감사 로그에서 공유 감사 사용

공유는 SharePoint Online 및 비즈니스용 OneDrive 주요 활동이며 조직에서 널리 사용됩니다. 관리자는 감사 로그에서 공유 감사를 사용하여 organization 공유를 사용하는 방법을 결정할 수 있습니다.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

SharePoint 공유 스키마

공유 이벤트(정책 공유 및 링크 공유와 관련된 이벤트 제외)는 한 사용자가 다른 사용자에게 영향을 주는 작업을 수행하는 한 가지 기본 방법으로 파일 및 폴더 관련 이벤트와 다릅니다. 예를 들어 리소스 사용자 A가 사용자 B에게 파일에 대한 액세스 권한을 부여하는 경우입니다. 이 예제에서 사용자 A는 동작하는 사용자 이고 사용자 B는대상 사용자입니다. SharePoint 파일 스키마에서 동작하는 사용자의 작업은 파일 자체에만 영향을 줍니다. 사용자 A가 파일을 열면 FileAccessed 이벤트에 필요한 유일한 정보는 작동하는 사용자입니다. 이러한 차이를 해결하기 위해 공유 이벤트에 대한 자세한 정보를 캡처하는 SharePoint 공유 스키마라는 별도의 스키마 가 있습니다. 이렇게 하면 관리자가 리소스를 공유한 사용자와 리소스를 공유한 사용자를 확인할 수 있습니다.

공유 스키마는 공유 이벤트와 관련된 감사 레코드에 다음 두 개의 추가 필드를 제공합니다.

• TargetUserOrGroupType: 대상 사용자 또는 그룹이 멤버, 게스트, SharePointGroup, SecurityGroup 또는 파트너인지 여부를 식별합니다.
• TargetUserOrGroupName: 리소스가 공유된 대상 사용자 또는 그룹의 UPN 또는 이름을 저장합니다(이전 예제의 사용자 B).

이러한 두 필드는 사용자, 작업 및 날짜와 같은 감사 로그 스키마의 다른 속성 외에도 어떤 사용자가 누구와 언제 어떤 리소스를 공유했는지에 대한 전체 스토리를 알려줄 수 있습니다.

공유 스토리에 중요한 또 다른 스키마 속성이 있습니다. 감사 로그 검색 결과를 내보낼 때 내보낸 CSV 파일의 AuditData 열은 이벤트 공유에 대한 정보를 저장합니다. 예를 들어 사용자가 다른 사용자와 사이트를 공유하는 경우 SharePoint 그룹에 대상 사용자를 추가하여 이 작업을 수행합니다. AuditData 열은 이 정보를 캡처하여 관리자에게 컨텍스트를 제공합니다. AuditData 열의 정보를 구문 분석하는 방법에 대한 지침은 2단계를 참조하세요.

SharePoint 공유 이벤트

공유는 사용자( 행동 사용자)가 다른 사용자( 대상 사용자)와 리소스를 공유하려는 경우에 정의됩니다. 외부 사용자(organization 외부에 있고 organization Microsoft Entra ID 게스트 계정이 없는 사용자)와 리소스 공유와 관련된 감사 레코드는 감사 로그에 기록되는 다음 이벤트로 식별됩니다.

• SharingInvitationCreated: organization 사용자가 리소스(사이트일 가능성이 높임)를 외부 사용자와 공유하려고 했습니다. 그러면 대상 사용자에게 외부 공유 초대가 전송됩니다. 이 시점에서 리소스에 대한 액세스 권한이 부여되지 않습니다.
• SharingInvitationAccepted: 외부 사용자가 작업 사용자가 보낸 공유 초대를 수락했으며 이제 리소스에 액세스할 수 있습니다.
• AnonymousLinkCreated: 리소스에 대해 익명 링크("모든 사람" 링크라고도 함)가 만들어집니다. 익명 링크를 만든 다음 복사할 수 있으므로 익명 링크가 있는 모든 문서가 대상 사용자와 공유되었다고 가정하는 것이 좋습니다.
• AnonymousLinkUsed: 이름에서 알 수 있듯이 이 이벤트는 리소스에 액세스하는 데 익명 링크를 사용할 때 기록됩니다.
• SecureLinkCreated: 사용자가 특정 사용자와 리소스를 공유하는 "특정 사용자 링크"를 만들었습니다. 이 대상 사용자는 organization 외부에 있는 사용자일 수 있습니다. 리소스가 공유되는 사람은 AddedToSecureLink 이벤트에 대한 감사 레코드에서 식별됩니다. 이 두 이벤트에 대한 타임스탬프는 거의 동일합니다.
• AddedToSecureLink: 사용자가 특정 사용자 링크에 추가되었습니다. 이 이벤트의 TargetUserOrGroupName 필드를 사용하여 해당 특정 사용자 링크에 추가된 사용자를 식별합니다. 이 대상 사용자는 organization 외부에 있는 사용자일 수 있습니다.

