WIPI

프로그래밍과 기술 이슈를 빠르게 정리하는 개발 블로그

목록으로

Programming Notes

Microsoft Defender for Identity 신호를 Entra 권장 사항과 통합

작년에 Microsoft Entra 권장 사항에 새로운 보안 신호를 추가하여 조직의 보안 태세를 강화하고, 식별을 돕고 효과적으로 위험을 완화하는 데 도움이 되는 실행 가능한 인사이트를 제공했습니다. Microsoft Entra 권장 사항의 주요 목표는, 특히 사이버 보안...

작성자

작년에 Microsoft Entra 권장 사항에 새로운 보안 신호를 추가하여 조직의 보안 태세를 강화하고, 식별을 돕고 효과적으로 위험을 완화하는 데 도움이 되는 실행 가능한 인사이트를 제공했습니다. Microsoft Entra 권장 사항의 주요 목표는, 특히 사이버 보안 위협이 새로운 AI 및 Agentic 시나리오와 함께 더욱 정교해짐에 따라 보안 태세를 강화하는 데 신뢰할 수 있는 조언자 역할을 하는 것입니다. 또한, 직원 생산성을 향상시키고 제로 트러스트를 구현하면서도 단일 플랫폼에서 조직을 보호하는 데 도움이 되도록 다양한 Microsoft 보안 제품 전반에 걸쳐 모범 사례 및 산업 표준을 결합하는 것을 목표로 합니다.

보안 태세는 성공적인 ITDR(Identity Threat Detection and Response, ID 위협 탐지 및 대응)의 중요한 첫 번째 단계입니다. Microsoft는 ID 및 액세스 관리의 모범 사례와 Defender의 추가 보안 신호를 결합하여 고객이 원활한 피드백 루프를 통해 지속적으로 보안 태세를 강화하도록 돕습니다. 보안 환경이 진화함에 따라 12가지 Microsoft Defender for Identity의 Identity Secure Score 권장 사항을 추가하여 조직의 보안 태세에 대한 가시성을 높이고 있으며, 현재 공개 미리 보기로 제공됩니다. 이러한 권장 사항은 ID 기반 사이버 공격을 방지, 탐지 및 대응하는 데 도움이 될 뿐만 아니라 ID 및 보안 팀 간의 가시성과 조정을 향상시키는 데 중점을 둡니다.

새로운 Identity Secure Score 권장 사항을 찾으려면 Microsoft Entra 관리 센터로 이동하여 개요 > 권장 사항으로 이동합니다.

여기에서 Agentic AI, 네트워크 액세스, ID 위협 탐지 및 대응과 같은 시나리오에서 사용할 수 있는 새로운 보안 컨트롤을 확인할 수 있습니다.

다음은 12가지 최신 Identity Secure Score 권장 사항과 세부 정보입니다.

