자습서: UEBA(동작 분석)를 사용하여 의심스러운 사용자 활동 검색

Microsoft Defender for Cloud Apps 손상된 사용자, 내부자 위협, 반출, 랜섬웨어 등에 대한 공격 킬 체인 전반에 걸쳐 최고 수준의 탐지 기능을 제공합니다. 이 포괄적인 솔루션은 변칙, UEBA(동작 분석) 및 규칙 기반 활동 검색을 비롯한 여러 검색 방법을 결합하여 사용자가 사용자 환경에서 앱을 사용하는 방법에 대한 광범위한 보기를 제공하여 달성됩니다.

그렇다면 의심스러운 동작을 검색하는 것이 중요한 이유는 무엇일까요? 클라우드 환경을 변경할 수 있는 사용자의 영향은 중요하고 비즈니스 운영 능력에 직접적인 영향을 줄 수 있습니다. instance 경우 고객에게 제공하는 공개 웹 사이트 또는 서비스를 실행하는 서버와 같은 주요 회사 리소스가 손상될 수 있습니다.

여러 원본에서 캡처한 데이터를 사용하여 Defender for Cloud Apps 데이터를 분석하여 organization 앱 및 사용자 활동을 추출하여 보안 분석가에게 클라우드 사용에 대한 가시성을 제공합니다. 수집된 데이터는 위협 인텔리전스, 위치 및 기타 많은 세부 정보로 상호 연결되고 표준화되며 보강되어 의심스러운 활동에 대한 정확하고 일관된 보기를 제공합니다.

따라서 이러한 검색의 이점을 완전히 실현하려면 먼저 다음 원본을 구성해야 합니다.

• 활동 로그
  API 연결 앱의 활동.
• 검색 로그
  Defender for Cloud Apps 전달되는 방화벽 및 프록시 트래픽 로그에서 추출된 활동입니다. 로그는 90개 이상의 위험 요소를 기반으로 클라우드 앱 카탈로그에 대해 분석되고 순위가 매겨지고 점수가 매겨집니다.
• 프록시 로그
  조건부 액세스 앱 제어 앱의 활동.

다음으로, 정책을 조정하려고 합니다. 필터, UEBA(동적 임계값)를 설정하여 검색 모델을 학습시키고 일반적인 가양성 검색을 줄이기 위한 억제를 설정하여 다음 정책을 미세 조정할 수 있습니다.

• 이상 탐지
• 클라우드 검색 변칙 검색
• 규칙 기반 활동 검색

이 자습서에서는 사용자 활동 검색을 조정하여 실제 손상을 식별하고 대량의 가양성 검색 처리로 인한 경고 피로를 줄이는 방법을 알아봅니다.

• IP 주소 범위 구성
• 변칙 검색 정책 조정
• 클라우드 검색 변칙 검색 정책 조정
• 규칙 기반 검색 정책 조정
• 경고 구성
• 조사 및 수정

1단계: IP 주소 범위 구성

개별 정책을 구성하기 전에 모든 유형의 의심스러운 사용자 활동 검색 정책을 미세 조정하는 데 사용할 수 있도록 IP 범위를 구성하는 것이 좋습니다.

IP 주소 정보는 거의 모든 조사에 매우 중요하기 때문에 알려진 IP 주소를 구성 하면 기계 학습 알고리즘이 알려진 위치를 식별하고 기계 학습 모델의 일부로 간주하는 데 도움이 됩니다. 예를 들어 VPN의 IP 주소 범위를 추가하면 VPN 위치가 해당 사용자의 실제 위치를 나타내지 않으므로 모델이 이 IP 범위를 올바르게 분류하고 불가능한 이동 검색에서 자동으로 제외하는 데 도움이 됩니다.

참고: 구성된 IP 범위는 검색으로 제한되지 않으며 활동 로그의 활동, 조건부 액세스 등과 같은 영역에서 Defender for Cloud Apps 전체에서 사용됩니다. 범위를 구성할 때는 이 점을 염두에 두어야 합니다. 예를 들어 실제 사무실 IP 주소를 식별하면 로그 및 경고가 표시 및 조사되는 방식을 사용자 지정할 수 있습니다.

