다음을 통해 공유


내부 위험 관리 활동 조사

중요

Microsoft Purview 참가자 위험 관리는 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

잠재적으로 위험한 사용자 활동을 조사하는 것은 조직의 내부자 위험을 최소화하는 중요한 첫 번째 단계입니다. 이러한 위험은 내부자 위험 관리 정책에서 경고를 생성하는 활동일 수 있습니다. 정책에서 검색되는 규정 준수 관련 활동의 위험일 수도 있지만 사용자에 대한 내부자 위험 관리 경고를 즉시 만들지는 않습니다. 사용자 활동 보고서(미리 보기) 또는 경고 대시보드를 사용하여 이러한 유형의 활동을 조사할 수 있습니다.

보안용 Microsoft Copilot를 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 보안용 Microsoft Copilot에 대해 자세히 알아보세요.

사용자 활동 보고서

사용자 활동 보고서를 사용하면 내부자 위험 관리 정책에 이러한 활동을 일시적으로 또는 명시적으로 할당하지 않고도 잠재적으로 위험한 활동(특정 사용자 및 정의된 기간 동안)을 검사할 수 있습니다. 대부분의 내부 위험 관리 시나리오에서 사용자는 정책에 명시적으로 정의되며 활동과 관련된 정책 경고(트리거 이벤트에 따라 다름) 및 위험 점수가 있을 수 있습니다. 그러나 일부 시나리오에서는 정책에 명시적으로 정의되지 않은 사용자의 활동을 검사할 수 있습니다. 이러한 활동은 사용자 및 잠재적으로 위험한 활동에 대한 팁을 받은 사용자 또는 일반적으로 내부자 위험 관리 정책에 할당할 필요가 없는 사용자를 위한 것일 수 있습니다.

내부 위험 관리 설정 페이지에서 지표를 구성한 후 선택한 지표와 관련된 잠재적으로 위험한 활동에 대한 사용자 활동이 검색됩니다. 이 구성은 트리거 이벤트가 있거나 경고를 만드는지 여부에 관계없이 사용자에 대해 검색된 모든 활동을 검토할 수 있음을 의미합니다. 보고서는 사용자별로 생성되며 사용자 지정 90일 동안의 모든 활동을 포함할 수 있습니다. 동일한 사용자에 대한 여러 보고서는 지원되지 않습니다.

잠재적으로 위험한 활동을 조사한 후 조사자는 개별 사용자의 활동을 무해한 것으로 기각할 수 있습니다. 또한 다른 조사자들과 보고서 링크를 공유하거나 메일로 보내거나 사용자를 내부자 위험 관리 정책에 (일시적으로 또는 명시적으로) 할당하도록 선택할 수도 있습니다. 사용자 활동 보고서 페이지를 보려면 참가자 위험 관리 조사자 역할 그룹에 사용자를 할당해야 합니다.

내부 위험 관리 사용자 활동 보고서 개요.

시작하려면 내부 위험 관리 개요 페이지의 사용자 활동 조사 섹션에서 보고서 관리를 선택합니다.

사용자의 활동을 보려면 먼저 사용자 활동 보고서 만들기를 선택하고 새 사용자 활동 보고서 창에서 다음 필드를 완료합니다.

  • 사용자: 이름 또는 전자 메일 주소로 사용자를 검색합니다.
  • 시작 날짜: 일정 컨트롤을 사용하여 사용자 활동에 대한 시작 날짜를 선택합니다.
  • 종료 날짜: 일정 컨트롤을 사용하여 사용자 활동에 대한 종료 날짜를 선택합니다. 선택한 종료 날짜는 선택한 시작 날짜로부터 2일 이상이어야 하며 선택한 시작 날짜로부터 90일 이내여야 합니다.

참고

사용자가 이전에 경고에 포함된 경우 선택한 범위를 벗어난 데이터가 포함될 수 있습니다.

사용자 활동 데이터는 활동이 발생한 후 약 48시간 후에 보고할 수 있습니다. 예를 들어 12월 1일에 대한 사용자 활동 데이터를 검토하려면 보고서를 만들기 전에 최소 48시간이 경과했는지 확인해야 합니다(가장 이른 12월 3일에 보고서를 만들 것).

새 보고서는 일반적으로 검토할 준비가 되기까지 최대 10시간이 걸립니다. 보고서가 준비되면 보고서 준비 상태가 사용자 활동 보고서 페이지의 상태 열에 표시됩니다. 사용자를 선택하여 자세한 보고서를 봅니다.

내부 위험 관리 사용자 활동 보고서

선택한 사용자의 사용자 활동 보고서에사용자 활동, 활동 탐색기포렌식 증명 정보 탭이 포함됩니다.

  • 사용자 활동: 이 차트 보기를 사용하여 잠재적으로 위험한 활동을 조사하고 시퀀스에서 발생할 수 있는 관련 활동을 볼 수 있습니다. 이 탭은 모든 활동의 기록 타임라인, 활동 세부 정보, 사례의 사용자에 대한 현재 위험 점수, 위험 이벤트 시퀀스 및 조사 작업에 도움이 되는 컨트롤 필터링을 포함하여 사례를 빠르게 검토할 수 있도록 구성됩니다.
  • 활동 탐색기: 이 탭은 위험에 대한 자세한 정보를 제공하는 포괄적인 분석 도구를 위험 조사자에게 제공합니다. 활동 탐색기를 사용하면 검토자가 검색된 위험한 활동의 타임라인을 신속하게 검토하고 경고와 관련된 잠재적으로 위험한 모든 활동을 식별하고 필터링할 수 있습니다. 활동 탐색기 사용에 대한 자세한 내용은 이 문서의 뒷부분에 있는 활동 탐색기 섹션을 참조하세요.

