내부자 위험 관리 포렌식 증거 시작
중요
포렌식 증거는 사용자 개인 정보가 기본 제공된 잠재적인 내부 데이터 보안 인시던트에 대한 시각적 인사이트를 보안 팀에 제공하는 Insider Risk Management의 옵트인 추가 기능입니다. 포렌식 증거에는 사용자 지정 가능한 이벤트 트리거 및 기본 제공 사용자 개인 정보 보호 제어가 포함되어 있어 보안 팀이 중요한 데이터의 무단 데이터 반출과 같은 잠재적인 내부자 데이터 위험을 더 잘 조사, 이해 및 대응할 수 있습니다.
조직은 법의학적 증거를 캡처하기 위해 가장 높은 우선 순위의 위험한 이벤트와 가장 중요한 데이터를 포함하여 자체에 적합한 정책을 설정합니다. 포렌식 증거는 기본적으로 꺼져 있으며 정책 생성에는 이중 권한 부여가 필요하며 사용자 이름은 가명으로 마스킹할 수 있습니다(참가자 위험 관리의 경우 기본적으로 설정됨). 내부 위험 관리 내에서 정책을 설정하고 보안 경고를 검토하면 강력한 RBAC(역할 기반 액세스 제어)를 활용하여 organization 지정된 개인이 추가 감사 기능을 사용하여 올바른 조치를 취하도록 합니다.
중요
Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.
organization 포렌식 증거를 구성하는 것은 내부자 위험 관리 정책 템플릿에서 다른 정책을 구성하는 것과 유사합니다. 일반적으로 동일한 기본 구성 단계에 따라 포렌식 증거를 설정하지만 기본 구성 단계를 시작하기 전에 기능별 구성 작업이 필요한 몇 가지 영역이 있습니다.
팁
Microsoft Copilot for Security 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Copilot for Security 대해 자세히 알아보세요.
1단계: 구독 확인 및 데이터 스토리지 액세스 구성
법의학적 증거를 시작하기 전에 내부자 위험 관리 구독 및 추가 기능을 확인해야 합니다.
또한 방화벽 및 프록시 서버 허용 목록에 다음 도메인을 추가하여 organization 대한 포렌식 증거 캡처 스토리지를 지원해야 합니다.
전 세계 - 도메인
- compliancedrive.microsoft.com
- *.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
GCC/GCC High - 도메인
- *.compliancedrive.microsoft.us
- tb.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
DOD - 도메인
- dod.compliancedrive.apps.mil
- pf.events.data.microsoft.com
- officeclient.microsoft.com
- odc.officeapps.live.com
- hrd.svc.cloud.microsoft
이러한 엔드포인트에 대한 자세한 내용은 Microsoft 365 엔드포인트를 참조하세요.
참고
캡처 및 캡처 데이터는 이러한 도메인에 저장되며 organization만 할당됩니다. 다른 Microsoft 365 organization organization 대한 법의학적 증거 캡처에 액세스할 수 없습니다.
포렌식 증거 데이터는 EOP(Exchange Online Protection) 또는 교환 지역이 설정된 한 지역에 저장됩니다.
2단계: 지원되는 디바이스 구성
포렌식 증거 캡처에 적합한 사용자 디바이스는 Microsoft Purview 규정 준수 포털 온보딩되어야 하며 Microsoft Purview 클라이언트가 설치되어 있어야 합니다.
중요
Microsoft Purview 클라이언트는 디바이스 구성 및 성능 메트릭과 관련된 일반 진단 데이터를 자동으로 수집합니다. 여기에는 중요한 오류, RAM 사용량, 프로세스 오류 및 기타 데이터에 대한 데이터가 포함됩니다. 이 데이터는 클라이언트의 상태를 평가하고 문제를 식별하는 데 도움이 됩니다. 진단 데이터를 사용하는 방법에 대한 자세한 내용은 Microsoft 제품 약관의 온라인 서비스와 함께 소프트웨어 사용을 참조하세요.
디바이스 및 구성 요구 사항 목록은 법의학적 증거에 대해 알아보기를 참조하세요. 지원되는 디바이스를 온보딩하려면 온보딩 Windows 10 설명된 단계를 완료하고 디바이스를 Microsoft 365 개요 문서에 Windows 11.
Microsoft Purview 클라이언트 설치
사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.
Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
내부 위험 관리 솔루션으로 이동합니다.
왼쪽 탐색 영역에서 포렌식 증거를 선택한 다음 클라이언트 설치를 선택합니다.
설치 관리자 패키지 다운로드(x64 버전)를 선택하여 Windows용 설치 패키지를 다운로드합니다.
설치 패키지를 다운로드한 후 기본 방법을 사용하여 사용자의 디바이스에 클라이언트를 설치합니다. 이러한 옵션에는 클라이언트 설치를 자동화하는 데 도움이 되는 디바이스 또는 도구에 클라이언트를 수동으로 설치하는 것이 포함될 수 있습니다.
- Microsoft Intune: Microsoft Intune 모든 디바이스를 관리하기 위한 통합 솔루션입니다. Microsoft는 복잡한 마이그레이션 없이 간소화된 라이선싱을 통해 Configuration Manager 및 Intune결합합니다.
- 타사 디바이스 관리 솔루션: organization 타사 디바이스 관리 솔루션을 사용하는 경우 클라이언트를 설치하기 위한 이러한 도구에 대한 설명서를 참조하세요.
3단계: 설정 구성
포렌식 증거에는 캡처된 보안 관련 사용자 활동 유형, 매개 변수 캡처, 대역폭 제한 및 오프라인 캡처 옵션에 대한 유연성을 제공하는 몇 가지 구성 설정이 있습니다. 포렌식 증거 캡처를 사용하면 몇 단계만에 요구 사항에 따라 정책을 만들 수 있으며 정책에 사용자를 추가하려면 이중 권한 부여가 필요합니다.
사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.
Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
내부 위험 관리 솔루션으로 이동합니다.
왼쪽 탐색 영역에서 법의학 증거를 선택한 다음, 법의학 증거 설정을 선택합니다.
포렌식 증거 캡처를 선택하여 포렌식 증거 정책에서 지원을 캡처할 수 있도록 합니다. 나중에 해제하면 법의학 증거 정책에 대해 이전에 추가된 모든 사용자가 제거됩니다.
중요
사용자의 디바이스에서 활동을 캡처하는 데 사용되는 Microsoft Purview 클라이언트는 Microsoft 제품 약관의 온라인 서비스와 함께 소프트웨어 사용에 따라 라이선스가 부여됩니다. 고객은 모든 관련 법률을 준수하여 Microsoft Purview 클라이언트를 포함한 내부 위험 관리 솔루션을 사용할 책임이 있습니다.
캡처 창 섹션에서 활동 캡처를 시작하고 중지할 시기를 정의합니다. 사용 가능한 값은 10초, 30초, 1분, 3분 또는 5분입니다.
대역폭 제한 업로드 섹션에서 사용자당 일일 데이터 스토리지 계정에 업로드할 캡처 데이터의 양을 정의합니다. 사용 가능한 값은 100MB, 250MB, 500MB, 1GB 또는 2GB입니다.
오프라인 캡처 캐시 제한 섹션에서 오프라인 캡처를 사용할 때 사용자의 디바이스에 저장할 최대 캐시 크기를 정의합니다. 사용 가능한 값은 100MB, 250MB, 500MB, 1GB 또는 2GB입니다.
저장을 선택합니다.
4단계: 정책 Create
포렌식 증거 정책은 구성된 디바이스에 대해 캡처할 보안 관련 사용자 활동의 scope 정의합니다. 법의학적 증거를 캡처하기 위한 두 가지 옵션이 있습니다.
- 특정 작업(예: 파일 인쇄 또는 유출)만 캡처합니다. 이 옵션을 사용하면 캡처하려는 디바이스 활동을 선택할 수 있으며 선택한 활동만 정책에 의해 캡처됩니다. 특정 데스크톱 앱 및/또는 웹 사이트에 대한 활동을 캡처하도록 선택할 수도 있습니다. 이렇게 하면 위험을 초래하는 활동, 앱 및 웹 사이트에만 집중할 수 있습니다.
- 승인된 사용자가 디바이스에서 수행하는 모든 활동을 캡처합니다. 이 옵션은 일반적으로 특정 기간(예: 특정 사용자가 잠재적으로 보안 인시던트로 이어질 수 있는 위험한 활동에 관여할 수 있는 경우)에 사용됩니다. 디바이스 표시기 및 향상된 피싱 보호 지표를 포함하여 이 옵션을 선택하면 모든 법의학 증거 지표가 자동으로 포함됩니다. 용량 및 사용자 개인 정보를 유지하기 위해 아래 설명된 대로 캡처에서 특정 데스크톱 앱 및/또는 웹 사이트를 제외하도록 선택할 수 있습니다.
정책을 만든 후에는 포렌식 증거 요청에 포함하여 요청이 승인된 사용자에 대해 캡처할 활동을 제어합니다.
참고
연속 포렌식 정책(모든 활동 캡처)이 선택적 포렌식 증거 정책(특정 활동만 캡처)보다 우선합니다.
특정 활동만 캡처
사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.
Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
내부 위험 관리 솔루션으로 이동합니다.
왼쪽 탐색에서 법의학 증거를 선택한 다음, 법의학 증거 정책을 선택합니다.
Create 법의학적 증거 정책을 선택합니다.
범위 페이지에서 특정 활동을 선택합니다. 이 옵션은 사용자가 포함된 정책에서 검색된 활동만 캡처합니다. 이러한 활동은 법의학 증거 정책에서 선택한 지표에 의해 정의됩니다. 이 옵션에 대한 캡처는 경고 또는 사례 dashboard 법의학 증거(미리 보기) 탭에서 검토할 수 있습니다.
다음을 선택합니다.
이름 및 설명 페이지에서 다음 필드를 입력합니다.
- 이름(필수): 법의학 증거 정책의 이름을 입력합니다. 정책을 만든 후에는 이 이름을 변경할 수 없습니다.
- 설명(선택 사항) : 포렌식 증거 정책에 대한 설명을 입력합니다.
다음을 선택합니다.
캡처할 디바이스 활동 선택 페이지에서 다음을 수행합니다.
- 캡처하려는 디바이스 활동을 선택합니다. 선택한 활동만 정책에 의해 캡처됩니다.
참고
표시기를 선택할 수 없는 경우 표시기를 켜라는 메시지가 표시됩니다.
- 캡처할 앱 및 웹 검색 활동에서 특정 앱 또는 웹 사이트 검사 열기 상자를 선택하여 정책에서 특정 데스크톱 앱 및/또는 웹 사이트에 대한 활동을 캡처하도록 선택할 수도 있습니다.
중요
검색 활동을 캡처하려는 경우(포렌식 증거 정책에 특정 URL을 포함하거나 제외하려면) 필요한 브라우저 확장을 설치해야 합니다. 또한 하나 이상의 검색 표시기를 켜야 합니다. 하나 이상의 검색 표시기를 아직 설정하지 않은 경우 데스크톱 앱 또는 웹 사이트를 포함하거나 제외하도록 선택하는 경우 검색 표시기를 설정하라는 메시지가 표시됩니다. 검색 활동을 캡처하기 위한 트리거 이벤트는 지정된 URL을 포함하는 URL 표시줄의 URL 업데이트입니다.
- 다음을 선택합니다.
- 캡처하려는 디바이스 활동을 선택합니다. 선택한 활동만 정책에 의해 캡처됩니다.
(선택 사항) 특정 데스크톱 앱 및 웹 사이트에 대한 활동을 캡처하도록 선택한 경우 페이지에 대한 활동을 캡처하려는 앱 및 웹 사이트 추가 에서 다음을 수행합니다.
- 데스크톱 앱을 추가하려면 데스크톱 앱 추가를 선택하고 실행 파일의 이름(예: teams.exe)을 입력한 다음 추가를 선택합니다. 추가하려는 각 데스크톱 앱에 대해 이 프로세스를 반복합니다(최대 25개의 앱). 앱의 실행 파일 이름을 찾으려면 작업 관리자를 연 다음 앱의 속성을 확인합니다. 다음은 Microsoft Edge(msedge.exe), Microsoft Excel(Excel.exe), 캡처 도구(SnippingTool.exe), Microsoft Teams(Teams.exe), Microsoft Word(WinWord.exe) 및 Microsoft 원격 데스크톱 연결(mstsc.exe) 등의 일반적인 애플리케이션에 대한 exe 이름 목록입니다.
참고
경우에 따라 앱의 exe 이름은 디바이스 및 앱이 열린 권한에 따라 다를 수 있습니다. 예를 들어 Windows 11 엔터프라이즈 디바이스에서 관리자 권한 없이 Windows PowerShell 열면 exe 이름이 WindowsTerminal.exe 관리자 권한으로 열리면 exe 이름이 powershell.exe 변경됩니다. 이러한 시나리오에서 두 exe 이름을 모두 포함/제외해야 합니다.
- 웹앱 또는 웹 사이트를 추가하려면 웹앱 및 웹 사이트 추가를 선택하고 URL(예 https://teams.microsoft.com: )을 입력한 다음 추가를 선택합니다. 추가하려는 각 웹앱 또는 웹 사이트에 대해 이 프로세스를 반복합니다. 각 URL에 대해 문자 길이가 100인 최대 25개의 URL을 추가할 수 있습니다.
팁
앱에 데스크톱 및 웹 버전이 있는 경우 데스크톱 실행 파일과 웹 URL을 모두 추가하여 둘 다에 대한 작업을 캡처해야 합니다.
