적응형 보호를 사용하여 위험을 동적으로 완화
중요
Microsoft Purview 참가자 위험 관리는 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.
Microsoft Purview의 적응형 보호는 기계 학습을 사용하여 가장 중요한 위험을 식별하고 다음으로부터 보호 제어를 사전에 동적으로 적용합니다.
- Microsoft Purview DLP(데이터 손실 방지)
- Microsoft Purview 데이터 수명 주기 관리(미리 보기)
- Microsoft Entra 조건부 액세스(미리 보기)
데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스와 통합하면 조직에서 내부자 위험에 대한 대응을 자동화하고 잠재적 위협을 식별하고 수정하는 데 필요한 시간을 줄일 수 있습니다. 조직은 네 가지 솔루션 모두의 기능을 활용하여 내부 및 외부 위협을 모두 해결하는 보다 포괄적인 보안 프레임워크를 만들 수 있습니다.
중요
데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스와 함께 적응형 보호를 사용하기 위한 라이선스 요구 사항에 대해 알아보려면 Microsoft 365, Office 365, Enterprise Mobility + Security 및 Windows 11 구독을 참조하세요.
적응형 보호는 다음을 사용하여 잠재적 위험을 완화하는 데 도움이 됩니다.
- 컨텍스트 인식 검색. 콘텐츠 및 사용자 활동 모두에 대한 ML 기반 분석을 통해 가장 중요한 위험을 식별하는 데 도움이 됩니다.
- 동적 컨트롤. 다른 사용자가 생산성을 유지하면서 고위험 사용자에게 효과적인 제어를 적용하는 데 도움이 됩니다.
- 자동화된 완화. 잠재적인 데이터 보안 인시던트의 영향을 최소화하고 관리자 오버헤드를 줄이는 데 도움이 됩니다.
적응형 보호는 내부자 위험 관리의 기계 학습 모델에서 정의하고 분석한 내부 위험 수준에 따라 사용자에게 적절한 데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스 정책을 동적으로 할당합니다. 정책은 사용자 컨텍스트에 따라 조정되므로 데이터 손실 방지를 통한 데이터 공유 차단 또는 조건부 액세스를 통한 애플리케이션 액세스 차단과 같은 가장 효과적인 정책은 위험 수준이 낮은 사용자가 생산성을 유지하면서 고위험 사용자에게만 적용됩니다. 데이터 손실 방지 및 조건부 액세스 정책은 지속적으로 조정되므로 사용자의 내부 위험 수준이 변경되면 내부자 새 위험 수준에 맞게 적절한 정책이 동적으로 적용됩니다. 데이터 수명 주기 관리의 경우 내부자 위험 관리는 상승된 위험 수준 사용자를 검색하고 자동으로 생성된 데이터 수명 주기 관리 보존 레이블 정책을 사용하여 120일 동안 삭제된 데이터를 보존합니다.
중요
내부 위험 관리는 현재 Azure 서비스 종속성에서 지원하는 지리적 지역 및 국가에서 호스트되는 테넌트에서 사용할 수 있습니다. 조직에 대해 내부 위험 관리 솔루션이 지원되는지 확인하려면 국가/지역별 Azure 종속성 가용성을 참조하세요. 내부 위험 관리는 상업용 클라우드에 사용할 수 있지만 현재 미국 정부 클라우드 프로그램에는 사용할 수 없습니다.
적응형 보호가 조직에서 가장 중요한 위험을 식별하고 완화하는 데 어떻게 도움이 되는지에 대한 요약은 다음 비디오를 시청하세요.
팁
보안용 Microsoft Copilot를 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 보안용 Microsoft Copilot에 대해 자세히 알아보세요.
내부 위험 수준 및 예방 제어
관리자는 적응형 보호를 사용하여 조직의 요구 사항에 따라 사용자 지정 가능한 내부 위험 수준에 대한 위험 요소 또는 활동을 구성할 수 있습니다. 적응형 보호에 대한 내부 위험 수준은 사용자의 위험 요소 및 인사이트에 따라 지속적으로 자동으로 업데이트되므로 사용자의 데이터 보안 위험이 증가하거나 감소하면 내부 위험 수준이 그에 따라 조정됩니다. 내부 위험 수준에 따라 데이터 손실 방지 정책 및 조건부 액세스 정책은 관리자가 구성한 대로 적절한 수준의 예방 제어(예: 차단, 재정의 또는 경고 포함 차단)를 자동으로 적용합니다.
데이터 수명 주기 관리의 경우 데이터 수명 주기 관리 정책은 내부자 위험 관리 적응형 보호에 의해 상승된 위험 수준이 할당된 사용자를 모니터링합니다. 위험한 사용자가 SharePoint, OneDrive 또는 Exchange Online에서 콘텐츠를 삭제하면 콘텐츠가 120일 동안 자동으로 유지됩니다. 관리자는 Microsoft 지원에 문의하여 보존된 콘텐츠를 복원할 수 있습니다.
적응형 보호에 할당된 내부 위험 관리 정책에 따라 다양한 기준(사용자, 그룹, 지표, 임계값 등)을 사용하여 적용 가능한 내부 위험 수준을 결정합니다. 내부 위험 수준은 특정 사용자 활동의 인스턴스 수만을 기반으로 하는 것이 아니라 사용자 인사이트를 기반으로 합니다. 인사이트는 이러한 활동의 집계 수와 심각도 수준을 계산한 것입니다.
예를 들어 사용자 A의 내부 위험 수준은 잠재적으로 위험한 활동을 세 번 이상 수행하는 사용자 A에 의해 결정되지 않습니다. 사용자 A의 내부 위험 수준은 선택한 정책에 구성된 임계값에 따라 활동 및 위험 점수의 집계 수에 대한 인사이트를 통해 활동에 할당됩니다.
