내부자 위험 관리에 대해 알아보기

중요

Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

Microsoft Purview 내부 위험 관리는 조직 내 악의적이고 부주의한 활동을 감지, 조사하고 조치를 취할 수 있도록 하여 내부 위험을 최소화하는 데 도움이 되는 규정 준수 솔루션입니다. 내부 위험 정책을 사용하면 사례에 대한 조치를 수행하고 필요한 경우 Microsoft eDiscovery(프리미엄)로 사례를 이관하는 등 조직에서 식별 및 감지할 위험 유형을 정의할 수 있습니다. 조직의 위험 분석가는 적절한 조치를 신속하게 수행하여 사용자가 조직의 규정 준수 표준을 준수하도록 할 수 있습니다.

보안 인시던트가 발생할 수 있는 organization 잠재적으로 위험한 활동을 해결하기 위한 계획 프로세스에 대한 자세한 내용과 개요는 내부 위험 관리 프로그램 시작을 참조하세요.

내부 위험 관리가 organization 값, 문화권 및 사용자 환경의 우선 순위를 지정하면서 위험을 방지, 감지 및 포함하는 organization 어떻게 도움이 되는지 알아보려면 아래 비디오를 시청하세요.

내부 위험 관리 솔루션 & 개발:

내부 위험 관리 워크플로:

내부 위험 관리 및 커뮤니케이션 규정 준수가 함께 작동하는 방식에 대한 Microsoft Mechanics 비디오를 확인하여 organization 사용자의 데이터 위험을 최소화합니다.

중요

내부 위험 관리는 현재 Azure 서비스 종속성에서 지원하는 지리적 지역 및 국가에서 호스트되는 테넌트에서 사용할 수 있습니다. organization 내부 위험 관리가 지원되는지 확인하려면 국가/지역별 Azure 종속성 가용성을 참조하세요.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

최신 위험 문제점

조직의 위험을 관리하고 최소화하는 것은 현대적 업무 현장에서 발견되는 위험 유형을 이해하는 것부터 시작합니다. 일부 위험은 직접 제어할 수 없는 외부 이벤트 및 요인에 의해 발생합니다. 다른 위험은 최소화하고 피할 수 있는 내부 이벤트 및 사용자 작업에 의해 발생합니다. 일부 예는 organization 사용자가 불법, 부적절, 무단 또는 비윤리적 행동 및 행동으로 인한 위험입니다. 이러한 동작에는 사용자의 광범위한 내부 위험이 포함됩니다.

• 중요한 데이터 누출 및 데이터 유출
• 기밀 위반
• IP(지적 재산) 도용
• 사기
• 내부자 거래
• 규정 준수 위반

최신 작업 공간의 사용자는 광범위한 플랫폼 및 서비스에서 데이터를 만들고, 관리하고, 공유할 수 있습니다. 대부분의 경우 조직에는 사용자 개인 정보 보호 표준을 충족하는 동시에 organization 전체 위험을 식별하고 완화하는 데 필요한 리소스와 도구가 제한되어 있습니다.

내부자 위험 관리는 다양한 서비스 및 타사 지표를 사용하여 위험 활동을 신속하게 식별하고 심사하고 조치를 수행하는 데 도움이 됩니다. Microsoft 365 및 Microsoft Graph의 로그를 사용하면 내부자 위험 관리를 통해 특정 정책을 정의하여 위험 지표를 식별할 수 있습니다. 이러한 정책을 사용하면 위험한 활동을 식별하고 이러한 위험을 완화하기 위해 조치를 할 수 있습니다.

내부 위험 관리는 다음 원칙을 중심으로 합니다.

• 투명성: 디자인별 개인 정보 보호 아키텍처를 사용하여 사용자 개인 정보 보호와 organization 위험의 균형을 유지합니다.
• 구성 가능: 산업, 지리적 및 비즈니스 그룹을 기반으로 하는 구성 가능한 정책입니다.
• 통합: Microsoft Purview 솔루션 전반의 통합 워크플로.
• 실행 가능: 검토자 알림, 데이터 조사 및 사용자 조사를 사용하도록 설정하는 인사이트를 제공합니다.

