타사 내부 위험 검색을 가져오도록 커넥터 설정(미리 보기)

타사(타사) 검색을 포함하도록 Microsoft Purview 내부 위험 관리 솔루션을 확장하도록 커넥터를 설정할 수 있습니다. 예를 들어 검색을 확장하여 Salesforce 및 Dropbox 활동을 포함하고 SharePoint Online 및 Exchange Online 같은 Microsoft 서비스에 초점을 맞춘 내부자 위험 관리에서 제공하는 기본 제공 검색과 함께 사용할 수 있습니다.

자체 검색을 내부자 위험 관리 솔루션으로 가져오려면 Microsoft Sentinel 또는 Splunk와 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션에서 사전 처리된 집계 검색을 가져옵니다. 샘플 파일을 내부 위험 지표 커넥터 마법사로 가져옵니다. 커넥터 마법사는 샘플 파일을 분석하고 내부자 위험 관리에 필요한 스키마를 구성합니다.

참고

현재는 "원시" 검색 신호를 내부 위험 관리로 가져올 수 없습니다. 미리 처리된 집계만 파일로 가져올 수 있습니다.

전체 프로세스

내부 위험 관리에 자체 검색을 가져오는 것은 다음 3단계 프로세스입니다.

1. Microsoft Purview에서 이 문서에 설명된 대로 내부 위험 지표(미리 보기) 커넥터를 만듭니다.
2. 내부 위험 관리 솔루션에서 사용자 지정 지표를 만듭니다.
3. 내부 위험 관리 솔루션에서 정책의 사용자 지정 지표를 트리거 또는 지표로 사용하고 임계값을 정의합니다.

사용자 활동이 정책에 대해 지정한 임계값을 초과하면 사용자는 내부자 위험 관리 정책의 scope 발생하며 위험에 대한 점수가 매깁니다. 경고가 생성되고 분석가는 사용자 지정 표시기 세부 정보를 사용하여 경고를 조사할 수 있습니다.

참고

데이터 도난 및 데이터 누수 템플릿에서만 사용자 지정 표시기를 사용할 수 있습니다.

시작하기 전에

1. Microsoft 365로 가져올 시나리오 및 데이터를 결정합니다. 이렇게 하면 만들어야 하는 CSV 파일 및 내부 위험 표시기 커넥터의 수와 CSV 파일을 구성하는 방법을 확인할 수 있습니다. 가져온 데이터는 만들려는 트리거 및 표시기의 유형에 따라 결정됩니다. 표시기 데이터를 준비할 CSV 파일 수 결정 을 참조하세요.
2. 내부 시스템에서 데이터를 검색하거나 내보내고 2단계에서 준비하는 CSV 파일에 추가하는 방법을 결정합니다. 4단계에서 실행하는 스크립트는 CSV 파일의 데이터를 내부 위험 관리 솔루션에 업로드합니다.
3. 데이터 커넥터 관리 역할을 할당합니다. 이 역할은 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털데이터 커넥터 페이지에 커넥터를 추가하는 데 필요하므로 3단계에서 커넥터를 만드는 사용자에게 이 역할이 할당되어야 합니다. 이 역할은 기본적으로 여러 역할 그룹에 추가됩니다. 이러한 역할 그룹 목록은 Office 365용 Microsoft Defender 역할 및 Microsoft Purview 규정 준수를 참조하세요. 또는 organization 관리자는 사용자 지정 역할 그룹을 만들고, 데이터 커넥터 관리 역할을 사용자 지정 역할 그룹에 할당한 다음, 적절한 사용자를 구성원으로 추가할 수 있습니다. 지침은 사용자 지정 Microsoft Purview 역할 그룹 만들기를 참조하세요.
4. organization 방화벽 허용 목록에 webhook.ingestion.office.com 도메인을 추가합니다. 허용 목록에 이 도메인을 추가하지 않으면 4단계에서 실행하는 스크립트가 작동하지 않습니다.

중요

4단계에서 실행하는 샘플 스크립트는 내부자 위험 관리 솔루션에서 사용할 수 있도록 데이터를 Microsoft 클라우드에 업로드합니다. 이 샘플 스크립트는 Microsoft 표준 지원 프로그램 또는 서비스에서 지원되지 않습니다. 샘플 스크립트는 어떤 종류의 보증도 없이 그대로 제공됩니다. 또한 Microsoft는 묵시적인 모든 보증(상품성 또는 특정 목적에의 적합성에 대한 묵시적인 보증을 포함하되 이에 제한되지 않음)을 부인합니다. 샘플 스크립트 및 문서의 사용 또는 수행으로 인해 발생하는 모든 위험은 사용자의 책임입니다. 어떠한 경우에도 Microsoft, 스크립트 작성자 또는 그외 스크립트의 작성, 생산 또는 제공과 관련된 사람은 누구나 샘플 스크립트 또는 문서의 사용 또는 사용할 수 없음으로 인해 발생하는 모든 손해(수익 손실, 비즈니스 중단, 비즈니스 정보 손실 또는 기타 금전상의 손실을 포함하되 이에 제한되지 않음)에 대해 책임지지 않습니다. 이는 Microsoft가 이러한 손해가 발생할 가능성에 대해 알았더라도 마찬가지입니다.

