내부 위험 관리에서 정책 지표 구성

  • 아티클

중요

Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

Microsoft Purview 내부 위험 관리 내부 위험 정책 템플릿은 검색하고 조사하려는 위험 활동의 유형을 정의합니다. 각 정책 템플릿은 특정 트리거 및 위험 활동에 해당하는 특정 지표를 기반으로 합니다. 모든 전역 지표는 기본적으로 사용하지 않도록 설정됩니다. 내부자 위험 관리 정책을 구성하려면 하나 이상의 지표를 선택해야 합니다.

사용자가 지표와 관련된 활동을 수행할 때 신호가 수집되고 정책에 의해 경고가 트리거됩니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

이벤트 및 표시기 유형

내부자 위험 관리는 다양한 유형의 이벤트 및 지표를 사용하여 신호를 수집하고 경고를 만듭니다.

  • 이벤트 트리거: 사용자가 내부자 위험 관리 정책에서 활성 상태인지 여부를 결정하는 이벤트입니다. 트리거 이벤트가 없는 내부자 위험 관리 정책에 사용자가 추가된 경우 사용자는 정책에 의해 잠재적 위험으로 평가되지 않습니다. 예를 들어 사용자 A는 사용자 정책 템플릿을 출발하여 데이터 도용 에서 만든 정책에 추가되고 정책은 Microsoft 365 HR 커넥터가 올바르게 구성됩니다. 사용자 A가 HR 커넥터에서 보고한 종료 날짜가 될 때까지 사용자 A는 잠재적 위험에 대해 이 내부 위험 관리 정책에 의해 평가되지 않습니다. 트리거 이벤트의 또 다른 예는 데이터 누수 정책을 사용할 때 사용자에게 높은 심각도 DLP 정책 경고가 있는 경우입니다.

  • 전역 설정 지표: 내부 위험 관리를 위한 전역 설정에서 사용하도록 설정된 지표는 정책에서 구성에 사용할 수 있는 지표와 내부자 위험 관리에서 수집한 이벤트 신호 유형을 모두 정의합니다. 예를 들어 사용자가 개인 클라우드 스토리지 서비스 또는 휴대용 스토리지 디바이스에 데이터를 복사하고 이러한 지표가 전역 설정에서만 선택된 경우 사용자의 잠재적으로 위험한 활동은 활동 탐색기에서 검토할 수 있습니다. 그러나 이 사용자가 내부 위험 관리 정책에 정의되지 않은 경우 사용자는 정책에 의해 잠재적 위험으로 평가되지 않으므로 위험 점수가 할당되지 않거나 경고를 생성하지 않습니다.

  • 정책 지표: 내부 위험 관리 정책에 포함된 지표는 scope 사용자의 위험 점수를 결정하는 데 사용됩니다. 정책 지표는 전역 설정에 정의된 지표에서 사용하도록 설정되며 사용자에 대한 트리거 이벤트가 발생한 후에만 활성화됩니다. 정책 지표의 예는 다음과 같습니다.

    • 사용자가 개인 클라우드 스토리지 서비스 또는 휴대용 스토리지 디바이스에 데이터를 복사합니다.
    • 사용자 계정이 Microsoft Entra ID 제거됩니다.
    • 사용자는 권한이 없는 외부 당사자와 내부 파일 및 폴더를 공유합니다.

특정 정책 표시기 및 시퀀스를 사용하여 특정 정책 템플릿에 대한 트리거 이벤트를 사용자 지정할 수도 있습니다. 일반 데이터 누수 또는 우선 순위 사용자 템플릿에 의한 데이터 누수에 대한 정책 마법사에서 구성된 경우 이러한 지표 또는 시퀀스는 정책에 대한 유연성과 사용자 지정을 허용하고 사용자가 정책에 대해 scope 경우를 허용합니다. 또한 정책에서 보다 세분화된 제어를 위해 이러한 트리거 지표에 대한 위험 관리 활동 임계값을 정의할 수 있습니다.

모든 내부 위험 정책에서 사용하도록 설정된 내부 위험 정책 지표 정의

  1. 설정 단추를 선택한 다음 정책 표시기를 선택합니다.

  2. 하나 이상의 정책 지표를 선택합니다. 정책 표시기 설정 페이지에서 선택한 지표는 정책 마법사에서 내부 위험 정책을 만들거나 편집할 때 개별적으로 구성할 수 없습니다.

    참고

    수동으로 추가된 새 사용자가 사용자 dashboard 표시되는 데 몇 시간이 걸릴 수 있습니다. 이러한 사용자의 이전 90일 동안의 활동은 표시하는 데 최대 24시간이 걸릴 수 있습니다. 수동으로 추가된 사용자에 대한 활동을 보려면 사용자 dashboard 사용자를 선택하고 세부 정보 창에서 사용자 활동 탭을 엽니다.## 두 가지 유형의 정책 표시기: 기본 제공 표시기 및 사용자 지정 표시기

기본 제공 표시기 및 사용자 지정 표시기

정책 지표는 다음 두 개의 탭으로 구성됩니다.

