Entra ID 계정 보호

Entra ID 보호의 위험 검색에는 디텍터리의 사용자 계정 관련하여 식별된 모든 의심스러운 작업이 포함됩니다. 의심스러운 작업은 사용자 위험, 로그인 위험 두가지 형태가 존재합니다.

Entra ID 계정 보호를 통해 의심스러운 작업을 신속하게 확인하고 대응할 수 있습니다.

위험은 사용자 또는 로그인 수준에서 검색할 수 있습니다. Microsoft Entra ID P2 라이선스에게 제공되는 기능이기도 합니다.

 

로그인 위험 검색 유형

 

 

사용자 위험 검색 유형

 

위험 유형 및 검색 방법

[필수 조건]

조건부 액세스 정책에 사용자위험, 로그인 위험을 만듭니다.

로그인 위협 정책 생성 방법

Entra ID -> 보호 -> 조건부 액세스 클릭

“새 정책” 클릭합니다.

 

 

 

대상인 클라우드 앱을 선택합니다.

 

 

조건 -> 로그인 위험을 클릭합니다. 구성에서 예를 클릭하고 높음, 보통을 선택합니다.

 

 

디바이스 플랫폼에서 적절한 플랫폼을 선택해줍니다.

 

허용 -> 액세스 허용 선택합니다.

 

 

세션에서 로그인 빈도를 -> 매번으로 선택해줍니다. 그럼 사용자가 로그인할 때 마다 검사하게 됩니다.

 

 

마지막으로 “정책 사용”에서 설정을 누르고 저장을 누릅니다.

사용자 위험 정책 생성 방법

 

[사용자 위험 발생 테스트]

https://developer.microsoft.com/en-us/graph/graph-explorer

여기에 접속합니다.

 

이 페이지는 Entra ID Protection 기능을 평가하기위해 시뮬레이션을 할 수 있습니다.

사용자 위험 정책을 테스트 하기위해 IdentityRiskyUser.ReadWrite.All권한에 동의 해야합니다.

 

 

다음으로, 이 API 호출을 수행하여 ID를 테스트 사용자의 ObjectID로 바꿉니다.

검색창에 ident를 검색하여 post -> confirmCompromised를 클릭합니다.

 

 

{

    "userIds": [

        "targeted-userId-1",

        "targeted-userId-2"

    ]

}

 

 

 

직원 3의 개체 ID를 복사합니다. 그 후 Run query를 클릭합니다.

 

Entra ID -> 보호 -> 위험한 활동 -> 위험한 사용자로 가서 user03 사용자를 확인해봅니다.

 

https://graph.microsoft.com/beta/riskyUsers/confirmCompromised는 위험한 사용자를 가리키는데 사용됩니다. User03사용자가 손상된 것으로 확인되었기 때문에

사용자 위험 보호 조건부 액세스 정책에 의해 user03으로 로그인 시 비밀번호 변경이 되는지 확인합니다.

 

 

사용자 위험으로 감지가 됐기 때문에 비밀번호 변경하라고 뜹니다.

 

 

[Entra ID에서 사용자 위협 관리 방법]

è  선택 1 Microsoft Entra ID 관리 센터

Microsoft Entra ID 관리센터에 로그인합니다.

보호 -> ID 보호 -> 보고서 아래의 위험한 사용자을 클릭합니다.

 

 

위험 사용자 보고서에는 현재 계정이 있거나 손상 위험이 있는 것으로 간주되는 모든 사용자가 나열됩니다.

 

여기서 위험한 사용자의 내용을 지난 30일동안 데이터를 볼 수 있습니다.

세부 사항을 클릭하여 사용자를 차단할지, 암호를 재설정할지 관리자가 설정할 수 있습니다.

 

[Entra ID에서 로그인 위협 관리 방법]

위험한 로그인 탭을 눌러 조직의 모든 위험한 로그인 사용자를 볼 수 있습니다.

위험한 로그인도 역시 30일동안 데이터를 볼 수 있습니다.

관리자는 보고서를 통해 다음의 정보를 확인할 수 있습니다.

 

①    위험한 것으로 분류된 로그인, 도용된 것으로 확인된 로그인, 안전한 것으로 확인된 로그인, 위험이 해제된 로그인 또는 위험이 해결된 로그인

②    로그인 시도와 관련된 실시간 및 집계 위험 수준

③    적용된 조건부 액세스 정책

④    MFA 세부 정보

⑤    디바이스 정보

⑥    애플리케이션 정보

⑦    위치

 

 

위험한 로그인 세부 정보를 클릭하여 위험 정보를 확인하고, 조건부 액세스 실패 절차 확인 등 세부 정보를 확인할 수 있습니다.

 

 

[위협 검색 및 보고서 생성]

Entra ID -> 보호 -> 위험한 활동 여기서 모든 위험한 검색이 됩니다. 관리자가 기본 설정에서 열이나 필터를 추가해서 .CSV 또는 JSON 형식으로 다운로드 할 수 있도록 선택할 수 있습니다.

 

 

 

 

다운로드를 클릭하면 이런 식으로 서식, 파일이름을 지정하여 다운로드 받습니다.

 

 

완료된 보고서형식은 다음과 같습니다.

 

 

[Microsoft Entra ID 보호 및 Microsoft Graph Powershell

 

 -> 선택 2 Powershell로 확인

필수 요건

Microsoft Graph Powershell SDK가 설치 되어 있어야합니다.

 

[설치 방법]

1.PowerShell 스크립트 실행 정책은 remote signed또는 로 설정되어야 합니다

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

2. PowerShell Core 또는 Windows PowerShell에 SDK의 v1 모듈을 설치하려면 다음 명령을 실행합니다.

Install-Module Microsoft.Graph -Scope CurrentUser

3.설치가 완료가 되면 다음 명령어로 버전을 확인 할 수 있습니다.

 

[연결 방법]

보안 관리자 역할을 하는 Microsoft Graph PowerShell. IdentityRiskEvent.Read.All 위임된 권한이 필요합니다.

Connect-MgGraph -Scopes "IdentityRiskEvent.Read.All","IdentityRiskyUser.ReadWrite.All"

 

 

Ex) powershell을 사용하여 위험 사용자 나열

Get-MgRiskyUser -Filter "RiskLevel eq 'high'" | Format-Table UserDisplayName, RiskDetail, RiskLevel, RiskLastUpdatedDateTime

 

Ex) Powershell를 사용하여 조직내 위험 감지에서 사용자,발생시간,위험 수준 확인

Get-MgRiskDetection |Format-Table UserDisplayName,ActivityDateTime,RiskLevel