분석을 사용하여 잠재적 위험 식별

내부 위험 분석을 사용하면 내부 위험 정책을 구성하지 않고도 조직에서 잠재적인 내부 위험 평가를 수행할 수 있습니다. 이 평가는 organization 더 높은 사용자 위험의 잠재적 영역을 식별하고 구성할 수 있는 내부자 위험 관리 정책의 유형 및 scope 결정하는 데 도움이 될 수 있습니다. 또한 이 평가는 기존 내부 위험 정책의 추가 라이선스 또는 향후 최적화에 대한 요구 사항을 결정하는 데 도움이 될 수 있습니다.

내부 위험 분석에 대한 자세한 내용은 내부 위험 관리 설정: 분석을 참조하세요.

권장 작업 시작(미리 보기)

처음으로 내부자 위험 관리를 설정하든, 새 정책 만들기를 시작하든, 새로운 권장 작업 환경은 내부자 위험 관리 기능을 최대한 활용하는 데 도움이 될 수 있습니다. 권장 작업에는 권한 설정, 정책 지표 선택, 정책 만들기 등이 포함됩니다.

워크플로

내부 위험 관리 워크플로를 사용하면 organization 내부 위험을 식별, 조사 및 조치를 취할 수 있습니다. 중요 정책 템플릿, Microsoft 365 서비스 전반의 포괄적인 활동 신호, 경고 및 사례 관리 도구를 사용하면 실행 가능한 인사이트를 사용하여 위험한 동작을 신속하게 식별하고 조치를 취할 수 있습니다.

내부 위험 활동 및 내부 위험 관리 규정 준수 문제를 식별하고 해결하려면 다음 워크플로를 사용합니다.

정책

내부 위험 관리 정책은 organization 검사되는 트리거 이벤트 및 위험 지표를 정의하는 미리 정의된 템플릿 및 정책 조건을 사용하여 만들어집니다. 이러한 조건에는 경고에 위험 지표를 사용하는 방법, 정책에 포함된 사용자, 우선 순위가 지정된 서비스 및 검색 기간이 포함됩니다.

다음 정책 템플릿 중에서 선택하여 내부자 위험 관리를 빠르게 시작할 수 있습니다.

• 퇴사하는 직원의 데이터 도난
• 데이터 유출
• 우선순위 사용자의 데이터 유출(미리 보기)
• 위험한 사용자에 의한 데이터 유출(미리 보기)
• 보안 정책 위반(미리 보기)
• 퇴사하는 사용자의 보안 정책 위반(미리 보기)
• 위험한 사용자의 보안 정책 위반(미리 보기)
• 우선순위 사용자의 보안 정책 위반(미리 보기)
• 환자 데이터 오용(미리 보기)
• 위험한 브라우저 사용(미리 보기)

경고

경고는 정책 조건과 일치하는 위험 지표에 의해 자동으로 생성되며 경고 dashboard 표시됩니다. 대시보드에서는 검토가 필요한 모든 경고, 시간 경과에 따른 진행 중인 경고 및 조직의 경고 통계를 간단하게 확인할 수 있습니다. 모든 정책 경고는 다음 정보와 함께 표시되어 기존 경고의 상태 작업을 필요로 하는 새 경고의 상태 빠르게 식별할 수 있도록 도와줍니다.

• ID
• 사용자
• 경고
• 상태
• 경고 심각도
• 감지된 시간
• 사례
• 사례 상태
• 위험 요소

심사

조사가 필요한 새 사용자 활동은 검토 필요 상태 할당된 경고를 자동으로 생성합니다. 검토자는 이러한 경고를 신속하게 식별하고 검토, 평가 및 심사할 수 있습니다.

경고는 새 케이스를 열거나, 기존 사례에 경고를 할당하거나, 경고를 해제함으로써 해결됩니다. 경고 필터를 사용하면 상태, 심각도 또는 감지된 시간을 통해 경고를 빠르게 식별할 수 있습니다. 심사 프로세스의 일부로 검토자는 정책으로 식별된 활동에 대한 경고 세부 정보를 보고, 정책 일치와 관련된 사용자 활동을 보고, 경고의 심각도를 확인하고, 사용자 프로필 정보를 검토할 수 있습니다.

조사

사용자 활동 보고서(미리 보기)를 사용하여 선택한 사용자에 대한 모든 위험 활동을 신속하게 조사합니다. 이러한 보고서를 통해 organization 조사관은 내부자 위험 관리 정책에 일시적 또는 명시적으로 할당하지 않고도 정의된 기간 동안 특정 사용자의 활동을 검토할 수 있습니다. 조사자는 사용자의 활동을 검토한 후 개별 활동을 무해한 것으로 기각하거나, 다른 조사자들과 보고서 링크를 공유하거나 전자 메일로 보내거나, 사용자를 내부자 위험 관리 정책에 임시 또는 명시적으로 할당하도록 선택할 수 있습니다.

