내부자 위험 관리 포렌식 증거 관리

중요

포렌식 증거는 사용자 개인 정보가 기본 제공된 잠재적인 내부 데이터 보안 인시던트에 대한 시각적 인사이트를 보안 팀에 제공하는 Insider Risk Management의 옵트인 추가 기능입니다. 포렌식 증거에는 사용자 지정 가능한 이벤트 트리거 및 기본 제공 사용자 개인 정보 보호 제어가 포함되어 있어 보안 팀이 중요한 데이터의 무단 데이터 반출과 같은 잠재적인 내부자 데이터 위험을 더 잘 조사, 이해 및 대응할 수 있습니다.

조직은 법의학적 증거를 캡처하기 위해 가장 높은 우선 순위의 위험한 이벤트와 가장 중요한 데이터를 포함하여 자체에 적합한 정책을 설정합니다. 포렌식 증거는 기본적으로 꺼져 있으며 정책 생성에는 이중 권한 부여가 필요하며 사용자 이름은 가명으로 마스킹할 수 있습니다(참가자 위험 관리의 경우 기본적으로 설정됨). 내부 위험 관리 내에서 정책을 설정하고 보안 경고를 검토하면 강력한 RBAC(역할 기반 액세스 제어)를 활용하여 organization 지정된 개인이 추가 감사 기능을 사용하여 올바른 조치를 취하도록 합니다.

중요

Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

구성 단계를 완료하고 포렌식 증거 정책을 만든 후에는 정책에 정의된 지표에 대한 조건을 충족하는 잠재적으로 위험한 보안 관련 사용자 활동에 대한 경고가 표시되기 시작합니다.

팁

Microsoft Copilot for Security 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Copilot for Security 대해 자세히 알아보세요.

대시보드

dashboard 법의학적 증거는 organization 법의학 증거 구성의 주요 영역에 대한 요약 보기입니다. 미리 보기의 경우 dashboard 포렌식 증거 디바이스 상태 섹션만 포함합니다. 디바이스 상태 보고서 보기를 선택하여 디바이스 상태 탭 및 보고서를 엽니다. 다른 섹션은 향후 릴리스에 포함될 예정입니다.

사용자 관리

특정 사용자가 포렌식 증거 캡처를 받을 수 있으려면 먼저 특정 사용자를 요청하고 승인해야 합니다. 단순히 포렌식 증거 정책에 사용자를 추가해도 해당 사용자가 자동으로 캡처할 수 있는 것은 아닙니다. 포렌식 증거 정책을 만들기 전이나 후에 사용자를 요청하고 승인할 수 있지만 정책 지표와 연결된 클립 캡처는 사용자가 승인된 후에만 만들어지고 검토할 수 있습니다.

참가자 위험 관리 또는 내부자 위험 관리 관리자 역할 그룹에 할당된 사용자는 참가자 위험 관리 승인자 역할 그룹에 할당된 사용자에게 승인 요청을 제출할 수 있습니다.

승인 캡처 요청

특정 사용자에 대해 포렌식 증거 캡처를 설정되도록 요청해야 합니다. 요청이 제출되면 organization 승인자는 이메일로 알림을 받고 요청을 승인하거나 거부할 수 있습니다. 승인된 경우 사용자 또는 는 승인된 사용자 탭에 표시되며 캡처할 수 있습니다. 해결되지 않으면 요청이 제출된 날로부터 6개월 후에 만료됩니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.

2. 내부 위험 관리 솔루션으로 이동합니다.

3. 왼쪽 탐색 영역에서 포렌식 증거를 선택한 다음 , 사용자 관리를 선택합니다.

4. 포렌식 증거 요청 관리 탭을 선택합니다.

5. Create 요청을 선택합니다.

6. 사용자 페이지에서 사용자 추가를 선택합니다.

7. 검색을 사용하여 특정 사용자를 찾거나 목록에서 하나 이상의 사용자를 선택합니다. 추가를 선택하고 다음을 선택합니다.

8. 법의학 증거 정책 페이지에서 추가된 사용자에 대한 법의학 증거 정책을 선택합니다. 선택한 정책은 사용자에 대해 캡처할 활동의 scope 결정합니다.

9. 다음을 선택합니다.

