교육

직원의 행복한 삶을 위해 함께 성장하는 회사를 지향합니다.

HOME > 교육 > 자료실
이름 관리자 이메일
작성일 19-10-16 조회수 2082
파일첨부                                 
제목
[Quest] 애저 AD와 오피스 365 감사 기능의 원리와 기본 툴의 한계
애저 AD와 오피스 365 감사 기능의 원리와 기본 툴의 한계

클라우드에서 애플리케이션을 실행하는 지금 여러분의 조직은 예전에 비해 더 안전합니까?

효율성은 아마 더 높겠지만, 더 안전할까요?

사용자는 클라우드에서도 여전히 고위험 작업을 수행할 수 있으며 계정 인증 정보는 여전히 침해가 가능합니다. 마이크로소프트는 몇 년 전부터 관리자들에게 수천만 개의 AD 계정이 매일 사이버 공격의 목표가 되고 있음을 경고해왔습니다. 또한 데이터 침해의 34%는 이미 네트워크 내부에 위치한 사람이 관련된다고 합니다.

그러나 기본 오피스 365 및 애저 AD 감사 툴은 역할과 그룹, 애플리케이션, 공유, 사서함에 대한 변경사항 감사 측면에서 부족한 부분이 많습니다. 검색 기능이 제한적이고 로그의 감사 이벤트도 한정된 기간 동안만 보존됩니다.

애저 AD 및 오피스 365 환경을 안전하게 보호하기 위해 면밀히 주시해야 할 10가지 보안 이벤트를 살펴볼 예정인데요, 우선 오늘은 애퍼와 오피스 365의 감사 원리와 기본 툴의 제약 사항을 알아보도록 하겠습니다. 

통합 감사 로그(Office 365 감사 로그 검색)

애저와 오피스 365의 감사는 어떻게 작동하는가?

클라우드 환경 관리와 보호의 시작은 사용자 로그인 및 로그아웃 이벤트 추적입니다. 온프레미스에서 이 정보를 얻고자 하는 시스템 관리자는 모든 윈도우 도메인 컨트롤러의 여러 로그를 검검하고 여러 서버의 로그에 걸쳐 감사 이벤트를 상호 연계해야 합니다.

클라우드라면 관리자는 애저 AD의 두 로그에 걸쳐 비슷한 방식으로 상호 연계를 해야 합니다. 두 로그는 모든 변경 이벤트가 포함된 감사 로그와 모든 인증 이벤트가 포함된 로그인 로그입니다. 로그에는 애저 포털(Azure Portal) 또는 파워셸(PowerShell)을 통해 액세스합니다.

오피스 365의 경우 각 애플리케이션(Exchange Online, SharePoint Online, OneDrive for Business 등)이 모든 관리자 및 사용자 수준 이벤트를 포함하는 오피스 365 통합 감사 로그에 씁니다. 통합 감사 로그에는 애저 감사 로그와 로그인 로그의 이벤트도 포함됩니다.

관리자는 로그가 어디에 있는지 알고, 이러한 로그에 어떤 종류의 데이터가 저장되는지도 압니다. 그러나 환경을 관리하고 보호하기 위해 이 데이터를 꺼내서 사용하는 것은 별개의 문제입니다.

기본 툴의 감사 공백

애저와 오피스 365의 감사에는 다음과 같은 여러 가지 제약이 있습니다.

- 하이브리드 환경을 사용하는 조직의 경우 하나의 뷰에서 온프레미스 및 클라우드 워크로드를 포괄하여 감사 활동을 검색할 수 없습니다.

- 마찬가지로, 온프레미스 워크로드에 대한 감사 정책을 클라우드 워크로드와는 별개로 구성해야 합니다.

또한 다른 관리자에 의해 변경 또는 비활성화되는 경우 감사 정책을 모니터링할 방법이 없습니다.

- 감사 로그의 일부 항목을 처리해서 통합 감사 로그에 추가하기까지 24시간 이상 지연이 발생합니다.

- 애저의 로그가 보존되는 기간은 워크로드와 구독 유형에 따라 달라지므로 IT 부서에서 사고를 조사할 수 있는 역량이 제한될 수 있습니다.

      

또한 이는 일부 규정 요건 기준에서 볼 때 지나치게 불확실합니다.

- 이벤트의 형식이 이벤트 유형과 발생 장소(온프레미스 또는 클라우드)에 따라 다릅니다.

정규화된 형식이 없으므로 기본 콘솔을 통해 로그를 보며 해석하기가 어렵습니다.

- 파워셸을 통해 애저와 오피스 365의 감사 이벤트에 액세스할 수 있습니다. 또한 애저와 오피스 365 모두 감사 이벤트 액세스를 위한 웹 포털을

제공합니다. 그러나 포털에는 한 번에 15개의 이벤트만 표시되고 처리 지연도 발생하므로 관련된 모든 감사 이벤트가 모두 함께 표시되지 않는

경우도 있습니다.

이전글 목적별로 다른 DB? "오라클 DB 하나로 충분"
다음글 [기고] 4차 산업혁명 시대, AI와 사람 그리고 일

댓글