애저 AD 및 오피스 365 환경 보호를 위해 주시해야 할 10가지 보안 이벤트 – 2탄 지난 포스팅에서는 애저 AD와 오피스 365 보호를 위해 특히 면밀히 주시해야 할 10가지 보안 이벤트 중 다음의 4가지에 대해 알아보았습니다. 1. 변경 – 중요한 역할 2. 변경 – 그룹 3. 변경 – 애플리케이션 4. 리소스 생성 오늘은 여기에 이어서 5&6. 공유 – 중요한 데이터와 익명 데이터, 7. 이메일 – 인바운드 메시지 포워딩, 8. 이메일 – 비소유자 활동, 9. 관리 명령 내역, 10. 실패한 로그인에 대해 알아보겠습니다. 5&6. 공유 – 중요한 데이터와 익명 데이터 셰어포인트 온라인과 비즈니스용 원드라이브로 전환하면 특히 데이터 공유와 관련해 새로운 종류의 위험이 발생하게 됩니다. 앞서 언급한 것과 같이 사용자들은 인식하지 못하는 사이 다른 회사의 B2B 사용자를 공유 대상에 포함함으로써 의도하지 않게 민감한 데이터를 공유할 수 있습니다. 예를 들어, 원드라이브에 저장된 데이터에 대한 무제한 공유 링크를 획득한 승인되지 않은 사용자는 익명으로 파일에 액세스할 수 있습니다. 공유가 증가하면 그 이면에서 위험도 증가합니다. 기업이 클라우드로 이전하면 데이터 공유에 관한 애저 AD 보고서를 생성하는 IT 부서의 역량이 더욱 중요해집니다. 기업에서 특정 파일 형식의 공유를 차단하거나 엄격하게 통제해야 할 이유는 많습니다. 통합 감사 로그에서 공유 및 액세스 요청 찾기 오피스 365 보안 및 컴플라이언스 포털에서 감사 로그를 검색하면 공유된 파일과 폴더, 사이트에 대한 정보가 반환됩니다. 아래 그림 1은 공유 및 액세스 요청 활동에 대한 검색 결과를 보여줍니다. 
그림 1. 통합 감사 로그의 공유 활동 목록 문제는 이 쿼리는 이와 같은 활동에 대한 모든 데이터를 반환한다는 것입니다. 공유되는 파일의 확장자로 결과를 제한하면(예를 들어, CER, DER, CRT, PEM, PFX, P7B, P7C, P12, PPK, PIB, SPC, STL, CRL, SSH, EVT, EXE, BAT, PIF.) 쿼리의 효율성과 유용성을 높일 수 있습니다. 또는, 마이크로소프트 오피스 파일 확장자(PPT, PPTX, XLS, DOC, DOCX 등)로 결과 범위를 좁힐 수도 있습니다. 감사 로그 검색에서는 이렇게 할 수 없습니다. 다른 한 가지 옵션은 통합 감사 로그의 AuditData 필드 데이터의 확대집합을 스프레드시트 형식으로 내보내는 방법입니다. 그러나 이 경우에도 의심스러운 공유 활동으로 결과를 좁히려면 어느 정도의 데이터 조작이 필요합니다. 특히 관심을 가져야 하는 익명 공유는 아래 그램과 같이 활동 필터에 단어 ‘anonymous’를 입력하면 쉽게 쿼리할 수 있습니다. 그림 2. 익명 공유 활동에 대한 검색 결과 사용자 필터를 익명으로 변경하면 익명으로 액세스된 모든 파일이 반환됩니다. 