클라우드 검색 대시보드를 사용하여 검색된 앱 보기
클라우드 검색 페이지는 조직에서 클라우드 앱이 사용되는 방식에 대한 더 많은 인사이트를 제공하도록 설계된 대시보드를 제공합니다. 대시보드는 사용 중인 앱 유형, 열린 경고 및 조직 내 앱의 위험 수준을 한눈에 볼 수 있습니다. 또한 상위 앱 사용자가 누구인지를 표시하고 앱 본사 위치 맵을 제공합니다.
클라우드 검색 데이터를 필터링하여 가장 관심 있는 항목에 따라 특정 보기를 생성합니다. 자세한 내용은 검색된 앱 필터를 참조 하세요.
필수 조건
필요한 역할에 대한 자세한 내용은 관리자 액세스 관리를 참조하세요.
클라우드 검색 대시보드 검토
이 절차에서는 클라우드 검색 대시보드에서 클라우드 검색 앱의 초기 일반 그림을 가져오는 방법을 설명합니다.
Microsoft Defender 포털에서 클라우드 앱 > 클라우드 검색을 선택합니다.
예시:
지원되는 앱에는 Defender - 관리형 엔드포인트 스트림 아래에 나열된 Windows 및 macOS 앱이 포함됩니다 .
다음과 같은 정보를 검토합니다.
상위 수준 사용 개요를 사용하여 조직의 전반적인 클라우드 앱 사용을 이해합니다.
각 다른 사용 매개 변수에 대해 조직에서 사용되는 상위 범주 를 이해하려면 한 수준 더 자세히 알아내세요. 승인된 앱에서 이 사용량의 양을 확인합니다.
검색된 앱 탭을 사용하여 더 자세히 살펴보고 특정 범주의 모든 앱을 확인합니다.
상위 사용자 및 원본 IP 주소를 확인하여 조직에서 클라우드 앱의 가장 지배적인 사용자인 사용자를 식별합니다.
앱 본사 맵을 사용하여 검색된 앱이 본사에 따라 지리적 위치에 따라 어떻게 확산되는지 확인합니다.
앱 위험 개요를 사용하여 검색된 앱의 위험 점수를 이해하고 검색 경고 상태를 확인하여 조사해야 하는 열린 경고 수를 확인합니다.
검색된 앱에 대한 심층 분석
클라우드 검색 데이터에 대해 자세히 알아보려면 필터를 사용하여 위험하거나 일반적으로 사용되는 앱을 확인합니다.
예를 들어 일반적으로 사용되는 위험한 클라우드 스토리지 및 협업 앱을 식별하려면 검색된 앱 페이지를 사용하여 원하는 앱을 필터링합니다. 그런 다음 다음과 같이 사용 허가 취소 또는 차단 합니다.
Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색을 선택합니다. 그런 다음 검색된 앱 탭을 선택합니다.
검색된 앱 탭의 범주별 찾아보기에서 클라우드 스토리지와 공동 작업을 모두 선택합니다.
고급 필터를 사용하여 준수 위험 요소를 SOC 2 = 아니요로 설정합니다.
사용량의 경우 사용자를 50명 이상으로 설정하고 트랜잭션을 100보다 크게 설정합니다.
미사용 데이터 암호화에 대한 보안 위험 요인을 지원되지 않음과 동일하게 설정합니다. 그런 다음, 위험 점수를 6 이하로 설정합니다.
결과를 필터링한 후 대량 작업 확인란을 사용하여 한 작업에서 모두 사용 권한을 해제하여 허용을 취소하고 차단 합니다. 권한이 취소되면 차단 스크립트를 사용하여 사용자 환경에서 사용되지 않도록 차단합니다.
또한 검색된 하위 도메인을 조사하여 사용 중인 특정 앱 인스턴스를 식별할 수도 있습니다. 예를 들어 여러 SharePoint 사이트를 구분합니다.
참고 항목
검색된 앱에 대한 심층 분석 내용은 대상 URL 데이터가 포함된 방화벽 및 프록시에서만 지원됩니다. 자세한 내용은 지원되는 방화벽 및 프록시를 참조 하세요.
클라우드용 Defender 앱이 트래픽 로그에서 검색된 하위 도메인을 앱 카탈로그에 저장된 데이터와 일치시킬 수 없는 경우 하위 도메인은 기타로 태그가 지정됩니다.
리소스 및 사용자 지정 앱 검색
클라우드 검색을 사용하면 IaaS 및 PaaS 리소스를 자세히 살펴볼 수도 있습니다. Azure, Google Cloud Platform 및 AWS에서 호스트되는 스토리지 계정, 인프라 및 사용자 지정 앱을 포함하여 자체 호스팅 앱 및 리소스에서 데이터에 대한 액세스를 확인하여 리소스 호스팅 플랫폼에서 활동을 검색합니다. IaaS 솔루션에서 전체 사용량을 볼 수 있는 것은 물론, 각 솔루션에서 호스트되는 특정 리소스와 리소스의 전체 사용량을 파악하여 리소스당 위험을 완화할 수 있습니다.
예를 들어 많은 양의 데이터가 업로드되는 경우 업로드되는 리소스를 검색하고 드릴다운하여 누가 활동을 수행했는지 확인합니다.
참고 항목
Cloud Discovery는 대상 URL 데이터를 포함하는 방화벽 및 프록시에서만 지원됩니다. 자세한 내용은 지원되는 방화벽 및 프록시에서 지원되는 어플라이언스 목록을 참조하세요.
검색된 리소스를 보려면 다음을 수행합니다.
Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색을 선택합니다. 그런 다음 검색된 리소스 탭을 선택합니다.
검색된 리소스 페이지에서 각 리소스를 드릴다운하여 어떤 종류의 트랜잭션이 발생했는지, 누가 액세스했는지 확인하고, 드릴다운하여 사용자를 더 자세히 조사합니다.
사용자 지정 앱의 경우 행 끝에 있는 옵션 메뉴를 선택한 다음 새 사용자 지정 앱 추가를 선택합니다. 클라우드 검색 대시보드에 포함할 수 있도록 앱 의 이름을 지정하고 식별할 수 있는 이 앱 추가 대화 상자가 열립니다.
클라우드 검색 임원 보고서 생성
조직 전체에서 Shadow IT 사용에 대한 개요를 가져오는 가장 좋은 방법은 클라우드 검색 임원 보고서를 생성하는 것입니다. 이 보고서는 잠재적인 상위 위험을 식별하고 위험을 해결할 때까지 완화하고 관리하는 워크플로를 계획하는 데 도움이 됩니다.
클라우드 검색 임원 보고서를 생성하려면 다음을 수행합니다.
Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색을 선택합니다.
클라우드 검색 페이지에서 작업>생성 Cloud Discovery 임원 보고서를 선택합니다.
필요에 따라 보고서 이름을 변경한 다음 생성을 선택합니다.
엔터티 제외
시스템 사용자, IP 주소 또는 시끄럽지만 관심이 없는 디바이스 또는 섀도 IT 보고서에 표시되지 않아야 하는 엔터티가 있는 경우 분석되는 클라우드 검색 데이터에서 해당 데이터를 제외할 수 있습니다. 예를 들어 로컬 호스트에서 발생하는 모든 정보를 제외할 수 있습니다.
제외를 만들려면 다음을 수행합니다.
Microsoft Defender 포털에서 설정>Cloud Apps>Cloud Discovery>제외 엔터티를 선택합니다.
제외된 사용자, 제외된 그룹, 제외된 IP 주소 또는 제외된 디바이스 탭을 선택하고 +추가 단추를 선택하여 제외를 추가합니다.
사용자 별칭, IP 주소 또는 디바이스 이름을 추가합니다. 제외된 이유에 대한 정보를 추가하는 것이 좋습니다.
참고 항목
모든 엔터티 제외는 새로 받은 데이터에만 적용됩니다. 제외된 엔터티의 기록 데이터는 보존 기간(90일)을 통해 유지됩니다.
연속 보고서 관리
사용자 지정 연속 보고서는 조직의 클라우드 검색 로그 데이터를 모니터링할 때 더 세분성을 제공합니다. 특정 지리적 위치, 네트워크 및 사이트 또는 조직 단위를 필터링하는 사용자 지정 보고서를 만듭니다. 기본적으로 클라우드 검색 보고서 선택기에서 다음 보고서만 표시됩니다.
전역 보고서는 로그에 포함한 모든 데이터 원본의 모든 정보를 포털에서 통합합니다. 전역 보고서에는 엔드포인트용 Microsoft Defender 데이터가 포함되지 않습니다.
데이터 원본 특정 보고서는 특정 데이터 원본의 정보만 표시합니다.
새 연속 보고서를 만들려면 다음을 수행합니다.
Microsoft Defender 포털에서 설정>Cloud Apps>Cloud Discovery>연속 보고서 만들기 보고서를> 선택합니다.
보고서 이름을 입력합니다.
포함할 데이터 원본을 선택합니다(모두 또는 특정).
데이터에서 원하는 필터를 설정합니다. 이러한 필터는 사용자 그룹, IP 주소 태그 또는 IP 주소 범위일 수 있습니다. IP 주소 태그 및 IP 주소 범위 작업에 대한 자세한 내용은 요구에 따라 데이터 구성을 참조하세요.
참고 항목
모든 사용자 지정 보고서는 최대 1GB의 압축되지 않은 데이터로 제한됩니다. 데이터가 1GB를 초과하면 데이터의 처음 1GB를 보고서로 내보냅니다.
클라우드 검색 데이터 삭제
다음과 같은 경우 클라우드 검색 데이터를 삭제하는 것이 좋습니다.
로그 파일을 수동으로 업로드한 경우 시스템을 새 로그 파일로 업데이트한 후 오랜 시간이 지났으며 이전 데이터가 결과에 영향을 주지 않도록 합니다.
새 사용자 지정 데이터 뷰를 설정하면 해당 시점의 새 데이터에만 적용됩니다. 이러한 경우 이전 데이터를 지운 다음 로그 파일을 다시 업로드하여 사용자 지정 데이터 뷰가 로그 파일 데이터의 이벤트를 선택할 수 있도록 할 수 있습니다.
많은 사용자 또는 IP 주소가 최근 몇 시간 동안 오프라인 상태가 된 후 다시 작동하기 시작한 경우 해당 활동은 비정상으로 식별되며 가양성 위반을 줄 수 있습니다.
Important
이렇게 하기 전에 데이터를 삭제해야 합니다. 이 작업은 돌이킬 수 없으며 시스템의 모든 클라우드 검색 데이터를 삭제합니다.
클라우드 검색 데이터를 삭제하려면 다음을 수행합니다.
Microsoft Defender 포털에서 Cloud Apps>Cloud Discovery>삭제 데이터 설정을>선택합니다.
삭제 버튼을 선택합니다.
참고 항목
삭제 프로세스는 몇 분 정도 걸리며 즉시 적용되지 않습니다.