모니터링 및 위협 탐지에 대한 권장 사항
이 Power Platform Well-Architected Security 체크리스트 권장 사항에 적용됩니다.
| 남동:08 | 플랫폼과 통합할 수 있는 최신 위협 탐지 메커니즘을 기반으로 하는 전체적인 모니터링 전략을 구현합니다. 메커니즘은 분류에 대해 안정적으로 경고하고 기존 SecOps 프로세스에 신호를 보내야 합니다. |
|---|
이 가이드에서는 모니터링 및 위협 탐지에 대한 권장 사항을 설명합니다. 모니터링은 기본적으로 이미 발생한 이벤트에 대한 정보를 얻는 프로세스입니다. 보안 모니터링은 의심스러운 활동을 인식하기 위해 워크로드(ID, 흐름, 애플리케이션, 운영)의 다양한 수준에서 정보를 캡처하는 방법입니다. 목표는 사건을 예측하고 과거 사건으로부터 배우는 것입니다. 모니터링 데이터는 발생한 사건에 대한 인시던트 후 분석의 기초를 제공하여 사고 대응 및 포렌식 조사에 도움이 됩니다.
모니터링은 모든 Well-Architected 기둥에 적용되는 운영 우수성 접근 방식입니다. Power Platform 이 가이드는 보안 관점에서만 권장 사항을 제공합니다. 모니터링의 일반적인 개념은 모니터링 시스템 설계 및 생성을 위한 권장 사항에서 다룹니다.
정의
| 용어 | 정의 |
|---|---|
| 감사 로그 | 시스템의 활동 레코드입니다. |
| 보안 정보 및 이벤트 관리(SIEM) | 여러 소스에서 집계된 데이터를 기반으로 내장된 위협 탐지 및 인텔리전스 기능을 사용하는 접근 방식입니다. |
| 위협 탐지 | 수집, 분석, 상관관계가 있는 데이터를 사용하여 예상된 조치와의 편차를 감지하는 전략입니다. |
| 위협 인텔리전스 | 패턴을 조사하여 의심스러운 활동이나 위협을 탐지하기 위해 위협 탐지 데이터를 해석하는 전략입니다. |
| 위협 예방 | 자산을 보호하기 위해 다양한 고도의 워크로드에 배치되는 보안 제어입니다. |
주요 디자인 전략
보안 모니터링의 주요 목적은 위협 탐지입니다. 주요 목표는 잠재적인 보안 위반을 방지하고 안전한 환경을 유지하는 것입니다. 그러나 모든 위협을 선제적으로 차단할 수는 없다는 점을 인식하는 것도 마찬가지로 중요합니다. 이러한 경우 모니터링은 예방 노력에도 불구하고 발생한 보안 사고의 원인을 파악하는 메커니즘 역할도 합니다.
모니터링은 다양한 관점에서 접근할 수 있습니다.
다양한 고도에서 모니터링하세요. 다양한 고도에서 관찰하는 것은 사용자 흐름, 데이터 액세스, 신원, 네트워킹, 심지어 운영 체제에 대한 정보를 얻는 프로세스입니다. 이러한 각 영역은 보안 기준에 대해 설정된 예상 동작의 편차를 식별하는 데 도움이 되는 고유한 인사이트를 제공합니다. 반대로, 시간이 지남에 따라 시스템과 애플리케이션을 지속적으로 모니터링하면 기본 태세를 확립하는 데 도움이 될 수 있습니다. 예를 들어 일반적으로 ID 시스템에서 매시간 약 1,000번의 로그인 시도를 볼 수 있습니다. 모니터링 결과 짧은 기간 동안 50,000번의 로그인 시도 급증이 감지되면 공격자가 시스템에 액세스하려고 시도하는 것일 수 있습니다.
다양한 영향 범위를 모니터링합니다. 애플리케이션과 플랫폼을 관찰하는 것이 중요합니다. 애플리케이션 사용자가 실수로 권한 상승을 얻었거나 보안 위반이 발생했다고 가정해 보겠습니다. 사용자가 지정된 범위를 넘어서는 작업을 수행하는 경우 영향은 다른 사용자가 수행할 수 있는 작업으로 제한될 수 있습니다.
그러나 내부 엔터티가 데이터베이스를 손상시키는 경우 잠재적 피해 규모는 불확실합니다.
폭발 반경이나 충격 범위는 이러한 시나리오 중 어떤 것이 발생하는지에 따라 크게 다를 수 있습니다.
