다른 솔루션과 내부 위험 관리 데이터 공유

중요

Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

다음 방법 중 하나로 내부 위험 관리의 데이터를 공유할 수 있습니다.

• SIEM 솔루션으로 경고 정보 내보내기
• Microsoft Defender 및 Microsoft Purview DLP(데이터 손실 방지) 경고와 사용자 위험 심각도 수준 공유

SIEM 솔루션으로 경고 정보 내보내기

Microsoft Purview 내부 위험 관리 경고 정보는 Office 365 관리 활동 API 스키마를 사용하여 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션으로 내보낼 수 있습니다. Office 365 관리 활동 API를 사용하여 organization 내부자 위험 정보를 관리하거나 집계하는 데 사용할 수 있는 다른 애플리케이션으로 경고 정보를 내보낼 수 있습니다. 경고 정보는 Office 365 관리 활동 API를 통해 60분마다 내보내지고 사용할 수 있습니다.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

organization Microsoft Sentinel을 사용하는 경우 기본 제공 내부 위험 관리 데이터 커넥터를 사용하여 내부 위험 경고 정보를 Sentinel로 가져올 수도 있습니다. 자세한 내용은 Microsoft Sentinel 문서의 참가자 위험 관리를 참조하세요.

중요

Microsoft 365 또는 기타 시스템에서 내부 위험 경고 또는 사례가 있는 사용자의 참조 무결성을 유지하기 위해 내보내기 API를 사용하거나 Microsoft Purview eDiscovery 솔루션으로 내보낼 때 내보낸 경고에 대해서는 사용자 이름 익명화가 유지되지 않습니다. 내보낸 경고는 이 경우 각 경고에 대한 사용자 이름을 표시합니다. 경고 또는 사례에서 CSV 파일로 내보내는 경우 익명화 가 유지됩니다 .

API를 사용하여 내부 위험 경고 정보 검토

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털 참조하세요.

Microsoft Purview 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
2. 페이지의 오른쪽 위 모서리에 있는 설정 단추를 선택합니다.
3. 내부 위험 관리를 선택하여 내부 위험 관리 설정으로 이동합니다.
4. 경고 내보내기 를 선택합니다. 기본적으로 이 설정은 Microsoft 365 organization 사용할 수 없습니다.
5. 설정을 켜기로 설정합니다.
6. SecurityComplianceAlerts를 통해 일반적인 Office 365 감사 활동을 필터링합니다.
7. InsiderRiskManagement 범주별로 SecurityComplianceAlerts를 필터링합니다.

규정 준수 포털

1. Microsoft 365 organization 관리자 계정에 대한 자격 증명을 사용하여 준수 포털에 로그인합니다.

2. 설정 단추를 선택합니다.

3. 경고 내보내기 를 선택합니다. 기본적으로 이 설정은 Microsoft 365 organization 사용할 수 없습니다.

4. 설정을 켜기로 설정합니다.

5. SecurityComplianceAlerts를 통해 일반적인 Office 365 감사 활동을 필터링합니다.

6. InsiderRiskManagement 범주별로 SecurityComplianceAlerts를 필터링합니다.

   

경고 정보에는 보안 및 규정 준수 경고 스키마 및 Office 365 관리 활동 API 공통 스키마의 정보가 포함됩니다.

보안 및 규정 준수 경고 스키마에 대한 내부 위험 관리 경고에 대해 다음 필드와 값을 내보냅니다.

