Microsoft Sentinel의 ID 공격 그래프

Microsoft Sentinel의 Identity Attack Graph는 Azure 내에서 ID 기반 공격 경로를 시각화하여 공격자가 어떻게 측면 이동하는지 보여줍니다. 이는 보안 팀이 ID, 권한, 리소스 및 잠재적 공격 벡터 간의 연결을 이해하는 데 도움이 됩니다. 이 그래프는 그룹을 통한 간접 액세스와 같이 복잡한 ID 관계 속에 숨겨진 위험을 강조합니다. 주요 사용 사례에는 공격 경로 검색, 영향 범위 분석 및 과도한 권한을 가진 ID 탐지가 포함됩니다. 이 기능은 액세스 검토를 지원하고 연결을 시각화하여 인시던트 대응을 간소화합니다. 적절한 설정에는 Microsoft Sentinel 및 구독 수준의 Owner 권한이 필요하며, 수동 Azure Resource Graph 커넥터 활성화가 중요합니다. 그래프는 검색을 지원하므로 분석가는 수정 전에 다른 도구를 사용하여 결과를 검증해야 합니다. Graph Query Language (GQL)는 연결된 데이터를 쿼리하고 관계를 식별하여 조사를 강화합니다. 이는 한때 수동 데이터 수집이 필요했던 것을 단순화하여 더 빠른 분석을 가능하게 합니다. 이 그래프는 리소스에 대한 ID 액세스와 같은 관계에 초점을 맞춰 위협 탐지를 가속화합니다. 이는 궁극적으로 Azure 환경의 보안 태세를 개선합니다.