워크로드 ID에 대한 보안 구현
Microsoft Entra ID 보호는 역사적으로 ID 기반 위험을 검색, 조사 및 수정하는 데 있어 사용자를 보호해 왔습니다. ID 보호는 애플리케이션, 서비스 주체 및 관리되는 ID를 보호하기 위해 이러한 기능을 워크로드 ID로 확장했습니다.
워크로드 ID는 애플리케이션 또는 서비스 주체에서 리소스에 액세스할 수 있도록 허용하는 ID이며, 경우에 따라 사용자의 컨텍스트에서 허용합니다. 이러한 워크로드 ID는 다음과 같은 점에서 기존 사용자 계정과 다릅니다.
- 다단계 인증을 수행할 수 없습니다.
- 공식적인 수명 주기 프로세스가 없는 경우가 많습니다.
- 자격 증명 또는 비밀을 어딘가에 저장해야 합니다.
이러한 차이로 인해 워크로드 ID를 관리하기가 더 어려워지고 손상 위험이 높아집니다.
워크로드 ID 보호를 사용하기 위한 요구 사항
새로운 위험한 워크로드 ID(미리 보기) 블레이드와 위험 검색 블레이드의 워크로드 ID 검색 탭을 포함한 워크로드 ID 위험을 활용하려면 Azure Portal에 다음이 있어야 합니다.
Microsoft Entra ID Premium P2 라이선스
로그인한 사용자에게 다음 중 하나를 할당해야 합니다.
- 전역 관리자
- 보안 관리자
- 보안 운영자
- 보안 판독기
검색되는 위험 유형은 무엇인가요?
| 검색 이름 | 검색 유형 | 설명 |
|---|---|---|
| Microsoft Entra 위협 인텔리전스 | 오프라인 | 이 위험 검색은 Microsoft의 내부 및 외부 위협 인텔리전스 원본을 기반으로 알려진 공격 패턴과 일치하는 일부 작업을 나타냅니다. |
| 의심스러운 로그인 | 오프라인 | 이 위험 검색은 이 서비스 주체에 대해 비정상적인 로그인 속성 또는 패턴을 나타냅니다. |
| 검색은 2일에서 60일 사이에 테넌트의 워크로드 ID에 대한 기준 로그인 동작을 학습하고, 나중에 로그인하는 동안 IP 주소/ASN, 대상 리소스, 사용자 에이전트, 호스팅/비 호스팅 IP 변경, IP 국가, 자격 증명 유형 중 하나 이상의 알 수 없는 속성이 나타나면 발생합니다. | ||
| OAuth 앱에 비정상적으로 자격 증명 추가 | 오프라인 | 이 검색은 Microsoft Defender for Cloud Apps에서 검색됩니다. 이 검색은 OAuth 앱에 대한 권한 있는 자격 증명의 의심스러운 추가를 식별합니다. 이는 공격자가 앱을 손상시키고 악의적인 활동에 사용하고 있음을 나타낼 수 있습니다. |
| 관리자가 계정 손상을 확인했습니다. | 오프라인 | 이 검색은 관리자가 위험한 워크로드 ID UI에서 또는 riskyServicePrincipals API를 사용하여 '손상 확인'을 선택했음을 나타냅니다. 이 계정이 손상되었음을 확인한 관리자를 확인하려면 계정 위험 기록을 확인합니다(UI 또는 API를 통해). |
| 유출된 자격 증명(공개 미리 보기) | 오프라인 | 이 위험 검색은 계정의 유효한 자격 증명이 유출되었음을 나타냅니다. 이 유출은 누군가 GitHub의 공용 코드 아티팩트에서 자격 증명을 체크인하거나 데이터 침해를 통해 자격 증명이 누출될 때 발생할 수 있습니다. |
조건부 액세스 보호 추가
워크로드 ID에 조건부 액세스를 사용하면 ID 보호에서 "위험"으로 표시될 때 선택한 특정 계정에 대한 액세스를 차단할 수 있습니다. 테넌트에 등록된 단일 테넌트 서비스 주체에 정책을 적용할 수 있습니다. 타사 SaaS, 다중 테넌트 앱 및 관리 ID는 범위를 벗어납니다.