경고 매개 변수	설명
AlertType	경고 유형은 사용자 지정입니다.
AlertId	경고의 GUID입니다. 내부 위험 관리 경고는 변경할 수 있습니다. 경고 상태 변경되면 동일한 AlertID가 있는 새 로그가 생성됩니다. 이 AlertID는 경고에 대한 업데이트의 상관 관계를 지정하는 데 사용할 수 있습니다.
범주	경고의 범주는 InsiderRiskManagement입니다. 이 범주는 이러한 경고를 다른 보안 및 규정 준수 경고와 구별하는 데 사용할 수 있습니다.
설명	경고에 대한 기본 주석입니다. 값은 새 경고 (경고를 만들 때 기록됨) 및 경고 업데이트 됨(경고 업데이트가 있을 때 기록됨)입니다. AlertID를 사용하여 경고에 대한 업데이트의 상관 관계를 지정합니다.
데이터	경고에 대한 데이터에는 고유한 사용자 ID, 사용자 계정 이름 및 사용자가 정책으로 트리거된 날짜 및 시간(UTC)이 포함됩니다.
이름	경고를 생성한 내부 위험 관리 정책의 정책 이름입니다.
PolicyId	경고를 트리거한 내부 위험 관리 정책의 GUID입니다.
심각도	경고의 심각도입니다. 값은 높음, 중간 또는 낮음입니다.
원본	경고의 원본입니다. 값은 보안 & 규정 준수를 Office 365.
상태	경고의 상태. 값은 활성 (내부자 위험의 검토 필요 ), 조사 (내부자 위험에서 확인 됨), 해결됨 (내부자 위험에서 해결됨 ), 해제됨 (내부자 위험에서 해제됨 )입니다.
버전	보안 및 규정 준수 경고 스키마의 버전입니다.

다음 필드와 값은 Office 365 관리 활동 API 일반 스키마에 대한 내부자 위험 관리 경고에 대해 내보내집니다.

• UserId
• Id
• RecordType
• CreationTime
• 작업
• OrganizationId
• UserType
• UserKey

Microsoft Defender 및 DLP 경고와 사용자 위험 심각도 수준 공유

내부자 위험 관리에서 사용자 위험 심각도 수준을 공유하여 고유한 사용자 컨텍스트를 Microsoft Defender 및 Microsoft Purview DLP(데이터 손실 방지) 경고로 가져올 수 있습니다. 내부 위험 관리는 90-120일 동안의 사용자 활동을 분석하고 해당 기간 동안 비정상적인 동작을 찾습니다. 이 데이터를 Microsoft Defender 및 DLP 경고에 추가하면 분석가가 경고의 우선 순위를 지정할 수 있도록 이러한 솔루션에서 사용할 수 있는 데이터가 향상됩니다.

내부자 위험 관리 사용자 위험 심각도 수준을 공유하면 어떻게 되나요?

Microsoft Defender

• 내부 위험 관리에서 높거나 중간 수준의 내부자 위험 수준이 있는 사용자를 위해 Microsoft Defender DLP 인시던트 페이지의 영향을 받은 자산 섹션에 내부 위험 심각도 필드가 추가됩니다. 사용자에게 낮은 내부자 위험 수준이 있는 경우 인시던트 페이지에 아무것도 추가되지 않습니다. 이렇게 하면 분석가가 가장 위험한 사용자 활동에 집중할 수 있도록 방해가 최소화됩니다.

• 영향을 받은 자산 섹션에서 내부 위험 수준을 선택하여 해당 사용자에 대한 내부자 위험 활동 요약 및 활동 타임라인 볼 수 있습니다. 최대 120일의 분석을 수행하면 분석가가 사용자 활동의 전반적인 위험성을 결정하는 데 도움이 될 수 있습니다.

• DLP 정책 일치 페이지에서 DLP 이벤트를 선택하면 정책과 일치하는 모든 사용자를 보여 주는 영향을 받은 엔터티 섹션이 DLP 정책 일치 섹션에 표시됩니다.

DLP 경고

• DLP 경고와 연결된 내부 위험 관리 정책의 경우 높음, 중간, 낮음 또는 없음 값이 있는 참가자 위험 심각도 열이 DLP 경고 큐에 추가됩니다. 정책과 일치하는 활동을 가진 여러 사용자가 있는 경우 내부자 위험 수준이 가장 높은 사용자가 표시됩니다.

  None 값은 다음 중 하나를 의미할 수 있습니다.

  • 사용자는 내부자 위험 관리 정책의 일부가 아닙니다.

