위험 탐지란 무엇입니까?
Microsoft Entra ID Protection은 조직에서 테넌트에서 의심스러운 활동에 대한 정보를 제공하고 추가 위험 이벤트가 발생하지 않도록 신속하게 대응할 수 있도록 합니다. 위험 이벤트 검색은 디렉터리의 사용자 계정과 관련된 의심스럽거나 비정상적인 활동을 포함할 수 있는 유용한 도구입니다. ID 보호 위험 이벤트 검색은 개별 사용자 또는 로그인 이벤트에 연결될 수 있으며 위험한 사용자 보고서에 있는 전체 사용자 위험 이벤트 점수에 기여할 수 있습니다.
사용자 위험 이벤트 검색은 잠재적인 위협 행위자가 자격 증명을 손상시켜 계정에 대한 액세스 권한을 얻거나 특정 유형의 비정상적인 사용자 활동을 감지할 때 합법적인 사용자 계정에 위험 이벤트로 플래그를 지정합니다. 로그인 시도 위험 감지는 특정 인증 요청이 계정의 권한 있는 소유자가 아닐 가능성을 나타냅니다. 사용자 및 로그인 수준에서 위험 이벤트를 식별할 수 있는 기능을 보유하는 것은 고객이 테넌트 보안을 강화하는 데 매우 중요합니다.
위험 수준
ID 보호는 위험을 낮음, 중간 및 높음의 세 가지 계층으로 분류합니다. 기계 학습 알고리즘에 의해 계산된 위험 수준은 Microsoft가 인증되지 않은 엔터티가 하나 이상의 사용자 자격 증명 정보를 알고 있을 가능성에 대해 얼마나 확신하는지를 나타냅니다.
- 위험 수준이 높음으로 감지된 경우, Microsoft는 해당 계정이 손상되었을 가능성이 매우 높다고 신뢰합니다.
- 위험 수준이 낮음으로 나타나는 위험 탐지는 로그인 또는 사용자 자격 증명에서 변칙이 있음을 의미하지만, 이러한 변칙이 계정이 손상된 것을 나타내는지에 대해서는 자신하지 못합니다.
많은 탐지는 탐지된 변칙의 수나 심각도에 따라 여러 위험 수준에서 작동할 수 있습니다. 예를 들어 알 수 없는 로그인 속성은 신호에 대한 신뢰도에 따라 높음, 중간 또는 낮음에서 실행될 수 있습니다. 유출된 자격 증명 및 확인된 위협 행위 주체 IP 같은 일부 탐지는 항상 높은 위험으로 전달됩니다.
이 위험 수준은 탐지를 우선시하고 조사하며 해결할 항목을 결정할 때 중요합니다. 또한 각 정책이 낮음, 중간, 높음 또는 위험이 감지되지 않음에 따라 트리거하도록 설정할 수 있으므로 위험 기반 조건부 액세스 정책을 구성하는 중요한 역할을 합니다. 조직의 위험 허용 범위에 따라 ID 보호가 특정 사용자에 대해 특정 위험 수준을 감지할 때 MFA 또는 암호 재설정이 필요한 정책을 만들 수 있습니다. 이러한 정책은 사용자가 위험 이벤트를 해결하기 위해 자체 수정하도록 안내할 수 있습니다.
중요한
모든 "낮은" 위험 수준 검색 및 사용자는 6개월 동안 제품에서 유지되며, 그 후에는 자동으로 숙성되어 보다 깨끗한 조사 환경을 제공합니다. 높은 및 중간 위험 수준은 수정되거나 해제될 때까지 유지됩니다.
조직의 위험 허용 범위에 따라, ID 보호 서비스에서 특정 위험 수준을 감지할 때 MFA 또는 암호 재설정이 필요하도록 정책을 만들 수 있습니다. 이러한 정책은 사용자가 허용 범위에 따라 위험을 자체적으로 해결하거나 차단하도록 안내할 수 있습니다.
