Microsoft Azure

다운로드 24
업데이트 2024. 10. 1.

Entra ID 고위험 로그인 탐지

Entra ID 로그인 로그에서 고위험 로그인 로그를 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Entra ID Sign-in
  • 대상 수집모델: Microsoft Entra ID
  • 메시지
    • 고위험 로그인 탐지: 호스트 $hostname 에서 $user_name ($user) 계정 로그인
  • 출력 필드 순서
    • _log_time, category, src_ip, country, city, user_type, user_name, user, hostname, os_name, app, risk_level_aggr, risk_level_during_sign_in, risk_state, risk_detail, result_type, result_signature, browser, token_issuer_type, cloud_resource, properties

쿼리

risk_level_during_sign_in, risk_level_aggr 값이 high 이고 로그인에 성공한 경우 탐지합니다.

| search (risk_level_during_sign_in == "high" or risk_level_aggr == "high") and result_type == "0"

위협 분석

  • Microsoft Entra ID Protection은 머신러닝 알고리즘을 적용하여 위험도를 high, medium, low 3단계로 구분합니다. high 위험도는 계정이 실제로 침해되었을 가능성이 매우 높습니다.
    • 알려진 위협 액터의 IP 주소로 인증을 시도하거나, 크리덴셜 유출이 확인된 경우에는 항상 high 가 기록됩니다.
    • risk 관련된 속성은 Microsoft Entra ID P2 플랜 이상에서 지원됩니다. P2 미만의 플랜에서는 hidden으로 기록됩니다.

오탐 유형

  • 크리덴셜이 유출된 적이 있다면 계정 이름을 변경하지 않는 한 지속적으로 오탐이 발생할 수 있습니다.
    • Entra ID 계정 이름을 변경하거나, userhostname 조합으로 예외 처리를 추가합니다.

대응 방안

  • 인증 이벤트가 발생한 시점에 실제 대화형 로그인 인증한 이력이 있었는지 사용자에게 확인합니다.
  • 의도하지 않은 로그인이 수행되었다면 계정이 침해된 것이므로 계정을 비활성화하고 침해 범위를 조사합니다.
    • 해당 계정이 보유한 권한 범위와 수준을 확인합니다.
    • 계정을 새로 생성하거나, 삭제하거나, 암호를 초기화하거나, 권한을 변경하는 행위가 있었는지 감사 로그를 조사합니다.
    • 공격자가 다른 계정이나 서버, 서비스까지 영향을 미쳤는지 방화벽 로그를 조사합니다.
  • 모든 암호 및 API 키를 재설정하여 공격자가 보유한 권한을 회수합니다.
  • 만약 계정에 MFA가 설정되지 않았다면, MFA를 추가로 설정합니다.

MITRE ATT&CK

레퍼런스