Microsoft Azure

다운로드 49
업데이트 2024. 11. 3.

Entra ID 파워쉘 로그인

Entra ID 로그인 로그에서 파워쉘 인증 성공 로그를 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: Entra ID Sign-in
  • 대상 수집모델: Microsoft Entra ID
  • 메시지
    • 호스트 $hostname 에서 $user_name ($user) 계정으로 파워쉘 로그인
  • 출력 필드 순서
    • _log_time, category, src_ip, country, city, user_type, user_name, user, hostname, os_name, app, result_type, result_signature, browser, token_issuer_type, cloud_resource, properties

쿼리

Azure Activity Directory Powershell (2024년 3월 지원 만료) 또는 Microsoft Graph Command Line Tools 을 사용하여 로그인에 성공하는 경우 탐지합니다.

| search in(app, "Azure Active Directory PowerShell", "Microsoft Graph Command Line Tools") and result_type == "0"

위협 분석

  • Azure Active Directory PowerShell 이나 Microsoft Graph Command Line Tools 도구는 IT 운영팀에서 Entra ID를 관리할 때 종종 사용됩니다. Entra ID에서 데이터를 조회하거나, 새로운 사용자, 앱을 등록, 수정, 삭제할 수 있습니다.
  • IT 운영팀이 아닌 사용자 또는 통상적인 관리 단말 이외의 위치에서 파워쉘 인증이 수행되었다면, 이는 인가되지 않은 접근일 수 있습니다.

오탐 유형

  • 정상적인 파워쉘 명령어 사용 시에도 탐지될 수 있습니다.
    • 오탐이 빈번하게 발생하는 경우에는 userhostname 기준으로 탐지 예외 조건을 추가합니다.

대응 방안

  • 이벤트가 발생한 시점에 의도된 파워쉘 명령어 실행이 있었는지 사용자에게 확인합니다.
  • 의도하지 않은 파워쉘 명령어가 실행되었다면 계정이 침해된 것이므로 계정을 비활성화하고 침해 범위를 조사합니다.
    • 해당 계정이 보유한 권한 범위와 수준을 확인합니다.
    • 계정을 새로 생성하거나, 삭제하거나, 암호를 초기화하거나, 권한을 변경하는 행위가 있었는지 감사 로그를 조사합니다.
    • 공격자가 다른 계정이나 서버, 서비스까지 영향을 미쳤는지 방화벽 로그를 조사합니다.
  • 모든 암호 및 API 키를 재설정하여 공격자가 보유한 권한을 회수합니다.
  • 만약 계정에 MFA가 설정되지 않았다면, MFA를 추가로 설정합니다.

MITRE ATT&CK