  • 기본 제공 지표: 내부 위험 관리에는 정책에서 즉시 사용할 수 있는 다양한 시나리오에 대한 많은 기본 제공 지표가 포함되어 있습니다. 활성화하려는 지표를 선택한 다음 내부자 위험 정책을 만들 때 각 지표 수준에 대한 지표 임계값을 사용자 지정합니다. 기본 제공 지표는 이 문서에서 자세히 설명합니다.
  • 사용자 지정 지표: 내부 위험 지표(미리 보기) 커넥터 와 함께 사용자 지정 지표를 사용하여 Microsoft가 아닌 탐지를 내부자 위험 관리에 제공합니다. 예를 들어 검색을 확장하여 Salesforce 및 Dropbox를 포함하고 Microsoft 워크로드(예: SharePoint Online 및 Exchange Online)에 초점을 맞춘 내부자 위험 관리 솔루션에서 제공하는 기본 제공 검색과 함께 사용할 수 있습니다. 사용자 지정 표시기 만들기에 대해 자세히 알아보기

기본 제공 표시기

내부 위험 관리에는 다음과 같은 기본 제공 지표가 포함됩니다.

Office 표시기

여기에는 SharePoint 사이트, Microsoft Teams 및 전자 메일 메시징에 대한 정책 지표가 포함됩니다.

클라우드 스토리지 표시기(미리 보기)

여기에는 환경을 확인하고, 데이터를 수집 및 도용하고, 시스템의 가용성을 방해하거나 무결성을 손상시키는 데 사용되는 기술을 검색하는 데 사용할 수 있는 Google 드라이브, Box 및 Dropbox에 대한 정책 지표가 포함됩니다. 클라우드 스토리지 표시기에서 선택하려면 아직 연결하지 않은 경우 먼저 Microsoft Defender 관련 클라우드 스토리지 앱에 연결해야 합니다. 클라우드 스토리지 지표에 대해 자세히 알아보기

구성한 후 설정에서 사용하지 않으려는 앱에 대한 표시기를 끌 수 있습니다. 예를 들어 Box 및 Google 드라이브에 대한 콘텐츠 다운로드 표시기를 선택할 수 있지만 Dropbox는 선택할 수 없습니다.

클라우드 서비스 표시기(미리 보기)

여기에는 추적 로그를 사용하지 않도록 설정하거나 SQL Server 방화벽 규칙을 업데이트하거나 삭제하여 검색 또는 위험한 활동을 방지하는 데 사용되는 기술에 대해 검색하는 데 사용할 수 있는 Amazon S3 및 Azure(SQL Server 및 Storage)에 대한 정책 지표, 중요한 문서, 시스템의 무결성을 손상시키는 데 사용되는 기술 또는 얻는 데 사용되는 기술 등이 포함됩니다. 시스템 및 데이터에 대한 상위 수준 권한. 클라우드 서비스 표시기에서 선택하려면 아직 연결하지 않은 경우 먼저 Microsoft Defender 관련 원본 서비스 앱에 연결해야 합니다. 클라우드 서비스 지표에 대해 자세히 알아보기

Microsoft Fabric 표시기(미리 보기)

여기에는 환경을 파악하는 데 사용되는 기술(예: Power BI 보고서 및 대시보드 보기)과 관심 있는 데이터 수집(예: Power BI 보고서 다운로드)을 검색하는 데 사용할 수 있는 Microsoft Power BI에 대한 정책 지표가 포함됩니다.

디바이스 표시기

여기에는 네트워크 또는 디바이스를 통해 파일을 공유하는 것과 같은 활동에 대한 정책 지표가 포함됩니다. 표시기에서는 실행 파일(.exe) 및 동적 링크 라이브러리(.dll) 파일 활동을 제외한 모든 파일 형식과 관련된 활동을 포함합니다. 디바이스 표시기를 선택하면 Windows 10 빌드 1809 이상 및 macOS(최신 릴리스 버전 3개) 디바이스가 있는 디바이스에 대한 활동이 처리됩니다. Windows 및 macOS 디바이스의 경우 먼저 디바이스를 온보딩해야 합니다. 디바이스 지표에는 Microsoft Edge 및 Google Chrome에서 확인, 복사, 공유 또는 인쇄할 수 없는 파일에 대한 반출 신호를 감지하고 조치를 organization 데 도움이 되는 브라우저 신호 검색도 포함됩니다. 내부 위험과 통합하기 위해 Windows 디바이스를 구성하는 방법에 대한 자세한 내용은 이 문서에서 디바이스 표시기 사용 및 Windows 디바이스 온보딩 을 참조하세요. 내부 위험과 통합하기 위해 macOS 디바이스를 구성하는 방법에 대한 자세한 내용은 이 문서에서 디바이스 표시기 사용 및 macOS 디바이스 온보딩 을 참조하세요. 브라우저 신호 감지에 대한 자세한 내용은 내부 위험 관리 브라우저 신호 감지에 대해 알아보기 및 구성을 참조하세요.