전문적인 모니터링 도구를 사용하세요. 공격을 나타낼 수 있는 비정상적인 동작을 지속적으로 검색할 수 있는 전문 도구에 투자하는 것이 중요합니다. 이러한 도구의 대부분은 대량의 데이터와 알려진 위협을 기반으로 예측 분석을 수행할 수 있는 위협 인텔리전스 기능을 갖추고 있습니다. 대부분의 도구는 상태 비저장이 아니며 보안 컨텍스트에서 원격 분석에 대한 심층적인 이해를 통합합니다.
플랫폼에서 깊은 신호를 얻고 높은 충실도로 예측하려면 도구가 플랫폼에 통합되어 있거나 최소한 플랫폼을 인식해야 합니다. 적절한 분류를 수행하기에 충분한 정보가 포함된 경고를 적시에 생성할 수 있어야 합니다. 다양한 도구를 너무 많이 사용하면 복잡성이 발생할 수 있습니다.
사고 대응을 위해 모니터링을 사용하세요. 실행 가능한 인텔리전스로 변환된 집계된 데이터는 인시던트에 대한 신속하고 효과적인 대응을 가능하게 합니다. 모니터링은 인시던트 후 활동에 도움이 됩니다. 목표는 무슨 일이 일어났는지 분석하고 이해하기에 충분한 데이터를 수집하는 것입니다. 모니터링 프로세스에서는 과거 이벤트에 대한 정보를 캡처하여 대응 능력을 향상하고 잠재적으로 향후 사고를 예측합니다.
다음 섹션에서는 이전 모니터링 관점을 통합하는 권장 사례를 제공합니다.
활동 추적을 위한 데이터 캡처
목표는 보안 관점에서 중요한 이벤트에 대한 포괄적인 감사 내역을 유지하는 것입니다. 로깅은 액세스 패턴을 캡처하는 가장 일반적인 방법입니다. 애플리케이션과 플랫폼에 대해 로깅을 수행해야 합니다.
감사 내역의 경우 작업과 관련된 무엇, 언제, 누구를 설정해야 하며, 작업이 수행되는 특정 기간을 식별해야 합니다. 위협 모델링에서 이러한 평가를 수행하십시오. 거부 위협에 대응하려면 활동 및 트랜잭션 레코드를 생성하는 강력한 로깅 및 감사 시스템을 구축해야 합니다.
다음 섹션에서는 워크로드의 몇 가지 일반적인 고도에 대한 사용 사례를 설명합니다.
워크로드 사용자 흐름
이벤트가 발생할 때 런타임 가시성을 제공하도록 워크로드를 설계해야 합니다. 워크로드 내의 중요한 지점을 식별하고 이러한 지점에 대한 로깅을 설정합니다. 사용자 권한의 상승, 사용자가 수행한 작업, 사용자가 보안 데이터 저장소의 중요한 정보에 액세스했는지 여부를 확인하는 것이 중요합니다. 사용자 및 사용자 세션의 활동을 추적합니다.
이러한 추적을 용이하게 하려면 코드를 구조화된 로깅을 통해 계측해야 합니다. 이렇게 하면 로그를 쉽고 균일하게 쿼리하고 필터링할 수 있습니다.
중요
시스템의 기밀성과 무결성을 유지하려면 책임 있는 로깅을 시행해야 합니다. 비밀과 중요한 데이터는 로그에 표시되어서는 안 됩니다. 이 로그 데이터를 캡처할 때 개인 데이터 유출 및 기타 규정 준수 요구 사항에 유의하세요.
ID 및 액세스 모니터링
애플리케이션에 대한 액세스 패턴과 플랫폼 리소스 수정에 대한 철저한 레코드를 유지 관리하세요. 공격자가 무단 액세스를 얻기 위해 ID를 조작하려고 시도하는 경우가 많기 때문에 특히 ID 관련 활동에 대한 강력한 활동 로그 및 위협 감지 메커니즘을 갖추고 있어야 합니다.
사용 가능한 모든 데이터 포인트를 사용하여 포괄적인 로깅을 구현하세요. 예를 들어 일반 사용자 활동과 예상치 못한 위치에서 발생하는 잠재적인 위협을 구별하려면 클라이언트 IP 주소를 포함하세요. 모든 로깅 이벤트는 서버에서 타임스탬프를 받아야 합니다.
