클라우드용 Defender 앱을 사용하여 조직을 보호하기 위한 모범 사례

이 문서에서는 클라우드용 Microsoft Defender 앱을 사용하여 조직을 보호하기 위한 모범 사례를 제공합니다. 이러한 모범 사례는 클라우드용 Defender 앱에 대한 경험과 사용자와 같은 고객의 경험에서 비롯됩니다.

이 문서에서 설명하는 모범 사례는 다음과 같습니다.

클라우드 앱 검색 및 평가

클라우드용 Defender 앱을 엔드포인트용 Microsoft Defender 통합하면 회사 네트워크 또는 보안 웹 게이트웨이를 넘어 Cloud Discovery를 사용할 수 있습니다. 결합된 사용자 및 디바이스 정보를 사용하여 위험한 사용자 또는 디바이스를 식별하고, 사용 중인 앱을 확인하고, 엔드포인트용 Defender 포털에서 자세히 조사할 수 있습니다.

모범 사례: 엔드포인트용 Defender를 사용하여 섀도 IT 검색 사용
세부 정보: Cloud Discovery는 엔드포인트용 Defender에서 수집한 트래픽 로그를 분석하고 클라우드 앱 카탈로그에 대해 식별된 앱을 평가하여 규정 준수 및 보안 정보를 제공합니다. Cloud Discovery를 구성하면 클라우드 사용, 섀도 IT 및 사용자가 사용하는 허가되지 않은 앱의 지속적인 모니터링에 대한 가시성을 얻을 수 있습니다.
자세한 내용은 다음을 수행합니다.


모범 사례: 위험, 비준수 및 추세 앱을 사전에 식별하도록 앱 검색 정책 구성
세부 정보: 앱 검색 정책을 사용하면 조직에서 검색된 중요한 애플리케이션을 보다 쉽게 추적하여 이러한 애플리케이션을 효율적으로 관리할 수 있습니다. 위험, 비준수, 추세 또는 대용량으로 식별되는 새 앱을 검색할 때 경고를 수신하는 정책을 만듭니다.
자세한 내용은 다음을 수행합니다.


모범 사례: 사용자가 승인한 OAuth 앱 관리
세부 정보: 많은 사용자가 타사 앱에 OAuth 권한을 부여하여 계정 정보에 액세스하고 실수로 다른 클라우드 앱의 데이터에 대한 액세스 권한을 부여합니다. 일반적으로 IT는 이러한 앱에 대한 가시성이 없으므로 앱이 제공하는 생산성 이점에 대해 앱의 보안 위험을 평가하기가 어렵습니다.

클라우드용 Defender 앱은 사용자가 부여한 앱 권한을 조사하고 모니터링할 수 있는 기능을 제공합니다. 이 정보를 사용하여 잠재적으로 의심스러운 앱을 식별할 수 있으며, 위험한 것으로 확인되면 해당 앱에 대한 액세스를 금지할 수 있습니다.
자세한 내용은 다음을 수행합니다.





클라우드 거버넌스 정책 적용

모범 사례: 앱 태그 지정 및 블록 스크립트 내보내기
세부 정보: 조직에서 검색된 앱 목록을 검토한 후에는 원치 않는 앱 사용으로 환경을 보호할 수 있습니다. 승인된 태그는 조직에서 승인한 앱에 적용할 수 있으며, 승인되지 않은 태그는 그렇지 않은 앱에 적용할 수 있습니다. 검색 필터를 사용하여 허가되지 않은 앱을 모니터링하거나 스크립트를 내보내 온-프레미스 보안 어플라이언스 사용하여 허가되지 않은 앱을 차단할 수 있습니다. 태그 및 내보내기 스크립트를 사용하면 안전한 앱에만 액세스할 수 있도록 하여 앱을 구성하고 환경을 보호할 수 있습니다.
자세한 내용은 다음을 수행합니다.


