물리적 불량 데이터를 가져오도록 커넥터 설정

  • 아티클

직원의 원시 물리적 액세스 이벤트 또는 organization 불량 시스템에서 생성된 물리적 액세스 경보와 같은 물리적 나쁜 데이터를 가져오도록 데이터 커넥터를 설정할 수 있습니다. 물리적 액세스 지점의 예로는 건물에 대한 항목 또는 서버 룸 또는 데이터 센터에 대한 항목이 있습니다. Microsoft Purview Insider Risk Management 솔루션은 물리적 배딩 데이터를 사용하여 organization 내의 악의적인 활동 또는 데이터 도난으로부터 organization 보호할 수 있습니다.

물리적 배딩 커넥터 설정은 다음 작업으로 구성됩니다.

  • 실제 잘못된 데이터가 포함된 JSON 페이로드를 허용하는 API 엔드포인트에 액세스하기 위해 Microsoft Entra ID 앱을 만듭니다.

  • 물리적 Badging 데이터 커넥터에 의해 정의된 스키마를 사용하여 JSON 페이로드를 만듭니다.

  • Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 물리적 badging 데이터 커넥터를 만듭니다.

  • API 엔드포인트에 실제 나쁜 데이터를 푸시하는 스크립트를 실행합니다.

  • 필요에 따라 스크립트가 자동으로 실행되도록 예약하여 현재 실제 나쁜 데이터를 가져옵니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

커넥터를 설정하기 전에

  • 3단계에서 물리적 배딩 커넥터를 만드는 사용자에게 데이터 커넥터 관리 역할이 할당되어야 합니다. 이 역할은 Microsoft Purview 포털 또는 규정 준수 포털의 데이터 커넥터 페이지에 커넥터 를 추가하는 데 필요합니다. 이 역할은 기본적으로 여러 역할 그룹에 추가됩니다. 이러한 역할 그룹 목록은 Office 365용 Microsoft Defender 역할 및 Microsoft Purview 규정 준수를 참조하세요. 또는 organization 관리자는 사용자 지정 역할 그룹을 만들고 데이터 커넥터 관리 역할을 할당한 다음 적절한 사용자를 멤버로 추가할 수 있습니다. 해당 지침은 다음 항목을 참조하세요.

    참고

    데이터 커넥터 관리 역할은 현재 미국 정부 GCC High 및 DoD 환경에서 지원되지 않습니다. 따라서 GCC High 및 DoD 환경에서 HR 커넥터를 만드는 사용자에게 Exchange Online 사서함 가져오기 내보내기 역할이 할당되어야 합니다. 기본적으로이 역할은 Exchange Online의 어떤 역할 그룹에도 할당되지 않습니다. Exchange Online 조직 관리 역할 그룹에 사서함 가져오기 내보내기 역할을 추가할 수 있습니다. 또는 새 역할 그룹을 만들고 사서함 가져오기 내보내기 역할을 할당한 다음 적절한 사용자를 멤버로 추가할 수 있습니다. 자세한 내용은 "Exchange Online 역할 그룹 관리" 문서의 역할 그룹 만들기 또는 역할 그룹 수정 섹션을 참조하세요.

  • organization 실제 배딩 시스템에서 매일 데이터를 검색하거나 내보내는 방법을 결정하고 2단계에 설명된 JSON 파일을 만들어야 합니다. 4단계에서 실행하는 스크립트는 JSON 파일의 데이터를 API 엔드포인트로 푸시합니다.

  • 4단계에서 실행하는 샘플 스크립트는 내부 위험 관리 솔루션에서 사용할 수 있도록 JSON 파일의 물리적 나쁜 데이터를 커넥터 API로 푸시합니다. 이 샘플 스크립트는 Microsoft 표준 지원 프로그램 또는 서비스에서 지원되지 않습니다. 샘플 스크립트는 어떤 종류의 보증도 없이 그대로 제공됩니다. 또한 Microsoft는 묵시적인 모든 보증(상품성 또는 특정 목적에의 적합성에 대한 묵시적인 보증을 포함하되 이에 제한되지 않음)을 부인합니다. 샘플 스크립트 및 문서의 사용 또는 수행으로 인해 발생하는 모든 위험은 사용자의 책임입니다. 어떠한 경우에도 Microsoft, 스크립트 작성자 또는 그외 스크립트의 작성, 생산 또는 제공과 관련된 사람은 누구나 샘플 스크립트 또는 문서의 사용 또는 사용할 수 없음으로 인해 발생하는 모든 손해(수익 손실, 비즈니스 중단, 비즈니스 정보 손실 또는 기타 금전상의 손실을 포함하되 이에 제한되지 않음)에 대해 책임지지 않습니다. 이는 Microsoft가 이러한 손해가 발생할 가능성에 대해 알았더라도 마찬가지입니다.