내부 위험 수준
적응형 보호의 내부 위험 수준은 사용자의 활동이 얼마나 위험한지 정의하며 수행된 반출 활동 수 또는 활동이 높은 심각도 내부자 위험 경고를 생성했는지 여부와 같은 기준을 기반으로 할 수 있습니다. 이러한 내부 위험 수준에는 내부 위험 수준 정의가 기본 제공되어 있지만 필요에 따라 이러한 정의를 사용자 지정할 수 있습니다.
- 상승된 위험 수준: 가장 높은 내부자 위험 수준입니다. 여기에는 심각도 경고가 높은 사용자, 각각 특정 위험 활동에 대해 높은 심각도 경고가 있는 3개 이상의 시퀀스 인사이트가 있는 사용자 또는 하나 이상의 확인된 높은 심각도 경고에 대한 기본 제공 정의가 포함됩니다.
- 보통 위험 수준: 중간 내부자 위험 수준에는 중간 심각도 경고가 있는 사용자 또는 심각도 점수가 높은 데이터 반출 활동이 두 개 이상 있는 사용자에 대한 기본 제공 정의가 포함됩니다.
- 사소한 위험 수준: 가장 낮은 내부 위험 수준에는 심각도 경고가 낮은 사용자 또는 심각도 점수가 높은 하나 이상의 데이터 반출 활동이 있는 사용자에 대한 기본 제공 정의가 포함됩니다.
사용자에게 내부자 위험 수준을 할당하려면 활동에 할당된 인사이트 수와 심각도가 내부자 위험 수준에 대한 정의와 일치해야 합니다. 인사이트에 대한 활동 수는 단일 활동 또는 단일 인사이트에 발생하는 여러 활동일 수 있습니다. 인사이트 수는 인사이트에 포함된 활동 수가 아니라 내부자 위험 수준 정의에 대해 평가됩니다.
예를 들어 적응형 보호에 할당된 내부 위험 관리 정책의 조건이 조직의 SharePoint 사이트에서 다운로드를 식별하도록 범위가 지정되어 있다고 가정합니다. 정책에서 사용자가 심각도가 높은 것으로 확인된 하루 만에 SharePoint 사이트에서 10개의 파일을 다운로드한 것을 감지하는 경우 이는 10개의 활동 이벤트로 구성된 단일 인사이트로 계산됩니다. 이 활동이 사용자에게 상승된 위험 수준을 할당할 자격을 갖추려면 사용자에게 두 가지 추가 인사이트(심각도가 높음)가 필요합니다. 추가 인사이트는 하나 이상의 활동을 포함하거나 포함하지 않을 수 있습니다.
내부 위험 수준 사용자 지정
사용자 지정 내부 위험 수준을 사용하면 조직의 요구 사항에 따라 내부 위험 수준을 만들 수 있습니다. 내부자 위험 수준이 기반으로 하는 기준을 사용자 지정한 다음, 사용자에게 내부자 위험 수준이 할당되는 시기를 제어하는 조건을 정의할 수 있습니다.
데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스 정책과 함께 적응형 보호를 사용하기 위한 다음 예제를 고려합니다.
- 데이터 손실 방지 정책:
- 사소한 위험 수준 또는 중간 위험 수준을 가진 사용자가 중요한 데이터 처리 모범 사례에 대한 정책 팁과 교육을 받을 수 있도록 허용합니다. 이러한 방식으로 시간이 지남에 따라 긍정적인 동작 변경에 영향을 미치고 조직 데이터 위험을 줄일 수 있습니다.
- 위험 수준이 높은 사용자가 중요한 데이터를 저장하거나 공유하지 못하도록 차단하여 잠재적인 데이터 인시던트의 영향을 최소화합니다.
- 데이터 수명 주기 관리 정책:
- 위험한 사용자가 120일 동안 삭제한 SharePoint, OneDrive 또는 Exchange Online 콘텐츠를 유지합니다. 이 경우 위험한 사용자는 적응형 보호에 의해 상승된 위험 수준이 할당된 사용자입니다.
- 조건부 액세스 정책:
- 애플리케이션을 사용하기 전에 사소한 위험 수준 사용자가 사용 약관을 승인하도록 요구합니다.
- 중간 위험 수준 사용자가 특정 애플리케이션에 액세스하지 못하도록 차단합니다.
- 상승된 위험 수준 사용자가 애플리케이션을 사용하지 못하도록 완전히 차단합니다. 일반적으로 적용되는 조건부 액세스 정책에 대해 자세히 알아보기
내부 위험 수준 기준 및 조건
내부 위험 수준 기준 및 조건 사용자 지정은 다음 영역을 기반으로 할 수 있습니다.
- 사용자에 대해 생성되거나 확인된 경고: 이 옵션을 사용하면 선택한 내부 위험 관리 정책에 대해 사용자에 대해 생성되거나 확인된 경고의 심각도 수준에 따라 조건을 선택할 수 있습니다. 경고에 대한 조건은 가산적이지 않으며 조건 중 하나가 충족되는 경우 사용자에게 내부자 위험 수준이 할당됩니다.
- 특정 사용자 활동: 이 옵션을 사용하면 검색할 활동 조건, 해당 심각도 및 과거 활동 검색 기간 동안의 일별 발생 횟수(선택 사항)를 선택할 수 있습니다. 사용자 활동에 대한 조건은 가산적이며 모든 조건이 충족되는 경우에만 참가자 위험 수준이 사용자에게 할당됩니다.
과거 활동 검색
이 내부 위험 수준 설정은 사용자가 내부자 위험 수준에서 정의된 조건을 충족하는지 여부를 감지하기 위해 적응형 보호가 검사하는 일 수를 결정합니다. 기본 설정은 7일이지만 이전 활동의 5~30일 중에서 선택하여 내부자 위험 수준 조건을 적용할 수 있습니다. 이 설정은 사용자의 일일 활동을 기반으로 하는 내부자 위험 수준에만 적용되며 경고에 따라 내부 위험 수준을 제외합니다.
