Entra ID 파워쉘 로그인
Entra ID 로그인 로그에서 파워쉘 인증 성공 로그를 탐지합니다.
개요
- 중요도: 하
- 유형: 실시간 탐지
- 로그 스키마: Entra ID Sign-in
- 대상 수집모델: Microsoft Entra ID
- 메시지
- 호스트 $hostname 에서 $user_name ($user) 계정으로 파워쉘 로그인
- 출력 필드 순서
- _log_time, category, src_ip, country, city, user_type, user_name, user, hostname, os_name, app, result_type, result_signature, browser, token_issuer_type, cloud_resource, properties
쿼리
Azure Activity Directory Powershell (2024년 3월 지원 만료) 또는 Microsoft Graph Command Line Tools 을 사용하여 로그인에 성공하는 경우 탐지합니다.
| search in(app, "Azure Active Directory PowerShell", "Microsoft Graph Command Line Tools") and result_type == "0"
위협 분석
Azure Active Directory PowerShell이나Microsoft Graph Command Line Tools도구는 IT 운영팀에서 Entra ID를 관리할 때 종종 사용됩니다. Entra ID에서 데이터를 조회하거나, 새로운 사용자, 앱을 등록, 수정, 삭제할 수 있습니다.- IT 운영팀이 아닌 사용자 또는 통상적인 관리 단말 이외의 위치에서 파워쉘 인증이 수행되었다면, 이는 인가되지 않은 접근일 수 있습니다.
오탐 유형
- 정상적인 파워쉘 명령어 사용 시에도 탐지될 수 있습니다.
- 오탐이 빈번하게 발생하는 경우에는
user와hostname기준으로 탐지 예외 조건을 추가합니다.
- 오탐이 빈번하게 발생하는 경우에는
대응 방안
- 이벤트가 발생한 시점에 의도된 파워쉘 명령어 실행이 있었는지 사용자에게 확인합니다.
- 의도하지 않은 파워쉘 명령어가 실행되었다면 계정이 침해된 것이므로 계정을 비활성화하고 침해 범위를 조사합니다.
- 해당 계정이 보유한 권한 범위와 수준을 확인합니다.
- 계정을 새로 생성하거나, 삭제하거나, 암호를 초기화하거나, 권한을 변경하는 행위가 있었는지 감사 로그를 조사합니다.
- 공격자가 다른 계정이나 서버, 서비스까지 영향을 미쳤는지 방화벽 로그를 조사합니다.
- 모든 암호 및 API 키를 재설정하여 공격자가 보유한 권한을 회수합니다.
- 만약 계정에 MFA가 설정되지 않았다면, MFA를 추가로 설정합니다.
MITRE ATT&CK
- 전술
- Initial Access
- 기법
- 이름: Cloud Accounts
- ID: T1078.004
- 참조 URL: https://attack.mitre.org/techniques/T1078/004/