표시기 데이터를 준비할 CSV 파일 수 결정

3단계에서는 각 표시기의 데이터가 포함된 별도의 CSV 파일을 준비하거나 두 개 이상의 지표에 대한 데이터가 포함된 단일 CSV 파일을 준비할 수 있습니다.

준비할 CSV 파일 수를 결정하는 데 도움이 되는 몇 가지 지침은 다음과 같습니다.

• 구현하려는 내부 위험 관리 정책에 여러 지표가 필요한 경우 모든 지표에 대한 데이터가 포함된 단일 CSV 파일을 사용하는 것이 좋습니다. 일반적으로 만들어야 하는 커넥터 수는 CSV 파일의 서비스에 의해 결정됩니다. 예를 들어 CSV 파일에 내부자 위험 관리 구현을 지원하는 데 필요한 모든 서비스가 포함된 경우 커넥터가 하나만 필요합니다. CSV 파일이 적으면 더 적은 수의 커넥터를 만들고 관리할 수 있습니다. 각각 단일 서비스를 포함하는 두 개의 개별 CSV 파일이 있는 경우 두 개의 커넥터를 만들어야 합니다.

• 데이터를 생성하거나 수집하는 메서드는 CSV 파일 수를 결정할 수 있습니다. 예를 들어 커넥터를 구성하는 데 사용되는 다양한 유형의 데이터가 organization 단일 시스템에 있는 경우 데이터를 단일 CSV 파일로 내보낼 수 있습니다. 그러나 데이터가 여러 시스템에 분산된 경우 데이터를 다른 CSV 파일로 내보내는 것이 더 쉬울 수 있습니다. 시스템에서 데이터를 검색하거나 내보내는 방법은 필요한 CSV 파일 수를 결정할 수 있습니다.

1단계: Microsoft Entra ID 앱 만들기

첫 번째 단계는 3단계에서 만든 커넥터에 대해 Microsoft Entra ID 새 앱을 만들고 등록하는 것입니다. 이 앱을 만들면 Microsoft Entra ID 커넥터가 실행되고 organization 액세스하려고 할 때 커넥터를 인증할 수 있습니다. 이 앱은 Microsoft 클라우드에 데이터를 업로드하기 위해 4단계에서 실행하는 스크립트를 인증하는 데도 사용됩니다. Microsoft Entra 앱을 만들 때 다음 정보를 저장해야 합니다.

• Microsoft Entra 애플리케이션 ID(앱 ID 또는 클라이언트 ID)
• 애플리케이션 비밀 Microsoft Entra(클라이언트 암호)
• 테넌트 ID(디렉터리 ID)

위의 값은 3단계와 4단계에서 사용됩니다. Microsoft Entra ID 앱을 만드는 방법에 대한 단계별 지침은 Microsoft ID 플랫폼 애플리케이션 등록을 참조하세요.

2단계: 내부자 위험 지표 데이터를 사용하여 CSV 파일 준비

다음 단계는 커넥터가 Microsoft 365로 가져오는 표시기 데이터가 포함된 CSV 파일을 준비하는 것입니다. 이 데이터는 내부 위험 관리 솔루션에서 사용됩니다. 다음 시나리오에 대한 데이터를 가져올 수 있습니다.

• 활성화될 때 사용자를 정책에 대한 scope 가져오는 트리거를 만듭니다. 아래 예제 1에서는 직원이 organization 떠날 확률을 예측하는 '가정 성장' 트리거에 대한 CSV 파일을 준비하는 방법을 보여 줍니다.
• 사용자 활동을 모니터링하는 정책 표시기를 만듭니다. 아래 예제 2 에서는 여러 표시기(Dropbox용 및 Salesforce용)에 대해 단일 CSV 파일을 준비하는 방법을 보여 줍니다.

각 시나리오에 대해 하나 이상의 CSV 파일에 해당 표시기 데이터를 제공해야 합니다. 표시기 데이터에 사용할 CSV 파일 수 결정 을 참조하세요.

필요한 표시기 데이터를 사용하여 CSV 파일을 만든 후 4단계에서 스크립트를 실행하는 로컬 컴퓨터에 저장합니다. 또한 CSV 파일에 항상 최신 정보가 포함되어 스크립트를 실행할 때마다 최신 표시기 데이터가 Microsoft 클라우드에 업로드되고 내부 위험 관리 솔루션에 액세스할 수 있도록 업데이트 전략을 구현해야 합니다.

중요

다음 섹션에 설명된 열 이름은 필수 매개 변수가 아닌 예제입니다. CSV 파일에서 열 이름을 사용할 수 있습니다. 그러나 CSV 파일에서 사용하는 열 이름은 3단계에서 커넥터를 만들 때 데이터 형식에 매핑되어야 합니다. 또한 다음 섹션의 샘플 CSV 파일은 NotePad에 표시됩니다. Microsoft Excel에서 CSV 파일을 보고 편집하는 것이 훨씬 쉽습니다.

예제 1: 사용자를 정책에 대한 scope 가져오는 간단한 트리거에 대한 CSV 파일 준비

이 예제에서는 CSV 파일을 구조화하여 직원이 organization 떠날 확률을 예측하는 데 사용할 수 있는 '가정 성장' 트리거를 만드는 방법을 보여 줍니다. 이 예제에서는 다음 샘플 데이터를 사용합니다.

