Power BI 구현 계획: Power BI용 클라우드용 Defender 앱

  • 아티클

참고 항목

이 문서는 Power BI 구현 계획 시리즈의 일부를 구성합니다. 이 시리즈는 주로 Microsoft Fabric 내의 Power BI 워크로드에 중점을 둡니다. 시리즈에 대한 소개는 Power BI 구현 계획을 참조하세요.

이 문서에서는 Power BI 모니터링과 관련된 클라우드용 Defender 앱 구현과 관련된 계획 활동에 대해 설명합니다. 대상은 다음과 같습니다.

  • Power BI 관리자: 조직의 Power BI를 감독할 책임이 있는 관리자입니다. Power BI 관리자는 정보 보안 및 기타 관련 팀과 협력해서 작업해야 합니다.
  • 최고 전문가 조직, IT 및 BI 팀: 조직에서 Power BI의 감독을 담당하는 집단으로, Power BI 관리자, 정보 보안 팀 및 기타 관련 팀과 공동 작업해야 하는 경우가 있을 수 있습니다.

Important

모니터링 및 DLP(데이터 손실 방지)는 조직 전체에서 수행하는 중요한 작업입니다. 해당 범위와 영향은 Power BI만 사용할 때보다 훨씬 큽니다. 이러한 유형의 이니셔티브에는 자금 조달, 우선 순위 지정 및 계획이 필요합니다. 계획, 사용, 감독 활동에 여러 직무의 팀이 참여해야 합니다.

Power BI 모니터링을 위해 클라우드용 Defender 앱을 롤아웃하는 점진적인 단계적 접근 방식을 따르는 것이 좋습니다. 고려해야 할 롤아웃 단계 유형에 대한 설명은 Power BI에 대한 정보 보호(롤아웃 단계)를 참조하세요.

모니터링 목적

클라우드용 Microsoft Defender 앱(이전의 Microsoft Cloud App Security)은 다양한 배포 모드를 지원하는 CASB(클라우드 액세스 보안 브로커)입니다. 이 문서의 범위를 벗어나는 광범위한 기능 집합이 있습니다. 일부 기능은 실시간이지만 실시간이 아닌 기능도 있습니다.

다음은 구현할 수 있는 실시간 모니터링의 몇 가지 예입니다.

  • Power BI 서비스 다운로드 차단: 특정 유형의 사용자 활동을 차단하는 세션 정책을 만들 수 있습니다. 예를 들어 사용자가 매우 제한됨 민감도 레이블이 할당된 Power BI 서비스 보고서를 다운로드하려고 하면 다운로드 작업을 실시간으로 차단할 수 있습니다.
  • 관리되지 않는 디바이스에서 Power BI 서비스 대한 액세스 차단: 사용자가 관리되는 디바이스를 사용하지 않는 한 특정 애플리케이션에 액세스하지 못하도록 하는 액세스 정책을 만들 수 있습니다. 예를 들어 사용자가 개인 휴대폰에서 Power BI 서비스 액세스하려고 하면 작업이 차단될 수 있습니다.

다음은 실시간이 아닌 다른 기능의 몇 가지 예입니다.

  • Power BI 서비스 특정 활동 검색 및 경고: 특정 유형의 활동이 발생할 때 경고를 생성하는 활동 정책을 만들 수 있습니다. 예를 들어 Power BI 서비스 관리 활동이 발생하면(테넌트 설정이 변경되었음을 나타냄) 이메일 경고를 받을 수 있습니다.
  • 고급 보안 활동 모니터링: 로그인 및 보안 활동, 변칙 및 위반을 보고 모니터링할 수 있습니다. 의심스러운 활동, 예기치 않은 위치 또는 새 위치와 같은 상황에 대한 경고가 발생할 수 있습니다.
  • 사용자 활동 모니터링: 사용자 활동을 보고 모니터링할 수 있습니다. 예를 들어 클라우드용 Defender 앱 내에서 사용자 로그인 빈도 외에도 Power BI 관리자에게 Power BI 활동 로그를 볼 수 있는 권한을 할당할 수 있습니다.
  • Power BI 서비스 비정상적인 동작 검색 및 경고: 변칙 검색을 위한 기본 제공 정책이 있습니다. 예를 들어 사용자가 Power BI 서비스 콘텐츠를 일반 패턴보다 훨씬 더 자주 다운로드하거나 내보내는 경우 메일 경고를 받을 수 있습니다.
  • 비사용 권한 애플리케이션 찾기: 조직 내에서 사용 중인 허가되지 않은 애플리케이션을 찾을 수 있습니다. 예를 들어 타사 파일 공유 시스템에서 파일(예: Power BI Desktop 파일 또는 Excel 파일)을 공유하는 것이 걱정될 수 있습니다. 허가되지 않은 애플리케이션의 사용을 차단한 다음 사용자에게 연락하여 다른 사용자와 공유하고 공동 작업하는 적절한 방법을 교육할 수 있습니다.

클라우드용 Defender 앱의 포털은 데이터를 추출하고 다운로드하는 스크립트를 만들지 않고도 활동 및 경고를 볼 수 있는 편리한 장소입니다. 이 장점 중 하나는 Power BI 활동 로그에서 데이터를 보는 것입니다.

Power BI는 클라우드용 Defender 앱와 통합할 수 있는 많은 애플리케이션 및 서비스 중 하나입니다. 다른 용도로 클라우드용 Defender 앱을 이미 사용하고 있는 경우 Power BI를 모니터링하는 데도 사용할 수 있습니다.

클라우드용 Defender 앱에서 만든 정책은 DLP의 한 형태입니다. Power BI에 대한 데이터 손실 방지 문서에서는 Microsoft Purview 규정 준수 포털에서 설정된 Power BI에 대한 DLP 정책을 다룹니다. 이 문서에 설명된 기능과 함께 Power BI용 DLP 정책을 사용하는 것이 좋습니다. 개념적으로 몇 가지 중복이 있지만 기능은 다릅니다.

주의

이 문서에서는 Power BI 콘텐츠를 모니터링하고 보호하는 데 사용할 수 있는 클라우드용 Microsoft Defender 앱 기능에 중점을 둡니다. 클라우드용 Defender for Cloud 앱에는 이 문서에서 다루지 않는 다른 많은 기능이 있습니다. 다른 관련자 및 시스템 관리자와 협력하여 모든 애플리케이션 및 사용 사례에 적합한 결정을 내릴 수 있는지 확인합니다.

Power BI용 기본 클라우드용 Defender 앱 검색

이제 Power BI에 대한 데이터 손실 방지 문서에 설명된 조직 수준 계획 단계를 완료했을 것입니다. 계속하기 전에 다음을 분명히 해야 합니다.

  • 현재 상태: 조직의 현재 DLP 상태입니다. DLP가 이미 사용 중인 범위와 DLP 관리를 담당하는 사용자를 알고 있어야 합니다.
  • 목표 및 요구 사항: 조직에서 DLP를 구현하기 위한 전략적 목표입니다. 목표와 요구 사항을 이해하면 구현 작업의 지침이 됩니다.

일반적으로 정보 보호는 DLP가 구현되기 전에 이미 구현되어 있습니다. 민감도 레이블이 게시되는 경우( Power BI에 대한 정보 보호 문서에 설명되어 있음) 클라우드용 Defender 앱 내의 특정 정책에서 사용할 수 있습니다.

Power BI용 DLP를 이미 구현했을 수 있습니다( Power BI에 대한 데이터 손실 방지 문서에 설명되어 있음). 이러한 DLP 기능은 Microsoft Purview 규정 준수 포털에서 관리되는 기능과 다릅니다. 이 문서에 설명된 모든 DLP 기능은 클라우드용 Defender 앱 포털에서 관리됩니다.

주요 의사 결정 및 작업

클라우드용 Defender 앱에서 정책을 설정할 준비가 되기 전에 몇 가지 주요 결정을 내려야 합니다.

클라우드용 Defender 앱 정책과 관련된 결정은 이전에 식별한 데이터를 보호하기 위한 목표와 요구 사항을 직접 지원해야 합니다.