경고 대시보드

내부 위험 관리 경고는 내부 위험 관리 정책에 정의된 위험 지표에 의해 자동으로 생성됩니다. 이러한 경고는 규정 준수 분석가와 조사자에게 현재 위험 상태에 대한 전체 보기를 제공하고 조직에서 검색된 잠재적 위험에 대해 심사하고 조치를 취할 수 있도록 합니다. 기본적으로 정책은 특정 양의 낮음, 중간 및 높은 심각도 경고를 생성하지만 필요에 맞게 경고 볼륨을 늘리거나 줄일 수 있습니다. 또한 정책 만들기 도구를 사용하여 새 정책을 만들 때 정책 지표에 대한 경고 임계값 을 구성할 수 있습니다.

참고

생성된 경고의 경우 내부 위험 관리는 사용자당 단일 집계 경고를 생성합니다. 해당 사용자에 대한 모든 새 인사이트는 동일한 경고에 추가됩니다.

경고가 위험한 활동에 대한 세부 정보, 컨텍스트 및 관련 콘텐츠를 제공하는 방법과 조사 프로세스를 보다 효과적으로 만드는 방법에 대한 개요는 내부 위험 관리 경고 심사 환경 비디오를 확인하세요.

참고

정책이 하나 이상의 관리 단위로 범위가 지정된 경우 범위가 지정된 사용자에 대한 경고만 볼 수 있습니다. 예를 들어 독일의 사용자에게만 관리 범위가 적용되는 경우 독일의 사용자에 대한 경고만 볼 수 있습니다. 무제한 관리자는 조직의 모든 사용자에 대한 모든 경고를 볼 수 있습니다.

경고 생성 방법

다음 그래픽은 내부 위험 관리에서 경고가 생성되는 방법을 보여 줍니다.

내부 위험 관리 경고가 생성되는 방법을 보여 주는 그래픽입니다.

Copilot 단추를 사용하여 경고 요약

Copilot 단추를 사용하여 경고를 열지 않고도 경고를 빠르게 요약할 수 있습니다. Microsoft Purview에서 Microsoft Copilot로 경고를 요약하면 화면 오른쪽에 경고 요약이 있는 Copilot 창이 나타납니다.

내부 위험 관리 Copilot 단추

경고 요약에는 트리거된 정책, 경고를 생성한 활동, 트리거 이벤트, 관련된 사용자, 마지막 작업 날짜(해당하는 경우), 주요 사용자 특성 및 사용자의 최고 위험 요소와 같은 경고에 대한 모든 필수 세부 정보가 포함됩니다. Microsoft Purview의 Copilot는 모든 경고 및 범위 내 정책에서 사용자에 대한 정보를 통합하고 사용자의 주요 위험 요소를 강조합니다.

Copilot 단추를 사용하여 경고 큐의 각 경고를 빠르게 요약하고 추가 조사가 필요한 경고의 우선 순위를 지정합니다. 가양성인 경우 경고 해제를 선택하여 여러 경고를 선택하고 대량으로 해제할 수 있습니다.

경고 필터링, 필터 집합 보기 저장, 열 사용자 지정 또는 경고 검색

조직의 활성 내부자 위험 관리 정책의 수와 유형에 따라 많은 경고 대기열을 검토하는 작업은 어려울 수 있습니다. 경고를 추적하는 데 도움이 되도록 다음을 수행할 수 있습니다.

  • 다양한 특성으로 경고를 필터링합니다.
  • 나중에 다시 사용할 필터 집합의 보기를 저장합니다.
  • 열을 표시하거나 숨깁니다.
  • 경고를 검색합니다.

경고 필터링

  1. 필터 추가를 선택합니다.

  2. 다음 특성 중 하나 이상을 선택합니다.

    특성 설명
    경고를 생성한 활동 경고가 생성되는 활동 평가 기간 동안 잠재적으로 위험할 수 있는 상위 활동 및 정책 일치를 표시합니다. 이 값은 시간에 따라 업데이트할 수 있습니다.
    경고 해제 이유 경고를 해제하는 이유입니다.
    할당 대상 심사를 위해 경고가 할당된 관리자입니다(할당된 경우).
    정책 정책의 이름입니다.
    위험 요소 사용자의 활동이 얼마나 위험한지 결정하는 데 도움이 되는 위험 요소입니다. 가능한 값은 누적 반출 활동, 활동에 우선 순위 콘텐츠, 시퀀스 활동, 활동 포함 허용되지 않는 도메인, 우선 순위 사용자 그룹의 구성원잠재적 높은 영향 사용자입니다.
    심각도 사용자의 위험 심각도 수준입니다. 옵션은 높음, 중간낮음입니다.
    상태 경고의 상태입니다. 옵션은 확인됨, 무시됨, 검토 필요해결됨입니다.
    검색된 시간(UTC) 경고가 만들어진 날짜의 시작 및 종료 날짜입니다. 필터는 시작 날짜의 UTC 00:00과 종료 날짜의 UTC 00:00 사이의 경고를 검색합니다.
    트리거 이벤트 사용자를 정책 범위로 가져온 이벤트입니다. 트리거 이벤트는 시간이 지남에 따라 변경 될 수 있습니다.

    선택한 특성이 필터 표시줄에 추가됩니다.