UserPrincipalName,PredictionTime,PredictionScore,ModelInfo
sarad@contoso.com,2023-04-20T05:52:56.962686Z,6,Model accuracy: 67%, Model name: LeaverPrediction_M1
sarad@contoso.com,2023-04-24T05:52:56.962686Z,9,Model accuracy: 67%, Model name: LeaverPrediction_M1
sarad@contoso.com,2023-04-24T05:52:56.962686Z,3,Model accuracy: 67%, Model name: LeaverPrediction_M1

다음 표에서는 CSV 파일의 각 열에 대해 설명합니다.

열	설명
UserPrincipalName	사용자를 식별하는 데 사용되는 Microsoft Entra UPN(UserPrincipalName)입니다.
예측 시간	작업이 발생한 날짜/시간을 표시하는 필수 필드입니다. ISO 8601 날짜 및 시간 형식yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm인 날짜 형식을 사용합니다.
예측 점수	위험한 활동 점수입니다. 이 필드는 트리거 임계값 설정에 사용됩니다. 숫자 필드만 임계값 설정에 사용할 수 있습니다.
모델 정보	예측 모델에 대한 정보를 추적하는 데 사용되는 추가 필드입니다.

참고

UserPrincipalName 및 날짜/시간 필드만 필수입니다. 다른 모든 필드는 선택 사항이지만 경고를 심사할 때 분석가나 조사자에게 도움이 될 수 있습니다(이러한 필드는 활동 탐색기 및 경고 및 사례에 표시됨).

3단계에서 커넥터를 만들 때 필드의 데이터를 트리거의 PredictionScore 임계값으로 사용합니다. 사용자가 정책의 뒷부분에서 설정한 임계값을 초과하면 사용자가 정책의 scope 가져옵니다.

예제 2: 여러 정책 표시기를 만들 단일 CSV 파일 준비

이 예제에서는 단일 CSV 파일에서 여러 정책 표시기(Dropbox용 및 Salesforce용)를 만드는 방법을 보여 줍니다. 이 예제에서는 다음 샘플 데이터를 사용합니다.

User_Principal_Name,Display_Name,Alert_Severity,Alert_Count,Aggregation_Date,Source_Workload,AdditionalInfo_Salesforce,AdditionalInfo_Dropbox
sarad@contoso.com,Salesforce - Sensitive report downloaded and emailed externally,High,10,2023-04-24T05:52:56.962686Z,Salesforce,text,text
sarad@contoso.com,Salesforce - Anomalous download of sales lead reports,Medium,6,2023-04-24T05:52:56.962686Z,Salesforce,text,text
bradh@contoso.com,Salesforce - Printing sales reports,Low,50,2023-04-24T05:52:56.962686Z,Salesforce,text,text
bradh@contoso.com,Salesforce - Excessive modifications to sensitive reports,Medium,3,2023-04-24T05:52:56.962686Z,Salesforce,text,text
sarad@contoso.com,Dropbox - Sensitive files saved to personal Dropbox,High,14,2023-04-24T05:52:56.962686Z,Dropbox,text,text
bradh@contoso.com,Dropbox - Anomalous file copy activity,Medium,5,2023-04-24T05:52:56.962686Z,Dropbox,text,text

다음 표에서는 CSV 파일의 각 열에 대해 설명합니다.

열	설명
UserPrincipalName	사용자를 식별하는 데 사용되는 Microsoft Entra UPN(UserPrincipalName)입니다.
표시 이름	위험한 활동의 이름입니다.
경고 심각도	심각도 범주: 낮음, 중간 및 높음.
경고 수	각 활동의 발생 횟수입니다. 이 필드의 데이터는 지표 임계값 설정에 사용됩니다.
집계 날짜	작업이 발생한 날짜/시간을 표시하는 필수 필드입니다. ISO 8601 날짜 및 시간 형식yyyy-mm-ddThh:mm:ss.nnnnnn+|-hh:mm인 날짜 형식을 사용합니다.
원본 워크로드	여러 지표 시나리오의 핵심 필드입니다. 커넥터를 만들 때 원본 열 필드에 대해 이 필드를 선택하면 이 필드의 값(Dropbox 및 Salesforce)이 커넥터의 원본 열 필드에 있는 관련 값에 사용됩니다.
추가 정보 Salesforce	Salesforce 지표에 대해 기록하려는 추가 정보
추가 정보 드롭박스	Dropbox 표시기에서 기록할 추가 정보

데이터 커넥터를 만들 때 이 CSV 파일이 어떻게 사용되는지 보려면 아래 예제를 참조하세요.

3단계: 내부 위험 지표 커넥터 만들기

다음 단계는 Microsoft Purview 포털 또는 규정 준수 포털에서 커넥터를 만드는 것입니다. 4단계에서 스크립트를 실행한 후 만든 커넥터는 CSV 파일에서 데이터를 가져와 Microsoft 365 organization 업로드합니다.

참고

커넥터를 만들기 전에 각 시나리오에 대한 시나리오 목록과 해당 CSV 열 이름이 있는지 확인합니다.

예제 1: 간단한 트리거를 위한 커넥터 파일 만들기

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft Purview 포털에 로그인합니다.

2. 설정>데이터 커넥터를 선택합니다.

3. 내 커넥터를 선택한 다음 커넥터 추가를 선택합니다.

4. 목록에서 내부 위험 지표(미리 보기)를 선택합니다.

5. 서비스 약관을 검토한 다음 커넥터를 계속 만들려면 동의 를 선택합니다.