10. 근거 페이지에서 검토자에게 포렌식 증거 캡처 텍스트 상자를 켜기 위해 근거에 추가한 사용자에 대해 캡처를 사용하도록 요청하는 이유를 알려주세요. 이 항목은 필수 필드입니다. 완료되면 다음을 선택합니다.

11. Email 알림 페이지에서 알림 템플릿을 사용하여 사용자에게 포렌식 증거 캡처가 organization 정책에 따라 디바이스에 대해 켜져 있음을 알리는 이메일을 보낼 수 있습니다. 이메일은 요청이 승인된 경우에만 사용자에게 전송됩니다.

    승인된 사용자에게 전자 메일 알림 보내기 검사 상자를 선택합니다. 기존 템플릿을 선택하거나 새 템플릿을 만듭니다. 새 템플릿을 만들려면 알림 템플릿 Create 선택하고 새 전자 메일 알림 템플릿 창에서 다음 필수 필드를 완료합니다.

12. 다음을 선택합니다.

13. 마침 페이지에서 요청을 제출하기 전에 설정을 검토합니다. 사용자 편집 또는 근거 편집을 선택하여 요청 값을 변경하거나 제출을 선택하여 요청을 만들고 검토자에게 보냅니다.

규정 준수 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 준수 포털에 로그인합니다.

2. 내부 위험 관리 솔루션으로 이동합니다.

3. 법정 증명 정보>사용자 관리로 이동합니다.

4. 포렌식 증거 요청 관리 탭을 선택합니다.

5. Create 요청을 선택합니다.

6. 사용자 페이지에서 사용자 추가를 선택합니다.

7. 검색을 사용하여 특정 사용자를 찾거나 목록에서 하나 이상의 사용자를 선택합니다. 추가를 선택하고 다음을 선택합니다.

8. 법의학 증거 정책 페이지에서 추가된 사용자에 대한 법의학 증거 정책을 선택합니다. 선택한 정책은 사용자에 대해 캡처할 활동의 scope 결정합니다.

9. 다음을 선택합니다.

10. 근거 페이지에서 검토자에게 포렌식 증거 캡처 텍스트 상자를 켜기 위해 근거에 추가한 사용자에 대해 캡처를 사용하도록 요청하는 이유를 알려주세요. 이 항목은 필수 필드입니다. 완료되면 다음을 선택합니다.

11. Email 알림 페이지에서 알림 템플릿을 사용하여 사용자에게 포렌식 증거 캡처가 organization 정책에 따라 디바이스에 대해 켜져 있음을 알리는 이메일을 보낼 수 있습니다. 이메일은 요청이 승인된 경우에만 사용자에게 전송됩니다.

    승인된 사용자에게 전자 메일 알림 보내기 검사 상자를 선택합니다. 기존 템플릿을 선택하거나 새 템플릿을 만듭니다. 새 템플릿을 만들려면 알림 템플릿 Create 선택하고 새 전자 메일 알림 템플릿 창에서 다음 필수 필드를 완료합니다.

12. 다음을 선택합니다.

13. 마침 페이지에서 요청을 제출하기 전에 설정을 검토합니다. 사용자 편집 또는 근거 편집을 선택하여 요청 값을 변경하거나 제출을 선택하여 요청을 만들고 검토자에게 보냅니다.

보류 중인 승인 요청을 보려면 내부 위험 관리>포렌식 증거>보류 중인 요청으로 이동합니다. 여기서는 보류 중인 요청이 있는 사용자, 해당 이메일 주소, 요청 제출 날짜 및 승인 요청을 제출한 사용자를 볼 수 있습니다. 사용자가 표시되지 않으면 사용자에 대한 보류 중인 승인 요청이 없습니다.

참가자 위험 관리 승인자 역할 그룹에 할당된 사용자는 포렌식 증거 요청 탭에서 사용자를 선택하고 요청을 검토할 수 있습니다. 요청을 검토한 후 이러한 사용자는 포렌식 증거 캡처 요청을 승인하거나 거부할 수 있습니다. 캡처 요청을 승인하거나 거부하면 이 보기에서 사용자에 대한 보류 중인 요청이 제거됩니다.

