주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=identity-detection-faq

ITDR 자주 묻는 질문

Sophos ITDR에 대한 일반적인 질문에 대한 답변을 찾아보세요.

어떤 ID 제공업체가 지원되나요?"라는 질문입니다.

Microsoft Entra ID가 지원됩니다.

Microsoft Entra ID 테넌트를 두 개 이상 추가할 수 있나요?

예, ID 설정 페이지에서 여러 개의 Entra ID 테넌트를 추가할 수 있습니다. 자세한 내용은 신원 설정를 참조하십시오.

어떤 Microsoft Entra ID 라이선스가 필요합니까?"라는 질문입니다.

ITDR을 사용하려면 Entra ID P1 또는 P2가 필요하며, 이는 독립형 제품, 추가 기능 또는 Microsoft 365 E3 및 E5, Microsoft Business Premium, Microsoft 365 Frontline Worker F1, F3 및 F5와 같은 다른 Microsoft 라이선스에 포함된 형태로 제공됩니다.

Microsoft Entra ID Free는 Microsoft API에 대한 액세스를 제공하지만, 수집할 수 있는 데이터와 실행할 수 있는 보안 상태 검사에 일부 제한이 있습니다. 이러한 이유로 Entra ID Free를 사용하는 일부 ITDR 통합에서 프로비저닝 실패 상태가 표시될 수 있습니다.

Entra ID 무료 버전에서 P1 또는 P2 라이선스로 업그레이드한 후 ITDR이 업데이트되는 데 얼마나 걸립니까?"라는 질문입니다.

ITDR은 계정 정보를 수집하기 위해 Microsoft API를 사용합니다. 마이크로소프트는 라이선스에 따라 특정 API에 대한 접근을 제한하기도 하므로, 사용자가 관리자인지 또는 MFA가 등록되어 있는지와 같은 정보가 라이선스 업그레이드 후 바로 표시되지 않을 수 있습니다. 고객이 라이선스를 업그레이드한 후 마이크로소프트에서 업데이트된 사용자 정보를 제공하기까지 최대 일주일이 소요될 수 있습니다. Microsoft Entra 관리 센터에서 활동 보고서를 확인하여 해당 정보를 검증할 수 있습니다. 자세한 내용은 인증 방법 활동을 참조하세요. 사용자 보고서에 포함된 정보가 업데이트되지 않으면 Microsoft에서 정보를 새로 고칠 때까지 ITDR도 최신 상태가 아닙니다.

사용자들이 MFA로 보호되지 않는 것으로 표시되는 이유는 무엇인가요?

다음은 몇 가지 잠재적인 원인입니다.

  • P1 또는 P2와 같은 필수 Microsoft Entra ID 라이선스가 없습니다.
  • 최근에 라이선스를 업그레이드하셨는데 Microsoft에서 아직 관련 데이터를 제공하지 않았습니다. 자세한 내용은 "Entra ID 무료 버전에서 P1 또는 P2 라이선스로 업그레이드한 후 ITDR이 업데이트되는 데 걸리는 시간은 얼마나 되나요?"를 참조하세요.

  • Okta 또는 Duo와 같은 타사 MFA 제공업체를 기존 구성으로 사용하고 있습니다. 이 시나리오에서는 Microsoft Entra ID가 외부 MFA 공급자의 사용자 수준 MFA 정보를 저장하지 않으므로 MFA 상태가 제대로 보고되지 않습니다. 하지만 Entra ID 테넌트 구성에서 새로운 Microsoft 외부 인증 방식을 사용하는 경우 외부 공급자가 사용되고 있음을 추론할 수 있습니다.

    자세한 내용은 Microsoft Entra 블로그를 참조하세요. Duo 및 Okta에 대한 추가 설정 세부 정보는 별도로 제공됩니다. 자세한 내용은 Duo 설명서Okta 설명서를 참조하세요.

자세 검사는 얼마나 자주 실행되나요?"라는 질문입니다.

ITDR에는 다양한 점검을 수행하는 일련의 평가 도구가 포함되어 있으며, 이러한 평가는 다음과 같은 간격으로 수행됩니다.

  • Entra ID 자세 검사: 2시간마다.
  • 휴면 리소스 점검: 2시간마다.
Entra ID에서 데이터는 얼마나 자주 수집되나요?

초기 설정 후 Microsoft Entra ID에서 전체 데이터 카탈로그를 수집합니다. 그 후, 아래에 설명된 데이터 유형에 따라 업데이트를 확인합니다.

