주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=identity-detection-faq

자주 묻는 질문

소프트웨어 패키지에 대한 일반적인 질문에 대한 답변을 찾아보십시오.

어떤 ID 공급자가 지원되나요?

마이크로소프트 엔트라 ID가 지원됩니다.

Microsoft Entra ID 테넌트를 두 개 이상 추가할 수 있나요?

예, ID 설정 페이지에서 여러 Entra ID 테넌트를 추가할 수 있습니다. 자세한 내용은 아이덴티티 설정를 참조하십시오.

어떤 마이크로소프트 엔트라 ID 라이선스가 필요한가요?

ITDR에는 Entra ID P1 또는 P2가 필요합니다. Entra ID P1 또는 P2는 독립형 제품, 애드온으로 제공되거나 마이크로소프트 365 E3 및 E5, 마이크로소프트 비즈니스 프리미엄, 마이크로소프트 365 프론트라인 워커 F1, F3 및 F5와 같은 다른 마이크로소프트 라이선스에 포함되어 있습니다. Microsoft Entra ID Free는 Microsoft API에 대한 액세스를 제공하지만 수집할 수 있는 일부 데이터와 실행할 수 있는 상태 검사를 제한합니다.

Entra ID Free에서 P1 또는 P2 라이선스로 업그레이드한 후 ITDR을 업데이트하는 데 얼마나 걸리나요?

ITDR은 마이크로소프트 API를 사용하여 계정 정보를 수집합니다. 또한 Microsoft는 라이선싱을 기반으로 특정 API에 대한 액세스를 제한하므로 사용자가 관리자인지 또는 MFA를 등록했는지와 같은 정보가 라이선스 업그레이드 후 바로 표시되지 않을 수 있습니다. 고객이 라이선스를 업그레이드한 후 Microsoft가 업데이트된 사용자 정보를 제공하기까지 최대 1주일의 지연이 발생할 수 있습니다. Microsoft Entra 관리 센터에서 활동 보고서를 보고 정보를 확인할 수 있습니다. 자세한 내용은 인증 방법 활동을 참조하십시오. 사용자 보고서에 포함된 정보가 업데이트되지 않은 경우 Microsoft가 정보를 새로 고칠 때까지 ITDR도 최신 상태가 아닙니다.

내 사용자가 MFA의 보호를 받지 않는 것으로 표시되는 이유는 무엇인가요?

다음은 몇 가지 잠재적 원인입니다.

  • P1 또는 P2와 같은 필수 Microsoft Entra ID 라이선스가 없습니다.
  • 최근에 라이선스를 업그레이드했는데 Microsoft에서 아직 데이터를 제공하지 않았습니다. 자세한 내용은 “Entra ID Free에서 P1 또는 P2 라이선스로 업그레이드한 후 ITDR을 업데이트하는 데 얼마나 걸리나요?”를 참조하십시오.”

  • 기존 구성의 Okta 또는 Duo와 같은 타사 MFA 공급자를 사용하고 있습니다. 이 시나리오에서는 Microsoft Entra ID가 외부 MFA 공급자에 대한 사용자 수준에서 MFA 정보를 저장하지 않기 때문에 MFA 상태가 제대로 보고되지 않습니다. 그러나 Entra ID 테넌트 구성 내에서 새로운 Microsoft 외부 인증 방법을 사용하는 경우 외부 공급자가 사용되고 있다고 추론할 수 있습니다.

    자세한 내용은 Microsoft Entra 블로그를 참조하십시오. Duo 및 Okta에 대한 추가 설정 세부 정보를 확인할 수 있습니다. 자세한 내용은 Duo 문서Okta 설명서를 참조하십시오.

자세 검사는 얼마나 자주 실행되나요?

ITDR에는 각각 다른 검사를 수행하는 일련의 평가가 포함되며, 각 평가는 다음과 같은 간격으로 수행됩니다.

  • 엔트라 ID 상태 검사: 2시간마다
  • 휴면 리소스 검사: 2시간마다
Entra ID에서 데이터가 얼마나 자주 수집되나요?

초기 설정 후에는 Microsoft Entra ID에서 전체 데이터 카탈로그를 수집합니다. 그런 다음 아래에 설명된 대로 데이터 유형에 따라 업데이트를 확인합니다.