엔드포인트용 Microsoft Defender 표시기(미리 보기)

여기에는 승인되지 않거나 악성 소프트웨어 설치 또는 보안 제어 무시와 관련된 엔드포인트용 Microsoft Defender 표시기가 포함됩니다. 내부 위험 관리에서 경고를 받으려면 활성 엔드포인트용 Defender 라이선스 및 내부 위험 통합을 사용하도록 설정해야 합니다. 내부 위험 관리 통합을 위해 엔드포인트용 Defender를 구성하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 고급 기능 구성을 참조하세요.

상태 레코드 액세스 지표

여기에는 환자 의료 기록 액세스에 대한 정책 지표가 포함됩니다. 예를 들어 EMR(전자 의료 기록) 시스템 로그의 환자 의료 기록에 대한 액세스를 내부자 위험 관리 의료 정책과 공유할 수 있습니다. 내부자 위험 관리에서 이러한 유형의 경고를 받으려면 의료 관련 데이터 커넥터와 HR 데이터 커넥터 가 구성되어 있어야 합니다.

물리적 액세스 지표

여기에는 중요한 자산에 대한 물리적 액세스에 대한 정책 지표가 포함됩니다. 예를 들어 물리적 배딩 시스템 로그의 제한된 영역에 대한 액세스를 내부자 위험 관리 정책과 공유할 수 있습니다. 내부자 위험 관리에서 이러한 유형의 경고를 받으려면 내부자 위험 관리 및 물리적 배딩 데이터 커넥터 에서 우선 순위 물리적 자산을 사용하도록 설정해야 합니다. 물리적 액세스 구성에 대한 자세한 내용은 이 문서의 우선 순위 물리적 액세스 섹션 을 참조하세요.

Microsoft Defender for Cloud Apps 표시기

여기에는 Defender for Cloud Apps의 공유 경고에 대한 정책 지표가 포함됩니다. Defender for Cloud Apps에서 자동으로 설정된 변칙 검색은 즉시 결과 검색 및 정렬을 시작하여 사용자와 네트워크에 연결된 컴퓨터 및 디바이스에서 수많은 동작 변칙을 대상으로 합니다. 이러한 활동을 내부 위험 관리 정책 경고에 포함하려면 이 섹션에서 하나 이상의 지표를 선택합니다. Defender for Cloud Apps 분석 및 변칙 검색에 대한 자세한 내용은 동작 분석 및 변칙 검색 가져오기를 참조하세요.

위험한 검색 표시기(미리 보기)

여기에는 악의적이거나 위험한 것으로 간주되고 보안 또는 규정 준수 인시던트로 이어질 수 있는 잠재적인 내부자 위험을 초래하는 웹 사이트와 관련된 검색 활동에 대한 정책 지표가 포함됩니다. 위험한 검색 활동은 맬웨어, 포르노, 폭력 및 기타 허용되지 않는 활동과 관련된 웹 사이트와 같이 잠재적으로 위험한 웹 사이트를 방문하는 사용자를 나타냅니다. 정책 경고에 이러한 위험 관리 활동을 포함하려면 이 섹션에서 하나 이상의 지표를 선택합니다. 브라우저 반출 신호를 구성하는 방법에 대한 자세한 내용은 내부 위험 관리 브라우저 신호 검색을 참조하세요.

누적 반출 검색

지난 30일 동안 모든 반출 채널에서 사용자의 반출 활동이 organization 또는 피어 그룹 규범을 초과하는 경우를 검색합니다. 예를 들어 사용자가 판매 역할에 있고 organization 외부의 고객 및 파트너와 정기적으로 통신하는 경우 외부 전자 메일 활동은 organization 평균보다 훨씬 높을 수 있습니다. 그러나 사용자의 활동은 사용자의 팀 동료 또는 비슷한 직종을 가진 다른 사용자에 비해 비정상적이지 않을 수 있습니다. 사용자의 누적 반출 활동이 비정상적이고 organization 또는 피어 그룹 규범을 초과하는 경우 위험 점수가 할당됩니다.

참고

피어 그룹은 organization 계층 구조, 공유 SharePoint 리소스에 대한 액세스 및 Microsoft Entra ID 작업 제목에 따라 정의됩니다. 누적 반출 검색을 사용하도록 설정하면 organization organization 계층 구조 및 직함 등 Microsoft Entra 데이터를 규정 준수 포털과 공유하기로 동의합니다. organization 이 정보를 유지하기 위해 Microsoft Entra ID 사용하지 않는 경우 검색 정확도가 낮을 수 있습니다.

위험 점수 부스터

여기에는 다음과 같은 이유로 활동에 대한 위험 점수를 높이는 것이 포함됩니다.

  • 해당 날짜에 대한 사용자의 일반적인 활동보다 높은 활동: 검색된 활동이 사용자의 일반적인 동작에서 벗어나면 점수가 높아집니다.

  • 사용자가 이전 사례를 정책 위반으로 해결했습니다. 사용자가 정책 위반으로 확인된 내부자 위험 관리에서 이전 사례가 있는 경우 점수가 높아집니다.

  • 사용자가 우선 순위 사용자 그룹의 구성원입니다. 사용자가 우선 순위 사용자 그룹의 구성원인 경우 점수가 높아집니다.

