클라우드용 Defender 앱이 Microsoft 365 환경을 보호하는 방법
클라우드 파일 스토리지, 공동 작업, BI 및 CRM 도구를 제공하는 주요 생산성 제품군인 Microsoft 365를 사용하면 사용자가 간소화되고 효율적인 방식으로 조직 및 파트너 간에 문서를 공유할 수 있습니다. Microsoft 365를 사용하면 중요한 데이터가 내부적으로뿐만 아니라 외부 협력자에게도 노출되거나 더 나쁜 경우 공유 링크를 통해 공개적으로 사용할 수 있습니다. 이러한 인시던트가 악의적인 행위자 또는 인식할 수 없는 직원으로 인해 발생할 수 있습니다. 또한 Microsoft 365는 생산성 향상에 도움이 되는 대규모 타사 앱 에코 시스템을 제공합니다. 이러한 앱을 사용하면 조직이 악의적인 앱 또는 과도한 사용 권한이 있는 앱의 사용에 노출될 수 있습니다.
Microsoft 365를 클라우드용 Defender 앱에 연결하면 사용자의 활동에 대한 인사이트를 향상시키고, 기계 학습 기반 변칙 검색을 사용하여 위협 탐지, 정보 보호 검색(예: 외부 정보 공유 검색)을 제공하고, 자동화된 수정 제어를 사용하도록 설정하고, 조직에서 사용하도록 설정된 타사 앱의 위협을 검색할 수 있습니다.
클라우드용 Defender 앱은 Microsoft 365의 감사 로그는 지원되는 모든 서비스에 대한 보호를 제공합니다. 지원되는 서비스 목록은 감사를 지원하는 Microsoft 365 서비스를 참조 하세요.
이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SSPM(SaaS 보안 상태 관리) 기능에 액세스합니다. 자세히 알아보기.
Microsoft 365의 파일 검색 개선 사항
클라우드용 Defender 앱은 SharePoint 및 OneDrive에 대한 새로운 파일 검색 개선 사항을 추가했습니다.
SharePoint 및 OneDrive의 파일에 대한 빠른 실시간 검색 속도입니다.
SharePoint에서 파일의 액세스 수준에 대한 더 나은 식별: SharePoint의 파일 액세스 수준은 기본적으로 내부로 표시되고 비공개로 표시되지 않습니다(SharePoint의 모든 파일에는 사이트 소유자가 액세스할 수 있고 파일 소유자가 액세스할 수 없기 때문에).
참고 항목
이 변경 내용은 파일 정책에 영향을 미칠 수 있습니다(파일 정책이 SharePoint에서 내부 또는 프라이빗 파일을 찾고 있는 경우).
주요 위협
- 손상된 계정 및 내부자 위협
- 데이터 유출
- 보안 인식 부족
- 악의적인 타사 앱
- 맬웨어
- 피싱
- 랜섬웨어
- 관리되지 않는 사용자 고유의 디바이스 가져오기(BYOD)
클라우드용 Defender 앱이 환경을 보호하는 데 도움이 되는 방법
- 클라우드 위협, 손상된 계정 및 악의적인 내부자 검색
- 클라우드에 저장된 규제 및 중요한 데이터 검색, 분류, 레이블 지정 및 보호
- 사용자 환경에 액세스할 수 있는 OAuth 앱 검색 및 관리
- 클라우드에 저장된 데이터에 대한 DLP 및 규정 준수 정책 적용
- 공유 데이터의 노출 제한 및 공동 작업 정책 적용
- 포렌식 조사를 위해 활동의 감사 내역 사용
기본 제공 정책 및 정책 템플릿을 사용하여 Microsoft 365 제어
다음 기본 제공 정책 템플릿을 사용하여 잠재적 위협을 감지하고 알릴 수 있습니다.
Type | 속성 |
---|---|
기본 제공 변칙 검색 정책 | 익명 IP 주소에서의 활동 자주 사용되지 않는 국가에서의 활동 의심스러운 IP 주소에서의 활동 이동 불가능 종료된 사용자가 수행한 작업(IdP로 Microsoft Entra ID 필요) 맬웨어 검색 여러 번의 로그인 시도 실패 랜섬웨어 검색 의심스러운 이메일 삭제 작업(미리 보기) 의심스러운 받은 편지함 전달 비정상적인 파일 삭제 작업 비정상적인 파일 공유 활동 비정상적인 여러 파일 다운로드 활동 |
활동 정책 템플릿 | 위험한 IP 주소에서 로그온 단일 사용자에 의한 대용량 다운로드 잠재적인 랜섬웨어 활동 액세스 수준 변경(Teams) 추가된 외부 사용자(Teams) 대량 삭제(Teams) |
파일 정책 템플릿 | 권한이 없는 도메인과 공유된 파일 검색 개인 전자 메일 주소와 공유된 파일 검색 PII/PCI/PHI를 사용하여 파일 검색 |
OAuth 앱 변칙 검색 정책 | 오해의 소지가 있는 OAuth 앱 이름 OAuth 앱의 잘못된 게시자 이름 악의적인 OAuth 앱 동의 |
정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.