내보낸 감사 이벤트의 Userid 또는 Operation 열을 필터링해도 비슷한 결과를 얻게 됩니다. 7. 이메일 – 인바운드 메시지 포워딩 인바운드 이메일을 다른 주소로 포워딩하는 자체는 좋지도, 나쁘지도 않은 일입니다. 수신자는 메시지에 포함된 정보를 외부 벤더나 고객과 공유해야 할 수 있습니다. 현장의 컨설턴트와 계약 업자는 메시지를 포워딩하고 모든 이메일을 하나의 계정으로 통합하는 편을 선호할 수 있습니다. 사용자는 수동으로 이메일을 포워딩할 수 있으며, 사용자(ForwardSMTP를 통해) 또는 관리자(ForwardAlias를 통해)는 사서함에 자동 포워딩을 설정할 수 있습니다. 자동 포워딩은 무해할 수 있지만, 현명한 관리자는 이메일 포워딩과 관련해 변경을 주시하면서 악의적인 활동으로 의심되는 변경을 차단합니다. 아쉽게도 애저 AD와 오피스 365의 감사 로그는 이메일 포워딩 변경에 대한 직접 검색을 허용하지 않습니다. 대신 익스체인지 온라인에서 전체 변경 로그를 내보낸 다음 감사 세부정보의 Parameters 필드에 {“name”:”DeliverToMailboxAndForward”,”value”:”True”}를 사용해서 내보낸 감사 이벤트를 검색해서 원하는 이벤트를 반환해야 합니다. 8. 이메일 – 비소유자 활동 비소유자 이메일 활동은 대규모 조직에서 관리 직원이 자신이 지원하는 경영진의 이메일 계정에 액세스하거나, 여러 명의 직원이 사서함을 공유하는 등의 형태로 흔히 일어납니다. 비소유자 계정이 침해되면 공격자는 민감한 정보에 액세스할 수 있게 됩니다. 익스체인지 온라인 관리 맥락에서 볼 때 관리자는 자신의 권한으로 스스로에게 다른 경영진 사서함을 볼 수 있는 권한을 부여하는 것을 포함해 거의 모든 활동을 수행할 수 있습니다. 모든 조직은 관리자를 신뢰하고 시스템 관리 및 유지를 맡기지만 무단 활동도 잘 감시해야 합니다. 통합 감사 로그에서 비소유자 이메일 활동 찾기 비소유자 활동에 대한 정보는 그림 3과 같이 통합 감사 로그에서만 볼 수 있습니다. 대부분의 비소유자가 수행한 활동 유형을 검색하려면 다음을 포함합니다. - Send On Behalf 권한을 사용하여 메시지 발송 - 캘린더/폴더에 대한 위임 액세스 권한으로 사용자 추가 또는 제거 - Send As 권한을 사용하여 메시지 발송 - 위임 사서함 권한 추가 - 위임 사서함 권한 제거 그림 3. 통합 감사 로그의 비소유자 이메일 활동 목록 단, 폴더 및 메시지 추가/삭제/이동이나, 일부 권한의 변경과 같은 활동은 이 방법으로 포착되지 않습니다. 철저한 검색을 수행하려면 모든 사서함 활동을 쿼리하고 결과를 스프레드시트로 내보내야 합니다. 그러나 다음 단계, 즉 LogonUserSid가 MailboxOwnerMasterSid와 일치하지 않는 감사 이벤트 찾기는 많은 노동이 필요한 작업입니다. 정보가 AuditData 열에 이벤트의 나머지 정보와 함께 포함되어 있기 때문입니다(그림 4 참조).