캡처 요청 승인 또는 거부

요청이 완료되면 참가자 위험 관리 승인자 역할 그룹에 할당된 사용자는 승인 요청에 대한 이메일 알림을 받게 됩니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 왼쪽 탐색 영역에서 포렌식 증거를 선택한 다음 보류 중인 요청을 선택합니다.
4. 검토할 사용자를 선택합니다.
5. 포렌식 증거 요청 검토(미리 보기) 창에서 요청자가 제출한 근거를 검토합니다. 해당하는 경우 승인 또는 거부 를 선택합니다.
6. 요청 승인됨 또는 요청 거부 페이지에서 닫기를 선택합니다.

규정 준수 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 준수 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 포렌식 증거>보류 중인 요청으로 이동합니다.
4. 검토할 사용자를 선택합니다.
5. 포렌식 증거 요청 검토(미리 보기) 창에서 요청자가 제출한 근거를 검토합니다. 해당하는 경우 승인 또는 거부 를 선택합니다.
6. 요청 승인됨 또는 요청 거부 페이지에서 닫기를 선택합니다.

캡처 승인 취소

필요한 경우 특정 사용자에 대한 승인을 취소하고 포렌식 증거 캡처에서 제외할 수 있습니다. 승인을 취소해도 이러한 사용자에 대한 기존 캡처는 삭제되거나 제거되지 않으며 이러한 사용자에 대한 향후 활동 캡처만 사용할 수 없습니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. 참가자 위험 관리 승인자 역할 그룹의 구성원으로 Microsoft Purview 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 왼쪽 탐색 영역에서 포렌식 증거를 선택한 다음 , 사용자 관리를 선택합니다.
4. 승인된 사용자 탭을 선택합니다.
5. 사용자를 선택한 다음 제거를 선택합니다.
6. 제거 확인 페이지에서 제거 를 선택하여 캡처 승인을 취소합니다.

규정 준수 포털

1. 참가자 위험 관리 승인자 역할 그룹의 구성원으로 규정 준수 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 법정 증명 정보>사용자 관리로 이동합니다.
4. 승인된 사용자 탭을 선택합니다.
5. 사용자를 선택한 다음 제거를 선택합니다.
6. 제거 확인 페이지에서 제거 를 선택하여 캡처 승인을 취소하거나 취소 를 선택하여 확인 페이지를 닫습니다.

알림 템플릿 만들기 및 관리

알림 템플릿을 만들고 사용하여 사용자에게 포렌식 증거 캡처가 organization 정책에 따라 디바이스에 대해 켜져 있음을 알리는 이메일을 보낼 수 있습니다. 이메일은 요청이 승인된 경우에만 사용자에게 전송됩니다.

새 알림 템플릿 Create

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 왼쪽 탐색 영역에서 포렌식 증거를 선택한 다음 알림 템플릿을 선택합니다.
4. Create 알림 템플릿을 선택합니다.
5. 새 전자 메일 알림 템플릿 창에서 다음 필수 필드를 완료합니다.
   • 서식 파일 이름
   • 보낸 사람
   • 제목
   • 메시지 본문
6. 저장을 선택합니다.

규정 준수 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 준수 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 포렌식 증거>알림 템플릿으로 이동합니다.
4. Create 알림 템플릿을 선택합니다.
5. 새 전자 메일 알림 템플릿 창에서 다음 필수 필드를 완료합니다.
   • 서식 파일 이름
   • 보낸 사람
   • 제목
   • 메시지 본문
6. 저장을 선택합니다.

참고

기존 알림 템플릿을 삭제하려면 템플릿을 선택한 다음 삭제를 선택합니다.

캡처된 클립 보기

Microsoft Purview 내부 위험 관리 열 때 포렌식 증거 탭을 선택하여 캡처된 클립을 보고 탐색할 수 있습니다. 솔루션의 다른 영역에서 포렌식 증거 탭을 선택하여 컨텍스트에서 캡처된 클립 목록을 볼 수도 있습니다.

• 경고 dashboard. 경고 dashboard 액세스할 수 있는 클립은 포렌식 증거 정책을 만들 때 특정 사용자 활동을 캡처하는 옵션에 해당합니다. 캡처된 클립은 법의학 증거 정책에서 선택한 지표에 의해 정의됩니다.
• 사용자 활동 보고서. 사용자 활동 보고서에서 액세스할 수 있는 클립은 포렌식 증거 정책에 포함된 사용자가 수행하는 보안 관련 활동을 캡처하는 옵션에 해당합니다.
• 사례 dashboard. 사례 dashboard 액세스할 수 있는 클립은 사례로 에스컬레이션된 경고입니다.

참고

참가자 위험 관리 조사자 역할 그룹과 참가자 위험 관리 관리자 역할 그룹의 구성원인 경우 Microsoft Purview 내부 위험 관리 열면 캡처된 클립 검토 단추가 표시됩니다. 캡처된 클립 검토 단추를 선택하면 포렌식 증거 설정 열기 단추로 변경됩니다. 이 단추의 목적은 두 역할이 모두 있는 경우 캡처된 클립 목록과 설정 간에 앞뒤로 이동하는 것입니다. 역할 그룹에 대해 자세히 알아보기

포렌식 증거 탭을 선택하면 캡처된 클립 및 관련 정보가 목록에 표시됩니다. 목록에서 캡처된 클립을 선택하면 비디오 플레이어가 화면 중앙에 나타나고 클립의 활동 및 이벤트 대본이 비디오 플레이어의 오른쪽에 표시됩니다.

캡처된 각 클립에는 다음 정보가 포함됩니다.

• 날짜/시간(UTC): 캡처 날짜, 시간(UTC) 및 기간입니다. 캡처 기간은 캡처에 걸쳐 있는 총 시간입니다. 내부자 위험 관리에서 동일한 프레임을 자동으로 제거하므로 캡처의 실제 길이가 더 짧을 수 있습니다.
• 디바이스: Windows 10/11에 있는 디바이스의 이름입니다.
• 활동: 캡처에 포함된 내부자 위험 관리 활동 유형입니다. 이러한 활동은 연결된 정책에 할당된 전역 및 정책 지표를 기반으로 합니다.
• 사용자: 사용자의 이름입니다.
• URL (해당하는 경우): 활동이 일어났을 때 사용자가 액세스했던 URL입니다.
• 애플리케이션 (해당하는 경우): 활동이 일어났을 때 사용자가 액세스했던 애플리케이션입니다.
• 활성 창 제목: 활동이 수행되었을 때 사용자가 액세스한 창의 제목입니다.

캡처된 클립을 보려면 다음을 수행합니다.

1. 필요한 경우 목록 맨 위에 있는 필터를 구성합니다.

2. 목록에서 클립을 선택합니다.

3. 비디오 플레이어 컨트롤을 사용하여 재생 컨트롤 을 선택하여 전체 클립을 처음부터 끝까지 검토합니다.

4. 검토를 클립의 특정 활동 또는 이벤트에 scope 성적 증명서에서 활동 또는 이벤트를 선택합니다. 성적 증명서 위의 검색 상자를 사용하여 특정 활동 또는 이벤트를 검색할 수도 있습니다.

   참고

   성적 증명서의 빨간색 삼각형은 활동을 나타냅니다.

캡처된 클립 목록 필터링

캡처된 클립 목록 위의 필터를 사용하여 특정 활동 및 정보를 필터링할 수 있습니다. 각 필터는 최대 10개의 고유 ID를 지원하므로 예를 들어 한 번에 최대 10명의 사용자를 필터링할 수 있습니다. 다음 표에서는 다양한 필터에 대해 설명합니다.

필터 이름	설명
사용자 이름	사용자 이름을 필터링합니다.
활동	디바이스에 로그인하는 데 사용된 파일 인쇄 또는 암호가 다시 사용됨과 같이 필터링할 특정 활동을 선택합니다.
장치 이름	디바이스 이름을 필터링합니다.
URL	도메인 이름을 필터링하거나 도메인 이름을 필터링한 후 키워드(keyword) 검색합니다. 예: "SharePoint"를 키워드(keyword) 입력하면 URL의 아무 곳이나 "SharePoint"가 포함된 URL이 반환됩니다.
앱	앱 이름으로 필터링합니다. 이 필터 를 사용하여 포함 또는 모두 포함을 선택할 수 있습니다. 예: 포함을 선택하고 "Contoso.com,Contoso2.com"을 입력하면 Contoso.com 캡처하는 클립 하나와 Contoso2.com 캡처하는 클립이 하나 있을 수 있습니다. 모두 포함을 선택하고 "Contoso.com,Contoso2.com"를 입력하면 캡처에 두 도메인이 모두 포함되어야 합니다.
활성 창 제목	활성 창 제목을 필터링합니다. 포함 또는 모두 포함을 선택하여 앱 필터와 동일한 방식으로 필터링할 수 있습니다.