공유 데이터의 노출 제한 및 공동 작업 정책 적용

모범 사례: microsoft 365 커넥트
세부 정보: microsoft 365를 클라우드용 Defender 앱에 커넥트 사용자의 활동, 액세스하는 파일에 대한 즉각적인 가시성을 제공하고 Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange 및 Dynamics에 대한 거버넌스 작업을 제공합니다.
자세한 내용은 다음을 수행합니다.


모범 사례: 앱 커넥트
세부 정보: 앱을 클라우드용 Defender 앱에 커넥트 사용자의 활동, 위협 탐지 및 거버넌스 기능에 대한 향상된 인사이트를 제공합니다. 지원되는 타사 앱 API를 보려면 커넥트 앱으로 이동합니다.

자세한 내용은 다음을 수행합니다.


모범 사례: 개인 계정 공유를 제거하는 정책 만들기
세부 정보: microsoft 365를 클라우드용 Defender 앱에 커넥트 사용자의 활동, 액세스하는 파일에 대한 즉각적인 가시성을 제공하고 Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange 및 Dynamics에 대한 거버넌스 작업을 제공합니다.
자세한 내용은 다음을 수행합니다.


클라우드에 저장된 규제 및 중요한 데이터 검색, 분류, 레이블 지정 및 보호

모범 사례: Microsoft Purview Information Protection과 통합
세부 정보: Microsoft Purview Information Protection과 통합하면 민감도 레이블을 자동으로 적용하고 선택적으로 암호화 보호를 추가할 수 있습니다. 통합이 켜지면 레이블을 거버넌스 작업으로 적용하고, 분류별로 파일을 보고, 분류 수준별로 파일을 조사하고, 분류된 파일이 제대로 처리되고 있는지 확인하는 세분화된 정책을 만들 수 있습니다. 통합을 켜지 않으면 클라우드에서 파일을 자동으로 검사, 레이블 지정 및 암호화하는 기능을 활용할 수 없습니다.
자세한 내용은 다음을 수행합니다.


모범 사례: 데이터 노출 정책 만들기
세부 정보: 파일 정책을 사용하여 정보 공유를 검색하고 클라우드 앱에서 기밀 정보를 검색합니다. 데이터 노출이 감지되면 경고하는 다음 파일 정책을 만듭니다.

  • 중요한 데이터를 포함하는 외부 공유 파일
  • 외부에서 공유되고 기밀로 레이블이 지정된 파일
  • 권한 없는 작업과 공유되는 파일기본
  • SaaS 앱에서 중요한 파일 보호

자세한 내용은 다음을 수행합니다.


모범 사례: 파일 페이지에서 보고서 검토
세부 정보: 앱 커넥터를 사용하여 다양한 SaaS 앱을 연결한 후 클라우드용 Defender 앱은 이러한 앱에 저장된 파일을 검색합니다. 또한 파일이 수정될 때마다 다시 검색됩니다. 파일 페이지를 사용하여 클라우드 앱에 저장되는 데이터 형식을 이해하고 조사할 수 있습니다. 조사할 수 있도록 할 일기본, 그룹, 사용자, 생성 날짜, 확장명, 파일 이름 및 형식, 파일 ID, 민감도 레이블 등을 기준으로 필터링할 수 있습니다. 이러한 필터를 사용하면 어떤 데이터도 위험에 노출되지 않도록 파일을 조사하는 방법을 제어할 수 있습니다. 데이터가 사용되는 방식을 더 잘 이해한 후에는 이러한 파일에서 중요한 콘텐츠를 검색하는 정책을 만들 수 있습니다.
자세한 내용은 다음을 수행합니다.





클라우드에 저장된 데이터에 대한 DLP 및 규정 준수 정책 적용

모범 사례: 기밀 데이터가 외부 사용자와 공유되지 않도록 보호
세부 정보: 사용자가 기밀 민감도 레이블과 파일을 조직 외부의 다른 사용자와 공유하려고 할 때 감지하는 파일 정책을 만들고 외부 사용자를 제거하도록 해당 거버넌스 작업을 구성합니다. 이 정책은 기밀 데이터가 조직을 떠나지 않고 외부 사용자가 조직에 액세스할 수 없도록 합니다.
자세한 내용은 다음을 수행합니다.