  • 사용자 세부 정보: 10분마다.
  • 서비스 주체 및 앱 세부 정보: 10분마다.
  • 그룹: 10분마다.
  • 장치: 10분마다.
  • 사용자 MFA 구성: 15분마다.
  • 사용자 활동(마지막 로그인): 6시간마다.
  • 도메인 데이터: 24시간마다.
신원 위험 태도점수는 얼마나 자주 업데이트되나요?

신원 위험 태도 점수는 전날 대비 변동 사항을 반영하여 매일 업데이트됩니다. 점수는 새로운 발견이 있었는지, 기존 발견 사항이 해결되었는지 또는 기각되었는지에 따라 증가하거나 감소합니다.

진행 중인 점검 목록을 어떻게 볼 수 있나요?

신원 설정 페이지의 자세 확인 기본 설정 탭 에서 확인 목록을 볼 수 있습니다. 자세한 내용은 신원 설정를 참조하십시오.

내 환경에 대해 실행되는 검사를 사용자 지정할 수 있습니까?"라는 질문입니다.

네, 신원 설정 페이지의 자세 확인 기본 설정 탭 에서 자세 확인 기능을 켜거나 끌 수 있습니다. 자세한 내용은 신원 설정를 참조하십시오.

ITDR은 서비스인가요?"라는 질문입니다.

아니요, ITDR은 모니터링하는 소프트웨어입니다. 하지만 MDR 서비스 이용 중인 경우, MDR 운영팀은 기존에 조사하던 내용 외에도 신원 기반 위협을 조사합니다.

MDR 서비스 이용하는 경우, MDR 운영팀에서 제 발견 사항을 분류해 주나요?

MDR 운영팀은 주로 활성 ID 위협에 중점을 두고 있으며, 활성 위협을 나타낼 수 있는 중요 또는 심각도 높은 수준의 발견 사항 중 일부를 검토합니다. 하지만 조사 결과를 모니터링하고 관리하는 것은 귀하의 책임입니다.

MDR 서비스 이용하고 있는 경우, ITDR이 MDR 운영팀에 어떤 도움을 줄 수 있나요?

MDR 운영팀은 Microsoft Entra ID에서 수집한 추가 ID 컨텍스트를 활용하여 사용자와 관련 위험을 더 잘 이해하고, 이를 통해 사용자가 연관된 ID 및 비ID 탐지 모두에서 조사 및 대응 프로세스를 가속화할 수 있습니다.

어떤 요소가 특정 계정을 관리자 계정으로 분류하는지를 결정하나요?"라는 질문이 있습니다.

Entra ID에서 관리자 플래그는 Entra ID 내에서 관리자 또는 특권 사용자로 인식되는 역할이 할당된 사용자에게 true로 설정됩니다. 이러한 역할은 일반적으로 디렉터리 리소스, 사용자 또는 보안 설정에 대한 상당한 제어 권한을 가지고 있습니다. 다음은 관리자 플래그를 true로 설정하는 Entra ID 역할 목록입니다.

  • 글로벌 관리자: Entra ID의 모든 관리자 기능에 대한 전체 액세스 권한이 제공됩니다.
  • 관리자 권한: Entra ID에서 다른 관리자를 지정하는 것을 포함하여 역할 할당을 관리합니다.
  • 사용자 관리자: 사용자 계정, 그룹 및 일부 사용자 속성을 관리합니다.
  • 보안 관리자: 모든 보안 기능 및 설정에 대한 완전한 접근 권한을 가지고 있습니다.
  • 규정 준수 관리자: 전자증거개시 및 감사와 같은 규정 준수 관련 기능을 관리합니다.
  • 애플리케이션 관리자: Entra ID에서 애플리케이션 등록 및 설정을 관리합니다.
  • 인증 관리자: 비밀번호 재설정을 포함하여 인증 방법 및 제어를 보고, 설정하고, 재설정할 수 있습니다.
  • 교환 관리자: Microsoft Exchange Online의 설정을 관리합니다.
  • SharePoint 관리자: SharePoint Online의 설정을 관리합니다.
  • 팀 관리자: Microsoft Teams 설정을 관리합니다.
  • Intune 관리자: Microsoft Intune에서 장치 관리 설정 및 구성을 관리합니다.
  • 청구 관리자: 구독, 청구 및 지원 티켓을 관리합니다.
  • 헬프데스크 관리자: 비밀번호 재설정 및 기본적인 문제 해결로 제한됩니다.
  • 서비스 지원 관리자: 서비스 지원 관련 설정을 관리합니다.
  • 디렉토리 읽기 권한(다른 권한 있는 역할과 함께 사용하는 경우): 디렉터리 정보를 읽을 수 있으며, 일반적으로 다른 역할과 함께 사용하여 권한을 상승시킵니다.
  • 글로벌 리더(다른 관리자 역할과 결합된 경우): Entra ID 및 Microsoft 서비스 전반에 걸쳐 읽기 전용 액세스 권한을 가지며, 다른 관리자 역할과 결합될 경우 관리자 플래그를 true로 설정할 수 있습니다.
  • 보고서 열람자 (다른 관리자 역할과 결합된 경우): 보고서 및 로그에 대한 접근 권한은 다른 관리 업무와 함께 주어지는 경우가 많습니다.
  • 조건부 액세스 관리자: 조건부 액세스 정책을 관리합니다.
  • ID 관리 담당자: ID 관리, 액세스 검토 및 권한 관리와 관련된 설정을 관리합니다.
  • 관리자 권한이 있는 사용자 지정 역할: 위의 역할들과 유사한 관리자 권한을 가진 사용자 지정 역할 도 관리자 플래그를 true로 설정할 수 있습니다.

