Microsoft Entra ID 지원

Tenable Identity Exposure에서는 Active Directory 외에 Microsoft Entra ID(이전의 Azure AD, 즉 AAD)도 지원하여 조직의 ID 범위를 확장합니다. 이 기능은 Microsoft Entra ID 관련 위험에 초점을 맞춘 새 위험 노출 지표를 활용합니다.

Microsoft Entra IDTenable Identity Exposure에 통합하려면 이 온보딩 절차를 정확히 따르십시오.

  1. 필수 조건을 충족합니다.

  2. 권한을 확인합니다.

  3. Microsoft Entra ID 설정 구성

  4. Microsoft Entra ID 지원 활성화

  5. 테넌트 스캔 활성화

필수 조건

"cloud.tenable.com"에 로그인하고 Microsoft Entra ID 지원 기능을 이용하려면 Tenable Cloud 계정이 있어야 합니다. 이 Tenable Cloud 계정은 웰컴 이메일에 사용한 이메일 주소와 같습니다. "cloud.tenable.com"용 이메일 주소를 모르는 경우, 지원팀에 문의하시기 바랍니다. 유효한 라이선스(온프레미스 또는 SaaS)가 있는 모든 고객은 "cloud.tenable.com"에서 Tenable Cloud에 액세스할 수 있습니다. 이 계정을 사용해 Microsoft Entra ID에 대한 Tenable 스캔을 구성하고 스캔 결과를 수집할 수 있습니다.

참고: 유효한 Tenable Vulnerability Management 라이선스가 없어도 Tenable Cloud에 액세스할 수 있습니다. 현재 유효한 독립형 Tenable Identity Exposure 라이선스(온프레미스 또는 SaaS)면 충분합니다.

권한

Microsoft Entra ID를 지원하려면 Microsoft Entra ID에서 사용자, 그룹, 애플리케이션, 서비스 주체, 역할, 권한, 정책, 로그 등과 같은 데이터를 수집해야 합니다. 이 데이터는 Microsoft 권장 사항에 따라 Microsoft Graph API 및 서비스 주체 자격 증명을 사용하여 수집합니다.

  • Microsoft Graph에서 테넌트 전반에 걸친 관리자 동의를 부여할 권한이 있는 사용자로서 Microsoft Entra ID에 로그인해야 합니다(Microsoft에 따른 전역 관리자 또는 권한 있는 역할 관리자 역할(또는 적절한 권한을 가진 각종 사용자 지정 역할)이 있어야 함).

  • Microsoft Entra ID의 구성과 데이터 시각화에 액세스하려면 Tenable Identity Exposure 사용자 역할에 적절한 권한이 있어야 합니다. 자세한 내용은 역할에 대한 권한 설정을 참조하십시오.

Microsoft Entra ID 설정 구성

다음과 같은 절차(Microsoft 빠른 시작: Microsoft ID 플랫폼에 애플리케이션 등록 설명서에서 수정)를 사용해 Microsoft Entra ID의 필수 설정을 모두 구성하십시오.

    1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.

    2. + 신규 등록을 클릭합니다.

    3. 애플리케이션에 이름을 지정합니다(예: "Tenable Identity Collector"). 다른 옵션의 경우, 기본값을 그대로 두어도 됩니다.

    4. 등록을 클릭합니다.

    5. 새로 생성된 이 앱의 개요 페이지에서 "애플리케이션(클라이언트) ID"와 "디렉터리(테넌트) ID"를 기록해 둡니다.

    1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.

    2. 만든 애플리케이션을 클릭합니다.

    3. 왼쪽 메뉴에서 인증서 및 암호를 클릭합니다.

    4. + 새 클라이언트 암호를 클릭합니다.

    5. 설명 상자에 이 암호에 실용적인 이름을 부여하고 정책에 부합하는 만료 값을 입력합니다. 만료 날짜가 가까워지면 이 암호를 갱신해야 합니다.

    6. Azure는 이 값을 한 번만 표시하므로 암호 값을 안전한 위치에 저장하십시오. 잃어버린 경우 다시 만들어야 합니다.

    1. Azure 관리자 포털에서 앱 등록 페이지를 엽니다.

    2. 만든 애플리케이션을 클릭합니다.

    3. 왼쪽 메뉴에서 API 권한을 클릭합니다.

    4. 기존 User.Read 권한을 제거합니다.

    5. + 권한 추가를 클릭합니다.

    6. Microsoft Graph를 선택합니다.

    7. 애플리케이션 권한을 선택합니다("위임된 권한" 아님).

    8. 목록 또는 검색창을 사용하여 다음과 같은 권한을 찾아 모두 선택합니다.