클립 삭제

참가자 위험 관리 조사자 역할 그룹에 할당된 사용자는 캡처된 클립 목록에서 개별 클립을 삭제할 수 있습니다. 이렇게 하려면 다음을 수행합니다.

1. 캡처 옆에 있는 검사 상자를 선택합니다.
2. 삭제(휴지통) 단추를 선택합니다.

참가자 위험 관리 관리자 역할 그룹에 할당된 사용자는 설정을 통해 대량 삭제를 수행할 수 있습니다.

대량 삭제 수행

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. 참가자 위험 관리 관리자 역할 그룹의 구성원으로 Microsoft Purview 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 왼쪽 탐색 영역에서 법의학 증거를 선택한 다음, 법의학 증거 설정을 선택합니다.
4. 관리자 또는 조사자가 포렌식 사용자 데이터를 삭제할 수 있도록 허용 옵션이 켜기로 설정되어 있는지 확인합니다.
5. 사용자의 데이터 삭제에서사용자 선택을 선택한 다음 클립을 삭제할 사용자를 선택합니다.

규정 준수 포털

1. 참가자 위험 관리 관리자 역할 그룹의 구성원으로 Microsoft Purview 규정 준수 포털 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 법의학 증거>법의학 증거 설정으로 이동합니다.
4. 관리자 또는 조사자가 포렌식 사용자 데이터를 삭제할 수 있도록 허용 옵션이 켜기로 설정되어 있는지 확인합니다.
5. 사용자의 데이터 삭제에서사용자 선택을 선택한 다음 클립을 삭제할 사용자를 선택합니다.

중요

포렌식 증거 클립은 캡처된 후 120일 후에 삭제됩니다. 삭제되기 전에 포렌식 증거 클립을 내보내거나 전송할 수 있습니다.

경고 dashboard

정책에서 생성된 경고의 경우 경고 dashboard 법의학 증거 탭에서 포렌식 증거 캡처를 검토할 수 있습니다. 경고에 대해 하나 이상의 캡처를 사용할 수 있는 경우 경고 헤더를 생성하는 활동에 포렌식 증거 알림 보기 링크도 표시됩니다. 알림 링크 또는 포렌식 증거 탭을 선택하여 활동 캡처 목록을 검토할 수 있습니다.

법의학적 증거 캡처를 포함할 수 있는 잠재적으로 위험한 활동에 대한 경고를 검토하는 것은 기본적으로 법의학적 증거 캡처 없이 경고를 검토하는 것과 동일합니다. 중요한 차이점은 적용 가능한 캡처를 포함하는 것입니다. 포렌식 증거 탭은 경고와 연결된 사용 가능한 모든 캡처에 대한 액세스를 제공합니다.

사례 dashboard

경고가 사례로 에스컬레이션되는 경우 관련된 모든 법의학적 증거 캡처가 사건의 일부로 포함됩니다. 사례에 대한 포렌식 증거 캡처를 검토하는 것은 경고 캡처를 검토하는 것과 동일한 프로세스를 따릅니다.

사용자 활동 보고서

사용자 활동 보고서를 사용하면 내부자 위험 관리 정책에 일시적 또는 명시적으로 할당하지 않고도 정의된 기간 동안 특정 사용자의 활동을 검토할 수 있습니다. 이러한 사용자 활동에 포렌식 증거 캡처에서 지원하는 활동이 포함된 경우 클립이 사용자 활동에 포함됩니다.

포렌식 증거 정책에 포함되어 있는지 여부에 관계없이 모든 보안 관련 사용자 활동을 캡처하도록 포렌식 증거를 구성한 경우 다음 캡처를 검토합니다.

1. 내부 위험 관리>개요를 선택합니다.
2. 개요 화면 아래쪽의 사용자 활동 조사에서 보고서 관리를 선택합니다.
3. 특정 사용자를 선택한 다음, 포렌식 증거 탭을 선택합니다.
4. 위의 지침을 참조하세요.