  • 사용자는 내부 위험 관리 정책의 일부이지만 정책의 scope 가져오기 위해 위험한 활동을 수행하지 않았습니다(반출 데이터가 없음).

• DLP 경고 큐에서 내부 위험 수준을 선택하여 지난 90-120일 동안 해당 사용자의 모든 반출 활동의 타임라인 보여 주는 사용자 활동 요약 탭에 액세스할 수 있습니다. DLP 경고 큐와 마찬가지로 사용자 활동 요약 탭에는 참가자 위험 수준이 가장 높은 사용자가 표시됩니다. 사용자가 지난 90~120일 동안 수행한 작업을 자세히 파악하면 해당 사용자가 제시한 위험에 대한 광범위한 보기를 제공합니다.

  반출 지표의 데이터만 사용자 활동 요약에 표시됩니다. HR, 검색 등과 같은 다른 중요한 지표의 데이터는 DLP 경고와 공유되지 않습니다.

• 행위자 세부 정보 섹션이 DLP 경고 세부 정보 페이지에 추가됩니다. 이 페이지를 사용하여 특정 DLP 경고에 관련된 모든 사용자를 볼 수 있습니다. DLP 경고에 관련된 각 사용자에 대해 지난 90~120일 동안의 모든 반출 활동을 볼 수 있습니다.

• DLP 경고에서 Copilot for Security 요약 가져오기 단추를 선택하면 Microsoft Copilot for Security 제공하는 경고 요약에는 내부자 위험 관리 정책의 scope 경우 DLP 요약 정보 외에도 내부자 위험 관리 심각도 수준이 포함됩니다.

  팁

  Copilot for Security 사용하여 DLP 경고를 조사할 수도 있습니다. 내부 위험 관리 데이터 공유 설정이 켜져 있는 경우 결합된 DLP/내부자 위험 관리 조사를 수행할 수 있습니다. 예를 들어 먼저 Copilot에게 DLP 경고를 요약하도록 요청한 다음 Copilot에 경고에 플래그가 지정된 사용자와 연결된 내부 위험 수준을 표시하도록 요청할 수 있습니다. 또는 사용자가 고위험 사용자로 간주되는 이유를 물어볼 수 있습니다. 이 경우 사용자 위험 정보는 내부 위험 관리에서 가져옵니다. Copilot for Security 내부 위험 관리를 DLP와 원활하게 통합하여 조사를 지원합니다. 결합된 DLP/내부자 위험 관리 조사를 위해 독립 실행형 버전의 Copilot를 사용하는 방법에 대해 자세히 알아봅니다.

필수 구성 요소

Microsoft Defender 및 DLP 경고와 내부자 위험 관리 내부자 위험 수준을 공유하려면 다음을 수행합니다.

• 내부 위험 관리 정책의 일부여야 합니다.
• 사용자를 정책의 scope 가져오는 반출 활동을 수행해야 합니다.

참고

Microsoft Purview 및/또는 Microsoft Defender DLP 경고에 액세스할 수 있는 경우 해당 솔루션과 공유된 내부자 위험 관리에서 사용자 컨텍스트를 볼 수 있습니다.

Microsoft Defender 및 DLP 경고와 데이터 공유

단일 설정을 켜면 내부자 위험 관리 사용자 위험 심각도 수준을 Microsoft Defender 및 DLP 경고와 공유할 수 있습니다.

1. 내부 위험 관리 설정에서 데이터 공유 설정을 선택합니다.
2. Microsoft Defender XDR(미리 보기)와 데이터 공유 섹션에서 설정을 켭니다.

참고

이 설정을 켜지 않으면 DLP 경고 참가자 위험 심각도 열에 표시되는 값은 "사용자 데이터를 사용할 수 없음"입니다.

참고 항목

• Microsoft 365 Defender XDR 데이터 손실 방지 경고 조사
• 데이터 손실 방지 경고 조사에 대해 알아보기
• 데이터 손실 방지 경고 dashboard 시작