  3. 필터 표시줄에서 특성을 선택한 다음 필터링할 값을 선택합니다. 예를 들어 UTC(시간 검색됨) 특성을 선택하고 시작 날짜종료 날짜 필드에 날짜를 입력하거나 선택한 다음 적용을 선택합니다.

    언제든지 다시 시작하려면 필터 표시줄에서 모두 다시 설정을 선택합니다.

나중에 다시 사용할 필터 집합 보기를 저장합니다.

  1. 이전 절차에서 설명한 대로 필터를 적용한 후 필터 표시줄 위에서 저장 을 선택하고 필터 집합의 이름을 입력한 다음 저장을 선택합니다.

    필터 집합은 필터 표시줄 위에 카드로 추가됩니다. 필터 집합의 조건을 충족하는 경고 수를 보여 주는 숫자가 포함됩니다.

    참고

    최대 5개의 필터 집합을 저장할 수 있습니다. 필터 집합을 삭제해야 하는 경우 카드의 오른쪽 위 모서리에 있는 줄임표(점 3개) 단추를 선택한 다음 삭제를 선택합니다.

  2. 저장된 필터 집합을 다시 적용하려면 필터 집합에 대한 카드를 선택하기만 하면됩니다.

열 표시 또는 숨기기

  1. 페이지 오른쪽에서 열 사용자 지정을 선택합니다.

  2. 표시하거나 숨기려는 열의 확인란을 선택하거나 선택 취소합니다.

열 설정은 세션과 브라우저 간에 저장됩니다.

경고 검색

검색 컨트롤을 사용하여 UPN(사용자 계정 이름), 할당된 관리자 이름 또는 경고 ID를 검색합니다.

경고 심사

내부 위험 관리의 경고 조사 및 조치에는 다음 단계가 포함됩니다.

  1. 경고 대시보드에서 요구 사항 검토 상태가 있는 경고를 검토합니다. 이러한 유형의 경고를 찾는 데 도움이 필요한 경우 경고 상태를 기준으로 필터링합니다.
  2. 심각도가 가장 높은 경고로 시작합니다. 이러한 유형의 경고를 찾는 데 도움이 필요한 경우 경고 심각도를 기준으로 필터링합니다.
  3. 경고를 선택하여 자세한 정보를 검색하고 경고 세부 정보를 검토합니다. 필요한 경우 활동 탐색기를 사용하여 잠재적으로 위험한 관련 동작의 타임라인을 검토하고 경고에 대한 모든 위험 활동을 식별합니다.
  4. 경고에 대해 작업합니다. 경고에 대한 사례를 확인하고 만들 거나 경고를 해제하고 해결할 수 있습니다.

이러한 각 단계는 이 섹션에서 자세히 설명합니다.

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

경고 심사

경고 세부 정보 페이지로 이동하여 경고를 심사할 수 있습니다.

  1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
  2. 내부 위험 관리 솔루션으로 이동합니다.
  3. 왼쪽 탐색 영역에서 경고를 선택합니다.
  4. 경고 대시보드에서 심사할 경고를 선택합니다.
  5. 경고 세부 정보 페이지에서 경고에 대한 정보를 검토할 수 있습니다. 경고를 확인하고 새 사례를 만들거나, 경고를 확인하고, 기존 사례에 추가하거나, 경고를 해제할 수 있습니다. 이 페이지에는 경고의 현재 상태와 높음, 중간 또는 낮음으로 나열된 경고 위험 심각도 수준도 포함됩니다. 경고가 심사되지 않으면 시간이 지남에 따라 심각도 수준이 증가하거나 감소할 수 있습니다.

경고 세부 정보 페이지의 헤더/요약 섹션

경고 세부 정보 페이지의 이 섹션에는 사용자 및 경고에 대한 일반 정보가 포함되어 있습니다. 이 정보는 사용자에 대한 경고에 포함된 검색된 위험 관리 활동에 대한 자세한 정보를 검토하는 동안 컨텍스트에 사용할 수 있습니다.

  • 이 경고를 생성한 활동: 경고가 생성되는 활동 평가 기간 동안 잠재적으로 위험할 수 있는 상위 활동 및 정책 일치를 표시합니다.
  • 트리거 이벤트: 정책에서 사용자의 활동에 위험 점수 할당을 시작하라는 메시지를 표시하는 가장 최근의 트리거 이벤트를 표시합니다. 위험한 사용자에 의한 데이터 유출 또는 위험한 사용자 정책에 의한 보안 정책 위반에 대한 통신 규정 준수와의 통합을 구성한 경우 이러한 경고에 대한 트리거 이벤트는 통신 규정 준수 활동으로 범위가 지정됩니다.
  • 사용자 세부 정보: 경고에 할당된 사용자에 대한 일반 정보를 표시합니다. 익명화를 사용하도록 설정하면 사용자 이름, 이메일 주소, 별칭 및 조직 필드가 익명화됩니다.
  • 사용자 경고 기록: 지난 30일 동안의 사용자에 대한 경고 목록을 표시합니다. 사용자의 전체 경고 기록을 볼 수 있는 링크가 포함되어 있습니다.

참고

사용자가 잠재적인 영향력이 큰 사용자로 검색되면 이 정보는 사용자 세부 정보 페이지의 경고 헤더에 강조 표시됩니다. 사용자 세부 정보에는 사용자가 검색된 이유와 함께 요약도 포함됩니다. 잠재적인 영향력이 높은 사용자를 위한 정책 지표를 설정하는 방법에 대한 자세한 내용은 내부 위험 관리 설정을 참조하세요.

