설명:
내부 위협: 키 볼트에 대한 액세스 정책 설정을 수정합니다.
외부 위협: Key Vault 방화벽 설정을 수정합니다.
Fabrikam 자체 Azure AD 애플리케이션의 잠재적인 손상과 관련된 내부 위협의 경우, 가장 직접적이고 최소한의 영향을 미치는 해결 방법은 Key Vault 액세스 정책(또는 Key Vault 데이터 평면에 대한 RBAC를 사용 중인 경우 RBAC 할당)을 수정하여 손상된 서비스 주체의 권한(가져오기/나열/복호화/서명/래핑)을 즉시 제거하거나 줄이는 것입니다. Key Vault 액세스에 대한 Microsoft 지침은 최소 권한 설정과 손상이 의심되는 경우 자격 증명 또는 앱 권한을 즉시 취소하는 것을 강조합니다. 액세스 정책(또는 데이터 평면 RBAC)은 어떤 ID가 비밀, 키 및 인증서에 액세스할 수 있는지 제어하며, 이를 조정하면 손상된 앱의 추가 데이터 평면 작업을 차단할 수 있습니다. "리소스 잠금"은 관리 평면에서 삭제 또는 구성 변경을 방지하지만, 손상된 ID가 볼트 개체를 읽거나 사용할 수 있는 권한을 제거하지는 않으므로 이 시나리오에 적합한 첫 번째 대응책이 아닙니다.
외부 위협에 대비하여 Microsoft는 Key Vault 방화벽 및 네트워킹 강화를 권장합니다. 공용 네트워크 액세스를 제한하고, 필요한 IP만 허용하고, 가상 네트워크 규칙을 사용하고, 프라이빗 엔드포인트를 우선적으로 사용하는 것이 좋습니다. Key Vault에는 IP 및 VNet ACL을 위한 기본 제공 방화벽이 포함되어 있습니다. 이러한 제어 기능을 조정하면 공용 인터넷 노출을 줄이고 무단 트래픽을 차단할 수 있습니다. NSG는 IaaS 서브넷/NIC에 적용되며 공용 Key Vault 엔드포인트를 직접 보호하지 않습니다. Azure Firewall은 경계 제어 기능을 추가할 수 있지만, 특정 Key Vault Defender 경고를 해결하는 데 반드시 필요한 것은 아닙니다. 가장 효과적이고 즉각적인 해결 방법은 Key Vault 방화벽 설정을 강화하여 외부 액세스 경로를 제한하는 것입니다.
주제 3, Adatum Corporation
Adatum Corporation은 뉴욕, 시카고, 샌프란시스코에 지사를 둔 미국 금융 서비스 회사입니다.
온프레미스 네트워크에는 corp.adatum이라는 Active Directory 도메인 서비스(AD DS) 포리스트가 포함되어 있습니다.
adatum.com이라는 Azure AD 테넌트와 동기화되는 com입니다. 모든 사용자 및 그룹 관리 작업은 corp.adatum.com에서 수행됩니다. corp.adatum.com 도메인에는 adatum.com과 동기화되는 Group!이라는 그룹이 있습니다.
Adatum의 모든 사용자에게는 Microsoft 365 E5 라이선스와 Azure Active Directory Perineum 92 라이선스가 할당됩니다.
클라우드 환경에는 Microsoft 365 구독, ADAM에 연결된 Azure 구독이 포함되어 있습니다.
com 테넌트와 다음 표에 표시된 리소스입니다.

온프레미스 네트워크에는 다음 표에 표시된 리소스가 포함되어 있습니다.

Adatum은 다음과 같은 변경을 수행할 계획입니다.
* 다음 KQL 쿼리를 포함하는 rulequery1이라는 이름의 쿼리를 구현합니다.

