보안 조치가 없는 위험한 사용자

MEDIUM

설명

Microsoft Entra ID Protection(이전의 Identity Protection)에서는 Entra ID의 위험한 사용자를 식별하며 이 기능을 사용하려면 Microsoft Entra ID P2 라이선스가 필요합니다. Microsoft의 위험 탐지 설명서에 설명된 것과 같이, 위험 탐지에는 두 가지 유형이 있습니다.

  • 로그인 위험 탐지 - 전용 IoE "위험한 로그인에 MFA가 필수가 아님"에서 다룸
  • 사용자 위험 탐지

다음과 같은 상황인 경우 사용자를 위험하다고 간주할 수 있습니다.

위험 [수준]은 세 가지입니다.(https://learn.microsoft.com/ko-kr/entra/id-protection/concept-identity-protection-risks#risk-levels)

  • 높음
  • 중간
  • 낮음

조건부 액세스 정책을 사용하면 시스템이 위험한 사용자를 식별했을 때 보안 수단을 적용합니다.

CISA의 "Microsoft Entra ID용 M365 보안 구성 기준" MS.AAD.2.1v1 정책(BOD 25-01에서 필수로 지정)에 따르면 "고위험으로 탐지된 사용자는 차단해야 합니다". CISA 참고 자료에 따라 이 IoE에서는 조건부 액세스 정책 중 하나 이상에 다음 설정이 포함되도록 보장합니다.

  • "사용자"가 "모든 사용자"를 포함하도록 설정합니다.
  • "대상 리소스"를 "모든 리소스"로 설정합니다.
  • "조건 > 사용자 위험"을 "예"로 설정하고, 위험 수준을 "높음"으로 선택합니다.
  • "부여"를 "액세스 차단"으로 설정합니다.
  • "정책 사용"을 "활성"으로 설정합니다("비활성" 또는 "보고 전용" 아님).

대신 Microsoft 권장 사항을 따르기로 하면 이 IoE가 하나 이상의 조건부 액세스 정책에 다음 설정을 포함하도록 보장합니다.

  • "사용자"가 "모든 사용자"를 포함하도록 설정됩니다.
  • "대상 리소스"를 "모든 리소스"로 설정합니다.
  • "조건 > 사용자 위험""을 "예"로 선택하고 위험 수준을 "높음"으로 선택합니다.
  • "부여"가 "비밀번호 변경 필수"로 설정합니다.
  • "정책 사용"을 "활성"으로 설정됩니다("비활성" 또는 "보고 전용" 아님).

솔루션

테넌트에 사용 설정된 조건부 액세스 정책(CAP)이 존재해야만 고위험으로 식별된 모든 사용자로부터 테넌트를 보호할 수 있습니다.

Tenable에서는 비즈니스 중단을 최소화하기 위해 고위험 수준 사용자만 차단하도록 권장하고 있습니다. 이 위험을 예방하는 방법에 관해 CISA와 Microsoft의 의견이 갈립니다.

  • CISA의 "Microsoft Entra ID용 M365 보안 구성 기준" MS.AAD.2.1v1 정책(BOD 25-01에서 필수로 지정)에서는 위험한 사용자를 원천 차단하는 것을 권장합니다.
  • 반면 Microsoft에서는 비밀번호 변경을 필수로 지정하여 자체 수정을 트리거하는 것을 권장합니다.

Tenable에서는 가장 안전한 접근 방식인 CISA 안내를 따르도록 권장하고 있습니다. 그렇지만 이것은 또한 가장 제한이 심하기 때문에, IoE에서 제공된 옵션을 이용해 Microsoft 권장 사항으로 손쉽게 전환할 수 있습니다.

이렇게 하려면 다음과 같은 방식으로 CAP를 생성합니다.

  • 이 IoE의 설명에 명시된 설정을 적용해 기존 CAP를 수정합니다.
  • 전용 CAP를 생성한 다음, IoE의 설명에 언급된 사양에 따라 구성합니다.

CISA 안내 대신 Microsoft 권장 사항을 따르는 경우, Microsoft에서 제공한 "고위험 사용자는 비밀번호 변경 필수" CAP 템플릿을 사용할 수도 있습니다. 이 템플릿은 Microsoft 권장 사항을 따르는 옵션을 사용하는 경우 이 IoE에서 설명한 모든 기준에 부합합니다.

참고: Microsoft와 Tenable는 모두 테넌트 전반의 계정 잠금과 원치 않는 부작용을 방지하기 위해 특정 계정을 조건부 액세스 정책에서 제외하도록 권장합니다. 또한 Tenable에서는 사용자 본인의 계정이 잠겨 액세스하지 못할 위험을 완화하고 적절한 계획과 변경 관리를 보장하기 위해 Microsoft "조건부 액세스 배포 계획" 설명서를 따를 것을 권장합니다. 특히 Microsoft Entra Connect 또는 Microsoft Entra Cloud Sync와 같은 하이브리드 ID 솔루션을 사용하는 경우, 조건부 액세스 정책을 준수할 수 없기 때문에 서비스 계정을 정책에서 제외해야 합니다. "사용자 제외" 작업을 사용하여 서비스 계정을 직접 제외하거나, "디렉터리 역할" 옵션에 체크 표시한 다음 "디렉터리 동기화 계정" 역할을 선택합니다.

CAP를 구성해야만 침해를 예방할 수 있지만, 그렇다고 보고된 위험에 대한 포렌식 조사를 대체할 수는 없습니다. 자세한 정보를 알아보려면 Microsoft의 조사 가이드를 참조하십시오.

지표 세부 정보

이름: 보안 조치가 없는 위험한 사용자

코드명: RISKY-USERS-WITHOUT-ENFORCEMENT

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: