자습서: 섀도 IT 검색 및 관리
IT 관리자에게 직원이 사용하는 클라우드 앱의 수를 질문할 때, 평균 30, 40개로 답하면 실제로는 조직의 직원이 평균 1,000개가 넘는 별도 앱을 사용하고 있습니다. 섀도 IT는 사용 중인 앱과 위험 수준을 파악하고 식별하는 데 도움이 됩니다. 직원의 80%는 아무도 검토하지 않은 비인가 앱을 사용하며 보안 및 규정 준수 정책을 준수하지 않을 수 있습니다. 또한 직원이 회사 네트워크 외부에서 리소스 및 앱에 액세스할 수 있으므로 더 이상 방화벽에 규칙과 정책을 적용하기에 충분하지 않습니다.
이 자습서에서는 클라우드 검색을 사용하여 사용 중인 앱을 검색하고, 이러한 앱의 위험을 탐색하고, 사용 중인 새로운 위험한 앱을 식별하는 정책을 구성하고, 프록시 또는 방화벽 어플라이언스 사용을 기본적으로 차단하기 위해 이러한 앱의 사용 권한을 해제하는 방법을 알아봅니다.
팁
기본적으로 클라우드용 Defender 앱은 카탈로그에 없는 앱을 검색할 수 없습니다.
현재 카탈로그에 없는 앱의 클라우드용 Defender 앱 데이터를 보려면 로드맵을 확인하거나 사용자 지정 앱을 만드는 것이 좋습니다.
네트워크에서 섀도 IT를 검색하고 관리하는 방법
이 프로세스를 사용하여 조직에서 섀도 IT 클라우드 검색을 롤아웃합니다.
1단계: 섀도 IT 검색 및 식별
섀도 IT 검색: 조직에서 클라우드 검색을 실행하여 조직의 보안 상태를 식별하여 네트워크에서 실제로 발생하는 상황을 확인합니다. 자세한 내용은 클라우드 검색 설정을 참조하세요. 이 작업은 다음 방법 중 어느 것을 사용하여 수행할 수 있습니다.
엔드포인트용 Microsoft Defender 통합하여 클라우드 검색을 빠르게 시작하고 실행합니다. 이 네이티브 통합을 사용하면 Windows 10 및 Windows 11 디바이스의 네트워크 온/오프에서 클라우드 트래픽에 대한 데이터 수집을 즉시 시작할 수 있습니다.
네트워크에 연결된 모든 디바이스에서 검사하려면 클라우드용 Defender 앱 로그 수집기를 방화벽 및 기타 프록시에 배포하여 엔드포인트에서 데이터를 수집하고 분석을 위해 클라우드용 Defender 앱으로 보내는 것이 중요합니다.
클라우드용 Defender 앱을 프록시와 통합합니다. 클라우드용 Defender 앱은 기본적으로 다음을 비롯한 일부 타사 프록시와 통합됩니다.Zscaler.
정책은 사용자 그룹, 지역 및 비즈니스 그룹에 따라 다르므로 이러한 각 단위에 대한 섀도 IT 보고서를 만드는 것이 좋습니다. 자세한 내용은 사용자 지정 연속 보고서 만들기를 참조 하세요.
이제 클라우드 검색이 네트워크에서 실행되고 있으므로 생성된 연속 보고서를 살펴보고 클라우드 검색 대시보드를 확인하여 조직에서 어떤 앱이 사용되고 있는지 전체적인 그림을 볼 수 있습니다. 승인되지 않은 앱이 승인된 앱에서 다루지 않은 합법적인 작업 관련 용도로 사용되는 경우가 많기 때문에 범주별로 살펴보는 것이 좋습니다.
앱의 위험 수준 식별: 클라우드용 Defender 앱 카탈로그를 사용하여 검색된 각 앱과 관련된 위험을 자세히 알아봅니다. 클라우드 앱용 Defender 카탈로그에는 90개 이상의 위험 요소를 사용하여 평가되는 31,000개 이상의 앱이 포함되어 있습니다. 위험 요소는 앱에 대한 일반 정보(게시자인 앱의 본사가 있는 곳)와 보안 조치 및 제어(휴면 상태의 암호화 지원, 사용자 작업에 대한 감사 로그 제공)를 통해 시작됩니다. 자세한 내용은 위험 점수 사용을 참조하세요.