  • 이 커넥터는 Microsoft 365 미국 정부 클라우드의 GCC 환경에서 사용할 수 있습니다. 타사 애플리케이션 및 서비스에는 Microsoft 365 인프라 외부에 있으므로 Microsoft Purview 및 데이터 보호 약정이 적용되지 않는 타사 시스템에서 organization 고객 데이터를 저장, 전송 및 처리하는 작업이 포함될 수 있습니다. Microsoft는 타사 애플리케이션에 연결하기 위해 이 제품을 사용하는 것이 해당 타사 애플리케이션이 FEDRAMP 규격임을 의미하는 표현을 하지 않습니다.

1단계: Microsoft Entra ID 앱 만들기

첫 번째 단계는 Microsoft Entra ID 새 앱을 만들고 등록하는 것입니다. 앱은 3단계에서 만든 물리적 배딩 커넥터에 해당합니다. 이 앱을 만들면 Microsoft Entra ID 실제 잘못된 데이터가 포함된 JSON 페이로드에 대한 푸시 요청을 인증할 수 있습니다. 이 Microsoft Entra 앱을 만드는 동안 다음 정보를 저장해야 합니다. 이러한 값은 이후 단계에서 사용됩니다.

  • Microsoft Entra 애플리케이션 ID(앱 ID 또는 클라이언트 ID라고도 함)

  • 애플리케이션 비밀 Microsoft Entra(클라이언트 암호라고도 함)

  • 테넌트 ID( 디렉터리 ID라고도 함)

Microsoft Entra ID 앱을 만들기 위한 단계별 지침은 Microsoft ID 플랫폼 애플리케이션 등록을 참조하세요.

2단계: 실제 나쁜 데이터를 사용하여 JSON 파일 준비

다음 단계는 직원의 물리적 액세스 데이터에 대한 정보가 포함된 JSON 파일을 만드는 것입니다. 시작하기 전 섹션에 설명된 대로 organization 물리적 배딩 시스템에서 이 JSON 파일을 생성하는 방법을 결정해야 합니다.

JSON 파일은 커넥터에 필요한 스키마 정의를 준수해야 합니다. 다음은 JSON 파일에 필요한 스키마 속성에 대한 설명입니다.

속성 설명 데이터 형식
UserId 직원은 시스템 전반에 걸쳐 여러 디지털 ID를 가질 수 있습니다. 입력은 원본 시스템에서 이미 Microsoft Entra ID 확인해야 합니다. UPN 또는 전자 메일 주소
AssetId 물리적 자산 또는 물리적 액세스 지점의 참조 ID입니다. 영숫자 문자열
AssetName 물리적 자산 또는 물리적 액세스 지점의 식별 이름입니다. 영숫자 문자열
EventTime 액세스의 타임스탬프를 지정합니다. 날짜 및 시간(UTC 형식)
AccessStatus 또는 값 SuccessFailed String

다음은 필요한 스키마를 준수하는 JSON 파일의 예입니다.

[
    {
        "UserId":"sarad@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T01:57:49",
        "AccessStatus":"Failed"
    },
    {
        "UserId":"pilarp@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T02:57:49",
        "AccessStatus":"Success"
    }
]

3단계에서 물리적 배딩 커넥터를 만들 때 마법사에서 JSON 파일에 대한 다음 스키마 정의를 다운로드할 수도 있습니다.

