뉴스

바이텍정보통신의 새로운 소식을 전합니다.

HOME > 뉴스
이름 quest관리자 이메일
작성일 19-12-11 조회수 183
파일첨부                                 
제목
[Quest]애저 AD 및 오피스 365 환경 보호를 위해 주시해야 할 10가지 보안 이벤트 – 1탄

애저 AD 및 오피스 365 환경 보호를 위해 주시해야 할 10가지 보안 이벤트 – 1탄

지난 포스팅에서는 애저 AD와 오피스 365 보호를 위한 감사 원리와 기본 툴의 한계점에 대해 짚어봤습니다. 애저 AD와 오피스 365 보호를 위해 특히 면밀히 주시해야 할 10가지 보안 이벤트 중 4가지를 살펴보도록 하겠습니다.

1. 변경 – 중요한 역할

온프레미스 인프라에서는 도메인 관리자, 계정 운영자, 서버 관리자와 같은 AD 내의 여러 그룹이 중요한 권한을 받고 따라서 중요한 요소로 간주됩니다. 클라우드에서는 애저 테넌트의 역할이 여기에 해당합니다.

문제는 시간이 지날수록 관리자, 운영자, 헬프데스크 기술자과 같은 사용자가 점진적으로 필요 이상의 권한을 획득하게 된다는 것입니다. 따라서 이러한 그룹과 역할 내에서 일어나는 변화에 대한 보고 및 경보가 포함된 신중한 관리가 필요합니다.

애저 감사 로그에서 역할 찾기

클라우드에서 첫 번째 단계는 애저 포털에서 중요한 역할을 찾는 것입니다. 애저AD 의 감사 로그 섹션에서 Core Directory 서비스와 RoleManagement 범주를 검색하면 테넌트의 역할에 대한 모든 변경사항이 반환됩니다(그림 1 참조). 그러나 중요하다고 생각하는 역할만 직접 검색할 수는 없습니다. 관리자는 각 감사 이벤트를 개별적으로 점검해서 어떤 역할이 수정되었는지 파악해야 합니다.

<그림1. 애저 포털에서 역할 검색>

다른 옵션은 결과를 마이크로소프트 엑셀 스프레드시트로 내보내 분석하는 것입니다. 이를 위해서는 오피스 365뿐만 아니라 애저에 대한 구독도 필요합니다.

통합 감사 로그에서 역할 찾기

오피스 365 보안 및 컴플라이언스 센터(Office 365 Security & Compliance Center)를 통한 통합 감사 로그 검색에서도 정보를 수집할 수 있습니다. (이러한 검색은 애저 AD 로그 외에, 앞의 설명과 같이 모든 Office 365 툴의 로그를 대상으로 실행됩니다. 애저 감사 로그를 단독으로 검색할 때보다 시간이 오래 걸릴 수 있습니다.)

검색은 역할 관리와 관련된 지정된 날짜 범위의 모든 개별 활동을 반환하며(그림 2 참조), 이는 애저 감사 로그를 검색하는 경우에 비해 더 좋은 점입니다.

<그림 2. 통합 감사 로그 검색>

그러나 전체 감사 세부 정보가 하나의 내장형 JSON 형식에 포함되므로 수정된 역할을 찾으려면 모든 세부 정보를 하나하나 살펴야 합니다. Excel 등의 툴로 데이터를 내보낼 수 있지만 그림 3의 AuditData 열에서 볼 수 있듯이 JSON으로 인해 수정된 역할을 필터링하기가 어렵습니다.

<그림3. 엑셀에서 검색 결과 보기>

2. 변경 – 그룹

AD의 그룹은 오래 전부터 리소스에 대한 액세스 권한의 핵심 요소입니다. 클라우드에서도 마찬가지지만 몇 가지 고려해야 할 점이 있습니다.

- 애저는 더 많은 유형의 그룹을 허용합니다. 예를 들어 사용자는 아웃룩, 팀즈와 같은 앱을 통해 그룹을 만들 수 있습니다.

- 팀즈를 통해 생성되는 것과 같은 Office 365 그룹은 애플리케이션을 지원하기 위해 다른 애저 리소스를 생성합니다.

- 애저 AD B2B는 고객 및 벤더와의 협업을 위한 그룹을 손쉽게 만들 수 있게 해줍니다.

그러나 사용자가 제 3자에게 의도하지 않은 액세스 권한을 부여하게 될 위험이 따릅니다.

<그림 4. Azure 포털에서 그룹 검색>

Azure 감사 로그에서 그룹 찾기

역할 변경과 마찬가지로 그룹을 추적하는 데 있어서도 자연스러운 첫 번째 단계는 애저 포털입니다. 애저 AD의 감사 로그 섹션에서 Core Directory 서비스와 GroupManagement 범주를 검색하면 테넌트의 그룹에 대한 모든 변경사항이 반환됩니다(그림 4의 윗부분). 그러나 여기서도 마찬가지로 중요하다고 생각하는 그룹만 직접 검색할 방법은 없습니다. 게다가 수정된 그룹은 처음에는 표시되지 않으므로 관리자가 수정된 속성(Modified Properties) 탭(그림 4 아래)에서 감사 이벤트의 세부 정보를 살펴 수정된 그룹을 찾아야 합니다.

다른 옵션은 결과를 엑셀 스프레드시트로 내보내고 분석하는 것입니다. 이를 위해서는 오피스 365 외에 애저에 대한 구독도 필요합니다.