우선 순위 콘텐츠가 포함된 활동으로 범위가 지정된 정책에서 생성된 경고에는 이 섹션의 이 경고 알림에 대해 우선 순위 콘텐츠가 있는 활동만 점수가 매깁니다.

경고에 대한 간략한 개요를 보려면 경고 세부 정보 페이지에서 요약 단추를 선택합니다. 요약 단추를 선택하면 경고 요약이 있는 Copilot 창이 페이지 오른쪽에 나타납니다. 경고 요약에는 트리거된 정책, 경고를 생성한 활동, 트리거 이벤트, 관련된 사용자, 마지막 작업 날짜(해당하는 경우), 주요 사용자 특성 및 사용자의 최고 위험 요소와 같은 경고에 대한 모든 필수 세부 정보가 포함됩니다. Microsoft Purview의 Copilot는 모든 경고 및 범위 내 정책에서 사용자에 대한 정보를 통합하고 사용자의 주요 위험 요소를 강조합니다. Copilot 단추를 사용하여 경고를 열지 않고도 경고 큐에서 경고를 요약할 수도 있습니다. 또는 독립 실행형 버전의 보안용 Microsoft Copilot를 사용하여 내부자 위험 관리, Microsoft Purview DLP(데이터 손실 방지) 및 Microsoft Defender XDR 경고를 조사합니다.

모든 위험 요소 탭

경고 세부 정보 페이지의 이 탭은 사용자의 경고 활동에 대한 위험 요소의 요약을 엽니다. 위험 요소는 검토 중에 이 사용자의 위험 관리 활동이 얼마나 위험한지 결정하는 데 도움이 될 수 있습니다. 위험 요소에는 다음 항목에 대한 요약이 포함됩니다.

  • 상위 반출 활동: 경고에 대한 가장 많은 수 또는 이벤트가 있는 반출 활동을 표시합니다.
  • 누적 반출 활동: 누적 반출 활동과 관련된 이벤트를 표시합니다.
  • 활동 시퀀스: 위험 시퀀스와 관련된 잠재적으로 위험한 검색된 활동을 표시합니다.
  • 이 사용자에 대한 비정상적인 활동: 비정상적이고 일반적인 활동에서 벗어나기 때문에 잠재적으로 위험한 것으로 간주되는 사용자에 대한 특정 활동을 표시합니다.
  • 우선 순위 콘텐츠: 우선 순위 콘텐츠와 관련된 잠재적으로 위험한 활동을 표시합니다.
  • 허용되지 않는 도메인: 허용되지 않는 도메인과 연결된 이벤트에 대해 잠재적으로 위험한 활동을 표시합니다.
  • 상태 레코드 액세스: 상태 레코드 액세스와 관련된 이벤트에 대해 잠재적으로 위험한 활동을 표시합니다.
  • 위험한 브라우저 사용: 잠재적으로 부적절한 웹 사이트로 검색과 관련된 이벤트에 대해 잠재적으로 위험한 활동을 표시합니다.

이러한 필터를 사용하면 위의 위험 요소가 있는 경고만 표시되지만 경고를 생성한 활동은 이러한 범주에 속하지 않을 수 있습니다. 예를 들어 사용자가 USB 디바이스에 파일을 복사했기 때문에 시퀀스 작업이 포함된 경고가 생성되었을 수 있습니다.

콘텐츠가 검색됨

모든 위험 요소 탭의 이 섹션에는 경고에 대한 위험 활동과 관련된 콘텐츠가 포함되어 있으며 주요 영역별로 활동 이벤트를 요약합니다. 활동 링크를 선택하면 활동 탐색기가 열리고 활동에 대한 자세한 내용이 표시됩니다.

사용자 활동 탭

사용자 활동 탭은 내부 위험 분석 및 내부 위험 관리 솔루션의 경고 및 사례에 대한 조사를 위한 가장 강력한 도구 중 하나입니다. 이 탭은 모든 경고의 기록 타임라인, 경고 세부 정보, 사용자의 현재 위험 점수 및 위험 이벤트 시퀀스를 포함하여 사용자의 모든 활동을 빠르게 검토할 수 있도록 구성됩니다.

내부 위험 관리 사용자 활동

  1. 사례 작업: 사례 해결 옵션은 사례 작업 도구 모음에 있습니다. 사례를 볼 때 사례를 해결하거나, 사용자에게 전자 메일 알림을 보내거나, 데이터 또는 사용자 조사를 위해 사례를 에스컬레이션할 수 있습니다.

  2. 위험 활동 연대기: 해당 경고 거품에서 사용할 수 있는 모든 세부 정보를 포함하여 사례와 관련된 모든 위험 경고의 전체 시간 표시가 나열됩니다.

  3. 필터 및 정렬(미리 보기):

    • 위험 범주: 위험 점수 > 가 15인 활동(시퀀스가 아닌 경우)시퀀스 활동으로 활동을 필터링합니다.
    • 활동 유형: Access, Deletion, Collection, Exfiltration, Infiltration, Obfuscation, Security, Communication Risk 형식으로 활동을 필터링합니다.
    • 정렬 기준: 발생한 날짜 또는 위험 점수별로 잠재적으로 위험한 활동의 타임라인을 나열합니다.
  4. 시간 필터: 기본적으로 잠재적으로 위험한 활동의 마지막 3개월은 사용자 활동 차트에 표시됩니다. 거품형 차트에서 6개월, 3개월 또는 1개월 탭을 선택하여 차트 보기를 쉽게 필터링할 수 있습니다.