- 다음을 선택합니다.
설정 검토 및 완료 페이지에서 정책에 대해 선택한 설정과 선택 항목에 대한 제안 또는 경고를 검토합니다. 정책 값을 편집하거나 제출 을 선택하여 정책을 만들고 활성화합니다.
정책 구성 단계를 완료한 후 5단계를 계속 진행합니다.
모든 활동 캡처
사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.
Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
내부 위험 관리 솔루션으로 이동합니다.
왼쪽 탐색에서 법의학 증거를 선택한 다음, 법의학 증거 정책을 선택합니다.
Create 법의학적 증거 정책을 선택합니다.
범위 페이지에서 모든 활동을 선택합니다. 이 옵션은 사용자가 수행하는 모든 활동을 캡처합니다. 이 옵션에 대한 캡처는 사용자 활동 보고서(미리 보기) dashboard 포렌식 증거(미리 보기) 탭에서 검토할 수 있습니다.
다음을 선택합니다.
이름 및 설명 페이지에서 다음 필드를 입력합니다.
- 이름(필수): 법의학 증거 정책의 이름을 입력합니다. 정책을 만든 후에는 이 이름을 변경할 수 없습니다.
- 설명(선택 사항) : 포렌식 증거 정책에 대한 설명을 입력합니다.
다음을 선택합니다.
캡처할 디바이스 활동 선택 페이지에서 특정 데스크톱 앱 및/또는 웹앱 또는 웹 사이트를 캡처에서 제외하려는 경우 캡처할 앱 및 웹 검색 활동에서 특정 앱 또는 웹 사이트 제외 검사 상자를 선택합니다.
다음을 선택합니다.
캡처에서 특정 데스크톱 앱 및 웹 사이트를 제외하도록 선택한 경우 애플리케이션/URL 제외 페이지에서 다음을 수행합니다.
- 캡처에서 데스크톱 앱을 제외하려면 데스크톱 앱 제외를 선택하고 실행 파일의 이름(예: teams.exe)을 입력한 다음 추가를 선택합니다. 제외하려는 각 데스크톱 앱에 대해 이 프로세스를 반복합니다(최대 25개의 앱). 앱의 실행 파일 이름을 찾으려면 작업 관리자를 연 다음 앱의 속성을 확인합니다.
- 웹앱 또는 웹 사이트를 제외하려면 웹앱 및 웹 사이트 제외를 선택하고 URL(예 https://teams.microsoft.com: )을 입력한 다음 추가를 선택합니다. 제외하려는 각 웹앱 또는 웹 사이트에 대해 이 프로세스를 반복합니다. 각 URL에 대해 문자 길이가 100인 최대 25개의 URL을 제외할 수 있습니다.
팁
앱에 데스크톱 및 웹 버전이 있는 경우 데스크톱 실행 파일과 웹 URL을 모두 추가하여 둘 다 제외해야 합니다.
설정 검토 및 완료 페이지에서 정책에 대해 선택한 설정과 선택 항목에 대한 제안 또는 경고를 검토합니다. 정책 값을 편집하거나 제출 을 선택하여 정책을 만들고 활성화합니다.
정책 구성 단계를 완료한 후 5단계를 계속 진행합니다.
5단계: 캡처할 사용자 정의 및 승인
보안 관련 사용자 활동을 캡처하려면 먼저 관리자가 포렌식 증거의 이중 권한 부여 프로세스를 따라야 합니다. 이 프로세스에서는 특정 사용자에 대해 시각적 캡처를 사용하도록 설정하는 것이 organization 해당 사용자에 의해 정의되고 승인되어야 합니다.
특정 사용자에 대해 포렌식 증거 캡처를 사용하도록 요청해야 합니다. 요청이 제출되면 organization 승인자는 이메일로 알림을 받고 요청을 승인하거나 거부할 수 있습니다. 승인된 경우 사용자는 승인된 사용자 탭에 표시되고 캡처할 수 있습니다. 자세한 내용은 다음 링크를 참조하세요.
다음 단계
포렌식 증거 정책을 구성한 후에는 포렌식 증거 클라이언트(엔드포인트 디바이스에 설치됨)가 온라인 상태인 경우 정책 적용에 최대 2시간이 걸릴 수 있습니다. 클라이언트에서 클립을 캡처하면 클립을 검토할 수 있는 데 최대 1시간이 걸릴 수 있습니다. 포렌식 증거를 관리하고 클립 캡처를 검토하는 방법에 대한 자세한 내용은 정보 위험 관리 포렌식 증거 관리 문서를 참조하세요.