통합 감사 로그에서 그룹 찾기

역할 변경과 마찬가지로 그룹 변경사항에 대한 정보는 Office 365 보안 및 컴플라이언스 센터에서도 모든 Azure AD 그룹 관리 활동에 대한 감사 로그 검색으로 수집할 수 있습니다(그림 2 참조). 그룹에 추가된 구성원과 그룹에서 제거된 구성원을 검색하면(그림 5) 멤버십의 변경사항을 볼 수 있습니다.

그러나 이 절차에서 원하는 그룹에 대한 직접 검색은 여전히 불가능하므로 모든 그룹에 대한 변경을 검색한 다음 데이터를 살펴봐야 합니다. 또한 전체 감사 정보가 하나의 내장형 JSON에 있으므로 수정된 그룹을 찾으려면 모든 세부정보를 일일이 확인해야 합니다. 데이터를 Excel과 같은 툴로 내보낼 수 있지만 JSON 형식으로 인해 수정된 그룹을 필터링하기가 어렵습니다.

<그림 5. 통합 감사 로그의 수정된 속성>

3. 변경 – 애플리케이션

애저 AD는 많은 SaaS 애플리케이션의 설정을 간소화하고 구내 애플리케이션에 대한 액세스도 가능하게 해줍니다.

SaaS 애플리케이션을 설정하기는 어렵지 않지만 변경이 올바르게 이뤄지지 않는 경우 쉽게 손상될 수 있습니다. 또한 문서화되지 않은 변경은 문제 해결 과정에서 시간, 생산성, 수익의 손실로 이어집니다. 따라서 애플리케이션에 대한 변경을 추적하는 기능은 비즈니스를 위해 반드시 필요합니다.

Azure 감사 로그에서 애플리케이션 변경사항 찾기

Azure 포털에서 개별 애플리케이션에 대한 변경사항을 찾기 위한 첫 번째 단계는 개별 애플리케이션에 대한 감사 로그 섹션의 애저 AD입니다. 문제는 변경사항을 찾기 위해서는 많은 반복적인 수작업이 필요하다는 것입니다.

<그림 6. 애저 감사 로그에 나온 애플리케이션 변경사항>

그림 6의 범주(Category) 열에서 볼 수 있듯이, 감사 이벤트는 ApplicationManagement 및 UserManagement에 있습니다.

ApplicationManagement 범주로 들어가면 그림 7의 목록을 볼 수 있습니다.

<그림 7. ApplicationManagement 범주 검색>

<그림 8. UserManagement 범주 검색>

UserManagement와 관련된 애플리케이션 변경사항을 세부적으로 살펴보려면 해당 범주로 전환한 다음 활동(Activity) 드롭다운에서 5가지 활동을 선택해야 합니다.

- 사용자에게 앱 역할 할당 추가(그림 8 참조)

- 사용자의 애플리케이션 비밀번호 생성

- 사용자의 애플리케이션 비밀번호 삭제

- 사용자로부터 앱 역할 할당 제거

- 앱 할당 검토

따라서 모든 애플리케이션 변경사항을 검색하거나 원하는 변경사항이 포함된 목록을 만들 손쉬운 방법이 없습니다.

4. 리소스 생성

클라우드로의 이동은 거의 항상 리소스 생성으로 이어지며 일부는(예를 들어 팀즈 사이트) 오피스 365 그룹 및 셰어포인트 리소스와 같은 자체 리소스 집합을 만듭니다. 생성되는 리소스의 종류와 수를 추적할 수 있게 되면 관리자는 많은 시간과 비용이 소비되는 관리 부담을 덜 수 있습니다.

Azure 감사 로그에서 생성된 리소스 찾기

사용자 및 그룹 생성과 관련된 리소스를 고려해 보십시오. 소비된 리소스(추가, 삭제, 업데이트, 라이선스 변경, 앱 역할 할당)를 찾기 위한 최적의 장소는 애저 포털 내의 애저 AD 감사 로그입니다.

그러나 한 번에 하나의 범주만 검색할 수 있으므로(UserManagement(그림 9 참조), 그 다음 GroupManagement) 관리자는 정보를 수집하려면 쿼리를 여러 번 실행해야 합니다.

<그림 9. 애저 감사 로그에 나열된 생성된 리소스>

<그림 10. 통합 감사 로그에 나열된 생성된 리소스>

통합 감사 로그에서 생성된 리소스 찾기

오피스 365 보안 및 컴플라이언스 포털의 감사 로그 검색(그림 10 참조)은 여러 리소스에 대한 시야를 제공합니다.

- 파일: 복사, 이동, 업로드, 이름 변경, 복원

- 폴더: 생성, 이름 변경, 이동, 복원

- 셰어포인트 사이트: 생성된 목록, 생성된 목록 항목

- 사이트 권한: 사이트 컬렉션 관리자 추가, 셰어포인트 그룹에 사용자 또는 그룹 추가, 그룹 생성

- 익스체인지: 사서함 항목 생성, 사서함 권한 추가

- 스웨이(Sway): Sway 생성

- 팀즈(Teams): 팀 생성, 탭 추가, 커넥터 추가, 채널 추가, 구성원 추가, 봇 추가

이러한 모든 리소스에 대한 전체 그림을 파악하려면 여러 번의 쿼리가 필요합니다. 또한 다른 오피스 365 감사 이벤트 검색과 마찬가지로, 세부 정보는 내장형 JSON에 포함되므로 단순한 쿼리 결과보다 접근성이 떨어집니다.

다음 포스팅에서는 애저 AD와 오피스 365 감사에서 중요한 이벤트 로그 나머지 6가지를 알아보도록 하겠습니다.

이전글 IDG 2020 IT 전망보고서 - IDG Deep Dive
다음글 [Quest]애저 AD 및 오피스 365 환경 보호를 위해 주시해야 할 10가지 보안 이벤트 – 2탄