  1. 잘못 구성된 등록 에이전트 인증서 템플릿 편집 – 등록 에이전트 인증서는 IT 관리자로 인증하고 사용자를 대신하여 인증서를 요청할 수 있습니다. 테넌트에 허용적인 템플릿과 에이전트 등록을 지원하는 다른 템플릿이 결합된 경우, 공격자는 이를 악용하여 도메인의 모든 사용자(권한 있는 계정 포함)에 대한 인증서를 발급할 수 있습니다. 환경 전체에서 측면 이동을 방지하기 위해 이를 수정하는 것이 좋습니다.
  2. 민감한 Entra Connect 계정에서 안전하지 않은 권한 제거 – 온프레미스 및 클라우드 ID 시스템은 하이브리드 ID에 매우 중요합니다. 안전하지 않은 권한이 있는 경우, 공격자는 이를 악용하여 환경을 장악할 수 있으므로 가치가 높은 대상이 됩니다.
  3. GPO에서 발견된 가역적 암호 – 조직에서 자격 증명을 배포하기 위해 GPP(그룹 정책 기본 설정)를 사용한 적이 있다면, 해당 암호가 여전히 SYSVOL 폴더 내부에 있을 수 있습니다. Microsoft가 MS14-025에서 이 기능을 비활성화했지만, 남아있는 XML 파일은 공개적으로 사용 가능한 AES(Advanced Encryption Standard) 키를 사용하여 모든 도메인 사용자가 여전히 액세스하고 해독할 수 있습니다. 이러한 파일은 공격자가 환경을 악용하기 위해 찾는 데 노력이 적게 들고 보상이 큰 대상이므로 제거하는 것이 좋습니다.
  4. 평문 자격 증명 노출 중지 – 평문으로 자격 증명을 노출하는 엔터티는 LDAP(Lightweight Directory Access Protocol) 단순 바인딩과 같이 안전하지 않은 트래픽이 가로채기에 매우 취약하므로 위험을 증가시킵니다. 공격자는 그런 다음 자격 증명을 훔치는 것과 같은 악의적인 활동에 참여할 수 있습니다. Microsoft Defender for Identity는 보안 평가를 통해 네트워크 트래픽 및 이벤트 모니터링을 통해 평문으로 노출된 자격 증명을 탐지합니다.
  5. 민감한 그룹에서 휴면 계정 제거 – 조직 깊숙이 조용히 들어가는 쉬운 경로는 민감한 그룹에 속한 비활성 계정을 통하는 것입니다. 휴면 계정 액세스 권한을 제거하거나 계정을 삭제하면 조직의 민감한 데이터를 보호하고 추가 손상을 방지하는 데 도움이 됩니다. 계정은 180일 동안 사용되지 않으면 휴면 상태가 됩니다.
  6. 취약한 암호 사용 중지 – 취약한 암호는 해독될 가능성이 높고 조직의 전반적인 보안 태세를 저하시키므로 비활성화해야 합니다. Microsoft Defender for Identity는 이 보안 평가를 통해 오구성 또는 의도적인 보안 다운그레이드로 인해 취약한 암호를 사용하는 네트워크 활동을 탐지합니다.
  7. 잘못 구성된 인증서 템플릿 ACL 편집 – 인증서 템플릿은 템플릿에 대한 액세스를 정의하는 액세스 제어 목록이 있는 Active Directory 개체입니다. 잘못 구성된 액세스 제어로 인해 모든 사용자가 템플릿 설정을 조작하여 권한을 상승시킬 수 있습니다.
  8. 가장을 방지하기 위해 안전하지 않은 Kerberos 위임 수정 – Kerberos 위임은 애플리케이션이 원래 사용자를 대신하여 리소스에 액세스하기 위해 최종 사용자 액세스 자격 증명을 요청할 수 있도록 하는 설정입니다. 안전하지 않은 Kerberos 위임은 엔터티에 다른 선택한 서비스로 사용자를 가장할 수 있는 기능을 제공합니다. 도메인 컨트롤러가 아닌 엔터티 중에서 안전하지 않은 Kerberos 위임에 대해 구성된 엔터티를 탐지하고 이에 대한 수정 단계를 제공합니다.
  9. Microsoft LAPS로 로컬 관리자 암호 보호 및 관리 – LAPS(Local Administrator Password Solution)는 도메인에 가입된 컴퓨터에 대한 로컬 계정 암호 관리를 제공합니다. LAPS 암호는 Active Directory(AD)에 저장되고 ACL로 보호되므로 적격 사용자만 재설정을 읽거나 요청할 수 있습니다. Microsoft는 환경에 LAPS를 설치하는 것이 좋습니다.
  10. Entra Connect AD DS 커넥터 계정에 대한 암호 회전 – 커넥터 계정은 온프레미스와 클라우드 간에 ID를 동기화하는 데 중요한 역할을 합니다. 암호가 90일 이상 회전 또는 업데이트되지 않은 경우 하이브리드 ID 설정에서 약점이 될 수 있습니다. 오래된 자격 증명은 특히 높은 권한의 서비스 계정의 경우 손상 위험을 증가시킵니다.
  11. Entra Connect AD DS 커넥터에 대한 엔터프라이즈 또는 도메인 관리자 계정 바꾸기 – Entra Connect AD DS 커넥터 계정이 도메인 관리자 또는 엔터프라이즈 관리자의 구성원인 경우 광범위한 권한을 갖습니다. Entra Connect에 과도하게 권한이 있는 계정을 사용하면 공격 표면이 늘어나고 최소 권한 원칙을 위반합니다. 이러한 권한이 필요하지 않은 노출된 계정(및 해당 그룹 구성원)을 제거/교체하는 것이 좋습니다.
  12. VPN 통합 구성 – Microsoft Defender for Identity 사용자 계정 정보를 포함하여 공격 조사 프로세스를 간소화하십시오. 특히 사용자 활동에 대한 Defender for Identity의 추가 정보와 비정상적인 VPN 연결에 대한 최신 경고와 함께 사용하는 경우 더욱 그렇습니다. Microsoft Defender for Identity VPN 통합 클라우드 솔루션은 VPN 솔루션에서 계정 정보를 수집하고 IP 주소 및 연결이 시작된 위치와 같은 사용자의 VPN 연결로 사용자 프로필 페이지를 채웁니다.

최신 권장 사항을 최신 상태로 유지하려면 Entra 포털의 Microsoft Entra 권장 사항을 방문하십시오. 여기서 ID 태세를 강화하는 데 도움이 되는 새로운 지침을 지속적으로 출시합니다. 앞으로 몇 달 안에 Microsoft Defender for Identity 권장 사항을 더 많이 통합하여 전반적인 보안 태세에 대한 가시성과 제어력을 강화하고, 조직의 제로 트러스트 접근 방식에 맞춘 Microsoft Entra Suite 권장 사항을 제공할 예정입니다. 이러한 업데이트는 위험에 대한 더 큰 가시성과 더 빠른 수정을 의미하는 ITDR 전략에 직접 제공되는 신호의 성장하는 생태계를 나타냅니다. Microsoft를 사용하면 반응적 대응에서 사전 예방적 방어로 전환하여 보안 및 ID 관리자에게 ID 패브릭에 대한 더 깊은 가시성을 제공할 수 있습니다.

Shobhit Sahay, Jade D’Souza

이 주제에 대해 자세히 알아보십시오.

Microsoft Entra에 대해 자세히 알아보기

온프레미스 및 클라우드 전반에서 포괄적인 ID 및 네트워크 액세스 솔루션을 통해 ID 공격을 방지하고, 최소 권한 액세스를 보장하고, 액세스 제어를 통합하고, 사용자 경험을 개선합니다.