정책 유형 및 활동

모니터링, 차단 또는 제어에 관심이 있는 사용자 활동을 고려해야 합니다. 클라우드용 Defender 앱의 정책 유형은 다음 사항에 영향을 줍니다.

  • 수행할 수 있는 항목.
  • 구성에 포함할 수 있는 활동.
  • 컨트롤이 실시간으로 발생하는지 여부.

실시간 정책

클라우드용 Defender 앱에서 만든 액세스 정책 및 세션 정책을 사용하면 사용자 세션을 실시간으로 모니터링, 차단 또는 제어할 수 있습니다.

액세스 정책 및 세션 정책을 통해 다음을 수행할 수 있습니다.

  • 프로그래밍 방식으로 실시간으로 응답: 위험하거나, 의도치 않았거나 또는 부적절한 중요 데이터 공유를 탐지하고, 알리고, 차단합니다. 이러한 작업을 통해 다음을 수행할 수 있습니다.
    • 자동화 및 정보를 사용하여 Power BI 테넌트 전체 보안 설정을 개선합니다.
    • 감사할 수 있는 방식으로 중요한 데이터를 포함하는 분석 사용 사례를 사용하도록 설정합니다.
  • 사용자에게 상황별 알림 제공: 이 기능을 사용하면 다음을 수행할 수 있습니다.
    • 사용자가 정상적인 워크플로 중에 올바른 결정을 내릴 수 있도록 도와줍니다.
    • 사용자가 생산성에 영향을 주지 않고 데이터 분류 및 보호 정책을 따르도록 안내합니다.

실시간 제어를 제공하기 위해 액세스 정책 및 세션 정책은 조건부 액세스 앱 제어의 역방향 프록시 기능을 사용하여 Microsoft Entra ID(기존의 Azure Active Directory)와 함께 작동합니다. 앱(이 경우 Power BI 서비스)을 통과하는 사용자 요청 및 응답 대신 역방향 프록시(클라우드용 Defender 앱)를 통과합니다.

리디렉션은 사용자 환경에 영향을 주지 않습니다. 그러나 Power BI를 사용하여 조건부 액세스 앱 제어에 대한 Microsoft Entra ID를 설정하면 Power BI 서비스 URL이https://app.powerbi.com.mcas.ms로 변경됩니다. 또한 사용자는 Power BI 서비스 로그인 시 클라우드용 Defender 앱에서 앱을 모니터링한다고 알리는 알림을 받습니다.

Important

액세스 정책 및 세션 정책은 실시간으로 작동합니다. 클라우드용 Defender 앱의 다른 정책 유형에는 경고의 짧은 지연이 포함됩니다. Power BI용 DLP 및 Power BI 활동 로그를 포함하여 대부분의 다른 유형의 DLP 및 감사에도 대기 시간이 발생합니다.

액세스 정책

클라우드용 Defender 앱에서 만든 액세스 정책은 사용자가 Power BI 서비스 같은 클라우드 애플리케이션에 로그인할 수 있는지 여부를 제어합니다. 규제가 높은 산업에 있는 조직은 액세스 정책에 관심을 가지게 됩니다.

다음은 액세스 정책을 사용하여 Power BI 서비스 대한 액세스를 차단하는 방법의 몇 가지 예입니다.

  • 예기치 않은 사용자: 특정 보안 그룹의 구성원이 아닌 사용자에 대한 액세스를 차단할 수 있습니다. 예를 들어 이 정책은 특정 그룹을 통해 승인된 Power BI 사용자를 추적하는 중요한 내부 프로세스가 있는 경우에 유용할 수 있습니다.
  • 비관리형 디바이스: 조직에서 관리하지 않는 개인 디바이스에 대한 액세스를 차단할 수 있습니다.
  • 업데이트 필요: 오래된 브라우저 또는 운영 체제를 사용하는 사용자에 대한 액세스를 차단할 수 있습니다.
  • 위치: 사무실이나 사용자가 없는 위치 또는 알 수 없는 IP 주소에서 액세스를 차단할 수 있습니다.

Power BI 테넌트에 액세스하는 외부 사용자 또는 자주 여행하는 직원이 있는 경우 액세스 제어 정책을 정의하는 방법에 영향을 미칠 수 있습니다. 이러한 유형의 정책은 일반적으로 IT에서 관리됩니다.

세션 정책

세션 정책은 액세스를 완전히 허용하거나 차단하지 않으려는 경우에 유용합니다(앞에서 설명한 대로 액세스 정책으로 수행할 수 있습니다). 특히 세션 중에 발생하는 일을 모니터링하거나 제한하는 동안 사용자에 대한 액세스를 허용합니다.

다음은 세션 정책을 사용하여 Power BI 서비스 사용자 세션을 모니터링, 차단 또는 제어하는 방법의 몇 가지 예입니다.

  • 다운로드 차단:매우 제한됨과 같은 특정 민감도 레이블이 Power BI 서비스 항목에 할당되면 다운로드 및 내보내기를 차단합니다.
  • 로그인 모니터링: 특정 조건을 충족하는 사용자가 로그인하는 시기를 모니터링합니다. 예를 들어 사용자가 특정 보안 그룹의 구성원이거나 조직에서 관리하지 않는 개인 디바이스를 사용하고 있을 수 있습니다.

매우 제한됨과 같은 특정 민감도 레이블에 할당된 콘텐츠에 대한 세션 정책(예: 다운로드 방지)을 만드는 것은 Power BI를 사용한 실시간 세션 제어에 가장 효과적인 사용 사례 중 하나입니다.

세션 정책을 사용하여 파일 업로드를 제어할 수도 있습니다. 그러나 일반적으로 셀프 서비스 BI 사용자가 Power BI Desktop 파일을 공유하는 대신 Power BI 서비스 콘텐츠를 업로드하도록 장려하는 것이 좋습니다. 따라서 파일 업로드 차단을 신중하게 고려해야 합니다.

검사 목록 - 클라우드용 Defender 앱에서 실시간 정책을 계획할 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • 액세스를 차단하는 사용 사례 식별: Power BI 서비스 대한 액세스를 차단하는 것이 적절한 경우에 대한 시나리오 목록을 컴파일합니다.
  • 로그인 모니터링 사용 사례 식별: Power BI 서비스 대한 로그인 모니터링이 적절한 경우에 대한 시나리오 목록을 컴파일합니다.
  • 다운로드 차단 사용 사례 식별: Power BI 서비스 다운로드를 차단해야 하는 시기를 결정합니다. 포함해야 하는 민감도 레이블을 결정합니다.

활동 정책

클라우드용 Defender 앱의 활동 정책은 실시간으로 작동하지 않습니다.

Power BI 활동 로그에 기록된 이벤트를 확인하도록 활동 정책을 설정할 수 있습니다. 정책은 단일 활동에 대해 작동하거나 단일 사용자의 반복되는 활동에 대해 작동할 수 있습니다(특정 활동이 설정된 시간(분) 내에 설정된 횟수보다 많은 경우).

활동 정책을 사용하여 다양한 방법으로 Power BI 서비스 활동을 모니터링할 수 있습니다. 다음은 발생할 수 있는 몇 가지 예제입니다.

  • 권한이 없거나 예기치 않은 사용자가 권한 있는 콘텐츠 열람: 특정 보안 그룹(또는 외부 사용자)의 구성원이 아닌 사용자가 이사회에 제공된 높은 권한의 보고서를 확인했습니다.
  • 권한이 없거나 예기치 않은 사용자가 테넌트 설정 업데이트:Power BI Administrators 그룹과 같은 특정 보안 그룹의 구성원이 아닌 사용자가 Power BI 서비스 테넌트 설정을 업데이트했습니다. 테넌트 설정이 업데이트될 때마다 알림을 받도록 선택할 수도 있습니다.
  • 많은 수의 삭제: 사용자가 10분 미만의 기간 동안 20개 이상의 작업 영역 또는 보고서를 삭제했습니다.
  • 많은 수의 다운로드: 사용자가 5분 미만의 기간 동안 30개 이상의 작업 영역 또는 보고서를 다운로드했습니다.

이 섹션에 설명된 활동 정책 경고 유형은 Power BI 관리자가 Power BI를 감독할 때 일반적으로 처리합니다. 클라우드용 Defender 앱 내에서 경고를 설정할 때는 조직에 중대한 위험을 나타내는 상황에 집중하는 것이 좋습니다. 관리자가 각 경고를 검토하고 닫아야 하기 때문입니다.

Warning

Power BI 활동 로그 이벤트는 실시간으로 사용할 수 없으므로 실시간 모니터링 또는 차단에 사용할 수 없습니다. 그러나 활동 정책의 활동 로그에서 작업을 사용할 수 있습니다. 계획 프로세스에 너무 멀리 들어가기 전에 정보 보안 팀과 협력하여 기술적으로 가능한 항목을 확인해야 합니다.

검사 목록 - 활동 정책을 계획할 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • 활동 모니터링에 대한 사용 사례 식별: Power BI 활동 로그에서 조직에 심각한 위험을 나타내는 특정 활동 목록을 컴파일합니다. 위험이 단일 활동 또는 반복 활동과 관련이 있는지 확인합니다.
  • Power BI 관리자와 작업 조정: 클라우드용 Defender 앱에서 모니터링될 Power BI 활동에 대해 논의합니다. 다른 관리자 간에 중복된 활동이 없는지 확인합니다.

영향을 받는 사용자

Power BI를 클라우드용 Defender 앱과 통합하는 강력한 이유 중 하나는 사용자가 Power BI 서비스 상호 작용할 때 실시간 제어를 활용하기 위해서입니다. 이러한 유형의 통합에는 Microsoft Entra ID의 조건부 액세스 앱 제어가 필요합니다.

Microsoft Entra ID에서 조건부 액세스 앱 제어를 설정하기 전에 포함할 사용자를 고려해야 합니다. 일반적으로 모든 사용자가 포함됩니다. 하지만 특정 사용자를 제외해야 하는 이유가 있을 수 있습니다.

조건부 액세스 정책을 설정할 때 Microsoft Entra 관리자가 특정 관리자 계정을 제외할 가능성이 높습니다. 이러한 접근 방식은 관리자를 차단하지 못하게 합니다. 제외된 계정은 표준 Power BI 사용자가 아닌 Microsoft Entra 관리자인 것이 좋습니다.

클라우드용 Defender 앱의 특정 정책 유형은 특정 사용자 및 그룹에 적용할 수 있습니다. 대부분의 경우 이러한 유형의 정책은 모든 사용자에게 적용됩니다. 그러나 특정 사용자를 의도적으로 제외해야 하는 상황이 발생할 수 있습니다.

검사 목록 - 영향을 받는 사용자를 고려할 때 주요 결정 및 작업에는 다음이 포함됩니다.

  • 포함된 사용자를 고려합니다. 모든 사용자가 Microsoft Entra 조건부 액세스 앱 제어 정책에 포함되는지 확인합니다.
  • 제외해야 하는 관리자 계정 식별: Microsoft Entra 조건부 액세스 앱 제어 정책에서 의도적으로 제외해야 하는 특정 관리자 계정을 결정합니다.
  • 특정 Defender 정책이 사용자의 하위 집합에 적용되는지 확인: 유효한 사용 사례의 경우 모든 사용자 또는 일부 사용자에게 적용할 수 있는지 여부를 고려합니다(가능한 경우).

사용자 메시징

사용 사례를 식별한 후에는 정책과 일치하는 사용자 활동이 있을 때 어떤 일이 일어나야 하는지 고려해야 합니다.

활동이 실시간으로 차단되면 사용자에게 사용자 지정된 메시지를 제공하는 것이 중요합니다. 이 메시지는 일반적인 워크플로 중에 사용자에게 더 많은 지침과 인식을 제공하려는 경우에 유용합니다. 다음 요건을 갖추면 사용자가 사용자 알림을 읽고 받아들일 가능성이 높습니다.

  • 구체성: 메시지와 정책의 상관 관계를 지정하면 쉽게 이해할 수 있습니다.
  • 실행성: 수행해야 하는 작업 또는 자세한 정보를 찾는 방법에 대한 제안을 제공합니다.

클라우드용 Defender 앱의 일부 정책 유형에는 사용자 지정된 메시지가 있을 수 있습니다. 다음은 사용자 알림의 두 가지 예입니다.

