검색된 앱 사용

  • 아티클

Cloud Discovery 대시보드는 조직에서 클라우드 앱이 어떻게 사용되는지를 효과적으로 파악할 수 있도록 설계되었습니다. 어떤 종류의 앱이 사용되고 있는지, 열려 있는 경고 및 조직의 앱 위험 수준에 대한 개요를 한눈에 볼 수 있습니다. 또한 최고의 앱 사용자를 확인할 수 있으며 앱 본사 위치 지도를 제공합니다. Cloud Discovery 대시보드에는 데이터를 필터링하는 여러 가지 옵션이 있습니다. 필터링을 사용하면 이해하기 쉬운 그래픽을 사용하여 한 눈에 전체 그림을 그릴 수 있는 가장 관심 있는 항목에 따라 특정 보기를 생성할 수 있습니다. 자세한 내용은 검색된 앱 필터를 참조 하세요.

cloud discovery dashboard.

Cloud Discovery 대시보드 검토

Cloud Discovery 앱의 일반적인 그림을 가져오려면 먼저 Cloud Discovery 대시보드에서 다음 정보를 검토해야 합니다.

  1. 먼저 개략적인 사용 개요에서 조직의 전체적인 클라우드 앱 사용을 살펴봅니다.

  2. 그런 다음 한 단계 더 깊이 들어가서, 각각의 사용 매개 변수에 대해 조직에서 가장 많이 사용하는 범주가 무엇인지를 확인합니다. 사용 권한 앱별로 사용량을 확인할 수 있습니다.

  3. 더 깊이 들어가 검색된 앱 탭에서 특정 범주의 모든 앱을 확인합니다.

  4. 주요 사용자 및 원본 IP 주소를 확인하여 어떤 사용자들이 조직에서 클라우드 앱을 가장 많이 사용하는지를 파악할 수 있습니다.

  5. 앱 본부 맵에서 검색된 앱이 지리적 위치에 어떻게 분산되어 있는지(HQ에 따라) 확인합니다.

  6. 마지막으로 앱 위험 개요에서 검색된 앱의 위험 점수를 검토하세요. 검색 알림 상태를 확인하여 몇 개의 미확인 알림을 조사해야 하는지 알아봅니다.

검색된 앱 심층 분석

Cloud Discovery에서 제공하는 데이터를 심층 분석하려면 필터를 사용하여 위험한 앱과 일반적으로 사용되는 앱을 검토합니다.

예를 들어 일반적으로 사용되는 위험한 클라우드 스토리지 및 협업 앱을 식별하려면 검색된 앱 페이지를 사용하여 원하는 앱을 필터링합니다. 그런 후에, 다음과 같이 사용 권한을 취소하거나 앱을 차단할 수 있습니다.

  1. 검색된 앱 페이지의 범주별로 찾아보기에서 클라우드 스토리지협업을 둘 다 선택합니다.

  2. 그런 다음 고급 필터를 사용하고 준수 위험 요소를 SOC 2가 아니요설정합니다.

  3. 사용량의 경우 사용자를 50명 이상으로 설정하고 트랜잭션을 100보다 크게 설정합니다.

  4. 미사용 데이터 암호화에 대한 보안 위험 요인지원되지 않음과 동일하게 설정합니다. 그런 다음, 위험 점수를 6 이하로 설정합니다.

    Discovered app filters.

결과가 필터링된 후 [대량 작업] 확인란을 사용하여 하나의 작업으로 모든 앱의 사용 권한을 취소하는 방식으로 앱의 사용 권한을 취소하거나 앱을 차단할 수 있습니다. 사용 권한이 취소된 후 차단 스크립트를 사용하여 앱이 환경에서 사용되지 않도록 차단할 수 있습니다.

Cloud Discovery를 사용하면 조직의 클라우드 사용량을 더욱 심층 분석할 수 있습니다. 검색된 하위 도메인을 조사하여 사용 중인 특정 인스턴스를 식별할 수 있습니다.