실시간 및 오프라인 탐지
ID 보호는 기술을 활용하여 인증 후 실시간 또는 오프라인으로 일부 위험 이벤트를 계산하여 사용자 및 로그인 위험 이벤트 검색의 정밀도를 높입니다. 로그인 시 실시간으로 위험 이벤트를 감지하면 고객이 잠재적인 타협안을 신속하게 조사할 수 있도록 위험 이벤트를 조기에 식별할 수 있는 이점이 있습니다. 리스크를 오프라인으로 계산하는 탐지 방식에서, 위협 행위자가 계정 접근을 획득한 방법과 합법적인 사용자에게 미치는 영향에 관한 더 많은 인사이트를 제공할 수 있습니다. 일부 탐지는 오프라인 상태와 로그인 시에 모두 트리거되므로 침해에 대한 정밀도를 높일 수 있습니다.
실시간으로 트리거되는 감지는 보고서에 세부 정보를 나타내기까지 5-10분이 걸립니다. 오프라인 탐지는 잠재적 위험의 속성을 평가하는 데 시간이 걸리기 때문에 보고서에 표시되는 데 최대 48시간이 걸립니다.
참고
시스템은 위험 이벤트 사용자 위험 이벤트 점수에 기여한 위험 이벤트가 다음 중 하나임을 감지할 수 있습니다.
- 위양성
- 다음 중 하나를 통해 정책에 따라 사용자 위험이 수정되었습니다.
- 다단계 인증 완료
- 보안 암호 변경
우리 시스템은 위험 상태를 취소하고 AI가 로그인 안전을 확인한이 표시되어
위험 세부 데이터에서 시간 검색은 사용자가 로그인하는 동안 위험이 식별되는 정확한 순간을 기록하므로 실시간 위험 평가와 즉각적인 정책 적용이 가능하여 사용자와 조직을 보호할 수 있습니다. 검색 마지막 업데이트는 새로운 정보, 위험 수준 변경 또는 관리 작업으로 인해 발생할 수 있는 위험 검색에 대한 최신 업데이트를 표시하고 최신 위험 관리를 보장합니다.
이러한 필드는 실시간 모니터링, 위협 대응 및 조직 리소스에 대한 보안 액세스 유지에 필수적입니다.
riskEventType에 매핑된 위험 탐지
| 위험 감지 | 검색 유형 | 유형 | 위험 사건 유형 |
|---|---|---|---|
| 로그인 위험 탐지 | |||
| 익명 IP 주소에서의 활동 | 오프라인 | 프리미엄 | 위험한 IP 주소 |
| 추가 위험 감지됨(로그인) | 실시간 또는 오프라인 | 비프리미엄 | generic = P2가 아닌 테넌트를 위한 프리미엄 탐지 분류 |
| 관리자가 확인한 사용자 계정이 침해됨 | 오프라인 | 비프리미엄 | 관리자확인사용자노출 |
| 비정상적인 토큰(로그인) | 실시간 또는 오프라인 | 프리미엄 | 이상 토큰 |
| 익명 IP 주소 | 실시간 | 비프리미엄 | 익명화된IP주소 |
| 비정상적 이동 | 오프라인 | 고급 | 불가능해 보이는 여행 |
| 이동 불가능 | 오프라인 | 고급 | MCAS 불가능한 여행 |
| 악성 IP 주소 | 오프라인 | 고급 | 악성 IP 주소 |
| 중요한 파일에 대량 액세스 | 오프라인 | 프리미엄 | 의심스러운 파일 액세스 (mcasFinSuspiciousFileAccess) |
| Microsoft Entra 위협 정보(로그인) | 실시간 또는 오프라인 | 비프리미엄 | 조사 및 위협 인텔리전스 |
| 새 국가 | 오프라인 | 프리미엄 | 새로운 국가 |
| 암호 스프레이 | 실시간 또는 오프라인 | 프리미엄 | 패스워드 스프레이 |