  • 사용자 세부 정보: 10분마다
  • 서비스 주체 및 앱 세부 정보: 10분마다
  • 그룹: 10분마다
  • 장치: 10분마다
  • 사용자 MFA 구성: 15분마다
  • 사용자 활동 (마지막 로그온): 6시간마다
  • 도메인 데이터: 24시간마다
ID 위험 상태 점수는 얼마나 자주 업데이트되나요?

ID 위험 상태 점수는 전날의 변화를 기반으로 매일 업데이트됩니다. 점수는 새로운 발견이 관찰되었는지 또는 기존 발견이 해결되었는지 또는 기각되었는지에 따라 증가하거나 감소합니다.

수행 중인 검사 목록을 어떻게 볼 수 있나요?

ID 설정 페이지의 상태 검사 기본 설정 탭에서 검사 목록을 볼 수 있습니다. 자세한 내용은 아이덴티티 설정를 참조하십시오.

내 환경에서 실행되는 검사를 사용자 지정할 수 있습니까?

예, ID 설정 페이지의 상태 검사 기본 설정**** 탭에서 상태 검사를 켜거나 끌 수 있습니다. 자세한 내용은 아이덴티티 설정를 참조하십시오.

ITDR은 서비스인가요?

아니요, ITDR은 모니터링하는 소프트웨어입니다. 그러나 MDR 서비스를 사용하는 경우 MDR 운영 팀은 이미 조사한 내용 외에도 ID 기반 위협도 조사합니다.

MDR 서비스를 받고 있는 경우 MDR 운영 팀에서 결과를 분류하나요?

MDR 운영 팀은 주로 활성 ID 위협에 초점을 맞추고 활성 위협을 나타낼 수 있는 중요하거나 중요한 조사 결과의 일부를 살펴봅니다. 하지만 결과를 모니터링하고 관리하는 것은 귀하의 책임입니다.

MDR 서비스를 받고 있다면 ITDR이 MDR 운영 팀에 어떤 도움을 주나요?

MDR 운영 팀은 Microsoft Entra ID에서 수집한 추가 ID 컨텍스트를 사용하여 사용자 및 관련 위험을 더 잘 이해합니다. 이를 통해 사용자의 상관 관계가 있는 ID 및 비ID 탐지 모두에 대한 조사 및 대응 프로세스를 가속화할 수 있습니다.

ID가 관리자로 플래그되는지 여부는 어떻게 결정되나요?

Entra ID 내에서 관리자 역할이나 권한이 있는 것으로 인식되는 역할에 할당된 사용자에 대해 Entra ID의 관리자 플래그가 true로 설정됩니다. 이러한 역할은 일반적으로 디렉터리 리소스, 사용자 또는 보안 설정을 크게 제어합니다. 다음은 관리자 플래그를 true로 설정하는 Entra ID 역할 목록입니다.

  • 글로벌 관리자: Entra ID의 모든 관리 기능에 완전히 액세스할 수 있습니다.
  • 권한 있는 역할 관리자: 다른 관리자 할당을 포함하여 Entra ID의 역할 할당을 관리합니다.
  • 사용자 관리자: 사용자 계정, 그룹 및 일부 사용자 특성을 관리합니다.
  • 보안 관리자: 모든 보안 기능 및 설정에 완전히 액세스할 수 있습니다.
  • 규정 준수 관리자: eDiscovery 및 감사와 같은 규정 준수 관련 기능을 관리합니다.
  • 애플리케이션 관리자: Entra ID에서 애플리케이션 등록 및 설정을 관리합니다.
  • 인증 관리자: 암호 재설정을 포함한 인증 방법 및 제어를 보고, 설정하고, 재설정할 수 있습니다.
  • 거래소 관리자: 마이크로소프트 익스체인지 온라인의 설정을 관리합니다.
  • 셰어포인트 관리자: 셰어포인트 온라인의 설정을 관리합니다.
  • 팀 관리자: 마이크로소프트 팀즈의 설정을 관리합니다.
  • 인튠 관리자: Microsoft Intune에서 장치 관리 설정 및 구성을 관리합니다.
  • 결제 관리자: 구독, 청구 및 지원 티켓을 관리합니다.
  • 헬프데스크 관리자: 암호 재설정 및 기본 문제 해결로 제한됩니다.
  • 서비스 지원 관리자: 서비스 지원 관련 설정을 관리합니다.
  • 디렉터리 리더 (다른 권한 있는 역할과 결합된 경우): 디렉터리 정보를 읽을 수 있습니다. 일반적으로 다른 역할과 결합하여 권한을 높일 수 있습니다.
  • 글로벌 리더 (다른 관리자 역할과 결합된 경우): Entra ID 및 Microsoft 서비스 전반에 대한 읽기 전용 액세스. 다른 관리자 역할과 함께 사용할 경우 관리자 플래그를 true로 설정할 수 있습니다.
  • 보고서 리더 (다른 관리자 역할과 결합된 경우): 보고서 및 로그에 대한 액세스 (종종 다른 관리 책임과 함께 사용)
  • 조건부 액세스 관리자: 조건부 액세스 정책 만들기
  • ID 거버넌스 관리자: ID 거버넌스, 액세스 검토 및 권한 관리와 관련된 설정을 관리합니다.
  • 관리자 권한이 있는 사용자 지정 역할: 위 역할 중 하나와 비슷한 관리자 권한을 가진 사용자 지정 역할도 관리자 플래그를 true로 설정할 수 있습니다.