정책 일치에 대한 활동 세부 정보 및 상황에 대한 심층적인 검토 및 조사가 필요한 경고에 대한 사례가 만들어집니다. 케이스 대시보드는 모든 활성 케이스, 시간 경과에 따른 진행 중인 케이스 및 조직의 케이스 통계에 대한 총괄적인 보기를 제공합니다. 검토자는 상태, 케이스가 열린 날짜 및 사례가 마지막으로 업데이트된 날짜를 통해 사례를 신속하게 필터링할 수 있습니다.

케이스 대시보드에서 케이스를 선택하면 조사 및 검토를 위해 케이스가 열립니다. 이 단계는 내부 위험 관리 워크플로의 핵심입니다. 이 영역에서는 위험 활동, 정책 조건, 경고 세부 정보 및 사용자 세부 정보가 검토자를 위한 통합 보기로 합성됩니다. 이 영역의 기본 조사 도구는 다음과 같습니다.

• 사용자 활동: 사용자 위험 활동은 시간 경과 및 현재 또는 과거 위험 활동에 대한 위험 수준에 따라 활동을 그리는 대화형 차트에 자동으로 표시됩니다. 검토자는 사용자의 전체 위험 기록을 빠르게 필터링하고 보고 특정 활동을 자세히 살펴볼 수 있습니다.
• 콘텐츠 탐색기: 경고 활동과 연결된 모든 데이터 파일 및 전자 메일 메시지가 자동으로 캡처되어 콘텐츠 탐색기에 표시됩니다. 검토자는 데이터 원본, 파일 형식, 태그, 대화 및 더 많은 특성을 기준으로 파일 및 메시지를 필터링하고 볼 수 있습니다.
• 사례 정보: 검토자는 사례 노트 섹션에서 사례에 대한 메모를 제공할 수 있습니다. 이 목록은 모든 노트를 중앙 보기로 통합하고 검토자 및 제출된 날짜 정보를 포함합니다.

또한 새 감사 로그(미리 보기) 를 사용하면 내부자 위험 관리 기능에 대해 수행된 작업에 대한 정보를 계속 파악할 수 있습니다. 이 리소스를 사용하면 하나 이상의 내부자 위험 관리 역할 그룹에 할당된 사용자가 수행한 작업을 독립적으로 검토할 수 있습니다.

작업

사례를 조사한 후 검토자는 신속하게 조치를 통해 사례를 resolve organization 다른 위험 관련자와 공동 작업할 수 있습니다. 사용자가 실수로 또는 실수로 정책 조건을 위반하는 경우 organization 맞게 사용자 지정할 수 있는 알림 템플릿에서 사용자에게 간단한 미리 알림 알림을 보낼 수 있습니다. 이러한 알림은 간단한 미리 알림으로 사용되거나 향후 위험한 동작을 방지하기 위해 사용자에게 교육 또는 지침을 새로 고치도록 지시할 수 있습니다. 자세한 내용은 내부 위험 관리 알림 템플릿을 참조하세요.

더 심각한 상황에서는 organization 다른 검토자 또는 서비스와 내부자 위험 관리 사례 정보를 공유해야 할 수 있습니다. 내부자 위험 관리는 종단 간 위험 해결을 돕기 위해 다른 Microsoft Purview 솔루션과 긴밀하게 통합됩니다.

• eDiscovery(프리미엄): 조사를 위해 사례를 에스컬레이션하면 케이스의 데이터 및 관리를 Microsoft Purview eDiscovery(프리미엄)으로 전송할 수 있습니다. eDiscovery(프리미엄)는 조직의 내부 및 외부 조사에 대한 반응형 콘텐츠를 보존, 수집, 검토, 분석 및 내보내는 데 사용할 수 있는 엔드투엔드 워크플로를 제공합니다. 이를 통해 법률 팀이 법적 보존 알림 워크플로 전반을 관리할 수 있습니다. eDiscovery(프리미엄) 사례에 대한 자세한 내용은 Microsoft Purview eDiscovery 개요(프리미엄)를 참조하세요.
• Office 365 관리 API 통합(미리 보기): 내부자 위험 관리는 Office 365 관리 API를 통해 SIEM(보안 정보 및 이벤트 관리) 서비스로 경고 정보를 내보내는 것을 지원합니다. organization 위험 프로세스에 가장 적합한 플랫폼의 경고 정보에 액세스하면 위험 활동에 대한 조치를 보다 유연하게 수행할 수 있습니다. Office 365 관리 API를 사용하여 경고 정보를 내보내는 방법에 대한 자세한 내용은 경고 내보내기를 참조하세요.