거버넌스 제어 자동화
잠재적인 위협에 대한 모니터링 외에도 다음 Microsoft 365 거버넌스 작업을 적용하고 자동화하여 검색된 위협을 수정할 수 있습니다.
Type | 작업 |
---|---|
데이터 거버넌스 | OneDrive: - 부모 폴더 사용 권한 상속 - 파일/폴더를 비공개로 만들기 - 관리자 격리에 파일/폴더 배치 - 사용자 격리에 파일/폴더 배치 - 휴지통 파일/폴더 - 특정 협력자 제거 - 파일/폴더에서 외부 협력자 제거 - Microsoft Purview Information Protection 민감도 레이블 적용 - Microsoft Purview Information Protection 민감도 레이블 제거 SharePoint: - 부모 폴더 사용 권한 상속 - 파일/폴더를 비공개로 만들기 - 관리자 격리에 파일/폴더 배치 - 사용자 격리에 파일/폴더 배치 - 사용자 격리에 파일/폴더 배치 및 소유자 권한 추가 - 휴지통 파일/폴더 - 파일/폴더에서 외부 협력자 제거 - 특정 협력자 제거 - Microsoft Purview Information Protection 민감도 레이블 적용 - Microsoft Purview Information Protection 민감도 레이블 제거 |
사용자 거버넌스 | - 사용자에게 경고 알림(Microsoft Entra ID를 통해) - 사용자가 다시 로그인하도록 요구(Microsoft Entra ID를 통해) - 사용자 일시 중단(Microsoft Entra ID를 통해) |
OAuth 앱 거버넌스 | - OAuth 앱 권한 취소 |
앱에서 위협을 수정하는 방법에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.
Microsoft 365를 실시간으로 보호
외부 사용자와의 보안 및 공동 작업, 관리되지 않거나 위험한 디바이스에 대한 중요한 데이터 다운로드 차단 및 보호에 대한 모범 사례를 검토합니다.
클라우드용 Defender 앱과 Microsoft 365 통합
클라우드용 Defender 앱은 레거시 Microsoft 365 전용 플랫폼뿐만 아니라 Microsoft 365의 vNext 릴리스 제품군이라고도 하는 Microsoft 365 서비스의 최신 제품을 지원합니다.
경우에 따라 vNext 서비스 릴리스는 표준 Microsoft 365 제품과 관리 수준과 약간 다릅니다.
감사 로깅
클라우드용 Defender 앱은 Microsoft 365의 감사 로그는 지원되는 모든 서비스에서 감사된 모든 이벤트를 수신합니다. 지원되는 서비스 목록은 감사를 지원하는 Microsoft 365 서비스를 참조 하세요.
Microsoft 365에서 기본적으로 사용하도록 설정된 Exchange 관리자 감사 로깅은 관리자(또는 관리자 권한이 할당된 사용자)가 Exchange Online 조직을 변경할 때 Microsoft 365 감사 로그에 이벤트를 기록합니다. Exchange 관리 센터를 사용하거나 Windows PowerShell에서 cmdlet을 실행하여 수행된 변경 작업이 Exchange 관리자 감사 로그에 기록됩니다. Exchange의 관리자 감사 로깅에 대한 자세한 내용은 관리자 감사 로깅을 참조하세요.
Exchange, Power BI 및 Teams의 이벤트는 포털에서 해당 서비스의 활동이 검색된 후에만 표시됩니다.
다중 지역 배포는 OneDrive에 대해서만 지원됩니다.
Microsoft Entra 통합
Microsoft Entra ID가 Active Directory 온-프레미스 환경의 사용자와 자동으로 동기화되도록 설정된 경우 온-프레미스 환경의 설정이 Microsoft Entra 설정을 재정의 하고 사용자 거버넌스 일시 중단 작업의 사용이 되돌려집니다.