감사 작업 흐름 공유

사용자(행동 사용자)가 다른 사용자(대상 사용자)와 리소스를 공유하려는 경우 SharePoint(또는 비즈니스용 OneDrive)는 먼저 대상 사용자의 이메일 주소가 organization 디렉터리의 사용자 계정과 이미 연결되어 있는지 확인합니다. 대상 사용자가 디렉터리에 있고 해당 게스트 사용자 계정이 있는 경우 SharePoint는 다음 작업을 수행합니다.

• 대상 사용자를 적절한 SharePoint 그룹에 추가하여 리소스에 액세스할 수 있는 대상 사용자 권한을 즉시 할당하고 AddedToGroup 이벤트를 기록합니다.
• 대상 사용자의 이메일 주소로 공유 알림을 보냅니다.
• SharingSet 이벤트를 기록합니다. 이 이벤트에는 감사 로그 검색 도구의 활동 선택기에서 공유 및 액세스 요청 활동 아래에 "공유 파일, 폴더 또는 사이트"라는 식별 이름이 있습니다. 1단계의 스크린샷을 참조하세요.

대상 사용자의 사용자 계정이 디렉터리에 없는 경우 SharePoint는 다음을 수행합니다.

• 리소스 공유 방법에 따라 다음 이벤트 중 하나를 기록합니다.

  • AnonymousLinkCreated
  • SecureLinkCreated
  • AddedToSecureLink
  • SharingInvitationCreated (이 이벤트는 공유 리소스가 사이트인 경우에만 기록됨)

• 대상 사용자가 초대에서 링크를 클릭하여 전송된 공유 초대를 수락하면 SharePoint 는 SharingInvitationAccepted 이벤트를 기록하고 대상 사용자 권한을 할당하여 리소스에 액세스합니다. 대상 사용자가 익명 링크를 보내면 대상 사용자가 링크를 사용하여 리소스에 액세스한 후 AnonymousLinkUsed 이벤트가 기록됩니다. 보안 링크의 경우 외부 사용자가 링크를 사용하여 리소스에 액세스할 때 FileAccessed 이벤트가 기록됩니다.

대상 사용자에 대한 추가 정보(예: 초대 대상 사용자의 ID 및 초대를 수락하는 사용자)도 기록됩니다. 경우에 따라 이러한 사용자(또는 이메일 주소)가 다를 수 있습니다.

외부 사용자와 공유되는 리소스를 식별하는 방법

관리자의 일반적인 요구 사항은 organization 외부의 사용자와 공유된 모든 리소스 목록을 만드는 것입니다. 관리자는 Office 365 공유 감사를 사용하여 이 목록을 생성할 수 있습니다. 이 작업을 수행하는 방법은 다음과 같습니다.

1단계: 이벤트를 공유하고 결과를 CSV 파일로 내보내기 위한 Search

첫 번째 단계는 감사 로그에서 이벤트 공유를 검색하는 것입니다. 감사 로그 검색에 대한 자세한 내용(필요한 권한 포함)은 감사 로그 Search 참조하세요.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

다음 단계를 완료하여 공유 이벤트를 검색합니다.

1. Microsoft Purview 포털에 로그인합니다.

2. 감사 솔루션 카드 선택합니다. 감사 솔루션 카드 표시되지 않으면 모든 솔루션 보기를 선택한 다음 Core 섹션에서 감사를 선택합니다.