다음 예제에서는 과거의 활동 검색 설정 및 내부자 위험 수준이 상호 작용하여 사용자의 과거 활동이 범위 내인지 확인하는 방법을 보여 줍니다.
- 상승된 위험 수준 설정: 사용자는 각각 심각도 위험 점수가 높은 3개 이상의 시퀀스를 수행합니다(67~100).
- 과거 활동 검색 설정: 3일
| 사용자 작업 | 내부자 위험 수준에 대한 범위 내 활동 |
|---|---|
| 사용자는 매일 T-3, T-2, T-1에 1개의 높은 심각도 시퀀스를 가지고 있습니다. | 예 |
| 사용자에게 3일차 T-3의 높은 심각도 시퀀스가 있습니다. | 예 |
| T-4일차의 심각도 시퀀스가 1개, T-3일째에 심각도가 높은 시퀀스가 2개 있습니다. | 아니요 |
내부 위험 수준 기간
이 내부 위험 수준 설정은 내부 위험 수준이 자동으로 다시 설정되기 전에 사용자에게 할당된 상태로 유지되는 기간을 결정합니다. 기본 설정은 7일이지만 사용자의 내부 위험 수준을 다시 설정하기 전에 5일에서 30일 사이를 선택할 수 있습니다.
다음과 같은 경우 사용자에 대한 내부 위험 수준도 다시 설정됩니다.
- 사용자에 대한 관련 경고가 해제됩니다.
- 사용자에 대한 관련 사례가 확인됩니다.
- 내부 위험 수준 종료 날짜가 수동으로 만료됩니다.
참고
사용자에게 현재 내부 위험 수준이 할당되어 있고 해당 사용자가 해당 내부자 위험 수준에 대한 기준을 다시 충족하는 경우 내부 위험 수준 기간은 사용자에 대해 정의된 일 수로 연장됩니다.
위험 수준 만료 옵션
이 옵션을 사용하도록 설정하면(기본적으로 사용하도록 설정됨) 사용자에 대한 관련 경고가 해제되거나 사용자에 대한 관련 사례가 닫히면 사용자의 적응형 보호 위험 수준이 자동으로 만료됩니다. 경고가 해제되거나 케이스가 닫혀 있더라도 사용자의 적응형 보호 위험 수준을 유지하려면 옵션을 사용하지 않도록 설정합니다.
적응형 보호에 대한 권한
중요
데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스와 함께 적응형 보호를 사용하기 위한 라이선스 요구 사항에 대해 알아보려면 Microsoft 365, Office 365, Enterprise Mobility + Security 및 Windows 11 구독을 참조하세요.
데이터 손실 방지 또는 조건부 액세스를 위해 내부 위험 관리 기본 제공 역할 그룹 및 역할 그룹을 사용하는 방법에 따라 조직의 관리자, 분석가 및 조사자에 대한 권한을 업데이트해야 할 수 있습니다.
다음 표에서는 특정 적응형 보호 작업에 필요한 권한을 설명합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 조직의 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
| 작업 | 필수 역할 그룹 |
|---|---|
| 적응형 보호 및 업데이트 설정 구성 | 내부 위험 관리 또는 내부 위험 관리 관리자 |
| 적응형 보호 조건을 사용하여 데이터 손실 방지 정책 만들기 및 관리 | 다음 중 하나: 준수 관리자, 규정 준수 데이터 관리자, DLP 규정 준수 관리, 전역 관리자 |
| 적응형 보호 조건을 사용하여 조건부 액세스 정책 만들기 및 관리 | 다음 중 하나: 전역 관리자, 조건부 액세스 관리자, 보안 관리자 |
| 사용자의 할당된 내부 위험 수준에 대한 세부 정보 보기 | 내부 위험 관리, 내부자 위험 관리 분석가 또는 내부 위험 관리 조사자 |
중요
역할 그룹의 네 가지 범주는 적응형 보호 페이지의 탭에 해당합니다. 참가자 위험 수준, 사용자가 할당한 내부자 위험 수준, 데이터 손실 방지, 조건부 액세스. 적절한 역할 그룹에 할당되지 않은 경우 적응형 보호 페이지에 탭이 표시되지 않습니다.
Office 365용 Microsoft Defender 및 Microsoft Purview 규정 준수의 역할 그룹에 대해 자세히 알아보기
적응형 보호 구성
조직의 요구 사항 또는 현재 내부 위험 관리, 데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스로 구성된 위치에 따라 적응형 보호를 시작하는 두 가지 옵션이 있습니다.
- 빠른 설정
- 사용자 지정 설정
빠른 설정
빠른 설정 옵션은 적응형 보호를 시작하는 가장 빠른 방법입니다. 이 옵션을 사용하면 기존 내부 위험 관리, 데이터 손실 방지, 데이터 수명 주기 관리 또는 조건부 액세스 정책이 필요하지 않으며 설정이나 기능을 미리 구성할 필요가 없습니다. 조직에 내부자 위험 관리, 데이터 손실 방지 또는 데이터 수명 주기 관리를 지원하는 현재 구독 또는 라이선스가 없는 경우 빠른 설정 프로세스를 시작하기 전에 Microsoft Purview 위험 및 규정 준수 솔루션 평가판 에 등록합니다. 조건부 액세스를 위해 Microsoft Entra 평가판에 등록할 수도 있습니다.
Microsoft Purview 포털 홈페이지 또는 데이터 손실 방지 개요 페이지의 적응형 보호 카드에서 적응형 보호 켜기를 선택하여 시작할 수 있습니다. 참가자 위험 관리>적응형 보호>대시보드> 빠른 설정으로 이동하여 빠른 설정 프로세스를 시작할 수도있습니다.
참고
이미 Microsoft Purview의 범위가 지정된 관리자 인 경우 빠른 설정을 켤 수 없습니다.