  • 사용자는 잠재적인 영향력이 높은 사용자로 검색됩니다. 이 기능을 사용하도록 설정하면 사용자는 다음 기준에 따라 잠재적인 영향력이 큰 사용자로 자동으로 플래그가 지정됩니다.

    • 사용자는 organization 다른 사용자에 비해 더 중요한 콘텐츠와 상호 작용합니다.
    • organization Microsoft Entra 계층 구조의 사용자 수준입니다.
    • Microsoft Entra 계층 구조에 따라 사용자에게 보고하는 총 사용자 수입니다.
    • 사용자는 상승된 권한이 있는 Microsoft Entra 기본 제공 역할의 구성원입니다.

    참고

    잠재적인 높은 영향의 사용자 위험 점수 부스터를 사용하도록 설정하면 Microsoft Entra 데이터를 규정 준수 포털과 공유하는 데 동의하는 것입니다. organization 민감도 레이블을 사용하지 않거나 Microsoft Entra ID organization 계층 구조를 구성하지 않은 경우 이 검색의 정확도가 낮을 수 있습니다. 사용자가 우선 순위 사용자 그룹의 구성원이자 잠재적인 영향력이 높은 사용자로 검색되는 경우 위험 점수는 한 번만 향상됩니다.

경우에 따라 organization 내부 위험 정책에 적용되는 내부자 위험 정책 지표를 제한할 수 있습니다. 전역 설정의 모든 내부 위험 정책에서 특정 영역에 대한 정책 지표를 해제할 수 있습니다. 트리거 이벤트는 우선 순위 사용자 템플릿에 의해 데이터 누수 또는 데이터 누수 로 만든 정책에 대해서만 수정할 수 있습니다. 다른 모든 템플릿에서 만든 정책에는 사용자 지정 가능한 트리거 표시기 또는 이벤트가 없습니다.

사용자 지정 표시기

사용자 지정 표시기 탭을 사용하여 정책에서 트리거 또는 정책 지표로 사용할 사용자 지정 표시기를 만듭니다.

참고

타사 지표 데이터를 가져오는 사용자 지정 지표를 만들려면 먼저 내부 위험 지표 커넥터 (미리 보기)를 만들어야 합니다.

  1. 내부 위험 관리 설정에서 정책 지표를 선택한 다음 사용자 지정 지표 탭을 선택합니다.

  2. 사용자 지정 표시기 추가를 선택합니다.

  3. 표시기 이름과 설명을 입력합니다(선택 사항).

  4. 데이터 커넥터 목록에서 이전에 만든 참가자 위험 표시기 커넥터를 선택합니다.

    데이터 커넥터를 선택하는 경우:

    • 커넥터를 만들 때 선택한 원본 열의 이름은 매핑 파일 필드의 원본 열에 표시됩니다. 커넥터를 만들 때 원본 열을 선택하지 않은 경우 이 필드에 없음 이 표시되며 선택할 필요가 없습니다.
    • 원본 열의 값 목록에서 사용자 지정 표시기에서 할당할 값을 선택합니다. 커넥터를 만들 때 지정한 원본 열과 관련된 값입니다. 예를 들어 두 지표(Salesforce 및 Dropbox)에 대한 데이터가 포함된 단일 커넥터를 만든 경우 목록에 해당 값이 표시됩니다.

  5. 열을 사용하여 임계값을 설정하려는 경우 매핑 파일의 데이터 목록에서 임계값 설정에 사용할 열을 선택합니다. 그렇지 않으면 임계값 없이 트리거 이벤트로만 사용 옵션을 선택합니다.

    참고

    숫자 데이터 형식이 있는 필드만 매핑 파일 목록의 데이터에 나타납니다. 숫자 데이터 형식은 임계값을 설정하는 데 필요하기 때문에 입니다. 데이터 형식은 커넥터를 설정할 때 지정됩니다.

  6. 표시기 추가를 선택합니다. 표시기가 사용자 지정 표시 기 목록에 추가됩니다.

이제 만들거나 편집하는 데이터 도난 또는 데이터 누수 정책에서 사용자 지정 표시기를 사용할 수 있습니다.

  • 사용자 지정 표시기를 트리거로 사용하는 경우 정책을 만들거나 편집할 때 트리거 페이지에서 사용자 지정 트리거 를 선택합니다.
  • 사용자 지정 표시기를 정책 지표로 사용하는 경우 정책을 만들거나 편집할 때 표시기 페이지에서 사용자 지정 표시기를 선택합니다.

참고

사용자 지정 트리거 또는 표시기를 선택한 후 사용자 지정 임계값을 설정해야 합니다(기본 임계값을 사용하지 않는 것이 좋습니다). 임계값 없이 트리거 이벤트로만 사용 옵션을 선택한 경우 사용자 지정 표시기에서 트리거 임계값을 설정할 수 없습니다.

정책에 사용자 지정 표시기를 추가한 후 사용자 지정 표시기를 기반으로 생성된 트리거 및 인사이트는 경고 dashboard, 활동 탐색기사용자 타임라인 표시됩니다.