시나리오

내부자 위험 관리는 다음과 같은 몇 가지 일반적인 시나리오에서 organization 내부 위험을 감지, 조사 및 완화하기 위한 조치를 취하는 데 도움이 될 수 있습니다.

퇴사하는 직원의 데이터 도난

사용자가 자발적으로 또는 종료 결과로 organization 떠날 때 회사, 고객 및 사용자 데이터가 위험에 처해 있다는 합법적인 우려가 있는 경우가 많습니다. 사용자는 프로젝트 데이터가 독점이 아니라고 무고하게 가정하거나 개인 이익을 위해 회사 데이터를 가져와 회사 정책 및 법적 기준을 위반하려는 유혹을 받을 수 있습니다. 퇴사하여 데이터 도난을 사용하는 내부자 위험 관리 정책 템플릿은 일반적으로 이러한 유형의 도난과 관련된 활동을 자동으로 검색합니다. 이 정책을 사용하면 적절한 조사 작업을 수행할 수 있도록 사용자를 출발하여 데이터 도난과 관련된 의심스러운 활동에 대한 경고를 자동으로 받게 됩니다. 이 정책 템플릿에는 organization 대한 Microsoft 365 HR 커넥터를 구성해야 합니다.

중요한 정보 또는 기밀 정보의 의도적이거나 의도하지 않은 유출

대부분의 경우 사용자는 중요한 정보 또는 기밀 정보를 적절하게 처리하기 위해 최선을 다합니다. 그러나 때때로 사용자가 실수를 할 수 있으며 정보가 실수로 organization 외부에서 공유되거나 정보 보호 정책을 위반하는 경우가 있습니다. 다른 상황에서 사용자는 악의적인 의도와 잠재적인 개인 이익을 위해 의도적으로 중요한 기밀 정보를 유출하거나 공유할 수 있습니다. 다음 데이터 누수 정책 템플릿을 사용하여 만든 내부 위험 관리 정책은 일반적으로 중요한 정보 또는 기밀 정보 공유와 관련된 활동을 자동으로 검색합니다.

• 데이터 유출
• 우선순위 사용자의 데이터 유출(미리 보기)
• 위험한 사용자에 의한 데이터 유출(미리 보기)

의도적이거나 의도하지 않은 보안 정책 위반(미리 보기)

사용자는 일반적으로 최신 작업 공간에서 디바이스를 관리할 때 많은 수준의 제어를 갖습니다. 이 컨트롤에는 업무 수행에 필요한 애플리케이션을 설치하거나 제거하는 권한 또는 디바이스 보안 기능을 일시적으로 사용하지 않도록 설정하는 기능이 포함될 수 있습니다. 이 위험 활동이 우발적이거나 우발적이거나 악의적이든 관계없이 이 행위는 organization 위험을 초래할 수 있으며 최소화하기 위해 식별하고 조치를 취하는 것이 중요합니다. 이러한 위험한 보안 활동을 식별하기 위해 다음 내부 위험 관리 보안 정책 위반 템플릿은 보안 위험 지표를 점수로 지정하고 엔드포인트용 Microsoft Defender 경고를 사용하여 보안 관련 활동에 대한 인사이트를 제공합니다.

• 보안 정책 위반(미리 보기)
• 퇴사하는 사용자의 보안 정책 위반(미리 보기)
• 우선순위 사용자의 보안 정책 위반(미리 보기)
• 위험한 사용자의 보안 정책 위반(미리 보기)

위치, 액세스 수준 또는 위험 기록을 기반으로 하는 사용자에 대한 정책(미리 보기)

organization 사용자는 자신의 위치, 중요한 정보에 대한 액세스 수준 또는 위험 기록에 따라 위험 수준이 다를 수 있습니다. 이 구조에는 organization 경영진 팀 구성원, 광범위한 데이터 및 네트워크 액세스 권한이 있는 IT 관리자 또는 위험한 활동의 과거 기록이 있는 사용자가 포함될 수 있습니다. 이러한 상황에서는 조사 및 신속한 조치를 위해 경고를 노출하는 데 도움이 되도록 면밀한 검사와 보다 공격적인 위험 채점이 중요합니다. 이러한 유형의 사용자에 대한 위험한 활동을 식별하기 위해 우선 순위 사용자 그룹을 만들고 다음 정책 템플릿에서 정책을 만들 수 있습니다.