6. 인증 페이지에서 다음을 완료합니다.

   1. 커넥터의 이름을 입력합니다.
   2. 1단계에서 만든 Azure 앱의 Microsoft Entra 애플리케이션 ID를 붙여넣습니다.
   3. 다음을 선택합니다.

7. 샘플 파일 페이지에서 다음을 수행합니다.

   1. 샘플 파일 업로드를 선택한 다음 업로드할 CSV 파일을 선택합니다.
   2. 원본 열 목록에서 없음(단일 원본)을 선택합니다.
   3. 샘플 데이터 및 데이터 형식 확인 섹션에서 각 필드를 검토하여 올바른 데이터 형식이 각 필드에 할당되었는지 확인합니다. 필드가 나중에 임계값으로 사용되는 경우 숫자 데이터 형식이 있는지 확인합니다. 예를 들어 이 시나리오 PredictionScore 에서 필드는 임계값으로 사용되고 데이터 형식은 Number로 적절하게 설정됩니다.

8. 다음을 선택합니다.

9. 데이터 매핑 페이지에서 다음을 수행합니다.

   1. CSV 파일의 적절한 값을 기반으로 이벤트 시간(UTC 시간) 및 Microsoft 365 사용자 이메일 주소 의 값을 입력합니다. 커넥터에 대한 필수 필드입니다.
   2. 기본 필드에서 목록을 사용하여 CSV 파일에서 포함할 각 필드를 선택합니다. 예를 들어 나중에 표시기 임계값으로 사용할 숫자 필드를 선택하거나 지원 정보로 사용할 다른 필드를 선택합니다.

10. 다음을 선택합니다.

11. 마침 페이지에서 모든 정보를 검토하고 모든 정보가 정상인 경우 마침을 선택합니다.

12. 커넥터의 작업 ID를 복사합니다. 이 값은 다음 단계에서 필요합니다.

13. 4단계로 이동하여 Microsoft 365에 데이터를 업로드하는 스크립트를 실행합니다.

규정 준수 포털

1. 규정 준수 포털로 이동한 다음 데이터 커넥터를 선택합니다.

2. 데이터 커넥터 페이지에서 내부 위험 지표(미리 보기)를 선택합니다.

3. 내부 위험 지표(미리 보기) 페이지에서 커넥터 추가를 선택합니다.

4. 서비스 약관을 검토한 다음 커넥터를 계속 만들려면 동의 를 선택합니다.

5. 인증 페이지에서 다음을 완료합니다.

   1. 커넥터의 이름을 입력합니다.
   2. 1단계에서 만든 Azure 앱의 Microsoft Entra 애플리케이션 ID를 붙여넣습니다.
   3. 다음을 선택합니다.

6. 샘플 파일 페이지에서 다음을 수행합니다.

   1. 샘플 파일 업로드를 선택한 다음 업로드할 CSV 파일을 선택합니다.
   2. 원본 열 목록에서 없음(단일 원본)을 선택합니다.
   3. 샘플 데이터 및 데이터 형식 확인 섹션에서 각 필드를 검토하여 올바른 데이터 형식이 각 필드에 할당되었는지 확인합니다. 필드가 나중에 임계값으로 사용되는 경우 숫자 데이터 형식이 있는지 확인합니다. 예를 들어 이 시나리오 PredictionScore 에서 필드는 임계값으로 사용되고 데이터 형식은 Number로 적절하게 설정됩니다.

7. 다음을 선택합니다.

8. 데이터 매핑 페이지에서 다음을 수행합니다.

   1. CSV 파일의 적절한 값을 기반으로 이벤트 시간(UTC 시간) 및 Microsoft 365 사용자 이메일 주소 의 값을 입력합니다. 커넥터에 대한 필수 필드입니다.
   2. 기본 필드에서 목록을 사용하여 CSV 파일에서 포함할 각 필드를 선택합니다. 예를 들어 나중에 표시기 임계값으로 사용할 숫자 필드를 선택하거나 지원 정보로 사용할 다른 필드를 선택합니다.

9. 다음을 선택합니다.

10. 마침 페이지에서 모든 정보를 검토하고 모든 정보가 정상인 경우 마침을 선택합니다.

11. 커넥터의 작업 ID를 복사합니다. 이 값은 다음 단계에서 필요합니다.

12. 4단계로 이동하여 Microsoft 365에 데이터를 업로드하는 스크립트를 실행합니다.

예제 2: 여러 정책 표시기를 포함하는 커넥터 만들기

이 예제에서는 단일 커넥터를 설정하여 여러 정책 표시기(Salesforce 및 Dropbox)를 만드는 방법을 보여 줍니다. 두 개의 개별 커넥터(Salesforce용 커넥터와 Dropbox용 커넥터)를 만들 수 있지만 둘 다에 대해 작동하는 단일 커넥터를 만들면 전체 파일 유지 관리를 줄일 수 있습니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft Purview 포털에 로그인합니다.

2. 설정>데이터 커넥터를 선택합니다.

3. 내 커넥터를 선택한 다음 커넥터 추가를 선택합니다.

4. 목록에서 내부 위험 지표(미리 보기)를 선택합니다.

5. 서비스 약관을 검토한 다음 커넥터를 계속 만들려면 동의 를 선택합니다.

6. 인증 페이지에서 다음을 수행합니다.