| 의심스러운 브라우저 | 오프라인 | 프리미엄 | 의심스러운브라우저 |
| 의심스러운 메일 전달 | 오프라인 | 프리미엄 | 의심스러운 수신함 전달 |
| 의심스러운 받은 편지함 조작 규칙 | 오프라인 | 프리미엄 | mcasSuspiciousInboxManipulationRules (의심스러운 받은 편지함 조작 규칙) |
| 토큰 발급자 이상 | 오프라인 | 프리미엄 | 토큰발급자이상현상 |
| 일반적이지 않은 로그인 속성 | 실시간 | Premium | 익숙하지 않은 기능 |
| 확인된 위협 행위자 IP | 실시간 | 프리미엄 | 국가의IP주소 |
| 사용자 위험 탐지 | |||
| 추가 위험 감지됨(사용자) | 실시간 또는 오프라인 | 비프리미엄 | generic = P2가 아닌 테넌트에 대한 프리미엄 탐지 분류 |
| 비정상적인 토큰(사용자) | 실시간 또는 오프라인 | 프리미엄 | anomalousToken |
| 비정상적인 사용자 활동 | 오프라인 | 프리미엄 | 비정상적인 사용자 활동 |
| 중간에 있는 공격자 | 오프라인 | 프리미엄 | attackerinTheMiddle |
| 유출된 자격 증명 | 오프라인 | 비프리미엄 | 유출된 자격 증명 |
| Microsoft Entra 위협 정보(사용자) | 실시간 또는 오프라인 | 비프리미엄 | 조사 위협 인텔리전스 |
| PRT(기본 새로 고침 토큰)에 대한 가능성 있는 액세스 시도 | 오프라인 | 프리미엄 | 시도된 프린터 액세스 |
| 의심스러운 API 트래픽 | 오프라인 | 프리미엄 | 의심스러운 API 트래픽 |
| 의심스러운 송신 패턴 | 오프라인 | 프리미엄 | 의심스러운 전송 패턴 |
| 사용자가 의심스러운 활동 보고 | 오프라인 | 프리미엄 | 사용자 신고 의심 활동 |
워크로드 ID 위험 검색에 대한 자세한 내용은 워크로드 ID 보안을 참조하세요.
프리미엄 감지
다음 프리미엄 탐지는 Microsoft Entra ID P2 고객에게만 표시됩니다.
프리미엄 로그인 위험 감지
익명 IP 주소에서의 활동
오프라인으로 계산됩니다. 이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 이 검색은 사용자가 익명 프록시 IP 주소로 식별된 IP 주소에서 활성 상태임을 식별합니다.
비정상적인 토큰(로그인)
실시간 또는 오프라인으로 계산됩니다. 이 탐지는 비정상적인 수명 또는 익숙하지 않은 위치에서 재생된 토큰과 같은 토큰의 비정상적인 특징을 나타냅니다. 이 탐지에서는 세션 토큰 및 새로 고침 토큰을 포함합니다.
비정상적인 토큰은 동일한 위험 수준에서 다른 검출보다 더 많은 노이즈를 발생하도록 조정되어 있습니다. 이 절충은 그렇지 않으면 눈에 띄지 않을 수 있는 재생된 토큰을 검색할 가능성을 높이기 위해 선택됩니다. 이 탐지에 의해 플래그가 지정된 일부 세션이 오탐일 가능성이 평소보다 높습니다. 해당 사용자의 다른 로그인들과의 관련성을 고려하여 이 감지로 표시된 세션을 조사하는 것이 좋습니다. 사용자에게 위치, 애플리케이션, IP 주소, 사용자 에이전트 또는 기타 특성이 예기치 않은 경우 관리자는 이 위험 이벤트를 잠재적 토큰 재생의 지표로 고려해야 합니다.