모든 리소스 접근 활동을 기록하고 누가 무엇을 언제 하는지 파악합니다. 권한 상승 인스턴스는 기록되어야 하는 중요한 데이터 포인트입니다. 애플리케이션에 의한 계정 생성 또는 삭제와 관련된 작업도 기록되어야 합니다. 이 권장 사항은 애플리케이션 비밀로 확장됩니다. 비밀에 액세스하는 사람과 비밀이 교체되는 시기를 모니터링합니다.
성공적인 작업을 기록하는 것도 중요하지만 보안 관점에서 실패를 기록하는 것도 필요합니다. 사용자가 작업을 시도했지만 인증 실패, 존재하지 않는 리소스에 대한 액세스 시도, 기타 의심스러워 보이는 작업 등 모든 위반 사항을 문서화합니다.
네트워크 모니터링
세분화 설계에서는 경계의 관찰 지점을 활성화하여 경계를 통과하는 요소를 모니터링하고 해당 데이터를 기록해야 합니다. 예를 들어 흐름 로그를 생성하는 네트워크 보안 그룹이 있는 서브넷을 모니터링합니다. 또한 허용되거나 거부된 흐름을 보여주는 방화벽 로그를 모니터링하세요.
인바운드 연결 요청에 대한 액세스 로그가 있습니다. 이러한 로그는 요청을 시작하는 소스 IP 주소, 요청 유형(GET, POST) 및 요청의 일부인 기타 모든 정보를 기록합니다.
DNS 흐름을 캡처하는 것은 많은 조직에서 중요한 요구 사항입니다. 예를 들어, DNS 로그는 특정 DNS 쿼리를 시작한 사용자 또는 디바이스를 식별하는 데 도움이 될 수 있습니다. DNS 활동을 사용자/디바이스 인증 로그와 연관시켜 개별 클라이언트에 대한 활동을 추적할 수 있습니다. 이러한 책임은 워크로드 팀까지 확대되는 경우가 많으며, 특히 DNS 요청을 작업의 일부로 만드는 모든 것을 배포하는 경우 더욱 그렇습니다. DNS 트래픽 분석은 플랫폼 보안 가시성의 핵심 측면입니다.
예상치 못한 DNS 요청이나 알려진 명령 및 제어 엔드포인트를 향한 DNS 요청을 모니터링하는 것이 중요합니다.
트레이드오프: 모든 네트워크 활동을 기록하면 방대한 양의 데이터가 생성될 수 있습니다. 불행히도 부정적인 이벤트만 포착하는 것은 불가능합니다. 부정적인 이벤트는 발생한 후에야 식별할 수 있기 때문입니다. 캡처할 이벤트 유형과 이를 저장할 기간에 대한 전략적 결정을 내립니다. 주의하지 않으면 데이터 관리가 부담스러울 수 있습니다. 해당 데이터를 저장하는 비용에 대한 트레이드오프도 있습니다.
시스템 변경 사항 캡처
시스템의 무결성을 유지하려면 시스템 상태에 대한 정확한 최신 레코드가 있어야 합니다. 변경 사항이 있는 경우 이 레코드를 사용하여 발생하는 모든 문제를 즉시 해결할 수 있습니다.
빌드 프로세스도 원격 분석을 내보내야 합니다. 이벤트의 보안 컨텍스트를 이해하는 것이 중요합니다. 빌드 프로세스를 촉발한 원인, 누가, 언제 트리거했는지 알면 귀중한 인사이트를 얻을 수 있습니다.
리소스가 생성된 시점과 폐기되는 시점을 추적합니다. 이 정보는 플랫폼에서 추출되어야 합니다. 이 정보는 자원 관리 및 책임에 대한 귀중한 인사이트를 제공합니다.
리소스 구성의 드리프트를 모니터링합니다 기존 리소스에 대한 변경 사항을 문서화합니다. 또한 리소스 집합에 대한 출시의 일부로 완료되지 않은 변경 사항을 추적하세요. 로그에는 변경 내용과 정확한 발생 시간이 기록되어야 합니다.
패치 적용 관점에서 시스템이 최신 상태이고 안전한지 포괄적으로 살펴보세요. 계획대로 완료되는지 확인하기 위해 일상적인 업데이트 프로세스를 모니터링합니다. 완료되지 않은 보안 패치 프로세스는 취약점으로 간주되어야 합니다. 또한 패치 수준과 기타 필수 세부 정보를 기록하는 인벤토리를 유지해야 합니다.