그림 4. AuditData 열의 세부 정보 9. 관리 명령 내역 마이크로소프트는 온프레미스 관리를 위한 MMC(Microsoft Management Console), 클라우드 관리를 위한 웹 포털과 같은 관리 툴을 제공합니다. 마이크로소프트는 갈수록 파워셸을 주 관리 방법으로 강조하고 있습니다. 사실 많은 MMC는 사용자 인터페이스에서 전달되는 이벤트를 기반으로 파워셸 명령을 실행합니다. 익스체인지가 대표적인 예입니다. 그러나 명령이 올바르게 실행되도록 하는 것이 중요한 만큼 명령의 내역을 계속 추적하는 것 역시 중요한데, 이는 거의 불가능합니다. 예를 들어, 애저 AD의 조건부 액세스 정책에 대한 모든 변경 사항과 애플리케이션 동의 이벤트를 추적하는 것 자체는 좋은 생각입니다. 엉뚱한 애플리케이션에 객체에 대한 읽기/쓰기 액세스 권한이 부여되면 취약점으로 이어질 수 있기 때문입니다. 문제는 애저와 오피스 365 포털에서 실행된 관리자 명령의 내역을 추출할 방법이 현재 존재하지 않는다는 것입니다. 10. 실패한 로그인 온프레미스 환경이든 클라우드에서든 실패한 로그인 추적은 관리자가 해야 할 일 중 하나입니다. 계정이 잠기면 사용자는 짜증을 냅니다. 대부분의 사용자는 자신의 계정이 어떻게, 왜 잠겼는지 모릅니다. 애저 AD를 통한 하이브리드 로그인은 또 다른 잠재적인 잠금의 원인을 추가함으로써 문제를 더 악화시킵니다. 그러나 반복적으로 실패한 로그인은 공격자가 무차별 대입 방식으로 사용자 비밀번호를 입력하는 악의적인 활동을 나타낼 수 있습니다. 온프레미스 환경에서는 실패한 이벤트에 대한 정보가 모든 도메인 컨트롤러의 보안 로그에 저장됩니다. 클라우드의 경우 이 정보는 모든 애저 테넌트의 감사 이벤트에 저장됩니다. 아래 그림에서 볼 수 있듯, 각 테넌트에 대해 애저 AD의 모니터링 아래에 있는 로그인(Sign-ins) 화면에서 실패(Failure)를 검색하면 실패한 로그인 이벤트가 반환됩니다. 그러나 실패한 모든 로그인 이벤트를 수집하는 것은 시작일 뿐입니다. 이제 모든 정보에서 패턴을 분석해야 하는데, 검색 결과에 포함된 세부 정보가 부족한 탓에 쉽지 않은 일입니다. 그림 5. 애저AD의 실패한 로그인 검색 퀘스트의 온디맨드 감사 오피스 365의 네이티브 툴과 애저 보고 기능의 부족함을 감수한 채 주먹구구식으로 작업할 필요가 없다면 어떨까요? 퀘스트소프트웨어의 오피스 365 용 온디맨드 오딧 하이브리드 스위트(On Demand Audit Hybrid Suite for Office 365)는 하이브리드 마이크로소프트 환경 전반에 걸친 사용자 활동을 일목요연하게 볼 수 있는 호스팅된 뷰를 제공합니다. 온프레미스 AD, 애저 AD, 그리고 익스체인지 온라인, 셰어포인트 온라인, 비즈니스용 원드라이브와 같은 오피스 365 워크로드 등에서 발생하는 모든 변경 사항을 노출시킵니다. 감사 로그에서 단편적인 정보를 일일이 찾는 대신 몇 년 분량의 데이터를 대상으로 빠른 검색을 사용해서 단일 창에서 이벤트를 조사하고 보고할 수 있습니다. 마이크로소프트의 파워BI와 통합되므로 아래 그림과 같이 인터랙티브 데이터 시각화를 통해 보고서를 생성할 수 있습니다. 그림 6. 퀘스트소프트웨어의 온디맨드 대시보드 온 디맨드 오딧 하이브리드 스위트는 세부적인 위임된 액세스 권한을 제공해 구성을 변경하거나 부가적인 인프라를 설정하지 않고도 사용자에게 필요한 인사이트를 얻을 수 있는 역량을 안전하게 부여합니다. 몇 번의 클릭마ㄴ으로 보안 및 컴플라이언스, 헬프 데스크 담당자, IT 관리자와 외부 감사자, 파트너에게 정확히 필요한 만큼의 보고서만 제공함으로써 필요 이상의 정보 노출을 방지할 수 있습니다. |