비정상적 이동
오프라인으로 계산됩니다. 이 위험 탐지 유형은 지리적으로 먼 두 위치에서 발생하는 두 개의 로그인 이벤트를 식별합니다. 여기서 과거 행동을 고려할 때, 적어도 한 장소가 사용자에게 일반적이지 않을 수도 있습니다. 알고리즘은 두 로그인 사이의 시간과 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간을 포함하여 여러 요소를 고려합니다. 이 위험 이벤트는 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타낼 수 있습니다.
이 알고리즘은 조직의 다른 사용자가 정기적으로 사용하는 VPN 및 위치와 같은 불가능한 이동 조건에 영향을 주는 확실한 "가양성"을 무시합니다. 시스템은 초기 학습 기간(14일 또는 로그인 10회 중 먼저 다가오는 날짜) 동안 새 사용자의 로그인 동작을 학습합니다.
이동 불가능
오프라인으로 계산됩니다. 이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 이 검색은 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸리는 시간보다 짧은 기간 내에 지리적으로 먼 위치에서 발생하는 사용자 활동(단일 또는 여러 세션에서)을 식별합니다. 이 위험 이벤트는 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타낼 수 있습니다.
악성 IP 주소
오프라인으로 계산됩니다. 이 탐지는 악성 IP 주소로부터의 로그인을 나타냅니다. IP 주소 또는 다른 IP 평판 출처에서 받은 잘못된 자격 증명으로 인한 높은 실패율을 기준으로 IP 주소를 악성으로 간주합니다. 경우에 따라 이 탐지는 이전에 발생한 악의적인 활동을 감지할 수 있습니다.
중요한 파일에 대량 액세스
오프라인으로 계산됩니다. 이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견됩니다. 이 검색은 사용자 환경을 살펴보고 사용자가 Microsoft SharePoint Online 또는 Microsoft OneDrive에서 여러 파일에 액세스할 때 경고를 트리거합니다. 사용자에게 액세스된 파일 수가 드물고 파일에 중요한 정보가 포함될 수 있는 경우에만 경고가 트리거됩니다.
새 국가
오프라인으로 계산됩니다. 이 탐지는 클라우드용 Microsoft Defender 앱에서 제공하는 정보를 사용하여 발견되었습니다. 이 탐지는 새롭거나 드물게 사용되는 위치를 결정하기 위해 과거의 활동 장소를 고려합니다. 변칙 검색 엔진은 조직에서 사용자가 사용한 이전 위치에 대한 정보를 저장합니다.
암호 스프레이
실시간 또는 오프라인으로 계산됩니다. 암호 스프레이 공격은 통합된 무차별 암호 대입 방식으로 공통 암호를 사용하여 복수 ID를 공격하는 것입니다. 위험 검색은 계정의 암호가 유효하고 로그인을 시도할 때 트리거됩니다. 이 탐지는 사용자의 암호가 암호 스프레이 공격을 통해 올바르게 식별되었음을 알리는 것이며, 공격자가 리소스에 액세스할 수 있었던 것은 아닙니다.
의심스러운 브라우저
오프라인으로 계산됩니다. 의심스러운 브라우저 감지는 동일한 브라우저에서 여러 국가/지역의 여러 테넌트를 포함하여 발생하는 의심스러운 로그인 활동에 따라 비정상적인 동작을 나타냅니다.
의심스러운 받은 편지함 전달
오프라인으로 계산됩니다. 이 감지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견됩니다. 이 검색은 의심스러운 메일 전달 규칙(예: 사용자가 모든 메일의 복사본을 외부 주소로 전달하는 받은 편지함 규칙을 만든 경우)을 찾습니다.
의심스러운 받은 편지함 조작 규칙
오프라인으로 계산됩니다. 이 탐지는 Microsoft Defender for Cloud Apps에서 제공한 정보를 사용하여 발견되었습니다. 의심스러운 규칙이 사용자의 받은 편지함에서 메시지나 폴더를 삭제하거나 이동하도록 설정되면, 이 탐지 시스템은 환경을 모니터링하여 경고를 발령합니다. 이 검색은 사용자의 계정이 손상되고, 메시지가 의도적으로 숨겨지고, 사서함이 조직에서 스팸 또는 맬웨어를 배포하는 데 사용되고 있음을 나타낼 수 있습니다.