디바이스 상태 보고서(미리 보기)

포렌식 증거를 지원하도록 디바이스를 구성한 후에는 내부 위험 관리> 포렌식증거> 디바이스 상태로 이동하여 organization 모든 디바이스에 대한 Microsoft Purview 클라이언트상태 상태 검토할 수 있습니다.

최소 디바이스 및 구성 요구 사항 목록은 법의학적 증거에 대해 알아보기를 참조하세요. 지원되는 디바이스를 온보딩하려면 온보딩 Windows 10 설명된 단계를 완료하고 디바이스를 Microsoft 365 개요 문서에 Windows 11.

디바이스 상태 보고서를 사용하면 포렌식 증거 에이전트가 설치된 모든 디바이스의 상태 및 상태를 볼 수 있습니다. 보고서의 각 보고서 위젯은 지난 24시간 동안의 정보를 표시합니다.

• 온라인 디바이스: 현재 온라인 디바이스의 총 수입니다.
• 오프라인 디바이스: 현재 오프라인 상태인 총 디바이스 수입니다.
• 경고가 있는 디바이스: 경고가 있는 총 디바이스 수입니다.
• 오류가 있는 디바이스: 오류가 있는 총 디바이스 수입니다.

디바이스 상태 큐는 organization 포렌식 증거를 위해 구성된 모든 디바이스를 나열합니다. 또한 보고서에는 다음 디바이스 특성의 상태 나열됩니다.

• 디바이스 이름: 디바이스의 ComputerName 특성으로 정의된 디바이스의 이름입니다.
• 디바이스 상태: 디바이스에서 Microsoft Purview 클라이언트의 상태. 상태 값은 다음과 같습니다.
  • 정상: 디바이스의 클라이언트가 제대로 작동하고 있으며 포렌식 증거 캡처 기능이 완전히 지원됩니다.
  • 경고: 디바이스의 클라이언트에 경고가 있으며 포렌식 증거 캡처 기능이 완전히 지원되지 않을 수 있습니다.
  • 오류: 디바이스의 클라이언트에 오류가 있으며 포렌식 증거 캡처 기능이 사용하지 않도록 설정되었거나 완전히 지원되지 않습니다.
• 상태 세부 정보: 디바이스 상태 대한 자세한 정보입니다.
• 마지막 동기화(UTC): 디바이스에 대한 마지막 상태 동기화 날짜 및 시간입니다.
• 사용자 이름: 상태 동기화가 수행될 때 디바이스에 로그인한 사용자의 사용자 이름입니다.
• Windows 버전: 디바이스에 설치된 Microsoft Windows 버전입니다.
• 클라이언트 버전: 디바이스에 설치된 Microsoft Purview 클라이언트의 버전입니다.

디바이스 상태 상태 디바이스 및 Microsoft Purview 클라이언트의 잠재적인 문제에 대한 인사이트를 제공합니다. 디바이스 상태 페이지의 디바이스 상태 열은 사용자 활동이 캡처되지 않거나 포렌식 증거 캡처 볼륨이 비정상적인 이유를 방지할 수 있는 디바이스 문제를 경고할 수 있습니다. 또한 디바이스 상태 상태 포렌식 증거 캡처에 포함된 디바이스가 정상 상태이며 주의 또는 구성 변경이 필요하지 않음을 확인할 수 있습니다. 다음 표에는 잠재적인 상태 세부 메시지 및 경고 및 오류를 해결하기 위해 수행할 수 있는 권장 작업이 나와 있습니다.