  5. 위험 순서: 잠재적으로 위험한 활동의 시간순은 위험 조사의 중요한 측면이며 이러한 관련 활동을 식별하는 것은 조직의 전반적인 위험을 평가하는 데 중요한 부분입니다. 관련된 경고 활동은 연결선과 함께 표시되어 이러한 활동이 더 큰 위험 영역과 연결되어 있음을 강조 표시합니다. 또한 시퀀스는 시퀀스의 위험 점수를 기준으로 시퀀스 작업 위에 배치된 아이콘으로 이 보기에서 식별됩니다. 아이콘을 마우스로 가리키면 이 시퀀스와 관련된 위험한 활동의 날짜와 시간을 확인할 수 있습니다. 이러한 활동 보기는 조사자가 격리되거나 일회성 이벤트로 간주될 수 있는 위험 활동에 대해 말 그대로 '점 연결'에 도움이 될 수 있습니다. 시퀀스에서 아이콘 또는 거품을 선택하여 관련된 모든 위험 활동에 대한 세부 정보를 표시합니다. 세부 정보는 다음과 같습니다.

    • 시퀀스의 이름입니다.
    • 시퀀스의 날짜 또는 날짜 범위입니다.
    • 시퀀스의 위험 점수입니다. 이 점수는 시퀀스의 각 관련 활동에 대해 결합된 경고 위험 심각도 수준의 시퀀스에 대한 숫자 점수입니다.
    • 시퀀스의 각 경고와 연결된 이벤트 수입니다. 잠재적으로 위험한 각 활동과 연결된 각 파일 또는 전자 메일에 대한 링크도 사용할 수 있습니다.
    • 작업을 순서대로 표시합니다. 거품형 차트에 시퀀스를 강조 표시하고 경고 세부 정보를 확장하여 시퀀스의 모든 관련 경고를 표시합니다.
  6. 위험 경고 활동 및 세부 정보: 잠재적으로 위험한 활동은 사용자 활동 차트에 색이 지정된 거품으로 시각적으로 표시됩니다. 거품은 다양한 위험 범주에 대해 만들어집니다. 거품을 선택하여 잠재적으로 위험한 각 활동에 대한 세부 정보를 표시합니다. 세부 정보는 다음과 같습니다.

    • 위험 활동의 날짜입니다.
    • 위험 활동 범주입니다. 예를 들어 조직 외부로 전송된 첨부 파일이 있는 전자 메일 또는 SharePoint Online에서 다운로드한 파일입니다.
    • 경고에 대한 위험 점수입니다. 이 점수는 경고 위험 심각도 수준에 대한 숫자 점수입니다.
    • 경고와 연결된 이벤트 수입니다. 위험 활동과 연결된 각 파일 또는 전자 메일에 대한 링크도 사용할 수 있습니다.
  7. 누적 반출 활동: 이 단추를 선택하여 사용자에 대한 시간이 지남에 따라 활동을 빌드하는 방법에 대한 시각적 차트를 봅니다.

  8. 위험 활동 범례: 사용자 활동 차트 아래쪽에서 색으로 구분된 범례를 사용하면 각 경고에 대한 위험 범주를 빠르게 확인할 수 있습니다.

활동 탐색기 탭

참고

활동 탐색기는 조직에서 이 기능을 사용할 수 있게 된 후 이벤트를 트리거하는 사용자를 위해 경고 관리 영역에서 사용할 수 있습니다.

활동 탐색기는 위험 조사자와 분석가에게 경고에 대한 자세한 정보를 제공하는 포괄적인 분석 도구를 제공합니다. 활동 탐색기를 사용하면 검토자가 검색된 잠재적으로 위험한 활동의 타임라인을 신속하게 검토하고 경고와 관련된 모든 위험 활동을 식별하고 필터링할 수 있습니다.

활동 탐색기 사용

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

  1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
  2. 내부 위험 관리 솔루션으로 이동합니다.
  3. 왼쪽 탐색 영역에서 경고를 선택합니다.
  4. 경고 대시보드에서 심사할 경고를 선택합니다.
  5. 경고 세부 정보 창에서 확장된 보기 열기를 선택합니다.
  6. 선택한 경고의 페이지에서 활동 탐색기 탭을 선택합니다.

활동 탐색기에서 활동을 검토할 때 조사자와 분석가는 특정 활동을 선택하고 활동 세부 정보 창을 열 수 있습니다. 창에는 조사자 및 분석가가 경고 심사 프로세스 중에 사용할 수 있는 활동에 대한 자세한 정보가 표시됩니다. 자세한 정보는 경고에 대한 컨텍스트를 제공하고 경고를 트리거한 위험 활동의 전체 범위를 식별하는 데 도움이 될 수 있습니다.

활동 타임라인에서 활동의 이벤트를 선택할 때 탐색기에 표시되는 활동 수가 타임라인에 나열된 활동 이벤트 수와 일치하지 않을 수 있습니다. 이러한 차이가 발생할 수 있는 이유의 예:

  • 누적 반출 검색: 누적 반출 검색은 이벤트 로그를 분석하지만 유사한 활동을 중복 제거하여 누적 반출 위험을 계산하는 모델을 적용합니다. 또한 기존 정책 또는 설정을 변경한 경우 활동 탐색기에 표시되는 잠재적으로 위험한 활동 수에도 차이가 있을 수 있습니다. 예를 들어 허용/허용되지 않는 도메인을 수정하거나 정책을 만들고 잠재적으로 위험한 활동 일치가 발생한 후 새 파일 형식 제외를 추가하는 경우 누적 반출 검색 활동은 정책 또는 설정이 변경되기 전에 결과와 다릅니다. 누적 반출 검색 활동 합계는 계산 시 정책 및 설정 구성을 기반으로 하며 정책 및 설정이 변경되기 전에 활동을 포함하지 않습니다.
  • 외부 받는 사람에게 보내는 이메일: 외부 받는 사람에게 전송된 전자 메일에 대해 잠재적으로 위험한 활동에는 전송된 이메일 수에 따라 위험 점수가 할당되며, 이는 활동 이벤트 로그와 일치하지 않을 수 있습니다.