* rulequery1을 기반으로 인시던트를 생성하는 Microsoft Sentinel 예약 규칙을 구현합니다.
Adatum은 다음과 같은 Microsoft Defender for Cloud 요구 사항을 식별합니다.
* 그룹1의 구성원은 Defender for Cloud 계획을 활성화하고 규정 준수 이니셔티브를 적용할 수 있어야 합니다.
* 모든 Azure 가상 머신에서 Microsoft Defender for Servers Plan 2를 활성화해야 합니다.
* Server2는 에이전트 없는 스캐닝에서 제외되어야 합니다.
Adatum은 다음과 같은 Microsoft Sentinel 요구 사항을 식별합니다.
* Infoblox1에서 NXDOMAIN 응답을 가져오는 DNS 요청 수를 반환하는 ASIM(고급 보안 정보 모델) 쿼리를 구현합니다.
* 단일 사용자가 Azure Cloud Shell을 여러 번 실행한 데 대한 응답으로 rulequery1에서 생성된 여러 경고가 단일 인시던트로 통합되었는지 확인합니다.
* Microsoft Sentinel에 대한 AMA 커넥터를 통해 Windows 보안 이벤트를 구현하고 Server1의 보안 이벤트 로그를 모니터링하도록 구성합니다.
* 회사의 SecOps 팀에서 Azure Cloud Shell을 시작하면 rulequery1에서 생성된 인시던트가 자동으로 닫히도록 합니다.
* Webapp1에서 동적으로 데이터를 검색하는 쿼리를 포함하는 Workbook1이라는 사용자 지정 Microsoft Sentinel 통합 문서를 구현합니다.
* 지정된 Break Glass 계정에 대한 로그인을 감지하는 Microsoft Sentinel 실시간(NRT) 분석 규칙을 구현합니다.
* Azure Portal에서 Microsoft Sentinel의 Hunting 페이지에 액세스하면 HuntingQuery1이 자동으로 실행되도록 합니다.
* corp.adatum.com 사용자 계정에 대한 비밀번호 재설정이 정상보다 많은 양으로 감지되는지 확인하세요.
* ASIM 파서를 사용하는 쿼리와 관련된 오버헤드를 최소화합니다.
* Group1 멤버가 플레이북을 생성하고 편집할 수 있는지 확인하세요.
* 가능하면 내장된 ASIM 파서를 사용하세요.
Adatum은 다음과 같은 비즈니스 요구 사항을 식별합니다.
* 가능한 한 최소 권한의 원칙을 따르세요.
* 가능하면 행정적 노력을 최소화하세요.
디렉토리 Perineum 92 라이센스.

참조:
https://docs.microsoft.com/en-us/azure/key-vault/general/secure-your-key-vault

설명

참조:
https://docs.microsoft.com/en-us/azure/sentinel/tutorial-investigate-cases#use-the-investigation-graph-to-deep-di

설명:

Microsoft Defender for Identity 설명서에 따르면, "신원 도용 의심(Pass-the-Ticket)"과 같은 경고가 나타나면 공격자가 손상된 Kerberos 티켓을 사용하여 합법적인 계정을 사칭했을 가능성이 있음을 나타냅니다. 이 시나리오의 목표는 영향을 받지 않은 사용자와 시스템의 중단을 최소화하면서 공격 확산을 억제하는 것입니다.
Microsoft는 악성 활동의 근원일 가능성이 높은 손상된 장치를 먼저 격리하거나 검역할 것을 권장합니다. 장치1을 격리하면 다른 네트워크 시스템과의 통신이 차단되어 추가적인 자격 증명 도용이나 측면 이동을 방지하는 동시에 SOC 팀이 문제를 조사하고 해결할 수 있습니다.
이 단계에서 모든 계정 비밀번호를 재설정하거나 사용자 계정을 비활성화하면 심각한 운영 중단이 발생할 수 있으며, 여러 자격 증명이 손상되었다는 증거가 없는 한 권장되지 않습니다. Defender for Identity의 봉쇄 지침에는 다음과 같은 내용이 명시되어 있습니다.
* "영향을 받은 장치를 격리하여 추가적인 자격 증명 도용이나 이동을 차단합니다."
* "침해가 확인된 계정에 대해서만 비밀번호를 재설정하세요."
따라서 가장 방해가 적고 효율적인 격리 단계는 Device1만 격리하는 것입니다. 이 작업은 다른 사용자와 장치의 정상적인 작동을 유지하면서 위협을 효과적으로 격리하여 관리 부담과 사용자 영향을 최소화해야 하는 요구 사항을 충족합니다.
따라서 검증된 답은 B. 장치1만 격리합니다.