적응형 보호를 위해 빠른 설정 프로세스를 사용할 때 구성된 내용은 다음과 같습니다.
| 영역 | 구성 |
|---|---|
| 내부 위험 설정(아직 구성되지 않은 경우) | - 개인 정보: 익명화된 버전의 사용자 이름을 표시합니다. 메모: 사용자 이름은 조건부 액세스 또는 데이터 손실 방지에서 익명화되지 않습니다. - 정책 기간: 기본값 - 정책 지표: Office 지표의 하위 집합(내부 위험 관리 설정에서 볼 수 있습니다). - 위험 점수 부스터: 모두 - 지능형 검색: 경고 볼륨 = 기본 볼륨 - 분석: 켜기 - 관리자 알림: 모든 사용자에게 첫 번째 경고가 생성되면 알림 이메일 보내기 |
| 내부 위험 설정(이미 구성된 경우) | - 정책 지표: 아직 구성되지 않은 Office 표시기(내부자 위험 관리 설정에서 볼 수 있습니다). - 이전에 구성된 다른 모든 설정은 업데이트되거나 변경되지 않습니다. - 분석: 켜기(정책에서 이벤트를 트리거하는 임계값은 분석 권장 사항에 따라 결정되는 기본 설정임) |
| 새 내부 위험 정책 | - 정책 템플릿: 데이터 누수 - 정책 이름: 내부 위험 관리를 위한 적응형 보호 정책 - 사용자 및 그룹에 대한 정책 범위: 모든 사용자 및 그룹 - 우선 순위 콘텐츠: 없음 - 이벤트 트리거: 선택한 반출 이벤트(내부 위험 관리 설정에서 볼 수 있음) - 정책 지표: Office 지표의 하위 집합(내부 위험 관리 설정에서 볼 수 있습니다). - 위험 점수 부스터: 활동은 해당 날짜에 대한 사용자의 일반적인 활동보다 높습니다. |
| 적응형 보호 내부 위험 수준 | - 상승된 위험 수준: 사용자에게 세 개 이상의 높은 심각도 반출 시퀀스가 있어야 합니다. - 보통 위험 수준: 사용자에게 두 개 이상의 높은 심각도 활동이 있어야 합니다(일부 다운로드 유형 제외). - 사소한 위험 수준: 사용자에게 하나 이상의 높은 심각도 작업이 있어야 합니다(일부 다운로드 유형 제외). |
| 두 가지 새로운 데이터 손실 방지 정책 | Endpoint DLP에 대한 적응형 보호 정책 - 상승된 위험 수준 규칙: 차단됨 - 온화한/사소한 위험 수준 규칙: 감사 - 정책이 테스트 모드에서 시작됨(감사 전용) Teams 및 Exchange DLP에 대한 적응형 보호 정책 - 상승된 위험 수준 규칙: 차단됨 - 온화한/사소한 위험 수준 규칙: 감사 - 정책이 테스트 모드에서 시작됨(감사 전용) |
| 새 데이터 수명 주기 관리 정책 | 관리자 권한 위험 수준이 할당된 사용자를 모니터링하는 조직 전체의 자동 적용 레이블 정책입니다. 위험한 사용자가 삭제한 SharePoint, OneDrive 또는 Exchange Online 콘텐츠는 120일 동안 유지됩니다. 적응형 보호를 아직 설정하지 않은 경우 적응형 보호를 켜면 정책이 자동으로 만들어지고 적용됩니다. 적응형 보호를 이미 설정한 경우 자동으로 생성된 데이터 수명 주기 관리 정책을 명시적으로 옵트인해야 합니다 . |
| 새 조건부 액세스 정책(사용자가 차단되지 않도록 보고서 전용 모드에서 생성됨) | 1-참가자 위험이 있는 사용자에 대한 액세스 차단(미리 보기) - 포함된 사용자: 모든 사용자 - 제외된 게스트 또는 외부 사용자: B2bDirectConnect 사용자; OtherExternalUser; ServiceProvider - 클라우드 앱: Office 365 앱 - 내부자 위험 수준: 상승 - 액세스 차단: 선택됨 |
빠른 설정 프로세스가 시작되면 분석이 완료되기까지 최대 72시간이 걸릴 수 있으며, 관련 내부자 위험 관리, 데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스 정책이 생성되며 적응형 보호 내부 위험 수준, 데이터 손실 방지, 데이터 수명 주기 관리 및 해당 사용자 활동에 적용되는 조건부 액세스 작업을 볼 수 있습니다. 관리자는 빠른 설정 프로세스가 완료되면 알림 이메일을 받습니다.
사용자 지정 설정
사용자 지정 설정 옵션을 사용하면 내부 위험 관리 정책, 내부 위험 수준 및 적응형 보호를 위해 구성된 데이터 손실 방지 및 조건부 액세스 정책을 사용자 지정할 수 있습니다.
참고
데이터 수명 주기 관리의 경우 적응형 보호를 아직 설정하지 않은 경우 적응형 보호를 켜면 정책이 자동으로 만들어지고 적용됩니다. 조직에 적응형 보호를 이미 설정한 경우 자동으로 생성된 데이터 수명 주기 관리 정책을 적용하도록 명시적으로 옵트 인해야 합니다.
또한 이 옵션을 사용하면 내부자 위험 관리와 데이터 손실 방지 간의 적응형 보호 연결을 실제로 사용하도록 설정하기 전에 이러한 항목을 구성할 수 있습니다. 대부분의 경우 이 옵션은 내부 위험 관리 및/또는 데이터 손실 방지 정책이 이미 있는 조직에서 사용해야 합니다.
사용자 지정 설정을 사용하여 적응형 보호를 구성하려면 다음 단계를 완료합니다.
1단계: 내부자 위험 관리 정책 만들기
적응형 보호에 할당된 정책이 사용자 활동을 감지하거나 다음 단계에서 정의한 내부 위험 수준 조건과 일치하는 경고를 생성할 때 참가자 위험 수준이 사용자에게 할당됩니다. 기존 내부 위험 관리 정책(2단계에서 선택됨)을 사용하지 않으려면 새 내부 위험 관리 정책을 만들어야 합니다. 적응형 보호를 위한 내부 위험 관리 정책에는 다음이 포함되어야 합니다.