내부 위험 관리 활동 탐색기 세부 정보.

위험 점수 매기기에서 제외된 이벤트를 포함하는 시퀀스

시퀀스에는 설정 구성에 따라 위험 점수 매기기에서 제외되는 하나 이상의 이벤트가 포함될 수 있습니다. 예를 들어 조직은 전역 제외 설정을 사용하여 .png 파일이 일반적으로 위험하지 않으므로 위험 점수 매기기에서 .png 파일을 제외할 수 있습니다. 그러나 .png 파일을 사용하여 악의적인 활동을 난독 분석할 수 있습니다. 이러한 이유로 위험 점수 매기기에서 제외된 이벤트가 난독 처리 작업으로 인해 시퀀스의 일부인 경우 시퀀스의 컨텍스트에서 흥미로울 수 있으므로 이벤트가 시퀀스에 포함됩니다.

활동 탐색기에는 제외된 이벤트에 대한 다음 정보가 시퀀스로 표시됩니다.

  • 시퀀스에 모든 이벤트가 제외되는 단계가 포함된 경우 인사이트에는 활동 이름과 날짜만 포함됩니다. 제외된 이벤트 보기 링크를 선택하여 활동 탐색기에서 제외된 이벤트를 필터링합니다. 모든 이벤트가 제외되면 사용자 활동 산점도 아이콘의 위험 점수는 0입니다.
  • 시퀀스에 일부 이벤트가 제외되는 인사이트가 있는 경우 제외된 이벤트에 대한 이벤트 정보가 표시되지만 이벤트 수에는 제외된 이벤트가 포함되지 않습니다. 제외된 이벤트 보기 링크를 선택하여 활동 탐색기에서 제외된 이벤트를 필터링합니다.
  • 인사이트에 대한 시퀀스 링크를 선택하는 경우 점수 매기기에서 제외된 이벤트를 포함하여 활동 세부 정보 창에서 이벤트 시퀀스로 드릴다운할 수 있습니다. 점수 매기기에서 제외된 이벤트는 제외됨으로 표시됩니다.
활동 탐색기에서 경고 필터링

작업 탐색기에서 열 정보에 대한 경고를 필터링하려면 필터를 선택합니다. 경고에 대한 세부 정보 창에 나열된 하나 이상의 특성으로 경고를 필터링할 수 있습니다. 또한 활동 탐색기는 조사자와 분석가가 대시보드를 가장 중요한 정보에 집중할 수 있도록 사용자 지정 가능한 열을 지원합니다.

활동 범위, 위험 요소상태 필터 검토를 사용하여 다음 영역에 대한 활동 및 인사이트를 표시하고 정렬합니다.

  • 활동 범위: 사용자에 대해 점수가 매기된 모든 활동을 필터링합니다.

    • 이 사용자에 대한 모든 점수 매기기 활동
    • 이 경고에서 채점된 활동만
  • 위험 요소: 위험 점수를 할당하는 모든 정책에 적용할 수 있는 위험 요소 활동에 대한 필터 범위 내 사용자에 대한 모든 정책에 대한 모든 활동이 포함됩니다.

    • 비정상적인 활동
    • 우선 순위 콘텐츠가 있는 이벤트 포함
    • 허용되지 않는 도메인이 있는 이벤트 포함
    • 시퀀스 작업
    • 누적 반출 활동
    • 상태 레코드 액세스 활동
    • 위험한 브라우저 사용
  • 검토 상태: 활동 검토 상태를 필터링합니다.

    • 전체
    • 아직 검토되지 않음(해제되거나 해결된 경고의 일부인 활동을 필터링)

내부 위험 관리 활동 탐색기 개요

나중에 다시 사용할 필터 보기 저장

필터를 만들고 필터에 대한 열을 사용자 지정하는 경우 사용자 또는 다른 사용자가 나중에 동일한 변경 내용을 빠르게 필터링할 수 있도록 변경 내용 보기를 저장할 수 있습니다. 보기를 저장하면 필터와 열을 모두 저장합니다. 뷰를 로드하면 저장된 필터와 열을 모두 로드합니다.

  1. 필터를 만들고 열을 사용자 지정합니다.

    언제든지 다시 시작하려면 다시 설정을 선택합니다. 사용자 지정한 열을 변경하려면 열 다시 설정을 선택합니다.

  2. 원하는 방식으로 필터가 있는 경우 이 보기 저장을 선택하고 보기의 이름을 입력한 다음 저장을 선택합니다.

    참고

    보기 이름의 최대 길이는 40자이며 특수 문자를 사용할 수 없습니다.

  3. 나중에 필터 보기를 다시 사용하려면 보기를 선택한 다음 권장 보기 탭(가장 많이 사용되는 보기 표시) 또는 사용자 지정 보기 탭(가장 자주 사용하는 필터가 목록 맨 위에 표시됨)에서 열려는 보기를 선택합니다.