{
   "title" : "Physical Badging Signals",
   "description" : "Access signals from physical badging systems",
   "DataType" : {
      "description" : "Identify what is the data type for input signal",
      "type" : "string",
   },
   "type" : "object",
   "properties": {
      "UserId" : {
         "description" : "Unique identifier AAD Id resolved by the source system",
         "type" : "string",
      },
      "AssetId": {
         "description" : "Unique ID of the physical asset/access point",
         "type" : "string",
      },
      "AssetName": {
         "description" : "friendly name of the physical asset/access point",
         "type" : "string",
      },
      "EventTime" : {
         "description" : "timestamp of access",
         "type" : "string",
      },
      "AccessStatus" : {
         "description" : "what was the status of access attempt - Success/Failed",
         "type" : "string",
      },
   }
   "required" : ["UserId", "AssetId", "EventTime" "AccessStatus"]
}

3단계: 물리적 배딩 커넥터 만들기

다음 단계는 Microsoft Purview 포털 또는 규정 준수 포털에서 물리적 배딩 커넥터를 만드는 것입니다. 4단계에서 스크립트를 실행하면 3단계에서 만든 JSON 파일이 처리되고 1단계에서 구성한 API 엔드포인트로 푸시됩니다. 이 단계에서는 커넥터를 만들 때 생성된 JobId를 복사해야 합니다. 스크립트를 실행할 때 JobId를 사용합니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

  1. Microsoft Purview 포털에 로그인합니다.

  2. 설정>데이터 커넥터를 선택합니다.

  3. 내 커넥터를 선택한 다음 커넥터 추가를 선택합니다.

  4. 목록에서 물리적 배딩을 선택합니다.

  5. 인증 자격 증명 페이지에서 다음을 수행하고 다음을 선택합니다.

    1. 1단계에서 만든 Azure 앱의 Microsoft Entra 애플리케이션 ID를 입력하거나 붙여넣습니다.

    2. 참조에 대한 샘플 스키마를 다운로드하여 JSON 파일을 만듭니다.

    3. 실제 배딩 커넥터의 고유한 이름을 입력합니다.

  6. 검토 페이지에서 설정을 검토한 다음 마침을 선택하여 커넥터를 만듭니다.

  7. 커넥터가 만들어졌는 것을 확인하는 상태 페이지가 표시됩니다. 이 페이지에는 작업 ID도 포함되어 있습니다. 이 페이지 또는 커넥터의 플라이아웃 페이지에서 작업 ID를 복사할 수 있습니다. 스크립트를 실행할 때 이 작업 ID가 필요합니다.

    상태 페이지에는 스크립트에 대한 링크도 포함되어 있습니다. JSON 파일을 API 엔드포인트에 게시하는 방법을 이해하려면 이 스크립트를 참조하세요.

  8. 완료를 선택합니다.

    새 커넥터가 커넥터 탭의 목록에 표시됩니다.

  9. 방금 만든 실제 배딩 커넥터를 선택하여 커넥터에 대한 속성 및 기타 정보를 포함하는 플라이아웃 페이지를 표시합니다.

4단계: 스크립트를 실행하여 실제 잘못된 데이터가 포함된 JSON 파일을 게시합니다.

물리적 배딩 커넥터를 설정하는 다음 단계는 1단계에서 만든 API 엔드포인트에 JSON 파일(2단계에서 만든)의 물리적 badging 데이터를 푸시하는 스크립트를 실행하는 것입니다. 참조에 대한 샘플 스크립트를 제공하며 이를 사용하거나 사용자 고유의 스크립트를 만들어 JSON 파일을 API 엔드포인트에 게시할 수 있습니다.

스크립트를 실행한 후 실제 나쁜 데이터가 포함된 JSON 파일은 내부 위험 관리 솔루션에서 액세스할 수 있는 Microsoft 365 organization 푸시됩니다. 실제 나쁜 데이터를 매일 게시하는 것이 좋습니다. 실제 배딩 시스템에서 매일 JSON 파일을 생성하는 프로세스를 자동화한 다음, 데이터를 푸시하도록 스크립트를 예약하여 이 작업을 수행할 수 있습니다.

참고

API에서 처리할 수 있는 JSON 파일의 최대 레코드 수는 50,000개 레코드입니다.

  1. 샘플 스크립트에 액세스하려면 이 GitHub 사이트 로 이동합니다.

  2. 원시 단추를 선택하여 텍스트 보기에 스크립트를 표시합니다.

  3. 샘플 스크립트의 모든 줄을 복사한 다음 텍스트 파일에 저장합니다.

  4. 필요한 경우 organization 대한 샘플 스크립트를 수정합니다.

  5. .ps1 파일 이름 접미사(예: PhysicalBadging.ps1)를 사용하여 텍스트 파일을 Windows PowerShell 스크립트 파일로 저장합니다.

  6. 로컬 컴퓨터에서 명령 프롬프트를 열고 스크립트를 저장한 디렉터리로 이동합니다.