예를 들어 여러 SharePoint 사이트를 구분할 수 있습니다.

Subdomain filter.

참고 항목

검색된 앱에 대한 심층 분석 내용은 대상 URL 데이터가 포함된 방화벽 및 프록시에서만 지원됩니다. 자세한 내용은 지원되는 방화벽 및 프록시를 참조 하세요.

클라우드용 Defender 앱이 앱 카탈로그에 저장된 데이터와 트래픽 로그에서 검색된 하위 기본 일치시킬 수 없는 경우 하위 기본 기타태그가 지정됩니다.

리소스 및 사용자 지정 앱 검색

Cloud Discovery를 사용하면 IaaS 및 PaaS 리소스를 심층 분석할 수도 있습니다. Azure, Google Cloud Platform 및 AWS에서 호스트되는 스토리지 계정, 인프라 및 사용자 지정 앱을 포함하여 자체 호스팅 앱 및 리소스에서 데이터에 대한 액세스를 확인하여 리소스 호스팅 플랫폼에서 활동을 검색할 수 있습니다. IaaS 솔루션에서 전체 사용량을 볼 수 있는 것은 물론, 각 솔루션에서 호스트되는 특정 리소스와 리소스의 전체 사용량을 파악하여 리소스당 위험을 완화할 수 있습니다.

예를 들어 클라우드용 Defender 앱에서 많은 데이터가 업로드되는 경우와 같은 활동을 모니터링할 수 있으며, 업로드된 리소스를 검색하고 드릴다운하여 누가 활동을 수행했는지 확인할 수 있습니다.

참고 항목

Cloud Discovery는 대상 URL 데이터를 포함하는 방화벽 및 프록시에서만 지원됩니다. 자세한 내용은 지원되는 방화벽 및 프록시에서 지원되는 어플라이언스 목록을 참조하세요.

검색된 리소스를 보려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색을 선택합니다. 그런 다음 검색된 리소스 탭을 선택합니다.

    Discovered resources menu.

  2. 검색된 리소스 페이지에서 각 리소스를 드릴다운하여 어떤 종류의 트랜잭션이 발생했는지, 누가 액세스했는지 확인하고, 드릴다운하여 사용자를 더 자세히 조사할 수 있습니다.

    Discovery resources.

  3. 사용자 지정 앱의 경우 행 끝에 있는 세 개의 단추를 선택하고 새 사용자 지정 앱 추가를 선택할 수 있습니다. 그러면 Cloud Discovery 대시보드에 포함할 수 있도록 앱 의 이름을 지정하고 식별할 수 있는 이 앱 추가 창이 열립니다.

Cloud Discovery 임원 보고서 생성

조직에서 Shadow IT를 사용하는 개요를 가져오는 가장 좋은 방법은 Cloud Discovery 임원 보고서를 생성하는 것입니다. 이 보고서는 잠재적인 상위 위험을 식별하고 위험을 해결할 때까지 완화하고 관리하는 워크플로를 계획하는 데 도움이 됩니다.

Cloud Discovery 임원 보고서를 생성하려면:

  1. Cloud Discovery 대시보드에서 대시보드의 오른쪽 위 모서리에 있는 작업을 선택한 다음 Cloud Discovery 임원 보고서 생성을 선택합니다.

  2. 필요에 따라 보고서 이름을 변경합니다.

  3. 생성을 선택합니다.

엔터티 제외

시스템 사용자, IP 주소 또는 시끄럽지만 관심이 없는 디바이스 또는 섀도 IT 보고서에 표시되지 않아야 하는 엔터티가 있는 경우 분석되는 Cloud Discovery 데이터에서 해당 데이터를 제외할 수 있습니다. 예를 들어 로컬 호스트에서 발생하는 모든 정보를 제외할 수 있습니다.

제외 항목을 만들려면

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. Cloud Discovery에서 엔터티 제외 탭을 선택합니다.