   1. 커넥터의 이름을 입력합니다.
   2. 2단계에서 만든 Azure 앱의 Microsoft Entra 애플리케이션 ID를 붙여넣습니다.
   3. 다음을 선택합니다.

7. 샘플 파일 페이지에서 다음을 수행합니다.

   1. 샘플 파일 업로드를 선택한 다음 업로드할 CSV 파일을 선택합니다.
   2. 원본 열 목록에서 원본으로 사용할 열을 선택합니다. 예제 CSV 파일에서 원본 열은 두 개의 개별 워크로드(Salesforce 및 Dropbox)에 대한 값을 저장하기 때문에 입니다 SourceWorkload.
   3. 원본 열의 관련 값 필드에 관련 값을 입력합니다. 이 예제에서는 'Salesforce,Dropbox'를 입력합니다. 값 사이에 공백을 포함하지 마세요.

   중요

   원본 열 필드의 관련 값에 입력한 값이 원본 열 목록의 값과 일치하는지 확인합니다. 열 값이 일치하지 않으면 커넥터가 실패합니다.

   4. 샘플 데이터 및 데이터 형식 확인 섹션에서 각 필드를 검토하여 각 필드에 적합한 데이터 형식이 할당되었는지 확인합니다. 필드가 나중에 임계값으로 사용되는 경우 숫자 데이터 형식이 있는지 확인합니다. 예를 들어 이 예제 시나리오 AlertCount 에서는 필드가 임계값으로 사용되고 데이터 형식이 Number로 적절하게 설정됩니다.
   5. 다음을 선택합니다.

8. 데이터 매핑 페이지에서 다음을 수행합니다.

   1. CSV 파일의 적절한 값을 기반으로 이벤트 시간(UTC 시간) 및 Microsoft 365 사용자 이메일 주소 의 값을 입력합니다. 이러한 필드는 필수이며 이 예제에서 만드는 두 지표 모두에 공통적으로 적용됩니다.
   2. Salesforce 및 Dropbox라는 두 워크로드에 매핑하려는 샘플 파일의 열을 선택합니다.

   팁

   위에서 설명한 것과 동일한 프로세스를 사용하여 심각도 수준에 따라 여러 정책 지표를 만들 수 있습니다. 예를 들어 단일 커넥터를 사용하여 별도의 낮음, 중간 및 높음 표시기를 만들 수 있습니다. 이 경우 원본 열 목록에서 별도의 워크로드(낮음, 중간, 높음)에 대한 값을 포함하는 필드를 선택하고 원본 열 필드의 관련 값에 해당 워크로드 값을 입력한 다음 데이터 매핑 페이지에서 적절한 필드를 매핑합니다.

9. 다음을 선택합니다.

10. 마침 페이지에서 모든 정보를 검토하고 모든 정보가 올바른 경우 마침을 선택합니다.

11. 커넥터의 작업 ID를 복사합니다. 이 값은 다음 단계에서 필요합니다.

12. 다음 단계(4단계)로 이동하여 Microsoft 365에 데이터를 업로드하는 스크립트를 실행합니다.

규정 준수 포털

1. 규정 준수 포털로 이동한 다음 데이터 커넥터를 선택합니다.

2. 데이터 커넥터 페이지에서 내부 위험 지표(미리 보기)를 선택합니다.

3. 내부 위험 지표(미리 보기) 페이지에서 커넥터 추가를 선택합니다.

4. 서비스 약관을 검토한 다음 커넥터를 계속 만들려면 동의 를 선택합니다.

5. 인증 페이지에서 다음을 수행합니다.

   1. 커넥터의 이름을 입력합니다.
   2. 2단계에서 만든 Azure 앱의 Microsoft Entra 애플리케이션 ID를 붙여넣습니다.
   3. 다음을 선택합니다.

6. 샘플 파일 페이지에서 다음을 수행합니다.

   1. 샘플 파일 업로드를 선택한 다음 업로드할 CSV 파일을 선택합니다.
   2. 원본 열 목록에서 원본으로 사용할 열을 선택합니다. 예제 CSV 파일에서 원본 열은 두 개의 개별 워크로드(Salesforce 및 Dropbox)에 대한 값을 저장하기 때문에 입니다 SourceWorkload.
   3. 원본 열의 관련 값 필드에 관련 값을 입력합니다. 이 예제에서는 'Salesforce,Dropbox'를 입력합니다. 값 사이에 공백을 포함하지 마세요.

   중요

   원본 열 필드의 관련 값에 입력한 값이 원본 열 목록의 값과 일치하는지 확인합니다. 열 값이 일치하지 않으면 커넥터가 실패합니다.

   4. 샘플 데이터 및 데이터 형식 확인 섹션에서 각 필드를 검토하여 각 필드에 적합한 데이터 형식이 할당되었는지 확인합니다. 필드가 나중에 임계값으로 사용되는 경우 숫자 데이터 형식이 있는지 확인합니다. 예를 들어 이 예제 시나리오 AlertCount 에서는 필드가 임계값으로 사용되고 데이터 형식이 Number로 적절하게 설정됩니다.
   5. 다음을 선택합니다.

7. 데이터 매핑 페이지에서 다음을 수행합니다.

   1. CSV 파일의 적절한 값을 기반으로 이벤트 시간(UTC 시간) 및 Microsoft 365 사용자 이메일 주소 의 값을 입력합니다. 이러한 필드는 필수이며 이 예제에서 만드는 두 지표 모두에 공통적으로 적용됩니다.
   2. Salesforce 및 Dropbox라는 두 워크로드에 매핑하려는 샘플 파일의 열을 선택합니다.