- 활동을 검색하려는 사용자입니다. 조직의 모든 사용자 및 그룹 또는 특정 위험 완화 시나리오 또는 테스트 목적으로 하위 집합일 수 있습니다.
- 활동의 위험 점수에 영향을 주는 위험 및 사용자 지정 임계값을 고려하는 활동입니다. 위험한 활동에는 조직 외부의 사용자에게 전자 메일을 보내거나 USB 디바이스에 파일을 복사하는 작업이 포함될 수 있습니다.
내부 위험 정책 만들기를 선택하여 새 정책 마법사를 시작합니다. 데이터 누수 정책 템플릿은 마법사에서 자동으로 선택되지만 정책 템플릿을 선택할 수 있습니다.
중요
선택한 정책 템플릿에 따라 잠재적으로 위험한 활동을 제대로 검색하고 해당 경고를 만들도록 정책에 대한 추가 설정을 구성해야 할 수 있습니다.
2단계: 내부 위험 수준 설정 구성
참가자 위험 수준 탭을 선택합니다. 적응형 보호에 사용할 내부 위험 관리 정책을 선택하여 시작합니다. 이는 1단계에서 만든 새 정책 또는 이미 구성한 기존 정책 또는 정책일 수 있습니다.
다음으로, 적용 가능한 기본 제공 내부자 위험 수준 조건을 수락하거나 직접 만듭니다. 선택한 정책 유형에 따라 내부 위험 수준 조건은 정책에서 구성한 지표 및 활동과 관련된 적용 가능한 조건을 반영합니다.
예를 들어 데이터 누수 정책 템플릿을 기반으로 정책을 선택한 경우 기본 제공 내부 위험 수준 조건 선택은 해당 정책에서 사용할 수 있는 지표 및 활동에 적용됩니다. 보안 정책 위반 정책 템플릿에 따라 정책을 선택한 경우 기본 제공 내부 위험 수준 조건은 해당 정책에서 사용할 수 있는 지표 및 활동으로 자동으로 범위가 지정됩니다.
정책에 대한 내부 위험 수준 사용자 지정
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
내부 위험 관리 솔루션으로 이동합니다.
왼쪽 탐색 영역에서 적응형 보호를 선택한 다음 , 참가자 위험 수준을 선택합니다.
내부 위험 수준 페이지에서 사용자 지정하려는 내부 위험 수준(상승, 보통 또는 부)에 대해편집을 선택합니다.
사용자 지정 내부자 위험 수준 창의 섹션에 따라 참가자 위험 수준에서 옵션을 선택합니다.
- 사용자에 대해 경고가 생성되거나 확인됨
- 특정 사용자 활동
사용자에 대해 생성되거나 확인된 경고 옵션을 선택한 경우 이 내부 위험 수준을 사용해야 하는 사용자에 대해 생성되거나 확인된 경고의 심각도 수준을 선택합니다. 생성된 경고에 대한 심각도 및 확인된 경고 조건의 심각도를 유지하거나 이러한 조건 중 하나만 사용하려는 경우 이러한 조건 중 하나를 제거할 수 있습니다. 이러한 조건 중 하나를 다시 추가해야 하는 경우 조건 추가를 선택한 다음 조건을 선택합니다. 각 조건에 대해 조건에 적용해야 하는 심각도 수준(높음, 보통 또는 낮음)을 선택합니다. 조건이 충족 되면 참가자 위험 수준이 사용자에게 할당됩니다.
특정 사용자 활동 옵션을 선택한 경우 검색할 활동, 심각도 및 과거 활동 검색 기간 동안 매일 발생하는 일별 발생 횟수를 선택합니다. 이 내부 위험 수준에 대한 검색 기간 동안 활동, 활동 심각도 및 활동 발생 을 구성해야 합니다.
활동 조건의 경우, 연결된 정책에 구성된 표시기로 정의한 활동 유형에 대해 선택할 수 있는 옵션이 자동으로 업데이트됩니다. 필요한 경우 위의 조건이 충족되지 않더라도 향후 경고가 확인된 모든 사용자에게 이 내부자 위험 수준 할당 확인란을 선택합니다. 모든 조건이 충족되면 내부자 위험 수준이 사용자에게 할당됩니다.
활동 심각도 조건의 경우 일별 활동 인사이트에 포함된 활동의 심각도 수준을 지정합니다. 옵션은 높음, 보통 및 낮음이며 위험 점수 범위를 기반으로 합니다.
검색 창 조건 중 활동 발생의 경우 지정된 과거 활동 검색 기간 내에 선택한 활동을 검색해야 하는 횟수를 지정합니다. 이 숫자는 활동에 대해 발생할 수 있는 이벤트 수와 관련이 없습니다. 예를 들어 정책에서 사용자가 하루에 SharePoint에서 20개의 파일을 다운로드한 것을 감지하는 경우 이는 20개의 이벤트로 구성된 하나의 일일 활동 인사이트로 계산됩니다.
확인을 선택하여 사용자 지정 내부 위험 수준 조건을 적용합니다.
사용자가 여러 정책에 대한 범위에 있는 경우 내부 위험 수준이 할당되는 방법
사용자가 여러 정책의 범위에 있는 경우 사용자가 다른 심각도 수준의 경고를 수신하는 경우 기본적으로 사용자에게 수신된 가장 높은 심각도 수준이 할당됩니다. 예를 들어 사용자가 높은 심각도 경고를 수신하는 경우 상승된 위험 수준을 할당하는 정책을 고려합니다. 사용자가 정책 1에서 낮은 심각도 경고, 정책 2의 중간 심각도 경고 및 정책 3에서 높은 심각도 경고를 수신하는 경우 사용자에게 수신된 가장 높은 경고 심각도 수준인 상승된 위험 수준이 할당됩니다.