변경 감지는 운영 체제에도 적용됩니다. 여기에는 서비스가 추가되거나 해제되었는지 추적하는 작업이 포함됩니다. 또한 시스템에 새로운 사용자를 추가하기 위한 모니터링도 포함됩니다. 운영 체제를 대상으로 하도록 설계된 도구가 있습니다. 워크로드의 기능을 대상으로 하지 않는다는 점에서 컨텍스트 없는 모니터링에 도움이 됩니다. 예를 들어, 파일 무결성 모니터링은 시스템 파일의 변경 사항을 추적할 수 있는 중요한 도구입니다.
특히 이러한 변경 사항이 자주 발생하지 않을 것으로 예상되는 경우에는 이러한 변경 사항에 대한 알림을 설정해야 합니다.
중요
프로덕션으로 롤아웃할 때 애플리케이션 리소스 및 빌드 프로세스에서 감지된 비정상적인 활동을 포착하도록 경고가 구성되어 있는지 확인하십시오.
테스트 계획에는 우선 순위가 지정된 테스트 사례로 로깅 및 경고 검증을 포함합니다.
데이터 저장, 집계, 분석
이러한 모니터링 활동을 통해 수집된 데이터는 철저하게 검사, 표준화 및 상관 관계가 가능한 데이터 싱크에 저장되어야 합니다. 보안 데이터는 시스템 자체 데이터 저장소 외부에 유지되어야 합니다. 모니터링 싱크는 지역화되어 있든 중앙에 있든 상관없이 데이터 원본보다 오래 지속되어야 합니다. 싱크는 침입 탐지 시스템의 소스이기 때문에 싱크는 임시적일 수 없습니다.
네트워킹 로그는 장황할 수 있으며 스토리지를 차지할 수 있습니다. 저장 시스템의 다양한 계층을 살펴보세요 시간이 지남에 따라 로그는 자연스럽게 더 낮은 스토리지로 전환될 수 있습니다. 오래된 흐름 로그는 일반적으로 적극적으로 사용되지 않고 요청 시에만 필요하기 때문에 이 접근 방식은 유용합니다. 이 방법은 효율적인 스토리지 관리를 보장하는 동시에 필요할 때 기록 데이터에 액세스할 수 있도록 보장합니다.
워크로드의 흐름은 일반적으로 여러 로깅 소스의 조합입니다. 모니터링 데이터는 모든 소스에서 지능적으로 분석되어야 합니다. 예를 들어 방화벽은 방화벽에 도달하는 트래픽만 차단합니다. 이미 특정 트래픽을 차단한 네트워크 보안 그룹이 있는 경우 해당 트래픽은 방화벽에 표시되지 않습니다. 이벤트 시퀀스를 재구성하려면 흐름에 있는 모든 구성 요소에서 데이터를 집계한 다음 모든 흐름에서 데이터를 집계해야 합니다. 이 데이터는 발생한 상황을 이해하려고 할 때 인시던트 후 대응 시나리오에서 특히 유용합니다. 정확한 시간 측정은 필수입니다. 보안을 위해 모든 시스템은 항상 동기화되도록 네트워크 시간 소스를 사용해야 합니다.
상관 로그를 통한 중앙 집중식 위협 탐지
SIEM(보안 정보 및 이벤트 관리)과 같은 시스템을 사용하여 다양한 서비스 전반에 걸쳐 상호 연관시킬 수 있는 중앙 위치에 보안 데이터를 통합할 수 있습니다. 이러한 시스템에는 내장된 위협 탐지 메커니즘이 있습니다. 외부 피드에 연결하여 위협 인텔리전스 데이터를 얻을 수 있습니다. Microsoft예를 들어, 사용할 수 있는 위협 인텔리전스 데이터를 게시합니다. Anomali 및 FireEye와 같은 다른 공급자로부터 위협 인텔리전스 피드를 구입할 수도 있습니다. 이러한 피드는 귀중한 인사이트를 제공하고 보안 태세를 강화할 수 있습니다. Microsoft위협에 대한 통찰력을 얻으려면 Security Insider를 참조하세요.
SIEM 시스템은 상호 연관되고 정규화된 데이터를 기반으로 경보를 생성할 수 있습니다. 이러한 경고는 인시던트 대응 프로세스 중에 중요한 리소스입니다.
SIEM 시스템은 일반적으로 조직의 중앙 팀에서 관리됩니다. 조직에 시스템이 없다면 이를 지원하는 것을 고려해 보십시오. 수동으로 로그를 분석하고 연관시키는 부담을 줄여 더욱 효율적이고 효과적인 보안 관리가 가능해집니다.
Microsoft에서는 몇 가지 비용 효율적인 옵션을 제공합니다. 많은 Microsoft Defender 제품은 SIEM 시스템의 알림 기능을 제공하지만 데이터 집계 기능은 없습니다.