   팁

   위에서 설명한 것과 동일한 프로세스를 사용하여 심각도 수준에 따라 여러 정책 지표를 만들 수 있습니다. 예를 들어 단일 커넥터를 사용하여 별도의 낮음, 중간 및 높음 표시기를 만들 수 있습니다. 이 경우 원본 열 목록에서 별도의 워크로드(낮음, 중간, 높음)에 대한 값을 포함하는 필드를 선택하고 원본 열 필드의 관련 값에 해당 워크로드 값을 입력한 다음 데이터 매핑 페이지에서 적절한 필드를 매핑합니다.

8. 다음을 선택합니다.

9. 마침 페이지에서 모든 정보를 검토하고 모든 정보가 올바른 경우 마침을 선택합니다.

10. 커넥터의 작업 ID를 복사합니다. 이 값은 다음 단계에서 필요합니다.

11. 다음 단계(4단계)로 이동하여 Microsoft 365에 데이터를 업로드하는 스크립트를 실행합니다.

4단계: 샘플 스크립트를 실행하여 데이터 업로드

커넥터 설정의 마지막 단계는 CSV 파일에 데이터를 업로드하는 샘플 스크립트를 실행하는 것입니다. 스크립트를 실행하면 3단계에서 만든 커넥터가 데이터를 Microsoft 365 organization 가져와 내부 위험 관리 솔루션에서 액세스할 수 있습니다. 스크립트를 실행한 후 최신 데이터가 Microsoft 클라우드에 업로드되도록 작업을 매일 자동으로 실행하도록 예약하는 것이 좋습니다. 자동으로 실행되도록 스크립트 예약을 참조하세요.

스크립트를 실행하기 전에

• organization 방화벽 허용 목록에 webhook.ingestion.office.com 도메인을 추가해야 합니다. 이 도메인이 차단되면 스크립트가 실행되지 않습니다.
• 사용자 지정 표시기 및 관련 정책이 업데이트된 후 데이터를 업로드하기 전에 24시간 동안 기다려야 합니다. 모든 구성 요소를 동기화하는 데 몇 시간이 걸릴 수 있기 때문입니다. 업데이트가 동기화되는 동안 데이터를 즉시 업로드하는 경우 일부 데이터는 위험으로 점수가 매기지 않을 수 있습니다.
• 가져올 UPN 및 타임스탬프의 모든 조합이 고유한지 확인합니다. 업로드된 CSV 파일의 레코드에 파일의 다른 레코드와 동일한 타임스탬프 및 UPN이 포함되어 있으면 레코드가 삭제됩니다.

샘플 스크립트 실행

1. 이전 단계에서 열어둔 창으로 이동하여 샘플 스크립트를 사용하여 GitHub 사이트에 액세스합니다. 또는 책갈피가 지정된 사이트를 열거나 복사한 URL을 사용합니다. 에서 https://github.com/microsoft/m365-compliance-connector-sample-scripts/blob/main/sample_script.ps1스크립트에 액세스할 수도 있습니다.

2. 원시 단추를 선택하여 텍스트 보기에 스크립트를 표시합니다.

3. 샘플 스크립트의 모든 줄을 복사하고 텍스트 파일에 저장합니다.

4. 필요한 경우 organization 대한 샘플 스크립트를 수정합니다.

5. 의 파일 이름 접미사.ps1(예HRConnector.ps1: )를 사용하여 텍스트 파일을 Windows PowerShell 스크립트 파일로 저장합니다. 또는 스크립트에 대한 GitHub 파일 이름()을 사용할 수 있습니다 upload_termination_records.ps1.

6. 로컬 컴퓨터에서 명령 프롬프트를 연 다음 스크립트를 저장한 디렉터리로 이동합니다.

7. 다음 명령을 실행하여 CSV 파일의 데이터를 Microsoft 클라우드에 업로드합니다. 예를 들어:

   .\HRConnector.ps1 -tenantId <tenantId> -appId <appId>  -appSecret <appSecret>  -jobId <jobId>  -filePath '<filePath>'
   

   다음 표에서는 이 스크립트와 함께 사용할 매개 변수와 해당 필수 값에 대해 설명합니다. 이전 단계에서 얻은 정보는 이러한 매개 변수의 값에 사용됩니다.

   매개 변수	설명
   tenantId	1단계에서 얻은 Microsoft 365 organization 대한 ID입니다. Microsoft Entra 관리 센터 개요 블레이드에서 organization 대한 테넌트 ID를 가져올 수도 있습니다. 이는 organization 식별하는 데 사용됩니다.
   appId	1단계에서 Microsoft Entra ID 만든 앱의 Microsoft Entra 애플리케이션 ID입니다. 이는 스크립트가 Microsoft 365 organization 액세스하려고 할 때 Microsoft Entra ID 인증에 사용됩니다.
   appSecret	1단계에서 Microsoft Entra ID 만든 앱의 Microsoft Entra 애플리케이션 비밀입니다. 인증에도 사용됩니다.
   jobId	3단계에서 만든 커넥터의 작업 ID입니다. 이는 Microsoft 클라우드에 업로드된 데이터를 커넥터와 연결하는 데 사용됩니다.
   filePath	1단계에서 만든 파일의 파일 경로(스크립트와 동일한 시스템에 저장됨)입니다. 파일 경로의 공백을 피하려고 합니다. 그렇지 않으면 작은따옴표를 사용합니다.