내부 위험 수준 조건은 검색하려면 선택한 정책에 있어야 합니다. 예를 들어 USB 활동으로 복사를 선택하여 보통 위험 수준을 할당하지만 선택한 세 가지 정책 중 하나에서만 활동이 선택된 경우 해당 정책의 활동만 해당 활동에 대해 보통 위험 수준을 할당합니다.
3단계: 데이터 손실 방지 정책 만들기 또는 편집
다음으로, 적응형 보호에서 내부 위험 수준 조건과 일치하는 사용자에 대한 작업을 제한하는 새 데이터 손실 방지 정책(또는 기존 정책 편집)을 만듭니다. 데이터 손실 방지 정책 구성에 대해 다음 지침을 사용합니다.
- 적응형 보호에 대한 사용자의 내부 위험 수준이 데이터 손실 방지 정책에 조건임을 포함해야 합니다. 이 데이터 손실 방지 정책에는 필요에 따라 다른 조건이 포함될 수 있습니다.
- 데이터 손실 방지 정책에 다른 위치를 포함할 수 있지만 적응형 보호는 현재 Exchange, Microsoft Teams 및 디바이스만 지원합니다.
정책 만들기를 선택하여 데이터 손실 방지 정책 마법사를 시작하고 새 데이터 손실 방지 정책을 만듭니다. 적응형 보호를 위해 구성하려는 기존 데이터 손실 방지 정책이 있는 경우 규정 준수 포털의 데이터 손실 방지>정책 으로 이동하여 적응형 보호를 위해 업데이트하려는 데이터 손실 방지 정책을 선택합니다. 적응형 보호를 위해 새 데이터 손실 방지 정책을 구성하거나 기존 데이터 손실 방지 정책을 업데이트하는 방법에 대한 지침은 데이터 손실 방지의 적응형 보호에 대해 알아보기: 수동 구성을 참조하세요.
팁
적응형 보호를 사용하도록 설정하기 전에 데이터 손실 방지 경고를 검토하여 정책이 예상대로 작동하는지 확인할 수 있도록 데이터 손실 방지 정책(정책 팁 포함)을 테스트하는 것이 좋습니다.
4단계: 조건부 액세스 정책 만들기 또는 편집
다음으로, 적응형 보호에서 내부 위험 수준 조건과 일치하는 사용자에 대한 작업을 제한하는 새 조건부 액세스 정책(또는 기존 정책 편집)을 만듭니다. 조건부 액세스 정책 구성에 대해 다음 지침을 사용합니다.
- 조건부 액세스 페이지에서 조건부 신호에 따라 액세스를 제어하고 참가자 위험 조건을 예로 설정한 다음 내부 위험 수준(상승, 보통 또는 부)을 선택합니다. 이는 정책을 적용하기 위해 사용자가 가져야 하는 내부 위험 수준입니다.
정책 만들기를 선택하여 조건부 액세스 정책 마법사를 시작하고 새 조건부 액세스 정책을 만듭니다. 적응형 보호를 위해 구성하려는 기존 조건부 액세스 정책이 있는 경우 Microsoft Entra 관리 센터의보호>조건부 액세스로 이동하여 적응형 보호를 위해 업데이트하려는 조건부 액세스 정책을 선택합니다. 적응형 보호를 위해 새 조건부 액세스 정책을 구성하거나 기존 조건부 액세스 정책을 업데이트하는 방법에 대한 지침은 일반적인 조건부 액세스 정책: 내부 위험 기반 정책을 참조하세요.
5단계: 적응형 보호 켜기
이전 단계를 모두 완료하면 적응형 보호를 사용하도록 설정할 준비가 된 것입니다. 적응형 보호를 켜면 다음을 수행합니다.
- 내부 위험 관리 정책은 내부자 위험 수준 조건과 일치하는 사용자 활동을 찾기 시작합니다. 검색된 경우 내부 위험 수준이 사용자에게 할당됩니다.
- 내부 위험 수준이 할당된 사용자는 적응형 보호의 사용자 할당 내부자 위험 수준 탭에 표시됩니다.
- 데이터 손실 방지 정책은 데이터 손실 방지 정책에 포함된 내부 위험 수준에 할당된 모든 사용자에 대한 보호 작업을 적용합니다. 데이터 손실 방지 정책은 적응형 보호의 데이터 손실 방지 탭에 추가됩니다. 데이터 손실 방지 정책에 대한 세부 정보를 보고 대시보드에서 정책 조건을 편집할 수 있습니다.
- 자동으로 만들어지는 데이터 수명 주기 관리 정책은 상승된 위험 수준에 할당된 모든 사용자에 대해 보호 작업을 적용합니다. 다음 메시지는 적응형 보호 탭에 녹색 배경이 표시되어 사용자에게 자동 관리 데이터 보존이 적용되고 있음을 알립니다. "조직은 잠재적으로 중요한 데이터를 삭제할 수 있는 사용자로부터 동적으로 보호되고 있습니다." 또한 이 메시지는 원하는 경우 자동 관리 데이터 보존 기능을 해제할 수 있는 데이터 수명 주기 관리 설정에 대한 링크를 제공합니다.
- 조건부 액세스 정책은 조건부 액세스 정책에 포함된 내부자 위험 수준에 할당된 모든 사용자에 대한 보호 작업을 적용합니다. 조건부 액세스 정책은 적응형 보호의 조건부 액세스 정책 탭에 추가됩니다. 조건부 액세스 정책에 대한 세부 정보를 보고 대시보드에서 정책 조건을 편집할 수 있습니다.
적응형 보호를 사용하도록 설정하려면 적응형 보호 설정 탭을 선택한 다음 Adaptive Protection 을 켜기로 설정합니다. 적응형 보호 내부 위험 수준 및 데이터 손실 방지, 데이터 수명 주기 관리 및 해당 사용자 활동에 적용되는 조건부 액세스 작업을 확인하기까지 최대 36시간이 걸릴 수 있습니다.