여러 개의 작은 도구를 결합하여 SIEM 시스템의 일부 기능을 에뮬레이션할 수 있습니다. 그러나 이러한 임시 솔루션으로는 상관 분석을 수행하지 못할 수도 있다는 점을 알아야 합니다. 이러한 대안은 유용할 수 있지만 전용 SIEM 시스템의 기능을 완전히 대체하지는 못할 수 있습니다.
악용 탐지
위협 탐지에 적극적으로 대처하고 SSH 구성 요소나 RDP에 대한 ID 무차별 대입 공격과 같은 남용 징후에 주의하세요. 끝점. 외부 위협으로 인해 많은 소음이 발생할 수 있지만, 특히 애플리케이션이 인터넷에 노출된 경우 내부 위협이 더 큰 문제인 경우가 많습니다. 예를 들어, 신뢰할 수 있는 네트워크 소스로부터의 예상치 못한 무차별 암호 대입 공격(brute force attack)이나 부주의한 구성 오류 등은 즉시 조사해야 합니다.
강화 관행을 계속 유지하십시오. 모니터링은 환경을 사전에 강화하는 것을 대체할 수 없습니다. 표면적이 넓을수록 공격이 더 많이 발생하기 쉽습니다. 연습만큼 통제를 강화하세요. 예를 들어, 사용되지 않는 계정을 탐지 및 비활성화하고, IP 방화벽을 사용하고, 데이터 손실 방지 정책에 필요하지 않은 엔드포인트를 차단합니다.
서명 기반 탐지 를 통해 시스템을 세부적으로 검사할 수 있습니다. 여기에는 잠재적인 공격을 나타낼 수 있는 활동 간의 징후나 상관 관계를 찾는 것이 포함됩니다. 탐지 메커니즘은 특정 유형의 공격을 나타내는 특정 특성을 식별할 수 있습니다. 공격의 명령 및 제어 메커니즘을 직접 탐지하는 것이 항상 가능하지는 않습니다. 그러나 특정 명령 및 제어 프로세스와 관련된 힌트나 패턴이 있는 경우가 많습니다. 예를 들어 공격은 요청 관점에서 특정 흐름 속도로 표시될 수도 있고 특정 종료가 있는 도메인에 자주 액세스할 수도 있습니다.
비정상적인 사용자 액세스 패턴을 감지하여 예상 패턴과의 편차를 식별하고 조사할 수 있습니다. 여기에는 현재 사용자 행동을 과거 행동과 비교하여 이상 현상을 발견하는 작업이 포함됩니다. 이 작업을 수동으로 수행하는 것이 불가능할 수도 있지만 위협 인텔리전스 도구를 사용하여 수행할 수 있습니다. 모니터링 데이터에서 사용자 행동을 수집하고 분석하는 UEBA(사용자 및 엔터티 행동 분석) 도구에 투자하세요. 이러한 도구는 의심스러운 행동을 잠재적인 공격 유형에 매핑하는 예측 분석을 수행할 수 있는 경우가 많습니다.
배포 전 및 배포 후 단계에서 위협을 탐지합니다. 배포 전 단계에서는 취약점 스캔을 파이프라인에 통합하고 결과에 따라 필요한 조치를 취합니다. 배포 후에는 계속해서 취약점 스캔을 수행합니다. 컨테이너 이미지를 스캔하는 Defender for Containers와 같은 도구를 사용할 수 있습니다. Microsoft 수집된 데이터에 결과를 포함합니다. 보안 개발 관행에 대한 자세한 내용은 안전한 배포 관행에 대한 권장사항을 참조하세요.
Power Platform 간편 사용
다음 섹션에서는 Power Platform에서 위협을 모니터링하고 탐지하는 데 사용할 수 있는 메커니즘을 설명합니다.
Microsoft 보초
Microsoft Microsoft Power Platform Sentinel 솔루션을 사용하면 고객이 다음을 포함한 다양한 의심스러운 활동을 감지할 수 있습니다.
- 권한이 없는 지역에서 Power Apps 실행
- Power Apps로 의심스러운 데이터 파괴
- Power Apps의 대량 삭제
- Power Apps를 통한 피싱 공격
- 퇴사하는 직원에 의한 Power Automate 흐름 활동
- 환경에 추가된 Microsoft Power Platform 커넥터
- Microsoft Power Platform 데이터 손실 방지 정책 업데이트 또는 제거
자세한 내용은 Microsoft Sentinel 솔루션 개요 Microsoft Power Platform 를 참조하세요.
