위협 방지 정책

클라우드용 Defender 앱을 사용하면 고위험 사용 및 클라우드 보안 문제를 식별하고, 비정상적인 사용자 동작을 검색하고, 승인된 클라우드 앱에서 위협을 방지할 수 있습니다. 사용자 및 관리자 활동에 대한 가시성을 얻고 의심스러운 동작 또는 위험한 것으로 간주되는 특정 활동이 감지되면 자동으로 경고하는 정책을 정의합니다. 수많은 Microsoft 위협 인텔리전스 및 보안 연구 데이터를 활용하여 승인된 앱에 필요한 모든 보안 제어를 적용하고 이를 제어할 기본 있도록 도와줍니다.

참고 항목

클라우드용 Defender 앱을 Microsoft Defender for Identity와 통합하면 Defender for Identity의 정책도 정책 페이지에 표시됩니다. Defender for Identity 정책 목록은 보안 경고를 참조 하세요.

익숙하지 않은 위치에서 사용자 활동 감지 및 제어

조직의 다른 사용자가 방문한 적이 없는 익숙하지 않은 위치에서 사용자 액세스 또는 활동을 자동으로 검색합니다.

필수 조건

하나 이상의 앱이 앱 커넥터를 사용하여 연결되거나 세션 컨트롤이 있는 조건부 액세스 앱 제어를 사용하여 온보더에 있어야 합니다.

단계

이 검색은 새 위치에서 액세스할 수 있을 때 경고하도록 기본으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

불가능한 위치(불가능한 이동)로 손상된 계정 검색

두 위치 간에 이동하는 데 걸리는 시간보다 짧은 기간 내에 2개의 다른 위치에서 사용자 액세스 또는 활동을 자동으로 검색합니다.

필수 조건

하나 이상의 앱이 앱 커넥터를 사용하여 연결되거나 세션 컨트롤이 있는 조건부 액세스 앱 제어를 사용하여 온보더에 있어야 합니다.

단계

1. 이 검색은 불가능한 위치에서 액세스할 수 있는 경우 경고하도록 기본으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

2. 선택 사항: 변칙 검색 정책을 사용자 지정할 수 있습니다.

   • 사용자 및 그룹 측면에서 검색 범위 사용자 지정

   • 고려할 로그인 유형 선택

   • 경고에 대한 민감도 기본 설정

3. 변칙 검색 정책을 만듭니다.

"휴가 중" 직원으로부터 의심스러운 활동 검색

무급 휴가 중이고 조직 리소스에서 활성화되지 않아야 하는 사용자가 조직의 클라우드 리소스에 액세스하는 경우를 감지합니다.

필수 조건

• 앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

• 무급 휴가에 있는 사용자의 Microsoft Entra ID에 보안 그룹을 만들고 모니터링하려는 모든 사용자를 추가합니다.

단계

1. 사용자 그룹 화면에서 사용자 그룹 만들기를 선택하고 관련 Microsoft Entra 그룹을 가져옵니다.

2. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

3. 필터 사용자 그룹을 무급 휴가 사용자의 Microsoft Entra ID에서 만든 사용자 그룹의 이름과 동일하게 설정합니다.

4. 선택 사항: 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 사용자 일시 중단을 선택할 수 있습니다.

5. 파일 정책을 만듭니다.

오래된 브라우저 OS가 사용되는 경우 감지 및 알림

사용자가 조직에 규정 준수 또는 보안 위험을 초래할 수 있는 오래된 클라이언트 버전이 있는 브라우저를 사용하는 경우를 감지합니다.

필수 조건

하나 이상의 앱이 앱 커넥터를 사용하여 연결되거나 세션 컨트롤이 있는 조건부 액세스 앱 제어를 사용하여 온보더에 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

2. 필터 사용자 에이전트 태그를 오래된 브라우저 및 오래된 운영 체제와 동일하게 설정합니다.

3. 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 모든 앱에서 사용자에게 알림을 선택하여 사용자가 경고에 따라 작업하고 필요한 구성 요소를 업데이트할 수 있도록 합니다.

4. 활동 정책을 만듭니다.

위험한 IP 주소에서 관리 활동이 감지되면 검색 및 경고

위험한 IP 주소로 간주되는 IP 주소 및 수행된 관리자 활동을 검색하고 시스템 관리자에게 추가 조사를 알리거나 관리자 계정에 대한 거버넌스 작업을 설정합니다.

