반응형

지난 포스팅에 이어서 이번에는 수집되는 로그 분석에 대해 다루겠습니다.

이전글

2024.04.28 - [Microsoft Defender XDR/MDI] - Microsoft Defender for Identity (MDI). (0) Introduction

2024.05.01 - [Microsoft Defender XDR/MDI] - Microsoft Defender for Identity (MDI). (1) Deployment

 

MDI 수집되는 Identity Log 통해서 이상 행위 감지시 경고나 조치를 취하는 것에 가장 메리트가 있습니다.

 

만약 LDAP 통신등 3rd Party Exchange Server 온프레미스 Identity 관리를 AD 중심으로 구성되어 있다면,  MDI 로그 수집 감지는 Identity 관리를 더욱 효율적으로 만들 것입니다.

 

예를 들면 SAP이나 Exchange 시도되는 Identity 관련 로그가 DC 모이고

 

그렇게 DC 모인 로그들은 Defender 전달됩니다.

 

물론 AD 중심이 만능이라고 생각하지는 않습니다. 기존에 AD 없다라고 하면, Entra ID 중심으로 SSO 구성하는 것을 권장합니다. Cloud 시대에 Cloud 사용하기 위해서 온프레미스를 추가 도입한다는 것은 시대를 역행하는 느낌을 벗어날 없습니다. 요새는 AD 제대로 다룰 있는 인력을 채용하기 어렵습니다.

즉, 조건과 상황에 맞게 AD or Entra ID 를 선택하여 관리해야 합니다.

 

 

Entra ID Protection 역시 Defender에서 관리할 있습니다.

 

간단하게 MDI Incident 테스트 하는 것은 어렵지 않습니다.

RDP포트인 3389 오픈하면 일정 시간 지나면, Identity 로그인 시도를 반복하기 때문에 Incident 발생됩니다.

 

인시던트를 클릭 -> 디바이스를 확인해 보면, DC MAIN 확인됩니다.

 

분석 내용을 보면, Main 서버에 무차별 접속시도 -> DC 자격증명 실패 확인 -> 경고 전달. 이러한 흐름으로 있습니다.

 

위협 분석 보고서 보기를 클릭합니다.

 

분석가 보고서를 한글로 번역해서 보면, 인시던트가 발생했는지 있습니다.

 

실제 해당하는 원인 설명도 포함되어 있습니다.

 

개인적으로는 이러한 분석도 좋지만, Advanced Hunting 기능이 Defender XDR 최대 장점이라고 생각합니다.

고급 헌팅 -> IdentityLogonEvents -> 쿼리 실행

 

아래와 같이 가독성 좋은 Identity 로그를 관리할 있습니다.

기존 AD의 보안로그는 사실… AD 1 모르는 저에게는 진입장벽과 같았습니다.

 

로그를 내보내면, Excel 세부 항목들을 확인할 있습니다.

 

저는 주로 HealthMailbox M365 로그를 제외하여 쿼리를 진행합니다.

IdentityLogonEvents
| where AccountName !startswith "Healthmailbox"
| where Application !startswith "Microsoft 365"

 

그리고 실패 이유가 계정 잠김일 , 알림을 받거나 추가 Action 진행할 있습니다.

예를 들면, 아래와 같이 FailureReason AccountDisabled 조건을 쿼리문 생성

IdentityLogonEvents 
| where AccountName !startswith "Healthmailbox"
| where Application !startswith "Microsoft 365"
| where FailureReason contains "AccountDisabled"

 

검색 규칙 만들기

 

아래와 같이 설정을 진행할 있습니다.

 

자신이 생성한 규칙을 확인

 

관리자가 원하는 기준으로 경고 알림을 받을 있습니다.

 

10.0.3.4 Exchange Server 입니다.

Exchange Server에서 차단되었거나 차단된 계정으로 로그인 시도하는 것을 있습니다.

 

MDI는 Identity 이전보다 보다 쉽게 관리할 있으며, 내가 원하는 규칙을 설정하여 알림 조치를 취할 있는 장점이 있습니다.

반응형

+ Recent posts