기본 제공 변칙 검색 경고 검토

Defender for Cloud Apps 다양한 보안 시나리오를 식별하기 위한 변칙 검색 경고 집합이 포함되어 있습니다. 이러한 검색은 즉시 자동으로 사용하도록 설정되며, 관련 앱 커넥터 가 연결되는 즉시 사용자 활동을 프로파일하고 경고를 생성하기 시작합니다.

먼저 다양한 검색 정책을 숙지하고, organization 가장 관련성이 있다고 생각되는 주요 시나리오의 우선 순위를 지정하고, 그에 따라 정책을 조정합니다.

2단계: 변칙 검색 정책 조정

일반적인 보안 사용 사례에 대해 미리 구성된 Defender for Cloud Apps 몇 가지 기본 제공 변칙 검색 정책을 사용할 수 있습니다. 다음과 같은 인기 있는 검색을 숙지하는 데 다소 시간이 걸릴 수 있습니다.

• 불가능한 이동
  두 위치 간의 예상 이동 시간보다 짧은 기간 내에 서로 다른 위치에 있는 동일한 사용자의 활동입니다.
• 의외의 국가에서의 활동
  사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치의 활동입니다.
• 맬웨어 탐지
  클라우드 앱의 파일을 검색하고 Microsoft의 위협 인텔리전스 엔진을 통해 의심스러운 파일을 실행하여 알려진 맬웨어와 연결되어 있는지 확인합니다.
• 랜섬웨어 활동
  랜섬웨어에 감염되었을 수 있는 클라우드로의 파일 업로드.
• 의심스러운 IP 주소의 활동
  Microsoft Threat Intelligence에서 위험으로 식별된 IP 주소의 활동입니다.
• 의심스러운 받은 편지함 전달
  사용자의 받은 편지함에 설정된 의심스러운 받은 편지함 전달 규칙을 탐지합니다.
• 비정상적인 여러 파일 다운로드 활동
  학습한 기준에 비해 단일 세션에서 여러 파일 다운로드 활동이 탐지되는 경우로 이는 보안 위반 시도를 나타낼 수 있습니다.
• 비정상적인 관리 활동
  학습한 기준에 비해 단일 세션에서 수차례 관리 활동이 감지되며 이 경우 보안 위반 시도임을 나타낼 수 있습니다.

검색의 전체 목록과 수행하는 작업은 변칙 검색 정책을 참조하세요.

참고

일부 변칙 검색은 주로 문제가 있는 보안 시나리오를 검색하는 데 초점을 맞추고 있지만, 다른 항목은 반드시 손상을 나타내지 않을 수 있는 비정상적인 사용자 동작을 식별하고 조사하는 데 도움을 줄 수 있습니다. 이러한 검색을 위해 Microsoft Defender XDR 고급 헌팅 환경에서 사용할 수 있는 "동작"이라는 또 다른 데이터 형식을 만들었습니다. 자세한 내용은 동작을 참조하세요.

정책을 숙지한 후에는 organization 특정 요구 사항에 맞게 세부 조정하여 더 자세히 조사할 수 있는 활동을 더 잘 대상으로 지정하는 방법을 고려해야 합니다.

1. 특정 사용자 또는 그룹으로 정책 범위 지정

   특정 사용자에 대한 정책 범위를 지정하면 organization 관련이 없는 경고의 노이즈를 줄이는 데 도움이 될 수 있습니다. 다음 예제와 같이 특정 사용자 및 그룹을 포함하거나 제외하도록 각 정책을 구성할 수 있습니다.

   • 공격 시뮬레이션
     많은 조직에서 사용자 또는 그룹을 사용하여 지속적으로 공격을 시뮬레이트합니다. 분명히 이러한 사용자의 활동으로부터 지속적으로 경고를 받는 것은 의미가 없습니다. 따라서 이러한 사용자 또는 그룹을 제외하도록 정책을 구성할 수 있습니다. 또한 기계 학습 모델은 이러한 사용자를 식별하고 그에 따라 동적 임계값을 미세 조정하는 데 도움이 됩니다.
   • 대상 검색
     organization 관리자 또는 CXO 그룹의 구성원과 같은 특정 VIP 사용자 그룹을 조사하는 데 관심이 있을 수 있습니다. 이 시나리오에서는 검색하려는 활동에 대한 정책을 만들고 관심 있는 사용자 또는 그룹 집합만 포함하도록 선택할 수 있습니다.