토큰 발급자 비정상 현상
오프라인으로 계산됩니다. 이 위험 감지는 관련 SAML 토큰에 대한 SAML 토큰 발급자가 잠재적으로 손상되었음을 나타냅니다. 토큰에 포함된 클레임아 비정상적이거나 알려진 공격자 패턴과 일치합니다.
토큰 발급자 이상 탐지를 조사하기 위한 팁을 제공합니다.
일반적이지 않은 로그인 속성
실시간으로 계산됩니다. 이 위험 검색 유형은 이전 로그인 기록을 고려하여 비정상적인 로그인을 찾습니다. 시스템은 이전 로그인에 대한 정보를 저장하고 사용자에게 익숙하지 않은 속성으로 로그인이 발생할 때 위험 검색을 트리거합니다. 이러한 속성에는 IP, ASN, 위치, 디바이스, 브라우저 및 테넌트 IP 서브넷이 포함될 수 있습니다. 새로 생성된 사용자는 "학습 모드" 기간 동안에 있으며, 이 기간 동안 알고리즘이 사용자의 행동을 학습하는 사이에는 익숙하지 않은 로그인 속성에 대한 위험 탐지가 비활성화됩니다. 학습 모드 기간은 유동적이며, 알고리즘이 사용자의 로그인 패턴에 대한 충분한 정보를 수집하는 데 얼마나 많은 시간이 걸리는지에 따라 달라집니다. 최소 기간은 5일입니다. 장기간 비활성 상태였던 사용자는 학습 모드로 돌아갈 수 있습니다.
기본 인증 또는 레거시 프로토콜에 대해서도 이 탐지가 실행됩니다. 이러한 프로토콜에는 클라이언트 ID와 같은 최신 속성이 포함되지 않아 잘못된 양성 결과를 줄일 수 있는 데이터가 제한적입니다. 따라서 고객은 최신 인증 방식으로 이전하는 것이 좋습니다.
낯선 로그인 속성은 대화형 및 비대화형 로그인 모두에서 탐지될 수 있습니다. 비대화형 로그인에서 이 탐지가 발생하면 토큰 재생 공격의 위험으로 인해 추가적인 검토가 필요합니다.
익숙하지 않은 로그인 속성 위험을 선택하면 이 위험이 트리거된 이유에 대한 자세한 정보를 볼 수 있습니다.
확인된 위협 행위자 IP
실시간으로 계산됩니다. 이 위험 이벤트 검색 유형은 MSTIC(Microsoft Threat Intelligence Center)의 데이터를 기반으로 국가 주 행위자 또는 사이버 범죄 그룹과 연결된 알려진 IP 주소와 일치하는 로그인 활동을 나타냅니다.
프리미엄 사용자 위험 탐지
비정상적인 토큰(사용자)
실시간 또는 오프라인으로 계산됩니다. 이 탐지는 특이한 수명 또는 낯선 위치에서 재생된 토큰과 같은 토큰의 비정상적인 특성을 나타냅니다. 이 탐지에서는 세션 토큰 및 새로 고침 토큰을 다룹니다.
비정상적인 토큰은 동일한 위험 수준에서 다른 감지보다 더 많은 노이즈를 발생하도록 조정됩니다. 이 절충은 그렇지 않으면 눈에 띄지 않을 수 있는 재생된 토큰을 검색할 가능성을 높이기 위해 선택됩니다. 이 탐지에 의해 플래그가 지정된 일부 세션이 거짓 양성일 가능성이 정상보다 높습니다. 사용자의 다른 로그인 상황과 관련하여 이 탐지에서 플래그로 지정된 세션을 조사하는 것이 좋습니다. 사용자에게 위치, 애플리케이션, IP 주소, 사용자 에이전트 또는 기타 특성이 예기치 않은 경우 관리자는 이 위험 이벤트를 잠재적 토큰 재생의 지표로 고려해야 합니다.