필수 조건

• 앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

• 설정 톱니바퀴에서 IP 주소 범위를 선택하고 + 를 선택하여 내부 서브넷 및 송신 공용 IP 주소에 대한 IP 주소 범위를 추가합니다. 범주를 내부로 설정합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

2. Act on을 단일 활동으로 설정합니다.

3. 필터 IP 주소를 범주로 설정하면 위험합니다.

4. 필터 관리시제 활동을 True로 설정

5. 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 모든 앱에서 사용자에게 알림을 선택하여 사용자가 경고에 따라 작업하고 필요한 구성 요소를 업데이트할 수 있도록 사용자의 관리자를 참조합니다.

6. 활동 정책을 만듭니다.

외부 IP 주소에서 서비스 계정별 활동 검색

비 내부 IP 주소에서 발생하는 서비스 계정 활동을 검색합니다. 이는 의심스러운 동작 또는 손상된 계정을 나타낼 수 있습니다.

필수 조건

• 앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

• 설정 톱니바퀴에서 IP 주소 범위를 선택하고 + 를 선택하여 내부 서브넷 및 송신 공용 IP 주소에 대한 IP 주소 범위를 추가합니다. 범주를 내부로 설정합니다.

• 사용자 환경에서 서비스 계정에 대한 명명 규칙을 표준화합니다. 예를 들어 모든 계정 이름을 "svc"로 시작하도록 설정합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

2. 필터 사용자를 이름으로 설정한 다음 svc와 같은 명명 규칙을 시작하고 입력합니다.

3. 필터 IP 주소를 범주로 설정해도 기타 주소와 회사 주소가 같지 않습니다.

4. 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다.

5. 정책을 만듭니다.

대량 다운로드 감지(데이터 반출)

특정 사용자가 짧은 기간 동안 대량의 파일에 액세스하거나 다운로드하는 시기를 감지합니다.

필수 조건

하나 이상의 앱이 앱 커넥터를 사용하여 연결되거나 세션 컨트롤이 있는 조건부 액세스 앱 제어를 사용하여 온보더에 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

2. 필터 IP 주소를 태그로 설정해도 Microsoft Azure와 같지 않습니다. 비대화형 디바이스 기반 활동은 제외됩니다.

3. 필터 활동 유형을 동일하게 설정한 다음 모든 관련 다운로드 활동을 선택합니다.

4. 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다.

5. 정책을 만듭니다.

잠재적 랜섬웨어 활동 검색

잠재적 랜섬웨어 활동의 자동 검색.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. 이 검색은 잠재적인 랜섬웨어 위험이 감지될 때 경고하도록 자동으로 기본으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

2. 검색 범위를 구성하고 경고가 트리거될 때 수행할 거버넌스 작업을 사용자 지정할 수 있습니다. 클라우드용 Defender 앱이 랜섬웨어를 식별하는 방법에 대한 자세한 내용은 랜섬웨어로부터 조직 보호를 참조하세요.

참고 항목

이는 Microsoft 365, Google Workspace, Box 및 Dropbox에 적용됩니다.

클라우드에서 맬웨어 검색

Microsoft의 위협 인텔리전스 엔진과 클라우드용 Defender 앱 통합을 활용하여 클라우드 환경에서 맬웨어가 포함된 파일을 검색합니다.

필수 조건

• Microsoft 365 맬웨어 검색의 경우 Microsoft Defender for Microsoft 365 P1에 대한 유효한 라이선스가 있어야 합니다.
• 앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

• 이 검색은 맬웨어를 포함할 수 있는 파일이 있을 때 경고하도록 기본으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

악의적인 관리자 인수 검색

악의적인 의도를 나타낼 수 있는 반복된 관리자 활동을 검색합니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

2. 반복 작업에 대한조치를 설정하고 반복된 최소 활동을 사용자 지정하고 조직의 정책을 준수하도록 기간을 설정합니다.

3. 필터 사용자를 From 그룹으로 설정하고 모든 관련 관리 그룹을 행위자로만 선택합니다.

4. 필터 활동 유형을 암호 업데이트, 변경 및 재설정과 관련된 모든 활동과 동일하게 설정합니다.

5. 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다.