상태 세부 정보	상태	제안된 작업
내부 서버 오류가 발생했습니다. 따라서 캡처 데이터가 누락될 수 있습니다.	오류	추가 조사를 위해 Microsoft와 지원 티켓 Create
업로드 대역폭이 이 디바이스에서 구성된 제한의 90%에 도달했습니다. 캡처는 곧 덮어쓸 수 있습니다.	경고	법의학 증명 정보 설정 페이지에서 업로드 대역폭 제한을 늘입니다.
이 디바이스에서 구성된 업로드 대역폭 제한에 도달했습니다. 더 이상 캡처가 하루 동안 업로드되지 않습니다.	오류	법의학 증명 정보 설정 페이지에서 업로드 대역폭 제한을 늘입니다.
오프라인 스토리지는 이 디바이스에서 구성된 제한의 90%에 도달했습니다. 캡처는 곧 덮어쓸 수 있습니다.	경고	법의학 증명 정보 설정 페이지에서 오프라인 캡처 캐시 제한을 늘입니다.
이 디바이스에서 구성된 오프라인 스토리지 제한에 도달했습니다. 따라서 오프라인 캡처를 덮어쓰고 있습니다.	오류	법의학 증명 정보 설정 페이지에서 오프라인 캡처 캐시 제한을 늘입니다.
디바이스의 CPU 사용량이 최대 임계값을 초과했습니다.	오류	캡처 프로세스가 중지되었으며 몇 분 후에 다시 시작됩니다.
디바이스의 메모리 사용량이 최대 임계값을 초과했습니다.	오류	캡처 프로세스가 중지되었으며 몇 분 후에 다시 시작됩니다.
디바이스의 GPU 사용량이 최대 임계값을 초과했습니다.	오류	캡처 프로세스가 중지되었으며 몇 분 후에 다시 시작됩니다.
디바이스에 설치된 Microsoft Purview 클라이언트가 포렌식 증거 정책과 동기화할 수 없습니다.	경고	네트워크 & 클라이언트 다시 설치에 연결
디바이스에 설치된 Microsoft Purview 클라이언트는 24시간 이상 포렌식 증거 정책과 동기화되지 않았습니다.	오류	네트워크 & 클라이언트 다시 설치에 연결
이 디바이스에서 그래픽 카드 검색되지 않으므로 Microsoft Purview 클라이언트에서 작업을 캡처할 수 없습니다.	오류	그래픽 카드 추가하거나 디바이스를 그래픽 카드 있는 그래픽으로 바꿉니다.
이 디바이스에서 디스플레이 모니터가 검색되지 않으므로 Microsoft Purview 클라이언트에서 작업을 캡처할 수 없습니다.	오류	이 디바이스에 대한 디스플레이 모니터 추가
이 디바이스의 디스플레이 모니터가 꺼져 있거나 연결이 끊어졌기 때문에 Microsoft Purview 클라이언트에서 작업을 캡처할 수 없습니다.	오류	디바이스에 대한 디스플레이 모니터 연결/켜기
디바이스가 포렌식 증거 캡처를 저장하는 디렉터리에 액세스할 수 없습니다.	오류	이 디바이스에 클라이언트 다시 설치
인코더 초기화에 실패했습니다.	오류	이 디바이스에 클라이언트를 다시 설치합니다.

권장 작업이 클라이언트에 문제를 resolve 않는 경우 Microsoft 지원 문의하세요.

용량 및 청구

포렌식 증거가 구성되면 캡처된 클립에 대한 내부 위험 관리에 대한 법의학 증거 추가 기능을 구매하도록 선택할 수 있습니다. 추가 기능은 Microsoft 365 E5, Microsoft 365 E5 Compliance 또는 Microsoft 365 E5 Insider Risk Management 라이선스가 있는 조직에서 사용할 수 있습니다.

조직은 매월 100GB 단위로 추가 기능을 구매할 수 있습니다. 구매한 용량은 구매 날짜부터 법의학적 증거 수집에 적용되며 월의 첫 번째 날짜에 다시 설정됩니다. 사용되지 않는 용량은 이월되지 않습니다. 라이선스의 가치를 최대화하려면 월 초에 라이선스를 구매하는 것이 좋습니다. 100GB는 1080p의 비디오 해상도에서 테넌트당 약 1,100시간의 법의학적 증거 캡처와 거의 같습니다. 용량 계산기를 다운로드하여 매월 필요한 GB 수를 예측할 수 있습니다.

법의학적 증거가 수집되면 120 일 동안 보존됩니다. 120일 보존 기간 이후에 필요한 경우 법의학적 증거를 내보낼 수 있습니다.

결제 계획

Microsoft 365 관리 센터 통해 추가 기능을 구매할 때 사용할 수 있는 두 가지 결제 플랜이 있습니다.