이 목록은 관리자 플래그에 영향을 주는 Entra ID의 표준 역할을 다룹니다. 그러나 Microsoft가 이러한 역할을 업데이트하거나 새 역할을 추가하는 경우 관리자 플래그의 동작도 그에 따라 변경될 수 있습니다.

ID가 휴면 상태로 표시되는지 여부는 어떻게 결정되나요?

마지막 로그인 시간이 90일 이상인 경우 사용자를 휴면 상태로 표시합니다.

유출된 자격 증명을 얼마나 자주 확인하시나요?

당사는 유출된 자격 증명을 지속적으로 모니터링하고 데이터 세트 내에서 일치하는 항목이 확인되는 즉시 이를 처리하고 유효한지 여부를 결정합니다.

계정 침해 조사 결과는 어떻게 생성되나요?

실행 가능한 결과를 도출하기 위해 다음과 같은 처리 단계를 수행하여 수집 및 분석 중인 데이터의 상관 관계를 파악하고 검증합니다.

  1. 구성된 ID 제공자 내에 활성 ID가 존재하는지 확인합니다.
  2. 사용 가능한 기록 데이터를 기반으로 일반 텍스트 암호 또는 해시가 언제 처음 유출되었는지 확인합니다. 새로 게시된 콤보 리스트에는 이전 침해 사례의 오래된 데이터가 포함되어 있는 경우가 많기 때문에 이는 중요합니다.
  3. 일반 텍스트 암호 값인 경우 이 값을 Microsoft Entra ID 글로벌 암호 복잡성 요구 사항과 비교하여 잘못된 값을 제거합니다.
  4. 마지막으로 암호가 처음 유출된 날짜를 ID에 대한 마지막 암호 변경 시간과 비교합니다. 마지막 비밀번호 변경 후 유출이 처음 발생한 경우 검색 결과를 생성합니다.

참고

계정 침해 탐지 결과는 활성 ID에 대해서만 생성됩니다. 하지만 자격 증명 침해 페이지에서는 여전히 원시 데이터를 볼 수 있습니다.

계정 침해 탐지 위험 수준은 어떻게 결정되나요?

결과를 생성해야 한다고 판단되면 관련 계정을 검사하여 MFA가 활성화되었는지 여부와 강도가 어느 정도인지 확인합니다. 다음은 사용자 유형, 유출 유형 및 MFA 구성에 따른 관련 위험 수준입니다.

계정 유형 암호 유형 MFA 없음 MFA 사용 피싱 방지 MFA 지원
관리자 계정 일반 텍스트 중요 높음 중간
관리자 계정 해시: 높음 중간 낮음
비관리자 계정 일반 텍스트 높음 중간 낮음
비관리자 계정 해시: 중간 낮음 낮음
해시나 암호를 수집하고 저장하나요?

아니요, 일반 텍스트 암호나 해시 값은 저장하지 않습니다. 또한 ID 제공업체로부터 이러한 정보를 수집할 수 없습니다. 데이터를 검색하고 수집할 때 관찰된 값에 사용자 지정 해시를 적용한 다음 레코드를 일반 텍스트 또는 해시된 암호로 분류합니다. 이를 통해 기본 암호 값을 유지하지 않고도 암호의 고유성을 확인하고 지표를 계산할 수 있습니다.

유출된 자격 증명 모니터링에는 어떤 데이터가 사용됩니까?

우리는 러시아 마켓플레이스와 제네시스 마켓, TOR 사이트, 공개 및 숨겨진 텔레그램 채널, 스텔러 로그 파일 등 다양한 다크 웹 마켓플레이스의 데이터를 사용합니다.