중요

  • 사용자 지정 표시기 및 관련 정책이 업데이트된 후 데이터를 업로드하기 전에 24시간 동안 기다려야 합니다. 모든 구성 요소를 동기화하는 데 몇 시간이 걸릴 수 있기 때문입니다. 업데이트가 동기화되는 동안 데이터를 즉시 업로드하는 경우 일부 데이터는 위험으로 점수가 매기지 않을 수 있습니다.

기본 제공 표시기의 변형 Create

검색 그룹(미리 보기)을 만들고 기본 제공 표시기(미리 보기)의 변형과 함께 사용하여 다양한 사용자 집합에 맞게 검색을 조정할 수 있습니다. 예를 들어 전자 메일 활동에 대한 가양성 수를 줄이려면 organization 기본 제공 표시기 외부의 받는 사람에게 첨부 파일이 있는 전자 메일 보내기의 변형을 만들어 개인 도메인으로 전송된 전자 메일만 검색할 수 있습니다. 변형은 기본 제공 표시기의 모든 속성을 상속합니다. 그런 다음 제외 또는 포함을 사용하여 변형을 수정할 수 있습니다.

  1. 내부 위험 관리 설정에서 정책 지표를 선택합니다.

  2. 새 표시기 변형(미리 보기)을 선택합니다. 그러면 화면 오른쪽에 새 표시기 변형(미리 보기) 창이 열립니다.

  3. 기본 표시기 목록에서 변형을 만들 표시기를 선택합니다.

    참고

    각 기본 제공 표시기마다 최대 3개의 변형을 만들 수 있습니다. 특정 기본 제공 지표에 대해 세 가지 변형을 이미 만든 경우 기본 제공 표시기가 목록에서 회색으로 표시됩니다. 변형을 지원하지 않는 몇 가지 기본 제공 지표(예: 엔드포인트용 Microsoft Defender 표시기)도 있습니다.

  4. 변형의 이름을 추가하거나 제안된 이름을 적용합니다. 변형 이름은 110자를 초과할 수 없습니다.

  5. 변형에 대한 설명을 추가합니다(선택 사항). 설명은 다른 지표 또는 지표 변형과 구별하는 데 도움이 되는 정책에 표시됩니다. 변형에 대한 설명은 256자를 초과할 수 없습니다.

  6. 검색 그룹에서 다음 옵션 중 하나를 선택합니다.

    • 선택한 그룹의 항목과 관련된 활동을 무시합니다. 몇 가지 제외를 제외한 모든 항목을 캡처하려면 이 옵션을 선택합니다. 예를 들어 이 옵션을 사용하여 특정 도메인으로 전송된 전자 메일을 제외한 모든 발신 전자 메일을 캡처할 수 있습니다.

    • 선택한 그룹의 항목과 관련된 활동만 검색합니다. 캡처할 포함 을 지정하려면 이 옵션을 선택합니다. 예를 들어 특정 도메인으로 전송된 전자 메일만 캡처하려면 이 옵션을 선택합니다.

    참고

    검색 그룹을 아직 만들지 않은 경우 검색 그룹 섹션에서 옵션을 선택할 수 없습니다.

  7. 하나 이상의 검색 그룹 선택 목록에서 변형에 적용할 검색 그룹을 선택합니다. 검색 그룹은 적절한 그룹을 찾는 데 도움이 되는 적절한 검색 유형 제목 아래에 나열됩니다. 단일 변형의 경우 단일 형식의 검색 그룹을 최대 5개까지 추가할 수 있습니다. 예를 들어 최대 5개의 도메인 그룹, 5개의 파일 형식 그룹을 추가할 수 있습니다.  

    참고

    변형에 적용할 수 있는 검색 그룹만 목록에 표시됩니다. 예를 들어 해당되지 않으므로 파일 형식 검색 그룹은 organization 표시기 외부 사용자와 SharePoint 폴더 공유에 대해 표시되지 않습니다.

  8. 저장을 선택합니다.

  9. 다음 단계 대화 상자에서 특정 정책에 새 변형을 적용하려면 정책 페이지 링크를 선택합니다.

변형이 검색하려는 모든 중요한 활동을 캡처하도록 하려면 기본 제공 표시기와 기본 제공 표시기의 변형을 동일한 정책에 적용할 수 있습니다. 그런 다음 각 표시기가 경고에서 캡처하는 활동을 관찰한 다음 모든 항목이 검색되었는지 확인한 후 변형 표시기만 사용할 수 있습니다.

정책에서 변형 사용

  1. 정책 마법사의 표시기 페이지로 이동합니다.

  2. 하나 이상의 변형이 포함된 기본 제공 표시기를 찾습니다. 변형이 있는 기본 제공 표시기는 변형 확인란에 작은 파란색 상자로 표시되고 선택한 변형 수를 나타내는 표시기 설명자 텍스트의 끝에 목록이 표시됩니다. 목록을 열어 변형을 확인합니다.

    참고

    변형 목록에서 확인란 중 하나 또는 전부를 선택하면 기본 제공 표시기의 첫 번째 수준 확인란이 단색 파란색 확인란이 됩니다. 변형 목록에 있는 상자가 선택되지 않으면 첫 번째 수준 확인란이 비어 있습니다.

  3. 다음을 선택합니다.