• 매년 지불합니다(모든 채널에서 사용 가능). 연간 약정 옵션을 사용하면 매월 지정한 라이선스 수를 12개월 동안 구입할 수 있습니다. 매달 사용할 수 있는 용량을 확보하여 중단 없이 법의학적 증거를 수집하려는 고객에게 적합합니다. 이 결제 플랜은 매월 구매한 라이선스 수를 자동으로 보충합니다. 구매한 용량은 구매 날짜부터 법의학적 증거 수집에 적용되며 월의 첫 번째 날짜에 다시 설정됩니다. 사용되지 않는 용량은 이월되지 않습니다. 고객은 한 번 청구되도록 선택하거나 청구서를 매월 12회 결제로 분할할 수 있습니다.
• 매월 지불합니다(웹 다이렉트에서만 사용 가능). 연간 약정을 하지 않으려면 매달 필요한 라이선스 수를 구입할 수 있습니다. 구매한 용량은 구매 날짜부터 법의학적 증거 수집에 적용되며 월의 첫 번째 날짜에 다시 설정됩니다. 사용되지 않는 용량은 이월되지 않습니다.

포렌식 기능을 구매하기 전에 시도할 수 있나요?

Microsoft 365 E5, Microsoft 365 E5 Compliance 또는 Microsoft 365 E5 참가자 위험 관리 라이선스가 있는 각 테넌트는 20GB 평가판 라이선스에 등록하여 법의학적 증거 기능을 시험해 보세요.

참고

20GB 평가판 라이선스는 레거시 상거래 플랫폼의 고객만 사용할 수 있습니다.

평가판 라이선스를 통해 사용할 수 있는 20GB 용량은 시간 제한이 없으며 전체 20GB를 사용할 때까지 사용할 수 있습니다. 1년 동안 전체 20GB를 사용하지 않으면 다시 활성화할 수 있습니다. 평가판 용량을 사용하기 전에 포렌식 증거 추가 기능 라이선스를 구매하는 경우 시스템이 구매한 용량을 계량하기 전에 사용할 때까지 남은 평가판 용량을 사용할 수 있습니다.

20GB의 평가판 용량을 사용하고 이후에 Insider Risk Management에 대한 포렌식 추가 기능을 구입하지 않으면 이미 수집했지만 새 클립을 수집할 수 없는 클립을 볼 수 있습니다.

20GB 평가판 라이선스 등록

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.

2. 내부 위험 관리 솔루션으로 이동합니다.

3. 왼쪽 탐색 영역에서 포렌식 증거를 선택한 다음 용량 및 청구를 선택합니다.

   참고

   참가자 위험 관리>포렌식 증거>대시보드 탭에서 평가판 라이선스에 등록할 수도 있습니다.

4. 20GB 용량 클레임을 선택합니다.

5. Microsoft 365 관리 센터 프롬프트를 따릅니다.

규정 준수 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 준수 포털에 로그인합니다.

2. 내부 위험 관리 솔루션으로 이동합니다.

3. 법의학 증거>용량 및 청구로 이동합니다.

   참고

   참가자 위험 관리>포렌식 증거>대시보드 탭에서 평가판 라이선스에 등록할 수도 있습니다.

4. 20GB 용량 클레임을 선택합니다.

5. Microsoft 365 관리 센터 프롬프트를 따릅니다.

참가자 위험 관리를 위한 포렌식 추가 기능 구매

1. Microsoft 365 관리 센터>Marketplace>모든 제품으로 이동합니다.
2. "법의학적 증거"를 검색합니다.

용량 분석

용량을 구매하거나 20GB 평가판 라이선스에 등록한 후 용량 페이지를 사용하여 사용한 용량과 남은 용량 양을 분석할 수 있습니다. GB의 용량 사용량 목록에서 선택하거나 모든 용량 사용량 보기를 선택하여 매월 사용 중인 용량의 양을 분석할 수도 있습니다.

참고

상거래 플랫폼에는 레거시 청구 플랫폼과 최신 청구 플랫폼이 있습니다. 내부 위험 관리 청구는 최신 청구 플랫폼과 작동하도록 설계되었습니다. 구매한 용량은 구매 날짜부터 매월 포렌식 증거를 수집하고 매월 첫 번째 증거를 다시 설정하여 적용됩니다. 구매한 용량은 해당 달에 완전히 사용할 수 있으며 다음 달 첫 번째 월에 다시 설정됩니다. 라이선스가 만료될 때까지 용량을 계속 사용할 수 있습니다.