Entra ID 고위험 로그인 탐지
Entra ID 로그인 로그에서 고위험 로그인 로그를 탐지합니다.
개요
- 중요도: 상
- 유형: 실시간 탐지
- 로그 스키마: Entra ID Sign-in
- 대상 수집모델: Microsoft Entra ID
- 메시지
- 고위험 로그인 탐지: 호스트 $hostname 에서 $user_name ($user) 계정 로그인
- 출력 필드 순서
- _log_time, category, src_ip, country, city, user_type, user_name, user, hostname, os_name, app, risk_level_aggr, risk_level_during_sign_in, risk_state, risk_detail, result_type, result_signature, browser, token_issuer_type, cloud_resource, properties
쿼리
risk_level_during_sign_in, risk_level_aggr 값이 high 이고 로그인에 성공한 경우 탐지합니다.
위협 분석
- Microsoft Entra ID Protection은 머신러닝 알고리즘을 적용하여 위험도를 high, medium, low 3단계로 구분합니다.
high위험도는 계정이 실제로 침해되었을 가능성이 매우 높습니다.- 알려진 위협 액터의 IP 주소로 인증을 시도하거나, 크리덴셜 유출이 확인된 경우에는 항상
high가 기록됩니다. - risk 관련된 속성은 Microsoft Entra ID P2 플랜 이상에서 지원됩니다. P2 미만의 플랜에서는
hidden으로 기록됩니다.
- 알려진 위협 액터의 IP 주소로 인증을 시도하거나, 크리덴셜 유출이 확인된 경우에는 항상
오탐 유형
- 크리덴셜이 유출된 적이 있다면 계정 이름을 변경하지 않는 한 지속적으로 오탐이 발생할 수 있습니다.
- Entra ID 계정 이름을 변경하거나,
user와hostname조합으로 예외 처리를 추가합니다.
- Entra ID 계정 이름을 변경하거나,
대응 방안
- 인증 이벤트가 발생한 시점에 실제 대화형 로그인 인증한 이력이 있었는지 사용자에게 확인합니다.
- 의도하지 않은 로그인이 수행되었다면 계정이 침해된 것이므로 계정을 비활성화하고 침해 범위를 조사합니다.
- 해당 계정이 보유한 권한 범위와 수준을 확인합니다.
- 계정을 새로 생성하거나, 삭제하거나, 암호를 초기화하거나, 권한을 변경하는 행위가 있었는지 감사 로그를 조사합니다.
- 공격자가 다른 계정이나 서버, 서비스까지 영향을 미쳤는지 방화벽 로그를 조사합니다.
- 모든 암호 및 API 키를 재설정하여 공격자가 보유한 권한을 회수합니다.
- 만약 계정에 MFA가 설정되지 않았다면, MFA를 추가로 설정합니다.
MITRE ATT&CK
- 전술
- Initial Access
- 기법
- 이름: Cloud Accounts
- ID: T1078.004
- 참조 URL: https://attack.mitre.org/techniques/T1078/004/