비정상적인 사용자 활동
오프라인으로 계산됩니다. 이 위험 검색은 Microsoft Entra ID의 일반적인 관리자 동작을 기준으로 삼고 디렉터리에 대한 의심스러운 변경과 같은 비정상적인 동작 패턴을 찾아냅니다. 변경을 수행하는 관리자 또는 변경된 개체에 대한 탐지가 시작됩니다.
중간에 있는 공격자
오프라인으로 계산됩니다. 중간자 공격(Adversary in the Middle, AiTM)이라고도 알려진 이 정밀 탐지는 인증 세션이 악성 역방향 프록시에 연결될 때 트리거됩니다. 이러한 종류의 공격에서 악의적 사용자는 사용자에게 발급된 토큰을 포함하여 사용자의 자격 증명을 가로챌 수 있습니다. Microsoft 보안 연구 팀은 Microsoft 365 Defender를 활용하여 식별된 위험을 캡처하고 사용자를 높은 위험 수준으로 설정합니다. 관리자가 이 탐지가 발생할 때 사용자를 수동으로 조사하여 위험이 해결되었는지 확인하는 것이 좋습니다. 이 위험 이벤트를 지우려면 보안 암호 재설정 또는 기존 세션의 해지가 필요할 수 있습니다.
PRT(기본 새로 고침 토큰)에 액세스하려고 할 수 있습니다.
오프라인으로 계산됩니다. 이 위험 검색 유형은 MDE(엔드포인트용 Microsoft Defender)에서 제공한 정보를 사용하여 검색됩니다. PRT(기본 새로 고침 토큰)는 Windows 10, Windows Server 2016 이상 버전, iOS 및 Android 디바이스에서 Microsoft Entra 인증의 주요 아티팩트입니다. PRT는 해당 디바이스에서 사용되는 애플리케이션에서 SSO(Single Sign-On)를 사용하도록 설정하기 위해 Microsoft 자사 토큰 브로커에 발급된 JWT(JSON Web Token)입니다. 공격자는 이 리소스에 액세스하여 조직으로 수평 이동하거나 자격 증명 도용을 수행할 수 있습니다. 이 탐지는 사용자를 높은 위험으로 분류하며, MDE를 배포하는 조직에서만 실행됩니다. 이 탐지는 위험도가 높아 이러한 사용자에 대해 신속한 조치를 취할 것을 권장합니다. 볼륨이 적기 때문에 대부분의 조직에서 자주 나타나지 않습니다.
의심스러운 API 트래픽
오프라인으로 계산됩니다. 이 위험 감지는 비정상적인 GraphAPI 트래픽 또는 디렉터리 열거가 관찰될 때 보고됩니다. 의심스러운 API 트래픽은 사용자가 손상되어 환경에서 정찰을 수행하고 있음을 시사할 수 있습니다.
의심스러운 송신 패턴
오프라인으로 계산됩니다. 이 위험 감지 유형은 Microsoft Defender for Office 365(MDO)가 제공한 정보를 통해 발견됩니다. 이 경고는 조직의 누군가가 의심스러운 전자 메일을 보내거나 전자 메일을 보낼 위험 이벤트가 있거나 제한될 때 생성됩니다. 이 탐지는 사용자를 중간 위험 수준으로 이동시키며, MDO를 배포하는 조직에서만 작동합니다. 이 탐지는 발생 빈도가 낮고 대부분의 조직에서 드물게 나타납니다.
사용자가 의심스러운 활동을 보고했습니다.
오프라인으로 계산됩니다. 이 위험 탐지는 사용자가 MFA(다단계 인증) 프롬프트를 거부하고 이를 의심스러운 활동으로 보고할 때 보고됩니다. 사용자가 시작하지 않은 MFA 프롬프트는 자격 증명이 손상되었음을 의미할 수 있습니다.