Microsoft Mechanics 채널에서 다음 비디오를 시청하여 적응형 보호가 사용자의 계산된 데이터 보안 내부자 위험 수준에 따라 데이터 보호의 강도를 자동으로 조정하는 방법을 알아봅니다.
적응형 보호 관리
적응형 보호를 사용하도록 설정하고 내부 위험 관리, 데이터 손실 방지 및 조건부 액세스 정책이 구성되면 정책 메트릭, 현재 범위 내 사용자 및 현재 범위에 있는 내부자 위험 수준에 대한 정보에 액세스할 수 있습니다.
참고
현재 데이터 수명 주기 관리 메트릭은 대시보드에 표시되지 않습니다. 하지만 적응형 보호 탭에 "조직이 잠재적으로 중요한 데이터를 삭제할 수 있는 사용자로부터 동적으로 보호되고 있습니다."라는 메시지가 표시되면 자동 관리 데이터 보존이 켜져 있는지 알 수 있습니다.
대시보드
빠른 또는 사용자 지정 설정 프로세스를 완료한 후 적응형 보호의 대시보드 탭에는 사용자 내부 위험 수준, 조건부 액세스 정책 및 데이터 손실 방지 정책에 대한 요약 정보에 대한 위젯이 표시됩니다.
- 참가자 위험 수준이 할당된 사용자: 각 내부 위험 수준(상승, 보통 및 부)에 대한 사용자 수를 표시 합니다.
- 내부 위험 수준을 사용하는 정책: 정책 상태(시작되지 않음 또는 완료), 정책 유형(조건부 액세스 또는 데이터 손실 방지) 및 각 정책 유형에 대해 구성된 정책 수를 표시합니다. 정책 유형이 구성되지 않은 경우 빠른 설정 단추를 선택하여 정책을 구성할 수 있습니다.
참가자 위험 수준이 할당된 사용자
적응형 보호에서 내부 위험 수준이 할당된 사용자는 사용자 할당 내부자 위험 수준 탭에 표시됩니다. 각 사용자에 대해 다음 정보를 검토할 수 있습니다.
사용자: 사용자 이름을 나열합니다. 데이터 손실 방지 정책의 경우 내부자 위험 관리 설정에서 익명화된 버전의 사용자 이름 표시 옵션을 선택하면 익명화된 사용자 이름이 표시됩니다. 조건부 액세스 정책 의 경우 익명화된 버전의 사용자 이름 표시 설정을 선택한 경우에도 사용자 이름은 익명화되지 않습니다.
중요
참조 무결성을 유지하기 위해 경고 또는 활동이 내부자 위험 관리 외부에 표시되는 적응형 보호에서 사용자 이름(켜져 있는 경우)의 익명화는 유지되지 않습니다. 실제 사용자 이름은 관련 데이터 손실 방지 경고 및 활동 탐색기에 표시됩니다.
내부자 위험 수준: 사용자에게 할당된 현재 내부 위험 수준입니다.
사용자에게 할당됨: 사용자에게 내부자 위험 수준이 할당된 후 경과된 일 또는 월 수입니다.
내부 위험 수준 재설정: 사용자에 대해 내부 위험 수준이 자동으로 재설정될 때까지의 일 수입니다.
사용자의 내부 위험 수준을 수동으로 다시 설정하려면 사용자를 선택한 다음 만료를 선택합니다. 이 사용자에게는 더 이상 내부 위험 수준이 할당되지 않습니다. 이 사용자의 기존 경고 또는 사례는 제거되지 않습니다. 이 사용자가 선택한 내부자 위험 관리 정책에 포함된 경우 트리거 이벤트가 감지되면 내부 위험 수준이 다시 할당됩니다.
활성 경고: 사용자에 대한 현재 내부 위험 관리 경고 수입니다.
위반으로 확인된 사례: 사용자에 대해 확인된 사례 수입니다.
사례: 케이스의 이름입니다.
필요한 경우 참가자 위험 수준별로 사용자를 필터링할 수 있습니다.
특정 사용자에 대한 자세한 내부 위험 및 적응형 보호 정보를 보려면 사용자를 선택하여 사용자 세부 정보 창을 엽니다. 세부 정보 창에는 사용자 프로필, 사용자 활동 및 적응형 보호 요약의 세 가지 탭이 포함되어 있습니다. 사용자 프로필 및 사용자 활동 탭에 대한 자세한 내용은 사용자 세부 정보 보기를 참조하세요.
적응형 보호 요약 탭은 다음 네 개의 섹션으로 정보를 집계합니다.
- 적응형 보호: 이 섹션에서는 현재 위험 수준, 할당된 위험 수준 및 사용자에 대한 위험 수준 재설정에 대한 정보를 표시합니다.
- 범위의 데이터 손실 방지 정책(동적): 이 섹션에서는 현재 사용자 범위에 있는 모든 데이터 손실 방지 정책과 정책의 시작 및 종료 날짜를 표시합니다. 이는 사용자에 대한 내부자 위험 수준 및 내부 위험 수준에 대한 데이터 손실 방지 정책 구성을 기반으로 합니다. 예를 들어 사용자에게 내부자 위험 관리 정책에 대해 상승된 위험 수준으로 정의된 활동이 있고 두 개의 데이터 손실 방지 정책이 상승된 위험 수준 조건으로 구성된 경우 이러한 두 가지 데이터 손실 방지 정책이 여기에 표시됩니다.
- 범위의 조건부 액세스 정책(동적): 이 섹션에서는 현재 사용자 범위에 있는 모든 조건부 액세스 정책과 정책의 시작 및 종료 날짜를 표시합니다. 이는 사용자에 대한 내부자 위험 수준 및 내부자 위험 수준에 대한 조건부 액세스 정책 구성을 기반으로 합니다. 예를 들어 사용자에게 내부자 위험 관리 정책에 대해 상승된 위험 수준으로 정의된 활동이 있고 조건부 액세스 정책이 상승된 위험 수준 조건으로 구성된 경우 조건부 액세스 정책이 여기에 표시됩니다.