  3. 제외된 사용자, 제외된 그룹, 제외된 IP 주소 또는 제외된 디바이스 탭을 선택하고 +추가 단추를 선택하여 제외를 추가합니다.

  4. 사용자 별칭, IP 주소 또는 디바이스 이름을 추가합니다. 제외된 이유에 대한 정보를 추가하는 것이 좋습니다.

    exclude user.

참고 항목

엔터티 제외는 새로 받은 데이터에 적용됩니다. 제외된 엔터티의 기록 데이터는 보존 기간(90일)을 통해 다시 기본.

연속 보고서 관리

사용자 지정 연속 보고서는 조직의 Cloud Discovery 로그 데이터를 모니터링할 때 더 많은 세분성을 제공합니다. 사용자 지정 보고서를 만들면 특정 지리적 위치, 네트워크 및 사이트 또는 조직 단위를 필터링할 수 있습니다. 기본적으로 다음과 같은 보고서만 Cloud Discovery 보고서 선택기에 표시 됩니다.

  • 전역 보고서는 로그에 포함한 모든 데이터 원본의 모든 정보를 포털에서 통합합니다. 전역 보고서에는 엔드포인트용 Microsoft Defender 데이터가 포함되지 않습니다.

  • 데이터 원본 특정 보고서는 특정 데이터 원본의 정보만 표시합니다.

새 연속 보고서를 만들려면

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. Cloud Discovery에서 연속 보고서를 선택합니다.

  3. 보고서 만들기 단추를 선택합니다.

  4. 보고서 이름을 입력합니다.

  5. 포함할 데이터 원본을 선택합니다(모두 또는 특정).

  6. 데이터에서 원하는 필터를 설정합니다. 이러한 필터는 사용자 그룹, IP 주소 태그 또는 IP 주소 범위일 수 있습니다. IP 주소 태그 및 IP 주소 범위 작업에 대한 자세한 내용은 요구에 따라 데이터 구성을 참조하세요.

    create custom continuous report.

참고 항목

모든 사용자 지정 보고서는 최대 1GB의 압축되지 않은 데이터로 제한됩니다. 데이터가 1GB를 초과하면 데이터의 처음 1GB를 보고서로 내보냅니다.

클라우드 검색 데이터 삭제

다양한 이유로 클라우드 검색 데이터를 삭제할 수 있습니다. 다음과 같은 경우 삭제하는 것이 좋습니다.

  • 로그 파일을 수동으로 업로드했으며 시스템을 새 로그 파일로 업데이트하기 전에 오랜 시간이 경과하여 이전 데이터가 결과에 영향을 주지 않도록 하려는 경우

  • 새 사용자 지정 데이터 보기를 설정하면 해당 시점 이후의 새 데이터에만 적용됩니다. 따라서 이전 데이터를 지운 다음, 로그 파일을 다시 업로드하여 사용자 지정 데이터 보기가 로그 파일 데이터에서 이벤트를 선택할 수 있게 하는 것이 좋습니다.

  • 많은 사용자 또는 IP 주소가 일정 시간 동안 오프라인 상태였다가 최근에 작업을 다시 시작한 경우 해당 활동이 비정상적인 것으로 식별되어 잘못된 가양성 위반을 초래할 수 있습니다.

클라우드 검색 데이터를 삭제하려면

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. Cloud Discovery에서 데이터 삭제 탭을 선택합니다.

    계속하기 전에 데이터를 삭제할 것인지 확인하는 것이 좋습니다. 이 작업은 실행 취소할 수 없으며 시스템의 모든 Cloud Discovery 데이터가 삭제됩니다.

  3. 삭제 버튼을 선택합니다.

    delete data.

    참고 항목

    삭제 프로세스는 몇 분 정도 걸리며 즉시 적용되지 않습니다.

다음 단계

Cloud Discovery 스냅샷 보고서 만들기

연속 보고서에 대한 자동 로그 업로드 구성

Cloud Discovery 데이터 작업

엔드포인트용 Microsoft Defender 통합을 사용하여 앱 검색