비프리미엄 탐지
Microsoft Entra ID P2 라이선스가 없는 고객은 추가 위험 감지라는 제목의 감지를 받지만, P2 라이선스를 보유한 고객이 받을 수 있는 세부 정보는 제공되지 않습니다. 자세한 내용은 라이선스 요구 사항을 참조하세요.
비프리미엄 로그인 위험 탐지
추가 위험이 감지됨(로그인)
실시간 또는 오프라인으로 계산됩니다. 이 검색은 프리미엄 검색 중 하나가 검색되었음을 나타냅니다. 프리미엄 감지는 Microsoft Entra ID P2 고객에게만 보이므로, Microsoft Entra ID P2 라이선스가 없는 고객에게는 추가 위험 감지라는 제목이 붙습니다.
관리자가 사용자 계정이 침해되었음을 확인했습니다.
오프라인으로 계산됩니다. 이 탐지는 관리자가 위험한 사용자 UI 또는 riskyUsers API에서 사용자가 손상됨을 확인을 선택했음을 나타냅니다. 이 사용자가 손상되었음을 확인한 관리자를 확인하려면 사용자의 위험 이벤트 기록(UI 또는 API를 통해)을 확인합니다.
익명 IP 주소
실시간으로 계산됩니다. 이 위험 검색 유형은 익명 IP 주소(예: Tor 브라우저, 익명 VPN)에서 수행하는 로그인을 나타냅니다. 이러한 IP 주소는 일반적으로 잠재적인 악의적인 의도를 위해 로그인 정보(IP 주소, 위치, 디바이스 등)를 숨기려는 작업자가 사용합니다.
Microsoft Entra 위협 인텔리전스(로그인)
실시간 또는 오프라인으로 계산됩니다. 이 위험 검색 유형은 사용자에 대해 비정상적이거나 알려진 공격 패턴과 일치하는 사용자 활동을 나타냅니다. 이 검색은 Microsoft의 내부 및 외부 위협 인텔리전스 원본을 기반으로 합니다.
Microsoft Entra 위협 인텔리전스 탐지를 조사하는 팁입니다.
일반 사용자 위험 탐지
검색된 추가 위험(사용자)
실시간 또는 오프라인으로 계산됩니다. 이 탐지는 프리미엄 탐지 중 하나가 발견되었음을 나타냅니다. 프리미엄 탐지는 Microsoft Entra ID P2 고객에게만 보이므로, Microsoft Entra ID P2 라이선스를 보유하고 있지 않은 고객에게는 추가 위험 탐지됨이라는 제목이 지정됩니다.
유출된 자격 증명
오프라인으로 계산됩니다. 이 위험 감지 유형은 사용자의 유효한 자격 증명이 유출되었음을 나타냅니다. 사이버 범죄자가 합법적인 사용자의 유효한 암호를 손상시키는 경우 범죄자는 종종 이러한 수집된 자격 증명을 공유합니다. 이 공유는 주로 다크 웹, 붙여넣기 사이트에 공개적으로 게시하거나 암시장에서 자격 증명을 거래하고 판매하는 방식으로 이루어집니다. Microsoft 유출 자격 증명 서비스가 다크 웹, 붙여넣기 사이트 또는 기타 원본에서 사용자 자격 증명을 획득하면 Microsoft Entra 사용자의 현재 유효한 자격 증명과 비교하여 유효한 일치 항목을 찾습니다. 유출된 자격 증명에 대한 자세한 내용은 일반적인 질문을 참조하세요.
Microsoft Entra 위협 인텔리전스(사용자)
오프라인으로 계산됩니다. 이 위험 검색 유형은 사용자에 대해 비정상적이거나 알려진 공격 패턴과 일치하는 사용자 활동을 나타냅니다. 이 검색은 Microsoft의 내부 및 외부 위협 인텔리전스 원본을 기반으로 합니다.