  7. 다음 명령을 실행하여 JSON 파일의 실제 나쁜 데이터를 Microsoft 클라우드로 푸시합니다. 예를 들어:

    .\PhysicalBadging.ps1 -tenantId "<Tenant Id>" -appId "<Azure AD App Id>" -appSecret "<Azure AD App Secret>" -jobId "Job Id" -jsonFilePath "<records file path>"

    다음 표에서는 이 스크립트와 함께 사용할 매개 변수와 해당 필수 값에 대해 설명합니다. 이전 단계에서 얻은 정보는 이러한 매개 변수의 값에 사용됩니다.

    매개 변수 설명
    tenantId 1단계에서 얻은 Microsoft 365 organization 대한 ID입니다. Microsoft Entra 관리 센터 개요 블레이드에서 organization 대한 tenantId를 가져올 수도 있습니다. 이는 organization 식별하는 데 사용됩니다.
    Appid 1단계에서 Microsoft Entra ID 만든 앱의 Microsoft Entra 애플리케이션 ID입니다. 이는 스크립트가 Microsoft 365 organization 액세스하려고 할 때 Microsoft Entra ID 인증에 사용됩니다.
    appSecret 1단계에서 Microsoft Entra ID 만든 앱의 Microsoft Entra 애플리케이션 비밀입니다. 인증에도 사용됩니다.
    jobId 3단계에서 만든 실제 배딩 커넥터의 작업 ID입니다. 이는 Microsoft 클라우드로 푸시되는 물리적 배딩 데이터를 물리적 배딩 커넥터와 연결하는 데 사용됩니다.
    JsonFilePath 2단계에서 만든 JSON 파일에 대한 로컬 컴퓨터(스크립트를 실행하는 데 사용하는 파일 경로)의 파일 경로입니다. 이 파일은 3단계에 설명된 샘플 스키마를 따라야 합니다.

    다음은 각 매개 변수에 대한 실제 값을 사용하는 실제 배딩 커넥터 스크립트에 대한 구문의 예입니다.

    .\PhysicalBadging.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -jsonFilePath 'C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json'

    업로드에 성공하면 스크립트에 업로드 성공 메시지가 표시됩니다.

    JSON 파일이 여러 개 있는 경우 각 파일에 대한 스크립트를 실행해야 합니다.

참고

이전 스크립트를 실행하는 것 외에 다른 메서드를 사용하여 실제 나쁜 데이터를 API 엔드포인트로 푸시하도록 선택할 수도 있습니다. 예를 들어 Postman을 사용하여 데이터를 API 엔드포인트로 푸시하는 샘플은 다음과 같습니다.

5단계: 물리적 배딩 커넥터 모니터링

물리적 Badging 커넥터를 만들고 물리적 badging 데이터를 푸시한 후 커넥터를 보고 Microsoft Purview 포털 또는 규정 준수 포털에서 상태 업로드할 수 있습니다. 스크립트가 정기적으로 자동으로 실행되도록 예약하는 경우 스크립트가 마지막으로 실행된 후 현재 상태 볼 수도 있습니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

  1. Microsoft Purview 포털에 로그인합니다.

  2. 설정>데이터 커넥터를 선택합니다.

  3. 내 커넥터를 선택한 다음, 플라이아웃 페이지를 표시하기 위해 만든 실제 배딩 커넥터를 선택합니다. 이 페이지에는 커넥터에 대한 속성과 정보가 포함되어 있습니다.

  4. 마지막 가져오기에서 로그 다운로드 링크를 선택하여 커넥터에 대한 상태 로그를 열거나 저장합니다. 이 로그에는 스크립트가 실행되고 JSON 파일의 데이터를 Microsoft 클라우드에 업로드할 때마다 정보가 포함됩니다.

    실제 배딩 커넥터 로그 파일은 업로드된 JSON 파일의 개체 수를 표시합니다.

    RecordsSaved 필드는 업로드된 JSON 파일의 레코드 수를 나타냅니다. 예를 들어 JSON 파일에 4개의 레코드가 포함된 경우 스크립트가 JSON 파일의 모든 레코드를 성공적으로 업로드한 경우 RecordsSaved 필드의 값은 4입니다. RecordsSkipped 필드는 건너뛴 JSON 파일의 레코드 수를 나타냅니다. JSON 파일에 레코드를 업로드하기 전에 레코드의 Email ID의 유효성이 검사됩니다. 잘못된 Email ID가 있는 레코드는 건너뛰고 해당 Email ID는 EmailIdsNotSaved 필드에 표시됩니다.