  4. 임계값 사용자 지정 페이지에서 변형에 대한 임계값을 개별적으로 사용자 지정할 수 있습니다.

변형에서 제공하는 인사이트 조사

변형이 정책에 추가되면 dashboard 경고가 생성되고 조사자는 활동 탐색기사용자 활동 탭에서 자세한 내용을 볼 수 있습니다.

변형 편집

  1. 표시기 설명 텍스트의 끝에 있는 파란색 텍스트를 선택합니다. 예를 들어 다음 스크린샷 예제와 같이 +2 변형을 선택합니다.

    선택할 변형 텍스트를 보여 주는 스크린샷

  2. 표시기 보기/편집 페이지에서 편집 단추를 선택합니다.

  3. 변경합니다.

변형 제한 사항

  • 기본 제공 표시기당 최대 3개의 변형을 만들 수 있습니다.
  • 단일 변형의 경우 단일 형식의 검색 그룹을 최대 5개까지 추가할 수 있습니다. 예를 들어 최대 5개의 도메인 그룹, 5개의 파일 형식 그룹을 추가할 수 있습니다.
  • 검색 그룹 미리 보기의 경우 변형은 시퀀스, 누적 반출 활동, 위험 점수 부스터 또는 실시간 분석을 지원하지 않습니다.

지능형 검색 제외 및 우선 순위 콘텐츠에 대해 변형의 우선 순위를 지정하는 방법

활동의 범위 지정은 내부자 위험 관리의 여러 위치에서 발생합니다. 범위 지정은 다음 우선 순위 순서로 수행됩니다.

  1. 지능형 탐지

  2. 제외/포함 범위 지정 변형

  3. 우선 순위 콘텐츠

디바이스 표시기 사용 및 Windows 디바이스 온보딩

Windows 디바이스에서 위험 활동을 검색하고 이러한 활동에 대한 정책 지표를 포함하려면 Windows 디바이스가 다음 요구 사항을 충족해야 하며 다음 온보딩 단계를 완료해야 합니다. 디바이스 온보딩 요구 사항에 대해 자세히 알아보기

1단계: 엔드포인트 준비

내부자 위험 관리에서 보고하려는 Windows 10 디바이스가 이러한 요구 사항을 충족하는지 확인합니다.

  1. 디바이스는 x64 빌드 1809 이상에서 Windows 10 실행 중이어야 하며 2020년 2월 20일부터 Windows 10 업데이트(OS 빌드 17763.1075)를 설치해야 합니다.
  2. Windows 10 디바이스에 로그인하는 데 사용되는 사용자 계정은 활성 Microsoft Entra 계정이어야 합니다. Windows 10 디바이스는 하이브리드, 조인 또는 등록을 Microsoft Entra Microsoft Entra ID 수 있습니다.
  3. 엔드포인트 디바이스에 Microsoft Edge 브라우저를 설치하여 클라우드 업로드 작업에 대한 작업을 검색합니다. Chromium 따라 새 Microsoft Edge 다운로드를 참조하세요.

참고

엔드포인트 DLP는 이제 가상화된 환경을 지원합니다. 즉, 내부 위험 관리 솔루션은 엔드포인트 DLP를 통해 가상화된 환경을 지원합니다. 엔드포인트 DLP의 가상화된 환경에 대한 지원에 대해 자세히 알아보기

2단계: 디바이스 온보딩

디바이스에서 내부 위험 관리 활동을 감지하려면 먼저 디바이스 검사를 사용하도록 설정하고 엔드포인트를 온보딩해야 합니다. 두 작업 모두 Microsoft Purview에서 수행됩니다.

아직 온보딩되지 않은 디바이스를 사용하도록 설정하려면 이 문서에 설명된 대로 적절한 스크립트를 다운로드하고 배포해야 합니다.

엔드포인트용 Microsoft Defender 디바이스를 이미 온보딩한 경우 관리되는 디바이스 목록에 표시됩니다.

온보딩 장치

이 배포 시나리오에서는 아직 온보딩되지 않은 디바이스를 사용하도록 설정하고 Windows 디바이스에서 내부자 위험 활동을 검색하려고 합니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

  1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.

  2. 페이지의 오른쪽 위 모서리에 있는 설정 단추를 선택합니다.

  3. 디바이스 온보딩에서 디바이스를 선택합니다. 디바이스를 온보딩할 때까지 목록이 비어 있습니다.

  4. 디바이스 온보딩 켜기를 선택합니다.

    참고

    일반적으로 장치 온보딩이 활성화되는 데 60초 정도 소요되지만, Microsoft 지원에 연락하기 전에 30분까지 기다려보세요.

  5. 배포 방법 목록에서 이러한 디바이스에 배포하려는 방법을 선택한 다음 패키지 다운로드를 선택합니다.

  6. Windows 컴퓨터용 온보딩 도구와 방법의 적절한 절차를 따릅니다. 이 링크를 누르면 5단계에서 선택한 배포 패키지와 일치하는 엔드포인트용 Microsoft Defender에 액세스할 수 있는 랜딩 페이지로 이동합니다.

