위험 노출 지표
| 이름 | 설명 | 심각도 | Type |
|---|---|---|---|
| 레거시 인증 차단 안 됨 | 레거시 인증 방법은 다단계 인증(MFA)을 지원하지 않아 공격자가 무차별 대입, 크리덴셜 스터핑(credential stuffing) 및 비밀번호 스프레잉 공격을 계속할 수 있습니다. | MEDIUM | |
| 페더레이션 도메인 목록 | 악성 페더레이션 도메인 구성은 공격자가 Entra ID 테넌트의 인증 백도어로 사용하는 일반적인 위협입니다. 기존 페더레이션 도메인 또는 새로 추가된 페더레이션 도메인을 확인해야 그러한 도메인의 구성이 신뢰할 수 있고 적법한지 확인할 수 있습니다. 이 위험 노출 지표는 페더레이션 도메인과 그 관련 특성에 대한 포괄적인 목록을 제공하여 사용자가 보안 상태에 대해 정보에 기반한 결정을 내리는 데 도움이 됩니다. | LOW | |
| 알려진 페더레이션 도메인 백도어 | Microsoft Entra ID를 사용하면 페더레이션을 통해 인증을 다른 제공자에게 위임할 수 있습니다. 그렇지만 상승된 권한이 있는 공격자의 경우 자신의 악성 페더레이션된 도메인을 추가하여 이 기능을 악용할 수 있고, 그러면 지속성 및 권한 상승이 발생하게 됩니다. | CRITICAL | |
| 권한 없는 계정의 MFA 누락 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따라 권한 없는 계정에도 MFA를 사용하는 것이 좋습니다. MFA 방식을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. | MEDIUM | |
| 공개 M365 그룹 | Entra ID에 저장된 Microsoft 365 그룹은 공개 또는 비공개입니다. 공개 그룹은 테넌트 내 모든 사용자가 해당 그룹에 조인하여 데이터(Teams 채팅/파일, 이메일...)에 액세스할 수 있기 때문에 보안 위험을 초래합니다. | MEDIUM | |
| 임시 액세스 패스 기능 사용으로 설정됨 | 임시 액세스 패스(TAP) 기능은 시간 제한 또는 사용 제한이 적용된 암호를 사용하는 일시적인 인증 방법입니다. TAP 기능은 정상 기능이지만, 조직에 필요하지 않다면 사용 중지해서 공격 표면을 줄이는 편이 더 안전합니다. | LOW | |
| 확인되지 않은 도메인 | Entra ID에서 모든 사용자 지정 도메인의 소유권을 확인해야 합니다. 확인되지 않은 도메인은 임시적으로만 유지해야 합니다. 해당 도메인을 확인하거나 제거하여 도메인 목록을 잘 관리된 상태로 유지하고 효율적인 검토를 지원해야 합니다. | LOW | |
| 권한 있는 역할이 있는 게스트 계정 | 게스트 계정은 외부 ID이며 이 계정에 권한 있는 역할이 할당되면 보안 위험을 초래할 수 있습니다. 이렇게 하면 조직 외부인에게 테넌트 내의 상당한 권한을 부여하게 됩니다. | HIGH | |
| 자격 증명이 있는 자사 서비스 주체 | 자사 서비스 주체에는 숨겨져 있어서 간과되지만 강력하며 Microsoft 및 이외 여럿이 소유하는 권한이 있습니다. 공격자는 여기에 자격 증명을 추가하여 권한 상승 및 지속성을 목적으로 권한을 몰래 사용해 이득을 취합니다. | HIGH | |
| 권한이 있는 역할에 MFA가 필수가 아님 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준은 MFA를 사용으로 설정하는 것이며 특히 권한이 있는 역할이 할당된 권한이 있는 계정에 대해 사용으로 설정해야 합니다. | HIGH | |
| 의심스러운 AD 동기화 역할 할당 | Microsoft에서는 Active Directory 동기화를 위해 숨겨진 기본 제공 Entra ID 역할을 두 개 설계했으며, 이 역할은 Entra Connect 또는 Cloud Sync 서비스 계정 전용입니다. 이러한 역할에는 묵시적인 권한이 있으며, 이 권한을 악성 행위자가 악용해 비밀 공격을 수행할 수 있습니다. | HIGH |