4단계에서 스크립트를 실행하지 않은 경우 스크립트를 다운로드하는 링크가 마지막 가져오기 아래에 표시됩니다. 스크립트를 다운로드한 다음 4단계의 단계에 따라 실행할 수 있습니다.

(선택 사항) 6단계: 스크립트가 자동으로 실행되도록 예약

내부자 위험 관리 솔루션과 같은 도구에서 organization 최신 물리적 badging 데이터를 사용할 수 있도록 하려면 하루에 한 번과 같이 스크립트가 반복적으로 실행되도록 예약하는 것이 좋습니다. 또한 organization 떠난 직원에 대한 최신 정보를 포함하도록 유사한(동일하지 않은 경우) 일정에 따라 실제 불량 데이터를 JSON 파일로 업데이트해야 합니다. 목표는 물리적 배딩 커넥터가 내부 위험 관리 솔루션에서 사용할 수 있도록 최신 물리적 배딩 데이터를 업로드하는 것입니다.

Windows에서 작업 스케줄러 앱을 사용하여 매일 스크립트를 자동으로 실행할 수 있습니다.

  1. 로컬 컴퓨터에서 Windows 시작 단추를 선택한 다음 작업 스케줄러를 입력합니다.

  2. 작업 스케줄러 앱을 선택하여 엽니다.

  3. 작업 섹션에서 작업 만들기를 선택합니다.

  4. 일반 탭에서 예약된 작업의 설명이 포함된 이름을 입력합니다. 예를 들어 물리적 배딩 커넥터 스크립트입니다. 선택적 설명을 추가할 수도 있습니다.

  5. 보안 옵션에서 다음을 수행합니다.

    1. 컴퓨터에 로그온한 경우에만 스크립트를 실행할지 또는 로그온했을 때 스크립트를 실행할지 여부를 결정합니다.

    2. 가장 높은 권한으로 실행 확인란이 선택되어 있는지 확인합니다.

  6. 트리거 탭 선택하고 새로 만들기를 선택한 다음 다음을 수행합니다.

    1. 설정에서 매일 옵션을 선택한 다음, 스크립트를 처음으로 실행할 날짜와 시간을 선택합니다. 스크립트는 지정된 시간에 매일 실행됩니다.

    2. 고급 설정에서 사용 확인란 선택되어 있는지 확인합니다.

    3. 확인을 선택합니다.

  7. 작업 탭을 선택하고 새로 만들기를 선택한 다음 다음을 수행합니다.

    실제 배딩 커넥터 스크립트에 대한 새 예약된 작업을 만들기 위한 작업 설정입니다.

    1. 작업 드롭다운 목록에서 프로그램 시작을 선택했는지 확인합니다.

    2. 프로그램/스크립트 상자에서 찾아보기를 선택하고 다음 위치로 이동하여 경로가 상자에 표시되도록 선택합니다. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

    3. 인수 추가(선택 사항) 상자에 4단계에서 실행한 것과 동일한 스크립트 명령을 붙여넣습니다. 예를 들어 .\PhysicalBadging.ps1-tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -jsonFilePath "C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json"

    4. 시작 위치 (선택 사항) 상자에 4단계에서 실행한 스크립트의 폴더 위치를 붙여넣습니다. 예를 들어 C:\Users\contosoadmin\Desktop\Scripts입니다.

    5. 확인을 선택하여 새 작업에 대한 설정을 저장합니다.

  8. 작업 만들기 창에서 확인을 선택하여 예약된 작업을 저장합니다. 사용자 계정 자격 증명을 입력하라는 메시지가 표시될 수 있습니다.

    새 작업이 작업 스케줄러 라이브러리에 표시됩니다.

    새 작업이 작업 스케줄러 라이브러리에 표시됩니다.

스크립트가 마지막으로 실행되고 다음에 실행되도록 예약된 시간이 표시됩니다. 작업을 두 번 선택하여 편집할 수 있습니다.

또한 규정 준수 센터에서 해당 물리적 배딩 커넥터의 플라이아웃 페이지에서 스크립트가 마지막으로 실행된 시간을 확인할 수도 있습니다.