• 우선순위 사용자의 보안 정책 위반(미리 보기)
• 우선순위 사용자의 데이터 유출(미리 보기)

의료(미리 보기)

의료 산업의 조직에 대 한, 최근 연구 내부자 관련 데이터 위반의 매우 높은 비율을 발견 했습니다. 환자 데이터 및 건강 기록 정보의 오용 감지는 환자 개인 정보를 보호하고 HIPAA(Health Insurance Portability and Accountability Act) 및 HITECH(Health Information Technology for Economic and Clinical Health) Act와 같은 규정 준수 규정을 준수하는 중요한 구성 요소입니다. 환자 데이터 오용은 권한 있는 환자 기록에 액세스하는 것부터 악의적인 의도를 가진 가족 또는 이웃의 환자 기록에 액세스하는 것까지 다양할 수 있습니다. 이러한 유형의 위험한 활동을 식별하기 위해 다음 내부 위험 관리 정책 템플릿은 Microsoft 365 HR 커넥터 및 의료 관련 데이터 커넥터를 사용하여 EHR(전자 히스 레코드) 시스템 내에서 발생할 수 있는 동작과 관련된 위험 지표 점수 매기기를 시작합니다.

• 환자 데이터 오용(미리 보기)

위험한 사용자의 작업 및 동작(미리 보기)

고용 스트레스 이벤트 는 내부자 위험과 관련된 여러 가지 방법으로 사용자 행동에 영향을 미칠 수 있습니다. 이러한 스트레스 요인은 성능 저하 검토, 위치 강등 또는 성능 검토 계획에 배치되는 사용자일 수 있습니다. 스트레스 요인으로 인해 전자 메일 및 기타 메시지에서 잠재적으로 위협적이거나 괴롭히거나 차별적인 언어를 보내는 사용자와 같은 잠재적으로 부적절한 동작이 발생할 수 있습니다. 대부분의 사용자는 이러한 이벤트에 악의적으로 응답하지 않지만 이러한 작업의 스트레스로 인해 일부 사용자는 정상적인 상황에서 일반적으로 고려하지 않을 수 있는 방식으로 동작할 수 있습니다. 이러한 유형의 잠재적으로 위험한 활동을 식별하기 위해 다음 내부 위험 관리 정책 템플릿은 HR 커넥터 및/또는 전용 커뮤니케이션 규정 준수 정책과 통합하여 사용자를 내부자 위험 관리 정책에 대한 scope 가져오고 발생할 수 있는 동작과 관련된 위험 지표 점수 매기기를 시작할 수 있습니다.

• 위험한 사용자에 의한 데이터 유출(미리 보기)
• 위험한 사용자의 보안 정책 위반(미리 보기)

법의학적 증거가 있는 잠재적으로 위험한 사용자 활동에 대한 시각적 컨텍스트

시각적 컨텍스트를 갖는 것은 보안 인시던트로 이어질 수 있는 잠재적으로 위험한 사용자 활동에 대한 더 나은 인사이트를 얻기 위해 포렌식 조사 중에 보안 팀에 매우 중요합니다. 여기에는 실제로 위험하거나 컨텍스트에서 벗어났으며 잠재적으로 위험하지 않은지 평가하는 데 도움이 되는 이러한 활동의 시각적 캡처가 포함될 수 있습니다. 위험하다고 판단되는 활동의 경우 법의학적 증거 캡처를 사용하면 조사자와 organization 이러한 활동을 더 잘 완화, 이해 및 대응하는 데 도움이 될 수 있습니다. 이 시나리오에 도움이 되도록 organization 온라인 및 오프라인 디바이스에 대한 포렌식 증거 캡처를 사용하도록 설정합니다.

시작할 준비가 되셨나요?

• 내부 위험 관리 계획을 참조하여 organization 내부자 위험 관리 정책을 사용하도록 설정할 준비를 참조하세요.
• 내부 위험 정책에 대한 전역 설정 구성은 내부 위험 관리 설정 시작을 참조하세요.
• 필수 구성 요소를 구성하고, 정책을 만들고, 경고 수신을 시작하려면 내부 위험 관리 시작을 참조하세요.