2. 비정상적인 로그인 검색 튜닝

   일부 조직에서는 누군가가 하나 이상의 사용자 계정을 대상으로 하려고 함을 나타낼 수 있으므로 실패한 로그인 활동 으로 인한 경고를 확인하려고 합니다. 반면에 사용자 계정에 대한 무차별 암호 대입 공격은 클라우드에서 항상 발생하며 조직은 이를 막을 방법이 없습니다. 따라서 대규모 조직에서는 일반적으로 의심스러운 로그인 활동에 대한 경고만 수신하여 성공적인 로그인 활동이 발생할 수 있으므로 실제 손상을 나타낼 수 있습니다.

   ID 도용은 손상의 핵심 소스이며 organization 주요 위협 벡터를 발생합니다. 불가능한 여행, 의심스러운 IP 주소의 활동 및 드문 국가/지역 검색 경고는 계정이 잠재적으로 손상되었음을 암시하는 활동을 검색하는 데 도움이 됩니다.

3. 불가능한 이동의 민감도 조정 불가능한 이동 경고를 트리거하기 전에 비정상적인 동작에 적용되는 억제 수준을 결정하는 민감도 슬라이더를 구성합니다. 예를 들어 높은 충실도에 관심이 있는 조직은 민감도 수준을 높이는 것을 고려해야 합니다. 반면에 organization 이동하는 사용자가 많은 경우 민감도 수준을 낮추어 이전 활동에서 배운 사용자의 공통 위치에서 활동을 표시하지 않는 것이 좋습니다. 다음 민감도 수준에서 선택할 수 있습니다.

   • 낮음: 시스템, 테넌트 및 사용자 표시 안 함
   • 중간: 시스템 및 사용자 표시 안 함
   • 높음: 시스템 억제만

   여기서,

   억제 유형	설명
   시스템	기본 제공되는 탐지 기능으로 항상 표시되지 않습니다.
   테넌트	테넌트의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 organization 이전에 경고한 ISP의 활동을 표시하지 않습니다.
   사용자	특정 사용자의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 사용자가 일반적으로 사용하는 위치에서 활동을 표시하지 않습니다.

3단계: 클라우드 검색 변칙 검색 정책 조정

변칙 검색 정책과 마찬가지로 세밀하게 조정할 수 있는 몇 가지 기본 제공 클라우드 검색 변칙 검색 정책이 있습니다. 예를 들어 비사용 앱에 대한 데이터 반출 정책은 데이터가 허가되지 않은 앱으로 반출되고 보안 필드의 Microsoft 환경을 기반으로 하는 설정으로 미리 구성된 경우 경고합니다.

그러나 기본 제공 정책을 미세 조정하거나 고유한 정책을 만들어 조사에 관심이 있는 다른 시나리오를 식별하는 데 도움이 될 수 있습니다. 이러한 정책은 클라우드 검색 로그를 기반으로 하므로 비정상적인 앱 동작 및 데이터 반출에 더 초점을 맞춘 다양한 튜닝 기능이 있습니다.

1. 사용량 모니터링 조정
   비정상적인 동작을 검색하기 위한 기준, scope 및 활동 기간을 제어하도록 사용 필터를 설정합니다. 예를 들어 임원급 직원과 관련된 비정상적인 활동에 대한 경고를 받을 수 있습니다.

2. 경고 민감도 조정
   경고 피로를 방지하려면 경고의 민감도를 구성합니다. 민감도 슬라이더를 사용하여 주당 1,000명의 사용자당 전송되는 고위험 경고 수를 제어할 수 있습니다. 민감도가 높을수록 변칙으로 간주되고 더 많은 경고를 생성하기 위해 더 적은 분산이 필요합니다. 일반적으로 기밀 데이터에 액세스할 수 없는 사용자에 대해 낮은 민감도를 설정합니다.