    • 그룹 정책 사용하여 Windows 컴퓨터 온보딩
    • Microsoft Endpoint Configuration Manager를 사용하여 Windows 컴퓨터 온보딩하기
    • 모바일 장치 관리 도구를 사용하여 Windows 컴퓨터 온보딩
    • 로컬 스크립트를 사용하여 Windows 컴퓨터 온보딩
    • 비영구 VDI(가상 데스크톱 인프라) 머신 온보딩

완료되면 엔드포인트 디바이스가 온보딩되면 디바이스 목록에 표시되고 엔드포인트 디바이스는 내부 위험 관리에 감사 활동 로그를 보고하기 시작합니다.

참고

이 환경은 라이선스 적용하에 있습니다. 필수 라이선스가 없으면 데이터가 표시되지 않거나 테이터에 액세스할 수 없습니다.

디바이스가 이미 엔드포인트용 Microsoft Defender 온보딩된 경우

엔드포인트용 Microsoft Defender 이미 배포되고 엔드포인트 디바이스가 보고되는 경우 엔드포인트 디바이스가 관리되는 디바이스 목록에 표시됩니다. 2단계: 디바이스 온보딩으로 이동하여 새 디바이스를 내부 위험 관리에 계속 온보딩하여 적용 범위를 확장할 수 있습니다.

디바이스 표시기 사용 및 macOS 디바이스 온보딩

macOS 디바이스(Catalina 10.15 이상)를 Microsoft 365에 온보딩하여 Intune 또는 JAMF Pro를 사용하여 내부 위험 관리 정책을 지원할 수 있습니다. 자세한 내용 및 구성 지침은 macOS 디바이스를 Microsoft 365에 온보딩 개요(미리 보기)를 참조하세요.

표시기 수준 설정

정책 마법사를 사용하여 정책을 만들 때 일일 위험 이벤트 수가 내부 위험 경고의 위험 점수에 미치는 영향을 구성할 수 있습니다. 이러한 지표 설정을 사용하면 organization 위험 이벤트 발생 횟수가 이러한 이벤트에 대한 위험 점수(및 관련 경고 심각도)에 미치는 영향을 제어할 수 있습니다.

예를 들어 내부자 위험 정책 설정에서 SharePoint 지표를 사용하도록 설정하고 새 내부 위험 데이터 누수 정책에 대한 지표를 구성할 때 SharePoint 이벤트에 대한 사용자 지정 임계값을 선택한다고 가정해 보겠습니다. 내부 위험 정책 마법사에서는 각 SharePoint 지표에 대해 세 가지 다른 일일 이벤트 수준을 구성하여 이러한 이벤트와 관련된 경고의 위험 점수에 영향을 줍니다.

첫 번째 일일 이벤트 수준의 경우 임계값을 다음으로 설정합니다.

  • 이벤트의 위험 점수에 미치는 영향이 낮을 수 있도록 하루에 10개 이상의 이벤트
  • 이벤트의 위험 점수에 중간 영향을 주는 하루에 20개 이상의 이벤트
  • 이벤트의 위험 점수에 더 큰 영향을 주는 하루에 30개 이상의 이벤트

이러한 설정은 효과적으로 다음을 의미합니다.

  • 트리거 이벤트 이후에 발생하는 SharePoint 이벤트가 1~9개 있는 경우 위험 점수는 최소한의 영향을 받고 경고를 생성하지 않는 경향이 있습니다.
  • 트리거 이벤트 후에 발생하는 SharePoint 이벤트가 10-19개인 경우 위험 점수는 본질적으로 낮으며 경고 심각도 수준은 낮은 수준인 경향이 있습니다.
  • 트리거 이벤트 후에 발생하는 SharePoint 이벤트가 20~29개인 경우 위험 점수는 본질적으로 더 높으며 경고 심각도 수준은 중간 수준인 경향이 있습니다.
  • 트리거 이벤트 이후에 30개 이상의 SharePoint 이벤트가 발생하는 경우 위험 점수는 본질적으로 더 높으며 경고 심각도 수준은 높은 수준인 경향이 있습니다.

정책 임계값에 대한 또 다른 옵션은 일반적인 일일 사용자 수를 초과하는 위험 관리 활동에 정책 트리거 이벤트를 할당하는 것입니다. 특정 임계값 설정으로 정의되는 대신, 각 임계값은 scope 내 정책 사용자에 대해 검색된 비정상적인 활동에 대해 동적으로 사용자 지정됩니다. 개별 지표에 대해 비정상적인 활동에 대한 임계값 활동이 지원되는 경우 해당 지표에 대한 정책 마법사에서 활동이 하루 동안 사용자의 일반적인 활동보다 높은 경우를 선택할 수 있습니다. 이 옵션이 나열되지 않으면 표시기에서 비정상적인 활동 트리거를 사용할 수 없습니다. 활동이 하루 동안 사용자의 일반적인 활동보다 높은 경우 표시기 옵션이 나열되지만 선택할 수 없는 경우 내부 위험 설정>정책 지표에서 이 옵션을 사용하도록 설정해야 합니다.