   다음은 각 매개 변수에 대한 실제 값을 사용하는 커넥터 스크립트 구문의 예입니다.

    .\HRConnector.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -filePath 'C:\Users\contosoadmin\Desktop\Data\insider_risk_indicator_data.csv'
   

   업로드에 성공하면 스크립트에 업로드 성공 메시지가 표시됩니다.

   참고

   실행 정책으로 인해 이전 명령을 실행하는 데 문제가 있는 경우 실행 정책 및 Set-ExecutionPolicy 정보에서 실행 정책 설정에 대한 지침을 참조하세요.

5단계: 커넥터 모니터링

커넥터를 만들고 스크립트를 실행하여 데이터를 업로드한 후 커넥터를 보고 Microsoft Purview 포털 또는 규정 준수 포털에서 상태 업로드합니다. 스크립트가 자동으로 정기적으로 실행되도록 예약하는 경우 스크립트가 마지막으로 실행된 후 현재 상태 볼 수 있습니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft Purview 포털에 로그인합니다.

2. 설정>데이터 커넥터를 선택합니다.

3. 내 커넥터를 선택한 다음, 만든 HR 커넥터를 선택하여 플라이아웃 페이지를 표시합니다. 이 페이지에는 커넥터에 대한 속성과 정보가 포함되어 있습니다.

4. 진행 중에서 로그 다운로드 링크를 선택하여 커넥터에 대한 상태 로그를 열거나 저장합니다. 이 로그에는 스크립트가 실행되고 CSV 파일의 데이터를 Microsoft 클라우드에 업로드할 때마다 정보가 포함됩니다.

   RecordsSaved 필드는 업로드된 CSV 파일의 행 수를 나타냅니다. 예를 들어 CSV 파일에 4개의 행이 포함된 경우 스크립트가 CSV 파일의 모든 행을 성공적으로 업로드한 경우 필드 값 RecordsSaved 은 4입니다.

4단계에서 스크립트를 실행하지 않은 경우 스크립트를 다운로드하는 링크가 마지막 가져오기 아래에 표시됩니다. 스크립트를 다운로드한 다음 단계에 따라 스크립트를 실행할 수 있습니다.

규정 준수 포털

1. 규정 준수 포털로 이동하여 데이터 커넥터를 선택합니다.

2. 커넥터 탭 을 선택하고 커넥터를 선택하여 플라이아웃 페이지를 표시합니다. 이 페이지에는 커넥터에 대한 속성과 정보가 포함되어 있습니다.

3. 진행 중에서 로그 다운로드 링크를 선택하여 커넥터에 대한 상태 로그를 열거나 저장합니다. 이 로그에는 스크립트가 실행되고 CSV 파일의 데이터를 Microsoft 클라우드에 업로드할 때마다 정보가 포함됩니다.

   RecordsSaved 필드는 업로드된 CSV 파일의 행 수를 나타냅니다. 예를 들어 CSV 파일에 4개의 행이 포함된 경우 스크립트가 CSV 파일의 모든 행을 성공적으로 업로드한 경우 필드 값 RecordsSaved 은 4입니다.

4단계에서 스크립트를 실행하지 않은 경우 스크립트를 다운로드하는 링크가 마지막 가져오기 아래에 표시됩니다. 스크립트를 다운로드한 다음 단계에 따라 스크립트를 실행할 수 있습니다.

(선택 사항) 6단계: 스크립트가 자동으로 실행되도록 예약

organization 최신 데이터를 내부자 위험 관리 솔루션에서 사용할 수 있도록 하려면 하루에 한 번과 같이 스크립트가 자동으로 실행되도록 예약합니다. 이렇게 하려면 CSV 파일의 데이터를 최신 정보가 포함되도록 유사한 일정(동일하지 않은 경우)으로 업데이트해야 합니다. 목표는 커넥터가 내부 위험 관리 솔루션에서 사용할 수 있도록 최신 데이터를 업로드하는 것입니다.

Windows에서 작업 스케줄러 앱을 사용하여 매일 스크립트를 자동으로 실행할 수 있습니다.

1. 로컬 컴퓨터에서 Windows 시작 단추를 선택하고 작업 스케줄러를 입력합니다.

2. 작업 스케줄러 앱을 선택합니다.

3. 작업 섹션에서 작업 만들기를 선택합니다.

4. 일반 탭에서 예약된 작업의 설명이 포함된 이름을 입력합니다. 예를 들어 HR 커넥터 스크립트입니다. 선택적 설명을 추가할 수도 있습니다.

5. 보안 옵션에서 다음을 완료합니다.

   1. 컴퓨터에 로그온한 경우에만 또는 로그온한 경우에만 스크립트를 실행할지 여부를 결정합니다.
   2. 가장 높은 권한으로 실행 검사 상자가 선택되어 있는지 확인합니다.

6. 트리거 탭 을 선택하고 새로 만들기 를 선택하고 다음을 완료합니다.

   1. 설정에서 매일 옵션을 선택하고 스크립트를 처음으로 실행할 날짜와 시간을 선택합니다. 스크립트는 지정된 시간에 매일 실행됩니다.
   2. 고급 설정에서 사용 검사 상자가 선택되어 있는지 확인합니다.
   3. 확인을 선택합니다.