6. 정책을 만듭니다.

의심스러운 받은 편지함 조작 규칙 검색

사용자의 받은 편지함에 의심스러운 받은 편지함 규칙이 설정된 경우 사용자 계정이 손상되었으며 사서함을 사용하여 조직에서 스팸 및 맬웨어를 배포하고 있음을 나타낼 수 있습니다.

필수 조건

• 전자 메일에 Microsoft Exchange를 사용합니다.

단계

• 이 검색은 의심스러운 받은 편지함 규칙 집합이 있을 때 경고를 표시하도록 기본으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

유출된 자격 증명 검색

사이버 범죄자가 합법적인 사용자의 유효한 암호를 손상하는 경우 해당 자격 증명을 공유하는 경우가 많습니다. 이 작업은 일반적으로 어두운 웹 또는 붙여넣기 사이트에 공개적으로 게시하거나 암시장에서 자격 증명을 거래하거나 판매하여 수행됩니다.

클라우드용 Defender 앱은 Microsoft의 위협 인텔리전스를 활용하여 조직 내에서 사용되는 자격 증명과 일치합니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

이 검색은 가능한 자격 증명 누출이 감지될 때 경고하도록 기본으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

비정상적인 파일 다운로드 검색

사용자가 학습된 기준선을 기준으로 단일 세션에서 여러 파일 다운로드 작업을 수행하는 경우를 감지합니다. 이는 시도된 위반을 나타낼 수 있습니다.

필수 조건

하나 이상의 앱이 앱 커넥터를 사용하여 연결되거나 세션 컨트롤이 있는 조건부 액세스 앱 제어를 사용하여 온보더에 있어야 합니다.

단계

1. 이 검색은 비정상적인 다운로드가 발생할 때 사용자에게 경고하도록 기본으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

2. 검색 범위를 구성하고 경고가 트리거될 때 수행할 작업을 사용자 지정할 수 있습니다.

사용자가 비정상적인 파일 공유 검색

사용자가 학습된 기준과 관련하여 단일 세션에서 여러 파일 공유 활동을 수행하는 경우를 감지합니다. 이는 시도된 위반을 나타낼 수 있습니다.

필수 조건

하나 이상의 앱이 앱 커넥터를 사용하여 연결되거나 세션 컨트롤이 있는 조건부 액세스 앱 제어를 사용하여 온보더에 있어야 합니다.

단계

1. 이 검색은 사용자가 여러 파일 공유를 수행할 때 사용자에게 경고하도록 기본적으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

2. 검색 범위를 구성하고 경고가 트리거될 때 수행할 작업을 사용자 지정할 수 있습니다.

드문 국가/지역에서 비정상적인 활동 검색

사용자 또는 조직의 사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치에서 활동을 검색합니다.

필수 조건

하나 이상의 앱이 앱 커넥터를 사용하여 연결되거나 세션 컨트롤이 있는 조건부 액세스 앱 제어를 사용하여 온보더에 있어야 합니다.

단계

1. 이 검색은 자주 발생하지 않는 국가/지역에서 비정상적인 활동이 발생할 때 사용자에게 경고하도록 기본적으로 자동으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

2. 검색 범위를 구성하고 경고가 트리거될 때 수행할 작업을 사용자 지정할 수 있습니다.

참고 항목

비정상적인 위치를 검색하는 경우 7일의 초기 학습 기간이 필요합니다. 학습 기간 동안 클라우드용 Defender 앱은 새 위치에 대한 경고를 생성하지 않습니다.

종료된 사용자가 수행한 활동 검색

조직의 직원이 더 이상 없는 사용자가 승인된 앱에서 활동을 수행하는 경우를 감지합니다. 회사 리소스에 대한 액세스 권한이 있는 종료된 직원의 악의적인 활동을 나타낼 수 있습니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. 이 검색은 종료된 직원이 활동을 수행할 때 경고를 표시하도록 자동으로 기본으로 구성됩니다. 이 정책을 구성하기 위해 아무 작업도 수행할 필요가 없습니다. 자세한 내용은 변칙 검색 정책을 참조하세요.

2. 검색 범위를 구성하고 경고가 트리거될 때 수행할 작업을 사용자 지정할 수 있습니다.

다음 단계

조직 보호를 위한 모범 사례

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.