실시간 분석 권장 사항을 사용하여 임계값 설정

실시간 분석(미리 보기)을 사용하여 정책 지표에 적합한 임계값을 빠르게 선택할 수 있는 단계별(데이터 기반) 임계값 구성 환경을 활용할 수 있습니다. 이 단계별 환경은 정책 경고가 너무 적거나 너무 많지 않도록 활동 발생의 지표 및 임계값을 효율적으로 조정하는 데 도움이 될 수 있습니다.

분석이 켜져 있는 경우:

  • 정책 마법사의 표시기 페이지에서 사용자의 활동과 관련된 임계값 적용 옵션을 사용할 수 있습니다. 내부자 위험 관리에서 organization 이전 10일간의 사용자 활동을 기반으로 지표 임계값 권장 사항을 제공하려면 이 옵션을 선택합니다.

    참고

    이 옵션을 사용하려면 하나 이상의 기본 제공 정책 표시기를 선택해야 합니다. 내부 위험 관리는 사용자 지정 지표 또는 기본 제공 지표의 변형에 권장되는 임계값을 제공하지 않습니다.

  • 정책 마법사의 표시기 페이지에서 사용자 고유의 임계값 선택 옵션을 선택하는 경우 임계값 설정의 기본값은 기본 제공 기본값 대신 권장 임계값 값(organization 활동 기준)을 기반으로 합니다. 계기, 상위 5개 지표 목록 및 각 지표에 대한 인사이트도 표시됩니다.

    내부자 위험 관리 실시간 분석

    • 대답. 계기는 정책에 대해 선택한 기본 제공 지표 중 하나 이상에 대해 이전 10일의 활동이 가장 낮은 일일 임계값 을 초과한 범위가 지정된 사용자의 대략적인 수를 보여 줍니다. 이 계기를 사용하면 정책에 포함된 모든 사용자에게 위험 점수가 할당된 경우 생성될 수 있는 경고 수를 예측할 수 있습니다.

    • B. 상위 5개 지표 목록은 가장 낮은 일일 임계값을 초과하는 사용자 수로 정렬됩니다. 정책이 너무 많은 경고를 생성하는 경우 "노이즈"를 줄이기 위해 집중할 수 있는 지표입니다.

    • C. 각 지표에 대한 인사이트는 해당 표시기의 임계값 설정 집합 아래에 표시됩니다. 인사이트는 이전 10일의 활동이 지표에 대해 지정된 낮은 임계값 을 초과한 대략적인 사용자 수를 보여 줍니다. 예를 들어 SharePoint에서 콘텐츠 다운로드에 대한 낮은 임계값 설정이 100으로 설정된 경우 인사이트는 지난 10일 동안 평균 100개 이상의 다운로드 활동을 수행한 정책의 사용자 수를 보여 줍니다.

참고

실시간 분석을 위해 전역 제외(지능형 검색)가 고려됩니다.

수동으로 임계값 설정 조정

고유한 임계값 선택 옵션을 선택하고 특정 지표에 대한 임계값 설정을 수동으로 조정하면 지표 아래의 인사이트가 실시간으로 업데이트됩니다. 이렇게 하면 정책을 활성화하기 전에 각 지표에 대한 적절한 임계값을 구성하여 최고 수준의 경고 효율성을 달성할 수 있습니다.

시간을 절약하고 임계값에 대한 수동 변경의 영향을 더 쉽게 이해하려면 인사이트에서 영향 보기 링크를 선택하여 지표 그래프의 일일 임계값을 초과하는 사용자를 표시합니다 . 이 그래프는 각 정책 지표에 대한 민감도 분석을 제공합니다.

내부 위험 관리 영향 보기 그래프

중요

정책을 만들 때 특정 사용자 포함 옵션을 선택하면 이 그래프를 사용할 수 없습니다. 모든 사용자 및 그룹 포함 옵션을 선택해야 합니다. 정책 마법사의 우선 순위를 지정하는 콘텐츠 페이지에서 우선 순위 콘텐츠가 포함된 활동에 대해서만 경고 가져오기 옵션을 선택하는 경우에도 그래프를 사용할 수 없습니다.

이 그래프를 사용하여 선택한 표시기의 organization 사용자의 활동 패턴을 분석할 수 있습니다. 예를 들어 앞의 그림에서 organization 외부 사용자와 SharePoint 파일을 공유하기 위한 임계값 표시기는 38로 설정됩니다. 그래프는 해당 임계값을 초과하는 작업을 수행한 사용자 수와 해당 작업에 대한 낮음, 중간 및 높은 심각도 경고의 분포를 보여 줍니다. 막대를 선택하여 각 값에 대한 인사이트를 확인합니다. 예를 들어 위의 그림에서 50 값에 대한 막대가 선택되고 이 임계값에서 지난 10 일 동안 적어도 하루에 약 22명의 사용자가 50개 이상의 이벤트를 수행했음을 보여 줍니다.

실시간 분석을 사용하기 위한 필수 구성 요소

실시간 분석(미리 보기)을 사용하려면 내부 위험 분석 인사이트를 사용하도록 설정해야 합니다. 분석을 사용하도록 설정한 후에는 인사이트 및 권장 사항이 표시되는 데 24~48시간이 걸릴 수 있습니다.