4단계: 규칙 기반 검색(활동) 정책 조정

규칙 기반 검색 정책을 사용하면 organization 특정 요구 사항으로 변칙 검색 정책을 보완할 수 있습니다. 활동 정책 템플릿 중 하나를 사용하여 규칙 기반 정책을 만든 다음( 컨트롤>템플릿 으로 이동하여 형식 필터를 활동 정책으로 설정) 환경에 대해 정상이 아닌 동작을 검색하도록 구성하는 것이 좋습니다. 예를 들어 특정 국가/지역에 없는 일부 organization 해당 국가/지역에서 비정상적인 활동을 감지하고 경고하는 정책을 만드는 것이 합리적일 수 있습니다. 해당 국가/지역에 큰 지점이 있는 다른 사람의 경우 해당 국가/지역의 활동은 정상이며 이러한 활동을 감지하는 것은 의미가 없습니다.

1. 작업 볼륨 튜닝
   검색에서 경고를 발생하기 전에 필요한 활동 볼륨을 선택합니다. 국가/지역 예제를 사용하면 국가/지역에 없는 경우 단일 활동도 중요하며 경고를 보증합니다. 그러나 단일 로그인 실패는 사람의 오류일 수 있으며 짧은 기간 동안 많은 오류가 있는 경우에만 관심을 가질 수 있습니다.
2. 활동 필터 튜닝
   경고하려는 활동 유형을 검색하는 데 필요한 필터를 설정합니다. 예를 들어 국가/지역에서 활동을 검색하려면 Location 매개 변수를 사용합니다.
3. 경고 조정
   경고 피로를 방지하려면 일일 경고 제한을 설정합니다.

5단계: 경고 구성

참고

2022년 12월 15일부터 경고/SMS(문자 메시지)는 더 이상 사용되지 않습니다. 텍스트 경고를 받으려면 사용자 지정 경고 자동화에 Microsoft Power Automate를 사용해야 합니다. 자세한 내용은 사용자 지정 경고 자동화를 위해 Microsoft Power Automate와 통합을 참조하세요.

요구 사항에 가장 적합한 형식 및 매체로 경고를 받도록 선택할 수 있습니다. 하루 중 언제든지 즉각적인 경고를 받으려면 이메일을 통해 경고를 수신하는 것이 좋습니다.

또한 organization 다른 제품에 의해 트리거되는 다른 경고의 컨텍스트에서 경고를 분석하여 잠재적 위협에 대한 전체적인 보기를 제공할 수도 있습니다. 예를 들어 클라우드 기반 이벤트와 온-프레미스 이벤트 간에 상관 관계를 지정하여 공격을 확인할 수 있는 다른 완화 증거가 있는지 확인할 수 있습니다.

또한 Microsoft Power Automate와의 통합을 사용하여 사용자 지정 경고 자동화를 트리거할 수도 있습니다. 예를 들어 Playbook을 설정하여 ServiceNow 에서 문제를 자동으로 만들거나 경고가 트리거될 때 사용자 지정 거버넌스 작업을 실행하도록 승인 이메일을 보낼 수 있습니다.

다음 지침을 사용하여 경고를 구성합니다.

1. 전자 메일
   메일로 경고를 받으려면 이 옵션을 선택합니다.
2. SIEM
   Microsoft Sentinel, Microsoft Graph 보안 API 및 기타 일반 SIEM을 비롯한 여러 SIEM 통합 옵션이 있습니다. 요구 사항을 가장 잘 충족하는 통합을 선택합니다.
3. Power Automate 자동화
   필요한 자동화 플레이북을 만들고 Power Automate 작업에 대한 정책의 경고로 설정합니다.

6단계: 조사 및 수정

정책을 설정하고 의심스러운 활동 경고를 받기 시작했습니다. 당신은 그들에 대해 무엇을해야합니까? 시작하려면 활동을 조사하는 단계를 수행해야 합니다. 예를 들어 사용자가 손상되었음을 나타내는 활동을 살펴볼 수 있습니다.

보호를 최적화하려면 organization 위험을 최소화하기 위해 자동 수정 작업을 설정하는 것이 좋습니다. Microsoft 정책을 사용하면 조사를 시작하기 전에도 organization 대한 위험을 줄일 수 있도록 경고와 함께 거버넌스 작업을 적용할 수 있습니다. 사용 가능한 작업은 사용자 일시 중단 또는 요청된 리소스에 대한 액세스 차단과 같은 작업을 포함하여 정책 유형에 따라 결정됩니다.

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.

자세히 알아보기

• 대화형 가이드: 위협을 감지하고 Microsoft Defender for Cloud Apps 사용하여 경고 관리