Microsoft Entra 로그인 활동의 경우 클라우드용 Defender 앱은 ActiveSync와 같은 레거시 프로토콜의 대화형 로그인 활동 및 로그인 활동만 표시합니다. 비대화형 로그인 활동은 Microsoft Entra 감사 로그에서 볼 수 있습니다.
Office 앱 사용하도록 설정된 경우 Microsoft 365의 일부인 그룹도 특정 Office 앱 클라우드용 Defender 앱으로 가져옵니다. 예를 들어 SharePoint를 사용하는 경우 Microsoft 365 그룹도 SharePoint 그룹으로 가져옵니다.
격리 지원
SharePoint 및 OneDrive에서 클라우드용 Defender 앱은 공유 문서 라이브러리(SharePoint Online)의 파일 및 문서 라이브러리(비즈니스용 OneDrive)의 파일에 대해서만 사용자 격리를 지원합니다.
SharePoint에서 클라우드용 Defender 앱은 영어로 된 경로에 공유 문서가 있는 파일에 대해서만 격리 작업을 지원합니다.
Microsoft 365를 클라우드용 Microsoft Defender 앱에 연결
이 섹션에서는 앱 커넥터 API를 사용하여 클라우드용 Microsoft Defender 앱을 기존 Microsoft 365 계정에 연결하는 지침을 제공합니다. 이 연결을 통해 Microsoft 365 사용을 파악하고 제어할 수 있습니다. 클라우드용 Defender 앱이 Microsoft 365를 보호하는 방법에 대한 자세한 내용은 Microsoft 365 보호를 참조하세요.
이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SSPM(SaaS 보안 상태 관리) 기능에 액세스합니다. 자세히 알아보기.
필수 구성 요소:
Microsoft 365를 클라우드용 Defender 앱에 연결하려면 하나 이상의 할당된 Microsoft 365 라이선스가 있어야 합니다.
클라우드용 Defender 앱에서 Microsoft 365 활동을 모니터링할 수 있도록 하려면 Microsoft Purview에서 감사를 사용하도록 설정해야 합니다.
Exchange Online의 사용자 활동을 기록하기 전에 각 사용자 사서함에 대해 Exchange 사서함 감사 로깅을 켜야 합니다. Exchange 사서함 활동을 참조하세요.
Power BI에서 감사를 사용하도록 설정하여 로그를 가져와야 합니다. 감사를 사용하도록 설정하면 클라우드용 Defender 앱이 로그 가져오기를 시작합니다(24-72시간 지연).
해당 위치에서 로그를 얻으려면 Dynamics 365에서 감사를 사용하도록 설정해야 합니다. 감사를 사용하도록 설정하면 클라우드용 Defender 앱이 로그 가져오기를 시작합니다(24-72시간 지연).
Microsoft 365를 클라우드용 Defender 앱에 연결하려면 다음을 수행합니다.
Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다.
앱 커넥터 페이지에서 +앱 연결, Microsoft 365를 선택합니다.
Microsoft 365 구성 요소 선택 페이지에서 필요한 옵션을 선택한 다음 연결을 선택합니다.
참고 항목
- 최상의 보호를 위해 모든 Microsoft 365 구성 요소를 선택하는 것이 좋습니다.
- Azure AD 파일 구성 요소에는 Azure AD 작업 구성 요소 및 클라우드용 Defender Apps 파일 모니터링이 필요합니다(설정>Cloud Apps>파일>파일 모니터링 사용).
링크 팔로우 페이지에서 Microsoft 365 연결을 선택합니다.
Microsoft 365가 성공적으로 연결된 것으로 표시되면 완료를 선택합니다.
Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다. 연결된 App Connector의 상태가 연결되었는지 확인합니다.
SaaS SSPM(보안 상태 관리) 데이터는 보안 점수 페이지의 Microsoft Defender 포털에 표시됩니다. 자세한 내용은 SaaS 앱에 대한 보안 상태 관리를 참조 하세요.
참고 항목
Microsoft 365를 연결하면 API를 끌어당기는 Microsoft 365에 연결된 타사 응용 프로그램을 포함하여 일주일 후의 데이터가 표시됩니다. 연결 전에 API를 끌어당기지 않은 타사 앱의 경우 클라우드용 Defender 앱이 기본적으로 꺼져 있던 API를 켜기 때문에 Microsoft 365를 연결하는 순간부터 이벤트가 표시됩니다.
앱 연결에 문제가 있는 경우 앱 커넥터 문제 해결을 참조 하세요.
다음 단계
문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.