7. 작업 탭을 선택하고 새로 만들기를 선택하고 다음을 완료합니다.

   1. 작업 드롭다운 목록에서 프로그램 시작을 선택했는지 확인합니다.

   2. 프로그램/스크립트 상자에서 찾아보기를 선택한 다음, 다음 위치로 이동하여 경로가 상자에 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe표시되도록 선택합니다.

   3. 인수 추가(선택 사항) 상자에 4단계에서 실행한 것과 동일한 스크립트 명령을 붙여넣습니다. 예를 들면 .\HRConnector.ps1 -tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -filePath "C:\Users\contosoadmin\Desktop\Data\insider_risk_indicator_data.csv"

   4. 시작 위치 (선택 사항) 상자에 4단계에서 실행한 스크립트의 폴더 위치를 붙여넣습니다. 예를 들면 C:\Users\contosoadmin\Desktop\Scripts와 같습니다.

   5. 확인을 선택하여 새 작업에 대한 설정을 저장합니다.

8. 작업 만들기 창에서 확인을 선택하여 예약된 작업을 저장합니다. 사용자 계정 자격 증명을 입력하라는 메시지가 표시될 수 있습니다.

   새 작업이 작업 스케줄러 라이브러리에 표시됩니다. 스크립트가 마지막으로 실행되고 다음에 실행되도록 예약된 시간이 표시됩니다. 작업을 두 번 클릭하여 편집합니다.

   Microsoft Purview 포털 또는 규정 준수 포털에서 해당 커넥터의 플라이아웃 페이지에서 스크립트가 마지막으로 실행된 시간을 확인할 수도 있습니다.

(선택 사항) 7단계: Power Automate 템플릿을 사용하여 데이터 업로드

Power Automate 템플릿을 사용하여 CSV 데이터를 업로드하고 트리거를 정의할 수 있습니다. 예를 들어 SharePoint 또는 OneDrive 위치에서 새 커넥터 파일을 사용할 수 있는 경우 트리거하도록 Power Automate 템플릿을 구성할 수 있습니다. Azure Key Vault Microsoft Entra 애플리케이션 비밀(1단계에서 생성됨)과 같은 기밀 정보를 저장하고 인증을 위해 Power Automate와 함께 사용하여 이 프로세스를 간소화할 수도 있습니다.

비즈니스용 OneDrive 새 파일을 사용할 수 있게 되면 데이터를 자동으로 업로드하려면 다음 단계를 완료합니다.

1. GitHub 사이트에서ImportHRDataforIRM.zip 패키지를 다운로드합니다.
2. Power Automate에서 내 흐름으로 이동합니다.
3. 가져오기를 선택하고 ImportHRDataforIRM.zip 패키지를 업로드합니다.
4. 패키지를 업로드한 후 콘텐츠(이름 및 비즈니스용 OneDrive 연결)를 업데이트하고 가져오기를 선택합니다.
5. 흐름 열기를 선택하고 매개 변수를 업데이트합니다. 다음 표에서는 이 Power Automate 흐름에서 사용할 매개 변수와 해당 필수 값에 대해 설명합니다. 이전 단계에서 얻은 정보는 이러한 매개 변수의 값에 사용됩니다.

매개 변수	설명
appId	1단계에서 Microsoft Entra ID 만든 앱의 Microsoft Entra 애플리케이션 ID입니다. 이는 스크립트가 Microsoft 365 organization 액세스하려고 할 때 Microsoft Entra ID 인증에 사용됩니다.
appSecret	1단계에서 Microsoft Entra ID 만든 앱의 Microsoft Entra 애플리케이션 비밀입니다. 인증에 사용됩니다.
fileLocation	Power Automate가 이 흐름을 트리거하기 위해 '새 파일 생성' 활동을 모니터링하는 비즈니스용 OneDrive 위치입니다.
jobId	3단계에서 만든 커넥터의 식별자입니다. Microsoft 클라우드에 업로드된 데이터를 커넥터와 연결하는 데 사용됩니다.
tenantId	1단계에서 얻은 Microsoft 365 organization 식별자입니다. Microsoft Entra 관리 센터 개요 블레이드에서 organization 대한 테넌트 ID를 가져올 수도 있습니다. 이는 organization 식별하는 데 사용됩니다.
URI	이 매개 변수의 값이 인지 확인합니다. https://webhook.ingestion.office.com/api/signals

6. 저장을 선택합니다.
7. 흐름 개요로 이동하여 켜기를 선택합니다.
8. 비즈니스용 OneDrive 폴더에 새 파일을 업로드하여 흐름을 수동으로 테스트하고 성공적으로 실행되었는지 확인합니다. 흐름이 트리거되기까지 업로드 후 몇 분 정도 걸릴 수 있습니다.
9. 이제 5단계에 설명된 대로 커넥터를 모니터링할 수 있습니다.

필요한 경우 흐름을 업데이트하여 SharePoint의 파일 가용성 및 수정 이벤트 및 Power Automate 흐름에서 지원하는 기타 데이터 원본에 따라 트리거를 만들 수 있습니다.

다음 단계

• 내부 위험 관리에서 사용자 지정 지표 만들기
• 정책의 사용자 지정 지표를 트리거 또는 지표로 사용하고 임계값 정의