Microsoft Purview 활동 로깅
Power Apps, Power Automate, 커넥터, 데이터 유출 방지 및 Power Platform 관리 활동 로깅은 Microsoft Purview 규정 준수 포털에서 추적하고 볼 수 있습니다.
자세한 내용은 다음을 참조하세요.
- Power Apps 활동 로깅
- Power Automate 활동 로깅
- Copilot Studio 활동 로깅
- Power Pages 활동 로깅
- Power Platform 커넥터 활동 로깅
- 데이터 손실 방지 활동 로깅
- Power Platform 관리 작업 활동 로깅
- Microsoft Dataverse 및 모델 기반 앱 활동 로깅
Dataverse 감사
데이터베이스 감사는 Dataverse 데이터베이스가 있는 환경에서 고객 레코드에 대한 변경 사항을 기록합니다. Dataverse 감사는 환경의 앱이나 SDK를 통한 사용자 액세스도 기록합니다. 이 감사는 환경 수준에서 활성화되며 개별 테이블과 열에 대한 추가 구성이 필요합니다. 자세한 내용은 Dataverse 감사 관리를 참조하세요.
Application Insights로 원격 분석
Azure Monitor의 기능인 Application Insights는 모니터링 및 진단을 위해 엔터프라이즈 환경에서 널리 사용됩니다. 특정 테넌트 또는 환경에서 이미 수집된 데이터는 자체 Application Insights 환경으로 푸시됩니다. 데이터는 Application Insights에 의해 Azure Monitor 로그에 저장되고 왼쪽 창의 조사 아래에 있는 성능 및 오류 패널에 시각화됩니다. 데이터는 Application Insights에서 정의하는 표준 스키마에 있는 Application Insights 환경으로 내보내집니다. 지원, 개발자 및 관리자 사용자는 이 기능을 사용하여 문제를 분류하고 해결할 수 있습니다.
또한 다음도 가능할 수 있습니다.
- Dataverse 플랫폼에서 캡처한 진단 및 성능에 대한 원격 분석을 받아보도록 Application Insights 환경을 설정합니다.
- 애플리케이션이 Dataverse 데이터베이스 및 모델 기반 앱 내에서 수행하는 작업에 대한 원격 분석을 받기 위해 구독합니다. 이 원격 분석은 오류 및 성능과 관련된 문제를 진단하고 해결하는 데 사용할 수 있는 정보를 제공합니다.
- Application Insights와 통합하도록 Power Automate 클라우드 흐름을 설정합니다.
- Power Apps 캔버스 앱의 이벤트 및 활동을 Application Insights에 기록합니다.
자세한 내용은 Application Insights와의 통합 개요를 참조하세요.
ID
잠재적으로 손상된 ID에 대한 ID 관련 위험 이벤트를 모니터링하고 해당 위험을 해결합니다. 다음과 같은 방법으로 보고된 위험 이벤트를 검토합니다.
Microsoft Entra ID 보고를 사용하세요. 자세한 내용은 ID 보호란? 및 ID 보호를 참조하세요.
Identity Protection 위험 탐지 API 멤버를 사용하면 Microsoft Graph를 통해 보안 탐지에 대한 프로그래밍 방식 액세스를 얻을 수 있습니다. 자세한 내용은 riskDetection 및 riskyUser를 참조하세요.
Microsoft Entra ID는 적응형 기계 학습 알고리즘, 경험적 방법, 알려진 손상된 자격 증명(사용자 이름 및 암호 쌍)을 사용하여 사용자 계정과 관련된 의심스러운 활동을 탐지합니다. 이러한 사용자 이름과 비밀번호 쌍은 공개 웹과 다크 웹을 모니터링하고 보안 연구원, 법 집행 기관, Microsoft의 보안 팀 등과 협력하여 표면화됩니다.
Azure Pipelines
DevOps는 CI/CD(연속 통합 및 지속적인 업데이트)를 통해 워크로드의 변경 관리를 옹호합니다. 파이프라인에 보안 유효성 검사를 추가해야 합니다. Azure 파이프라인 보안에 설명된 지침을 따르세요.
관련 정보
- Microsoft 센티넬이란?
- Microsoft Sentinel의 위협 인텔리전스 통합
- Sentinel에서 사용자 및 엔터티 동작 분석(UEBA)을 사용하여 고급 위협 식별 Microsoft
보안 체크리스트
전체 권장 사항 세트를 참조하세요.