      • AuditLog.Read.All

      • Directory.Read.All

      • IdentityProvider.Read.All

      • Policy.Read.All

      • Reports.Read.All

      • RoleManagement.Read.All

      • UserAuthenticationMethod.Read.All

    9. 권한 추가를 클릭합니다.

    10. <tenant name>에 관리자 동의 부여를 클릭하고 를 클릭하여 확인합니다.

  1. Microsoft Entra ID에서 모든 필수 설정을 구성한 다음:

    1. Tenable Vulnerability Management에 'Microsoft Azure' 유형의 새 자격 증명을 만듭니다.

    2. "키" 인증 방법을 선택하고 이전 절차에서 가져온 값(테넌트 ID, 애플리케이션 ID 및 클라이언트 암호)을 입력합니다.

Microsoft Entra ID 지원 활성화

참고: 이 기능을 활성화하려면 액세스와 암호 키를 생성한 Tenable Cloud 사용자에게 Tenable Identity Exposure 라이선스가 참조하는 Tenable Cloud 컨테이너의 관리 권한이 있어야 합니다. 자세한 내용은 Tenable Identity Exposure 라이선싱을 참조하십시오.

  1. Tenable Identity Exposure에서 왼쪽 탐색 메뉴의 시스템 아이콘 을 클릭합니다.

  2. 구성 탭을 클릭합니다.

    구성 페이지가 열립니다.

  3. 애플리케이션 서비스 아래에서 Tenable Cloud를 클릭합니다.

  4. Microsoft Entra ID 활성화 지원에서 토글을 클릭하여 사용 설정합니다.

  5. 이전에 Tenable Cloud에 로그인한 적이 없는 경우, 링크를 클릭하여 로그인 페이지로 이동합니다.

    1. 비밀번호를 잊으셨습니까? 를 클릭하여 비밀번호 재설정을 요청합니다.

    2. Tenable Identity Exposure 라이선스와 연결된 이메일 주소를 입력하고 비밀번호 재설정 요청을 클릭합니다.

      그러면 Tenable에서 비밀번호를 재설정할 링크를 포함한 이메일을 해당 주소로 보냅니다.

      참고: 이메일 주소가 Tenable Identity Exposure 라이선스와 연결된 이메일과 다른 경우, 고객 지원팀에 지원을 요청하십시오.

  6. Tenable Vulnerability Management에 로그인합니다.

  7. Tenable Vulnerability Management에서 API 키를 생성하려면 Tenable Vulnerability Management > 설정 > 내 계정 > API 키로 이동합니다.

  1. Tenable Vulnerability Management "관리자" 사용자 AccessKeySecretKey를 입력해 Tenable Identity Exposure와 Tenable Cloud Services 사이의 연결을 설정합니다.

  2. 키 편집을 클릭하여 API 키를 제출합니다.

    Tenable Identity Exposure에서 API 키를 업데이트했다는 확인 메시지를 표시합니다.

테넌트 스캔 활성화

테넌트를 추가하면 Tenable Identity ExposureMicrosoft Entra ID 테넌트와 연결하여 해당 테넌트에서 스캔을 수행할 수 있습니다.

  1. 구성 페이지에서 테넌트 관리 탭을 클릭합니다.

    테넌트 관리 페이지가 열립니다.

  2. 테넌트 추가를 클릭합니다.

    테넌트 추가 페이지가 열립니다.

  3. 테넌트 이름 상자에 이름을 입력합니다.

  4. 자격 증명 상자에서 드롭다운 목록을 클릭하여 자격 증명을 선택합니다.

  5. 자격 증명이 목록에 표시되지 않는 경우, 다음 중 한 가지 조치를 취할 수 있습니다.

  6. 새로 고침을 클릭하여 자격 증명 드롭다운 목록을 업데이트합니다.

  7. 만든 자격 증명을 선택합니다.

  8. 추가를 클릭합니다.

    메시지가 표시되어 Tenable Identity Exposure에서 테넌트를 추가했다고 확인하며 해당 테넌트는 이제 테넌트 관리 페이지 목록에 표시됩니다.

참고: 테넌트 스캔은 실시간으로 수행되지 않으며 Microsoft Entra ID 데이터가 ID 탐색기에 표시되기까지 최소 45분이 필요합니다.

  • 목록에서 테넌트를 선택하고 토글을 클릭하여 스캔 사용으로 바꿉니다.

    Tenable Identity Exposure에서 해당 테넌트에 대한 스캔을 요청하고 결과가 위험 노출 지표 페이지에 표시됩니다.

    참고: 두 스캔 사이의 필수 최소 시간 지연은 30분입니다.