- 적응형 보호를 위한 내부 위험 정책: 이 섹션에서는 사용자가 현재 범위에 있는 모든 내부 위험 관리 정책을 표시합니다.
조건부 액세스 정책
조건부 액세스 정책 페이지에는 참가자 위험 조건을 사용하는 모든 조건부 액세스 정책이 표시됩니다. 각 정책에 대해 다음 정보를 검토할 수 있습니다.
- 정책 이름: 조건부 액세스 정책의 이름입니다.
- 정책 상태: 정책의 현재 상태입니다. 값은 활성 또는 비활성입니다.
- 내부 위험 수준: 내부자 위험 조건을 사용하여 조건부 액세스 정책에 포함된 내부 위험 수준입니다. 옵션은 Elevated, Moderate 또는 Minor입니다.
- 정책 상태: 조건부 액세스 정책의 현재 상태입니다. 옵션은 알림이 있는 켜기 또는 테스트입니다.
- 만든 날짜: 조건부 액세스 정책을 만든 날짜입니다.
- 마지막으로 수정한 날짜: 조건부 정책을 마지막으로 편집한 날짜입니다.
데이터 손실 방지 정책
데이터 손실 방지 정책 페이지에는 적응형 보호에 대한 사용자의 내부 위험 수준을 사용하는 모든 데이터 손실 방지 정책이 표시됩니다. 각 정책에 대해 다음 정보를 검토할 수 있습니다.
- 정책 이름: 데이터 손실 방지 정책의 이름입니다.
- 정책 상태: 정책의 현재 상태입니다. 값은 활성 또는 비활성입니다.
- 정책 위치: 데이터 손실 방지 정책에 포함된 위치 입니다. 현재 적응형 보호는 Exchange, Teams 및 디바이스를 지원합니다.
- 내부 위험 수준: 적응형 보호에 대한 내부 위험 수준을 사용하는 데이터 손실 방지 정책에 포함된 내부 위험 수준은 조건입니다 . 옵션은 Elevated, Moderate 또는 Minor입니다.
- 정책 상태: 데이터 손실 방지 정책의 현재 상태입니다. 옵션은 알림이 있는 켜기 또는 테스트입니다.
- 만든 날짜: 데이터 손실 방지 정책을 만든 날짜입니다.
- 마지막으로 수정한 날짜: 데이터 손실 방지 정책을 마지막으로 편집한 날짜입니다.
내부 위험 수준 설정 조정
내부자 위험 수준이 있는 사용자를 검토한 후 내부자 위험 수준이 할당된 사용자가 너무 많거나 너무 적다는 것을 확인할 수 있습니다. 두 가지 방법을 사용하여 정책 구성을 조정하여 내부자 위험 수준이 할당된 사용자 수를 줄이거나 늘릴 수 있습니다.
- 내부 위험 수준 설정을 수정합니다. 임계값을 조정하여 사용자에게 내부자 위험 수준을 할당할 수 있습니다.
- 내부자 위험 수준을 할당하는 데 필요한 활동의 심각도를 늘리거나 줄입니다. 예를 들어 내부자 위험 수준이 너무 적은 사용자가 너무 적으면 활동 또는 경고 심각도를 줄일 수 있습니다.
- 내부자 위험 수준이 특정 사용자 활동을 기반으로 하는 경우 검색 기간 동안 활동 발생을 늘리거나 줄입니다. 예를 들어 내부자 위험 수준이 너무 적은 사용자가 너무 적으면 활동 발생을 줄일 수 있습니다.
- 내부자 위험 수준을 기준으로 변경합니다. 예를 들어 내부자 위험 수준이 너무 많은 사용자가 너무 많아 사용자 수를 줄이려면 경고가 확인된 경우에만 내부자 위험 수준을 할당할 수 있습니다.
- 정책 임계값을 수정합니다. 내부 위험 수준은 정책 검색에 따라 할당되므로 정책을 수정할 수도 있습니다. 그러면 내부 위험 수준을 할당하기 위한 요구 사항이 변경됩니다. 심각도가 높거나 중간/낮은 작업 및 경고로 이어지는 정책 임계값을 늘리거나 줄이면 정책을 수정할 수 있습니다.
적응형 보호 사용 안 함
적응형 보호를 일시적으로 사용하지 않도록 설정해야 하는 경우 특정 시나리오가 있을 수 있습니다. 적응형 보호를 사용하지 않도록 설정하려면 적응형 보호 설정 탭을 선택하고 적응형 보호를끄기로 설정합니다.
적응형 보호가 켜져 있고 활성 상태이면 내부자 위험 수준이 사용자에게 할당되지 않고 데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스와 공유되지 않으며 사용자의 모든 기존 내부 위험 수준이 재설정됩니다. 적응형 보호를 해제한 후 사용자 활동에 내부자 위험 수준 할당을 중지하고 모두 다시 설정하는 데 최대 6시간이 걸릴 수 있습니다. 내부 위험 관리, 데이터 손실 방지, 데이터 수명 주기 관리 및 조건부 액세스 정책은 자동으로 삭제되지 않습니다.
참고
데이터 수명 주기 관리의 데이터 수명 주기 관리 설정에서 적응형 보호를 해제하여 내부자 위험 관리 적응형 보호를 사용하지 않도록 설정하지 않고 데이터 수명 주기 관리 보호를 옵트아웃할 수 있습니다. 이 설정을 해제하면 데이터 수명 주기 관리 정책이 삭제됩니다. 다시 설정하지 않으면 설정이 다시 사용하도록 설정되지 않습니다. 데이터 수명 주기 관리 설정의 적응형 보호에 대해 자세히 알아보기
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기