사이버 공격 킬 체인을 통한 고급 공격 식별

일반적으로 공격은 낮은 권한의 사용자 같이 액세스 가능한 모든 엔터티에 대해 이뤄진 다음, 공격자가 중요한 계정, 도메인 관리자 및 매우 중요한 데이터와 같은 중요한 자산에 액세스 권한을 획득할 때까지 신속히 횡적으로 이동됩니다. Defender for Identity는 전체 사이버 공격 킬 체인에 걸쳐 원본에 대한 이러한 고급 위협 요소를 식별합니다.

정찰

악의적인 사용자와 공격자가 정보를 얻으려는 시도를 식별합니다. 공격자는 다양한 방법을 통해 사용자 이름, 사용자의 그룹 구성원 자격, 디바이스에 할당된 IP 주소, 리소스 등에 대한 정보를 검색합니다.

손상된 자격 증명

무차별 암호 대입 공격(brute force attack), 실패한 인증, 사용자 그룹 구성원 자격 변경 및 기타 방법을 사용하여 사용자 자격 증명을 손상시키려는 시도를 식별합니다.

횡적 이동

Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash 등의 메서드를 활용하여 중요한 사용자를 추가로 제어하기 위해 네트워크 내에서 횡적으로 이동하려는 시도를 검색합니다.

도메인 우위

DC 섀도, 악의적인 도메인 컨트롤러 복제, 골든 티켓 활동 등 도메인 컨트롤러 및 메서드에 대한 원격 코드 실행을 통해 도메인 우위를 획득하는 경우 공격자 동작을 강조 표시합니다.

경고 및 사용자 활동 조사

Defender for Identity는 일반 경고 노이즈를 줄이도록 설계되었으며, 간단한 실시간 조직 공격 타임라인에 중요한 보안 경고만 제공합니다. Defender for Identity 공격 타임라인 보기를 사용하면 스마트 분석 인텔리전스를 활용하여 중요한 문제에 쉽게 집중할 수 있습니다. Defender for Identity를 사용하여 신속하게 위협을 조사하고 조직 전체에서 사용자, 디바이스 및 네트워크 리소스에 대한 정보를 얻을 수 있습니다. Microsoft Defender for Endpoint와의 원활한 통합은 운영 체제에서 지속적인 고급 위협에 대한 추가 검색과 보호 조치를 통해 다른 계층의 향상된 보안을 제공합니다.

Defender for Identity의 추가 리소스

무료 평가판 시작

https://signup.microsoft.com/Signup?OfferId=87dd2714-d452-48a0-a809-d2f58c4f68b7&ali=1

Microsoft 기술 커뮤니티에서 Defender for Identity 팔로우

https://aka.ms/MDIcommunity

Defender for Identity Yammer 커뮤니티 참가

https://www.yammer.com/azureadvisors/#/threads/inGroup?type=in_group&feedId=9386893

Defender for Identity 제품 페이지 방문

https://www.microsoft.com/microsoft-365/security/identity-defender

Defender for Identity 아키텍처에 대한 자세한 정보

Defender for Identity 아키텍처

동영상 시청

Bolster your security posture with Defender for Identity - 알려진 나쁜 사례를 파악하고 사전에 해결하여 더 건강한 상태를 유지하고 공격자에 대한 복원력이 더 뛰어난 환경을 만드세요 - YouTube 동영상 시청

Incident Investigation with Defender for Identity - Defender for Identity를 사용하여 ID 및 도메인 컨트롤러를 대상으로 하는 고급 위협을 검색, 조사, 대응하는 방법을 알아봅니다. Defender for Identity의 경고부터 시작하여 이 정보와 인시던트의 상관 관계, Defender for Identity가 캡처한 정보를 사용한 위협 추적 방법, 더 큰 문제로 되기 전에 자동 인시던트 대응을 시작하여 인시던트를 완화하는 방법을 보여 줍니다 - YouTube 동영상 시청

새로운 기능

Defender for Identity는 3단계로 배포하는 것이 좋습니다.

1단계

  1. 기본 환경을 보호하기 위해 Defender for Identity를 설정합니다. Defender for Identity의 빠른 배포 모델을 사용하면 오늘부터 조직 보호를 시작할 수 있습니다. Defender for Identity 설치
  2. 중요한 계정허니 토큰 계정을 설정합니다.
  3. 보고서 및 횡적 이동 경로를 검토합니다.

2단계

  1. 조직의 모든 도메인 컨트롤러 및 포리스트를 보호합니다.
  2. 모든 경고 모니터링 – 횡적 이동 및 도메인 우위 경고를 조사합니다.
  3. 보안 경고 가이드를 사용하여 위협 요소를 이해하고 잠재적인 공격을 심사합니다.

3단계

  1. Defender for Identity 경고를 SecOp 워크플로에 통합합니다.

참고 항목