Microsoft Defender 포털의 Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 검색된 앱 탭으로 이동합니다. 우려되는 위험 요소로 조직에서 검색된 앱 목록을 필터링합니다. 예를 들어 고급 필터를 사용하여 위험 점수가 8보다 낮은 모든 앱을 찾을 수 있습니다.
앱 이름을 선택한 다음 정보 탭을 선택하여 앱의 보안 위험 요소에 대한 세부 정보를 확인하여 앱의 규정 준수에 대해 자세히 이해할 수 있습니다.
2단계: 평가 및 분석
규정 준수 평가: 앱이 HIPAA 또는 SOC2와 같은 조직의 표준을 준수하는지 확인합니다.
Microsoft Defender 포털의 Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 검색된 앱 탭으로 이동합니다. 조직에서 검색된 앱 목록을 관심 있는 규정 준수 위험 요소로 필터링합니다. 예를 들어 제안된 쿼리를 사용하여 비규격 앱을 필터링합니다.
앱 이름을 선택한 다음 정보 탭을 선택하여 앱의 준수 위험 요소에 대한 세부 정보를 확인하여 앱으로 드릴다운하여 규정 준수에 대한 자세한 내용을 이해할 수 있습니다.
사용량 분석: 이제 조직에서 앱을 사용할지 여부를 확인했으므로 사용 방법과 사용자를 조사하려고 합니다. 조직에서 제한된 방식으로만 사용하는 경우 괜찮을 수 있지만, 사용량이 증가하는 경우에는 알림을 받아서 앱을 차단할지를 결정할 수 있습니다.
Microsoft Defender 포털의 Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 검색된 앱 탭으로 이동한 다음 조사하려는 특정 앱을 선택하여 드릴다운합니다. 사용량 탭을 사용하면 앱을 사용하는 활성 사용자 수와 앱이 생성하는 트래픽의 양을 알 수 있습니다. 이렇게 하면 앱에서 발생하는 일을 이미 잘 파악할 수 있습니다. 그런 다음, 특히 앱을 사용하는 사용자를 확인하려면 총 활성 사용자를 선택하여 자세히 드릴다운할 수 있습니다. 이 중요한 단계는 관련 정보를 제공할 수 있습니다. 예를 들어 특정 앱의 모든 사용자가 마케팅 부서에서 온 것으로 검색된 경우, 이 앱에 대한 비즈니스 필요성이 있을 수 있고, 위험하다면 그것을 차단하기 전에 대안에 대해 논의해야 합니다.
검색된 앱의 사용을 조사할 때 더 자세히 알아보세요. 하위 도메인 및 리소스를 확인하여 클라우드 서비스의 특정 활동, 데이터 액세스 및 리소스 사용에 대해 알아봅니다. 자세한 내용은 검색된 앱 및 검색 리소스 및 사용자 지정 앱에 대한 심층 분석을 참조하세요.
대체 앱 식별: 클라우드 앱 카탈로그를 사용하여 검색된 위험한 앱과 유사한 비즈니스 기능을 달성하지만 조직의 정책을 준수하는 안전한 앱을 식별합니다. 고급 필터를 사용하여 다른 보안 컨트롤과 일치하는 동일한 범주에서 앱을 찾아서 이 작업을 수행할 수 있습니다.
3단계: 앱 관리
클라우드 앱 관리: 클라우드용 Defender 앱은 조직에서 앱 사용을 관리하는 프로세스를 지원합니다. 조직에서 사용되는 다양한 패턴과 동작을 식별한 후에는 해당 비즈니스 상태 또는 근거에 따라 각 앱을 분류하기 위해 새 사용자 지정 앱 태그를 만들 수 있습니다. 그런 다음, 이러한 태그를 특정 목적으로 사용할 수 있습니다(예: 위험한 클라우드 스토리지 앱으로 태그가 지정된 앱으로 이동하는 높은 트랙픽 식별). 앱 태그는 설정>Cloud Apps>Cloud Discovery>앱 태그에서 관리할 수 있습니다. 그런 다음 나중에 이러한 태그를 사용하여 클라우드 검색 페이지에서 필터링하고 정책을 만드는 데 사용할 수 있습니다.