이 목록은 Entra ID에서 관리자 플래그에 영향을 미치는 표준 역할을 다룹니다. 하지만 마이크로소프트가 이러한 역할을 업데이트하거나 새로운 역할을 추가하는 경우, 관리자 플래그의 동작 방식이 그에 따라 변경될 수 있습니다.

어떤 요소가 계정을 비활성 상태로 표시하는지 결정합니까?

마지막 로그인 시간이 90일 이상 경과한 사용자는 휴면 사용자로 표시됩니다.

유출된 자격 증명 를 얼마나 자주 확인하시나요?

저희는 유출된 자격 증명 지속적으로 모니터링하고 있으며, 데이터 세트 내에서 일치하는 항목이 발견되는 즉시 이를 처리하여 유효성을 판단합니다.

계정 침해 발견 결과는 어떻게 생성되나요?"라는 질문입니다.

실질적인 결과를 도출하기 위해 수집 및 분석하는 데이터의 상관관계를 파악하고 검증하기 위해 다음과 같은 처리 단계를 거칩니다.

  1. 구성된 ID 공급자 내에 활성 ID가 있는지 확인하십시오.
  2. 사용 가능한 과거 데이터를 기반으로 평문 암호 또는 해시값이 처음 유출된 시점을 파악합니다. 이는 새로 공개된 콤보리스트에 이전 유출 사고의 오래된 데이터가 포함되는 경우가 많기 때문에 중요합니다.
  3. 암호 값이 평문인 경우, Microsoft Entra ID의 전역 암호 복잡성 요구 사항과 비교하여 유효하지 않은 값을 걸러냅니다.
  4. 마지막으로, 비밀번호가 처음 유출된 날짜와 해당 사용자의 비밀번호가 마지막으로 변경된 시점을 비교합니다. 만약 정보 유출이 마지막 비밀번호 변경 이후에 발생했다면, 저희는 이를 오류로 보고합니다.

참고

계정 침해 발견 결과는 활성 계정에 대해서만 생성됩니다. 하지만 자격 증명 유출 페이지에서 원본 데이터를 계속 확인할 수 있습니다.

계정 침해 발견 위험 수준은 어떻게 결정되나요?"라는 질문입니다.

만약 문제가 발생하여 보고서를 작성해야 한다고 판단되면, 해당 계정에 다단계 인증(MFA)이 활성화되어 있는지, 그리고 활성화되어 있다면 어느 정도 강도로 설정되어 있는지 확인합니다. 사용자 유형, 유출 유형 및 MFA 구성에 따른 위험 수준은 다음과 같습니다.

계정 유형 비밀번호 유형 MFA 미사용 MFA 사용 피싱 방지 MFA 사용
관리자 계정 일반 텍스트 중요 높음 중간
관리자 계정 해시 높음 중간 낮음
관리자 계정 아님 일반 텍스트 높음 중간 낮음
관리자 계정 아님 해시 중간 낮음 낮음
해시값이나 비밀번호를 수집하고 저장하시나요?"라는 질문입니다.

아니요, 저희는 평문 비밀번호나 해시 값을 저장하지 않습니다. 또한 저희는 신원 제공업체로부터 이러한 정보를 수집할 수 있는 권한이 없습니다. 데이터를 검색하고 수집할 때, 관찰된 값에 사용자 지정 해시를 적용한 다음 해당 기록을 평문 또는 해시된 암호로 분류합니다. 이를 통해 비밀번호의 고유성을 판단하고 기본 비밀번호 값을 보관하지 않고도 지표를 계산할 수 있습니다.

유출된 자격 증명 모니터링에는 어떤 데이터가 사용되나요?

저희는 러시아 마켓플레이스, 제네시스 마켓과 같은 다양한 다크 웹 마켓플레이스, TOR 사이트, 공개 및 비공개 텔레그램 채널, 그리고 스틸러 로그 파일의 데이터를 활용합니다.