Microsoft Entra 위협 인텔리전스 탐지를 조사하기 위한 팁입니다.
일반적인 질문
로그인을 시도하는 데 잘못된 자격 증명을 사용한 경우 어떻게 해야 할까요?
ID 보호는 올바른 자격 증명을 사용하는 경우에만 위험 검색을 생성합니다. 로그인에 잘못된 자격 증명을 사용하는 경우 자격 증명이 손상될 위험이 없습니다.
암호 해시 동기화가 필요한가요?
유출된 자격 증명 같은 위험 검색은 암호 해시가 있어야 검색할 수 있습니다. 암호 해시 동기화에 대한 자세한 내용은 Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화 구현 문서를 참조하세요.
비활성화된 계정에 대해 위험 탐지가 생성되는 이유는 무엇인가요?
사용 안 함 상태의 사용자 계정을 다시 사용하도록 설정할 수 있습니다. 비활성화된 계정의 자격 증명이 손상되고 계정을 다시 활성화하면 잘못된 행위자는 이러한 자격 증명을 사용하여 액세스 권한을 얻을 수 있습니다. ID 보호는 이 비활성화된 계정에 대한 의심스러운 활동의 위험 탐지를 생성하여 잠재적인 계정 침해에 대해 고객에게 경고합니다. 계정이 더 이상 사용되지 않으며 다시 활성화되지 않은 경우 고객은 이를 삭제하여 손상을 방지해야 합니다. 삭제된 계정에 대해서는 위험 검색이 생성되지 않습니다.
검색 시간 열을 사용하여 위험 검색 보고서를 정렬하려고 했지만 작동하지 않습니다.
위험 검색 보고서에서 검색 시간 기준으로 정렬하면 알려진 기술 제약 조건으로 인해 항상 올바른 결과가 표시되지 않을 수 있습니다. 검색 시간기준으로 정렬하려면 다운로드 선택하여 데이터를 CSV 파일로 내보내고 그에 따라 정렬합니다.
일반적인 유출된 자격 증명 질문
Microsoft는 유출된 자격 증명을 어디에서 찾나요?
Microsoft는 다음을 비롯한 다양한 위치에서 유출된 자격 증명을 찾습니다.
- 악의적인 행위자가 일반적으로 이러한 자료를 게시하는 공개 붙여넣기 사이트입니다.
- 법률 집행 기관.
- 다크 웹을 조사하는 Microsoft 내 기타 그룹.
유출된 자격 증명이 표시되지 않는 이유는 무엇인가요?
Microsoft에서 공개된 새 데이터 배치를 발견할 때마다 유출된 인증 정보가 처리됩니다. 유출된 자격 증명은 중요하기 때문에 처리 직후 삭제됩니다. 암호 해시 동기화 사용PHS(암호 해시 동기화)를 활성화한 후 발견된 새로 유출된 자격 증명만 테넌트에 대해 처리됩니다. 이전에 찾은 자격 증명 쌍에 대한 확인은 수행되지 않습니다.
유출된 자격 증명 위험 이벤트가 보이지 않습니다.
유출된 자격 증명 위험 이벤트가 표시되지 않는 경우 다음과 같은 이유로 인해 발생합니다.
- 테넌트에 PHS를 사용하도록 설정하지 않았습니다.
- Microsoft는 사용자와 일치하는 유출된 자격 증명 쌍을 찾지 못했습니다.
Microsoft에서 얼마나 자주 새 자격 증명을 처리하나요?
자격 증명은 검색 후 즉시 처리되며 일반적으로 하루에 여러 번 일괄 처리됩니다.
위치
위험 검색의 위치는 IP 주소 조회를 사용하여 결정됩니다. 신뢰할 수 있는 명명된 위치에서 로그인하면 Microsoft Entra ID Protection의 위험 계산 정확도가 향상되어 신뢰할 수 있는 위치에서 인증할 때 사용자의 로그인 위험이 낮아질 수 있습니다.