3. Search 페이지와 활동 - 친숙한 이름에서 공유 및 액세스 요청 활동을 선택하여 공유 관련 이벤트를 검색합니다.

4. 날짜 및 시간 범위를 선택하여 해당 기간 내에 발생한 공유 이벤트를 찾습니다.

5. Search 선택하여 검색을 실행합니다.

6. 검색이 완료되고 결과가 표시되면 결과 내보내기모든 결과> 다운로드를 선택합니다.

   내보내기 옵션을 선택하면 창 아래쪽에 CSV 파일을 열거나 저장하라는 메시지가 표시됩니다.

7. 다른 이름으로 저장> 을 선택하고 CSV 파일을 로컬 컴퓨터의 폴더에 저장합니다.

규정 준수 포털

다음 단계를 완료하여 공유 이벤트를 검색합니다.

1. Microsoft Purview 포털에 로그인합니다.

2. Microsoft Purview 규정 준수 포털 왼쪽 창에서 감사를 선택합니다.

3. 감사 페이지 및 활동에서 공유 및 액세스 요청 활동을 선택하여 공유 관련 이벤트를 검색합니다.

   

4. 날짜 및 시간 범위를 선택하여 해당 기간 내에 발생한 공유 이벤트를 찾습니다.

5. Search 선택하여 검색을 실행합니다.

6. 검색 실행이 완료되고 결과가 표시되면 결과 >내보내기모든 결과 다운로드를 선택합니다.

   내보내기 옵션을 선택하면 창 아래쪽에 CSV 파일을 열거나 저장하라는 메시지가 표시됩니다.

7. 다른 이름으로 저장> 을 선택하고 CSV 파일을 로컬 컴퓨터의 폴더에 저장합니다.

2단계: PowerQuery 편집기 사용하여 내보낸 감사 로그 서식 지정

다음 단계는 Excel의 Power Query 편집기 JSON 변환 기능을 사용하여 AuditData 열(다중 속성 JSON 개체로 구성됨)의 각 속성을 자체 열로 분할하는 것입니다. 이렇게 하면 열을 필터링하여 공유와 관련된 레코드를 볼 수 있습니다.

단계별 지침을 보려면 감사 로그 레코드 내보내기, 구성 및 보기의 “2단계: 파워 쿼리 편집기를 사용하여 내보낸 감사 로그의 서식 지정”을 참조하세요.

3단계: 외부 사용자와 공유되는 리소스에 대한 CSV 파일 필터링

다음 단계는 이전에 SharePoint 공유 이벤트 섹션에서 설명한 다양한 공유 관련 이벤트에 대해 CSV를 필터링하는 것입니다. 또는 TargetUserOrGroupType 열을 필터링하여 이 속성의 값이 Guest인 모든 레코드를 표시할 수 있습니다.

이전 단계의 지침에 따라 PowerQuery 편집기를 사용하여 CSV 파일을 준비한 후 다음을 수행합니다.

1. 2단계에서 만든 Excel 파일을 엽니다.

2. 홈 탭에서 정렬 & 필터를 선택한 다음 필터를 선택합니다.

3. 작업 열의 정렬 & 필터 드롭다운 목록에서 모든 선택을 취소한 다음, 다음 공유 관련 이벤트를 하나 이상 선택한 다음 확인을 선택합니다.

   • SharingInvitationCreated
   • AnonymousLinkCreated
   • SecureLinkCreated
   • AddedToSecureLink

   Excel은 선택한 이벤트의 행을 표시합니다.

4. TargetUserOrGroupType이라는 열로 이동하여 선택합니다.

5. 정렬 & 필터 드롭다운 목록에서 모든 선택을 취소한 다음 TargetUserOrGroupType:Guest를 선택하고 확인을 선택합니다.

   이제 외부 사용자가 TargetUserOrGroupType:Guest 값으로 식별되기 때문에 Excel에서 이벤트 공유 및 대상 사용자가 organization 외부에 있는 행을 표시합니다.

팁

표시되는 감사 레코드의 경우 ObjectId 열은 대상 사용자와 공유된 리소스를 식별합니다. 예를 들면 ObjectId:https:\/\/contoso-my.sharepoint.com\/personal\/sarad_contoso_com\/Documents\/Southwater Proposal.docx입니다.