관리되지 않거나 위험한 디바이스에 대한 중요한 데이터 다운로드 차단 및 보호

모범 사례: 고위험 디바이스에 대한 액세스 관리 및 제어
세부 정보: 조건부 액세스 앱 컨트롤을 사용하여 SaaS 앱에서 컨트롤을 설정합니다. 높은 위험, 낮은 신뢰 세션을 모니터링하는 세션 정책을 만들 수 있습니다. 마찬가지로 관리되지 않거나 위험한 디바이스에서 중요한 데이터에 액세스하려는 사용자가 다운로드를 차단하고 보호하는 세션 정책을 만들 수 있습니다. 위험 수준이 높은 세션을 모니터링하는 세션 정책을 만들지 않으면 웹 클라이언트에서 다운로드를 차단하고 보호하는 기능과 Microsoft 및 타사 앱 모두에서 낮은 신뢰 세션을 모니터링하는 기능이 손실됩니다.
자세한 내용은 다음을 수행합니다.





실시간 세션 컨트롤을 적용하여 외부 사용자와의 공동 작업 보호

모범 사례: 조건부 액세스 앱 제어를 사용하여 외부 사용자와 세션 모니터링
세부 정보: 사용자 환경에서 공동 작업을 보호하기 위해 세션 정책을 만들어 내부 사용자와 외부 사용자 간의 세션을 모니터링할 수 있습니다. 이렇게 하면 사용자 간의 세션을 모니터링하고 세션 활동이 모니터링되고 있음을 알리는 기능을 제공할 뿐만 아니라 특정 활동도 제한할 수 있습니다. 활동을 모니터링하는 세션 정책을 만들 때 모니터링하려는 앱과 사용자를 선택할 수 있습니다.
자세한 내용은 다음을 수행합니다.





클라우드 위협, 손상된 계정, 악의적인 내부자 및 랜섬웨어 검색

모범 사례: 변칙 정책 조정, IP 범위 설정, 경고에 대한 피드백 보내기
세부 정보: 변칙 검색 정책은 클라우드 환경에서 고급 위협 탐지를 즉시 실행할 수 있도록 기본 제공 사용자 및 UEBA(엔터티 동작 분석) 및 ML(기계 학습)을 제공합니다.

변칙 검색 정책은 사용자 환경에서 사용자가 수행하는 비정상적인 활동이 있을 때 트리거됩니다. 클라우드용 Defender 앱은 지속적으로 사용자 활동을 모니터링하고 UEBA 및 ML을 사용하여 사용자의 정상적인 동작을 알아보고 이해합니다. 조직의 요구 사항에 맞게 정책 설정을 조정할 수 있습니다. 예를 들어 정책의 민감도를 설정하고 정책 범위를 특정 그룹으로 지정할 수 있습니다.

  • 변칙 검색 정책 조정 및 범위: 예를 들어 불가능한 이동 경고 내에서 가양성 수를 줄이려면 정책의 민감도 슬라이더를 낮게 설정할 수 있습니다. 조직에 자주 사용하는 사용자가 있는 경우 해당 사용자를 사용자 그룹에 추가하고 정책 범위에서 해당 그룹을 선택할 수 있습니다.

  • IP 범위 설정: 클라우드용 Defender 앱은 IP 주소 범위가 설정되면 알려진 IP 주소를 식별할 수 있습니다. IP 주소 범위를 구성하면 로그 및 경고가 표시되고 조사되는 방식을 태그, 분류 및 사용자 지정할 수 있습니다. IP 주소 범위를 추가하면 가양성 검색을 줄이고 경고의 정확도를 향상시킬 수 있습니다. IP 주소를 추가하지 않도록 선택하면 조사할 수 있는 가양성 및 경고 수가 증가할 수 있습니다.