이러한 방식으로 보기를 선택하면 모든 기존 필터가 다시 설정되고 선택한 보기로 바뀝니다.

경고 상태 및 심각도

참고

내부자 위험 관리는 기본 제공 경보 스로틀 기능을 사용하여 위험 조사 및 검토 경험을 보호하고 최적화합니다. 이 제한은 잘못 구성된 데이터 커넥터 또는 데이터 손실 방지 정책과 같은 정책 경고의 오버로드를 초래할 수 있는 문제에 대해 보호합니다. 따라서 사용자에 대한 새 경고를 표시하는 데 지연이 있을 수 있습니다.

경고를 다음 상태 중 하나로 심사할 수 있습니다.

  • 확인됨: 경고가 확인되고 새 사례 또는 기존 사례에 할당됩니다.
  • 해제됨: 심사 프로세스에서 양성으로 해제된 경고입니다. 경고 해제 이유를 제공하고 향후 참조 또는 다른 검토자를 위한 추가 컨텍스트를 제공하기 위해 사용자의 경고 기록에서 사용할 수 있는 메모를 포함할 수 있습니다. 이유는 예상 활동, 비임팩트 이벤트, 단순히 사용자에 대한 경고 활동 수를 줄이거나 경고 메모와 관련된 이유까지 다양할 수 있습니다. 분류 선택에는 이 사용자에 대한 활동이 필요하고, 활동은 추가로 조사할 수 있을 만큼 충분히 영향을 미치며, 이 사용자에 대한 경고에는 너무 많은 활동이 포함됩니다.
  • 검토 필요: 심사 작업이 아직 수행되지 않은 새 경고입니다.
  • 해결됨: 종결되고 해결된 사례의 일부인 경고입니다.

경고 위험 점수는 여러 위험 활동 지표에서 자동으로 계산됩니다. 이러한 지표에는 위험 활동 유형, 활동 발생 빈도, 사용자의 위험 활동 기록 및 잠재적으로 위험한 활동의 심각성을 높일 수 있는 활동 위험이 추가됩니다. 경고 위험 점수는 각 경고에 대한 위험 심각도 수준의 프로그래밍 방식 할당을 구동하며 사용자 지정할 수 없습니다. 경고가 계속 시도되지 않고 위험 활동이 경고에 계속 발생하는 경우 위험 심각도 수준이 증가할 수 있습니다. 위험 분석가 및 조사자는 경고 위험 심각도를 사용하여 조직의 위험 정책 및 표준에 따라 경고를 심사할 수 있습니다.

경고 위험 심각도 수준은 다음과 같습니다.

  • 높은 심각도: 경고에 대한 잠재적으로 위험한 활동 및 지표는 상당한 위험을 초래합니다. 관련된 위험 활동은 심각하고 반복적이며 다른 중요한 위험 요소에 강력하게 영향을 줍니다.
  • 중간 심각도: 경고에 대한 잠재적으로 위험한 활동 및 지표는 보통의 위험을 초래합니다. 관련된 위험 활동은 보통이고 자주 발생하며 다른 위험 요소와 어느 정도 상관 관계가 있습니다.
  • 심각도가 낮음: 경고에 대한 잠재적으로 위험한 활동 및 지표는 사소한 위험을 초래합니다. 관련된 위험 활동은 미미하고 빈도가 높으며 다른 중요한 위험 요소로 코어레이트하지 않습니다.

여러 경고 해제(미리 보기)

분석가와 조사자가 한 번에 여러 경고를 즉시 해제하는 심사 시간을 절약하는 데 도움이 될 수 있습니다. 경고 해제 명령 모음 옵션을 사용하면 대시보드에서 검토 필요 상태가 있는 하나 이상의 경고를 선택하고 심사 프로세스에서 적절한 양호한 경고를 신속하게 해제할 수 있습니다. 한 번에 최대 400개의 경고를 선택하여 해제할 수 있습니다.

내부 위험 경고 해제

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

  1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
  2. 내부 위험 관리 솔루션으로 이동합니다.
  3. 왼쪽 탐색 영역에서 경고를 선택합니다.
  4. 경고 대시보드에서 검토 필요 상태가 있는 경고(또는 경고)를 선택합니다.
  5. 경고 명령 모음에서 경고 해제를 선택합니다.
  6. 경고 해제 세부 정보 창에서 선택한 경고와 연결된 사용자 및 정책 세부 정보를 검토합니다.
  7. 경고 해제를 선택하여 경고를 무해한 것으로 해결합니다.

경고에 대한 보고서

경고에 대한 보고서를 보려면 보고서 페이지로 이동합니다. 보고서 페이지의 각 보고서 위젯은 지난 30일 동안의 정보를 표시합니다.

  • 검토가 필요한 총 경고: 경고 심각도별 분석을 포함하여 검토 및 심사가 필요한 총 경고 수가 나열됩니다.
  • 지난 30일 동안의 경고 열기: 정책에서 만든 총 경고 수는 지난 30일 동안 일치하며 높음, 중간 및 낮은 경고 심각도 수준으로 정렬됩니다.
  • 경고 해결 평균 시간: 유용한 경고 통계 요약:
    • 심각도가 높은 경고를 해결하기 위한 평균 시간(시간, 일 또는 월)입니다.
    • 시간, 일 또는 월 단위로 나열된 중간 심각도 경고를 해결하는 평균 시간입니다.
    • 낮은 심각도 경고를 해결하기 위한 평균 시간(시간, 일 또는 월)입니다.