Microsoft Entra Gallery를 사용하여 검색된 앱 관리: 클라우드용 Defender 앱은 Microsoft Entra ID와의 네이티브 통합을 사용하여 Microsoft Entra Gallery에서 검색된 앱을 관리할 수 있도록 합니다. Microsoft Entra 갤러리에 이미 표시되는 앱의 경우 Single Sign-On을 적용하고 Microsoft Entra ID를 사용하여 앱을 관리할 수 있습니다. 이렇게 하려면 관련 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음 Microsoft Entra ID를 사용하여 앱 관리를 선택합니다.
지속적인 모니터링: 이제 앱을 철저히 조사했으므로 앱을 모니터링하고 필요한 경우 제어를 제공하는 정책을 설정할 수 있습니다.
이제 정책을 만들어 걱정되는 사항이 발생하면 자동으로 경고를 받을 수 있도록 합니다. 예를 들어 관심 있는 앱에서 다운로드 또는 트래픽이 급증하는 시기를 알려주는 앱 검색 정책을 만들 수 있습니다. 이를 위해 검색된 사용자 정책, 클라우드 스토리지 앱 준수 검사 및 새 위험한 앱에서 비정상적인 동작을 사용하도록 설정해야 합니다. 또한 전자 메일로 알리도록 정책을 설정해야 합니다. 자세한 내용은 정책 템플릿 참조, 클라우드 검색 정책 및 앱 검색 정책 구성에 대한 자세한 내용을 참조하세요.
경고 페이지를 살펴보고 정책 유형 필터를 사용하여 앱 검색 경고를 확인합니다. 앱 검색 정책과 일치하는 앱의 경우 고급 조사를 수행하여 앱의 사용자에게 문의하는 등 앱 사용에 대한 비즈니스 근거에 대해 자세히 알아보는 것이 좋습니다. 그런 다음, 2단계의 단계를 반복하여 앱의 위험을 평가합니다. 그런 다음, 나중에 애플리케이션의 사용을 승인하거나 나중에 사용자가 액세스할 때 애플리케이션을 차단할지 여부에 관계없이 다음 단계를 결정합니다. 이 경우 방화벽, 프록시 또는 보안 웹 게이트웨이를 사용하여 차단될 수 있도록 사용 권한 없는 것으로 태그를 지정해야 합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 통합, Zscaler와 통합, iboss와 통합 및 블록 스크립트를 내보내 앱 차단을 참조하세요.
4단계: 고급 섀도 IT 검색 보고
클라우드용 Defender 앱에서 사용할 수 있는 보고 옵션 외에도 추가 조사 및 분석을 위해 클라우드 검색 로그를 Microsoft Sentinel에 통합할 수 있습니다. 데이터가 Microsoft Sentinel에 있으면 대시보드에서 보고, Kusto 쿼리 언어를 사용하여 쿼리를 실행하고, Microsoft Power BI로 쿼리를 내보내고, 다른 원본과 통합하고, 사용자 지정 경고를 만들 수 있습니다. 자세한 내용은 Microsoft Sentinel 통합을 참조 하세요.
5단계: 승인된 앱 제어
API를 통해 앱 제어를 사용하도록 설정하려면 지속적인 모니터링을 위해 API 를 통해 앱을 연결합니다.
조건부 액세스 앱 제어를 사용하여 앱을 보호합니다.
클라우드 앱의 특성은 매일 업데이트되고 새 앱이 항상 표시됨을 의미합니다. 이러한 이유로 직원은 지속적으로 새 앱을 사용하고 있으며 정책 추적, 검토 및 업데이트하고 사용자가 사용 중인 앱과 사용 패턴 및 동작 패턴을 확인하는 것이 중요합니다. 언제든지 클라우드 검색 대시보드로 이동하여 사용 중인 새 앱을 확인하고 이 문서의 지침에 따라 조직과 데이터가 보호되는지 확인할 수 있습니다.
다음 단계
문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.