  • 경고에 대한 피드백 보내기

    경고를 해제하거나 해결할 때 경고를 해제한 이유 또는 해결 방법을 사용하여 피드백을 보내야 합니다. 이 정보는 클라우드용 Defender 앱이 경고를 개선하고 가양성을 줄이는 데 도움이 됩니다.

자세한 내용은 다음을 수행합니다.


모범 사례: 예기치 않은 위치 또는 국가/지역에서 활동 검색
세부 정보: 사용자가 예기치 않은 위치 또는 국가/지역에서 로그인할 때 알리는 활동 정책을 만듭니다. 이러한 알림은 위협이 발생하기 전에 감지하고 수정할 수 있도록 사용자 환경에서 손상된 세션에 대해 경고할 수 있습니다.
자세한 내용은 다음을 수행합니다.


모범 사례: OAuth 앱 정책 만들기
세부 정보: OAuth 앱이 특정 조건을 충족하는 경우 사용자에게 알리는 OAuth 앱 정책을 만듭니다. 예를 들어 높은 사용 권한 수준이 필요한 특정 앱에 100명 이상의 사용자가 액세스한 경우 알림을 받도록 선택할 수 있습니다.
자세한 내용은 다음을 수행합니다.





포렌식 조사를 위해 활동의 감사 내역 사용

모범 사례: 경고를 조사할 때 활동의 감사 내역 사용
세부 정보: 사용자, 관리자 또는 로그인 활동이 정책을 준수하지 않을 때 경고가 트리거됩니다. 사용자 환경에 위협이 발생할 수 있는지 이해하려면 경고를 조사하는 것이 중요합니다.

경고 페이지에서 경고를 선택하고 해당 경고 와 관련된 활동의 감사 내역을 검토하여 경고를 조사할 수 있습니다. 감사 내역을 사용하면 동일한 유형, 동일한 사용자, 동일한 IP 주소 및 위치의 활동에 대한 가시성을 제공하여 경고의 전반적인 스토리를 제공합니다. 경고가 추가 조사를 보증하는 경우 조직에서 이러한 경고를 해결하는 계획을 만듭니다.

경고를 해제할 때는 경고가 왜 중요하지 않은지 또는 거짓 긍정인지 조사하고 이해하는 것이 중요합니다. 이러한 활동이 많은 경우 경고를 트리거하는 정책을 검토하고 조정하는 것도 고려할 수 있습니다.
자세한 내용은 다음을 수행합니다.





IaaS 서비스 및 사용자 지정 앱 보호

모범 사례: Azure, AWS 및 GCP 커넥트
세부 정보: 이러한 각 클라우드 플랫폼을 클라우드용 Defender 앱에 커넥트 위협 탐지 기능을 개선하는 데 도움이 됩니다. 이러한 서비스에 대한 관리 및 로그인 활동을 모니터링하여 가능한 무차별 암호 대입 공격, 권한 있는 사용자 계정의 악의적인 사용 및 사용자 환경의 기타 위협에 대해 감지하고 알림을 받을 수 있습니다. 예를 들어 VM의 비정상적인 삭제 또는 이러한 앱의 가장 활동과 같은 위험을 식별할 수 있습니다.
자세한 내용은 다음을 수행합니다.


모범 사례: 사용자 지정 앱 온보딩
세부 정보: 기간 업무 앱에서 활동에 대한 추가 가시성을 얻으려면 사용자 지정 앱을 클라우드용 Defender 앱에 온보딩할 수 있습니다. 사용자 지정 앱이 구성되면 해당 앱을 사용하는 사용자, 사용 중인 IP 주소 및 앱에서 들어오고 나가는 트래픽 양에 대한 정보가 표시됩니다.

또한 사용자 지정 앱을 조건부 액세스 앱 제어 앱으로 온보딩하여 낮은 신뢰 세션을 모니터링할 수 있습니다.
자세한 내용은 다음을 수행합니다.