경고 할당

관리자이고 참가자 위험 관리, 내부자 위험 관리 분석가 또는 내부 위험 관리조사자 역할 그룹의 구성원인 경우 경고 소유권을 자신 또는 동일한 역할 중 하나를 가진 내부자 위험 관리 사용자에게 할당할 수 있습니다. 경고가 할당된 후 동일한 역할을 가진 사용자에게 다시 할당할 수도 있습니다. 한 번에 한 관리자에게만 경고를 할당할 수 있습니다.

참고

정책이 하나 이상의 관리 단위로 범위가 지정된 경우 적절한 역할 그룹 권한을 가진 내부자 위험 관리 사용자에게만 경고 소유권을 부여할 수 있으며 경고에서 강조 표시된 사용자는 관리 단위 범위에 있어야 합니다. 예를 들어 관리 범위가 독일의 사용자에게만 적용되는 경우 내부 위험 관리 사용자는 독일의 사용자에 대한 경고만 볼 수 있습니다. 무제한 관리자는 조직의 모든 사용자에 대한 모든 경고를 볼 수 있습니다.

관리자가 할당되면 관리자가 검색할 수 있습니다.

참고

Microsoft Entra 보안 그룹에 포함된 관리자는 경고 할당에 대해 지원되지 않습니다. 관리자는 필요한 역할 중 하나에 직접 할당되어야 합니다.

사용자 지정 그룹을 사용하는 경우 사용자 지정 그룹에 사례 관리 역할이 포함되어 있는지 확인합니다. 내부 위험 관리 분석가내부 위험 관리 조사자 역할 그룹은 모두 사례 관리 역할을 포함하지만 사용자 지정 그룹을 사용하는 경우 그룹에 사례 관리 역할을 명시적으로 추가해야 합니다.

경고 대시보드에서 경고 할당

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

  1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
  2. 내부 위험 관리 솔루션으로 이동합니다.
  3. 왼쪽 탐색 영역에서 경고를 선택합니다.
  4. 경고 대시보드에서 할당할 경고를 선택합니다.
  5. 경고 큐 위의 단추 표시줄에서 할당을 선택합니다.
  6. 화면 오른쪽의 소유자 할당 창에서 적절한 권한이 있는 관리자를 검색한 다음 해당 관리자에 대한 확인란을 선택합니다.
  7. 과제를 선택합니다.

경고 세부 정보 페이지에서 경고 할당

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

  1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
  2. 내부 위험 관리 솔루션으로 이동합니다.
  3. 왼쪽 탐색 영역에서 경고를 선택합니다.
  4. 경고를 선택합니다.
  5. 경고에 대한 세부 정보 창의 페이지 오른쪽 위 모서리에서 할당을 선택합니다.
  6. 추천 연락처 목록에서 적절한 관리자를 선택합니다.

경고에 대한 사례 만들기

잠재적으로 위험한 활동을 추가로 조사하려는 경우 경고에 대한 사례를 만들 수 있습니다.

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

  1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
  2. 내부 위험 관리 솔루션으로 이동합니다.
  3. 왼쪽 탐색 영역에서 경고를 선택합니다.
  4. 경고 대시보드에서 확인하려는 경고를 선택하고 새 사례를 만듭니다.
  5. 경고 세부 정보 창에서 작업>경고 확인 & 사례를 만듭니다.
  6. 경고 확인 및 내부 위험 사례 만들기 대화 상자에서 사례의 이름을 입력하고, 참가자로 추가할 사용자를 선택하고, 해당하는 경우 주석을 추가합니다. 메모는 사례 메모로 케이스에 자동으로 추가됩니다.
  7. 사례 만들기를 선택하여 새 사례를 만듭니다.

사건이 만들어지면 조사관과 분석가가 사건을 관리하고 조치를 할 수 있습니다. 자세한 내용은 내부 위험 관리 사례 문서를 참조하세요.

보존 및 항목 제한

내부 위험 관리 경고가 나이가 들면서 잠재적으로 위험한 활동을 최소화하기 위한 가치가 대부분의 조직에서 감소합니다. 반대로 활성 사례 및 관련 아티팩트(경고, 인사이트, 활동)는 항상 조직에 유용하며 자동 만료 날짜가 없어야 합니다. 여기에는 활성 사례와 연결된 모든 사용자의 활성 상태의 모든 이후 경고 및 아티팩트가 포함됩니다.

제한된 현재 값을 제공하는 이전 항목의 수를 최소화하기 위해 내부자 위험 관리 경고, 사례 및 사용자 보고서에 다음 보존 및 제한이 적용됩니다.

항목 보존/제한
검토 상태가 필요한 경고 경고 생성 후 120일 후 자동으로 삭제됨
활성 사례(및 연결된 아티팩트) 무기한 보존, 만료되지 않음
해결된 사례(및 관련 아티팩트) 대/소문자 확인 후 120일 후 자동으로 삭제됨
활성 사례의 최대 수 100
사용자 활동 보고서 보고서를 만든 후 120일 후에 자동으로 삭제됨

경고 볼륨을 관리하기 위한 모범 사례

잠재적으로 위험한 내부자 경고를 검토, 조사 및 조치를 수행하는 것은 조직의 내부자 위험을 최소화하는 중요한 부분입니다. 이러한 위험의 영향을 최소화하기 위해 신속하게 조치를 취하면 잠재적으로 조직에 시간, 비용 및 규제 또는 법적 파급 효과를 절약할 수 있습니다. 내부 위험 관리 경고 큐를 관리하기 위한 모범 사례에 대해 알아보기

참고 항목