예제 1: Power BI 항목(예: 보고서 또는 의미 체계 모델(이전의 데이터 세트))의 민감도 레이블이 매우 제한됨으로 설정된 경우 모든 내보내기 및 다운로드를 방지하는 실시간 세션 제어 정책을 정의할 수 있습니다. 클라우드용 Defender 앱의 사용자 지정된 차단 메시지: 매우 제한됨 레이블이 있는 파일은 Power BI 서비스에서 다운로드할 수 없습니다. Power BI 서비스 온라인으로 콘텐츠를 확인하세요. 질문이 있으면 Power BI 지원 팀에 문의하세요.

예제 2: 사용자가 조직에서 관리하는 컴퓨터를 사용하지 않을 때 Power BI 서비스 로그인하지 못하도록 하는 실시간 액세스 정책을 정의할 수 있습니다. 클라우드용 Defender 앱의 사용자 지정 차단 메시지는 다음을 읽습니다. 개인 디바이스에서 Power BI 서비스에 액세스하지 못할 수 있습니다. 조직에서 제공하는 디바이스를 사용하세요. 질문이 있으면 Power BI 지원 팀에 문의하세요.

검사 목록 - 클라우드용 Defender 앱에서 사용자 메시지를 고려할 때 주요 결정 및 작업에는 다음이 포함됩니다.

  • 사용자 지정된 차단 메시지가 필요한 시기 결정: 만들려는 각 정책에 대해 사용자 지정된 차단 메시지가 필요한지 여부를 결정합니다.
  • 사용자 지정된 차단 메시지 만들기: 각 정책에 대해 사용자에게 표시할 메시지를 정의합니다. 특정하고 실행 가능하도록 각 메시지를 정책에 연결하도록 계획합니다.

관리자 경고

경고는 보안 및 규정 준수 관리자가 정책 위반이 발생했음을 알리려는 경우에 유용합니다. 클라우드용 Defender 앱에서 정책을 정의할 때 경고를 생성해야 하는지 여부를 고려합니다. 자세한 내용은 클라우드용 Defender 앱의 경고 유형을 참조하세요.

필요에 따라 여러 관리자에게 전자 메일을 보내도록 경고를 설정할 수 있습니다. 메일 경고가 필요한 경우 메일 사용 보안 그룹을 사용하는 것이 좋습니다. 예를 들어 보안 및 규정 준수 관리 경고라는 그룹을 사용할 수 있습니다.

우선 순위가 높은 경우 문자 메시지로 경고를 보낼 수 있습니다. Power Automate와 통합하여 사용자 지정 경고 자동화 및 워크플로를 만들 수도 있습니다.

각 경고를 심각도 낮음, 중간, 높음으로 설정할 수 있습니다. 심각도 수준은 열린 경고 검토의 우선 순위를 지정하는 경우에 유용합니다. 관리자는 각 경고를 검토하고 작업해야 합니다. 경고는 진양성, 가양성 또는 무해한 경고로 종결할 수 있습니다.

다음은 관리자 경고의 두 가지 예입니다.

예제 1: Power BI 항목(예: 보고서 또는 의미 체계 모델)의 민감도 레이블이 매우 제한됨으로 설정된 경우 모든 내보내기 및 다운로드를 방지하는 실시간 세션 제어 정책을 정의할 수 있습니다. 사용자에게 유용한 사용자 지정 차단 메시지가 있습니다. 그러나 이 상황에서는 경고를 생성할 필요가 없습니다.

예제 2: 외부 사용자가 이사회에 제공된 높은 권한의 보고서를 보았는지 여부를 추적하는 활동 정책을 정의할 수 있습니다. 활동이 즉시 조사되도록 높은 심각도 경고를 설정할 수 있습니다.

예제 2에서는 정보 보호와 보안의 차이점을 강조합니다. 해당 활동 정책은 셀프 서비스 BI 사용자가 콘텐츠에 대한 보안을 관리할 수 있는 권한이 있는 시나리오를 식별하는 데 도움이 될 수 있습니다. 그럼에도 불구하고 이러한 사용자는 조직 정책에서 권장하지 않는 조치를 취할 수 있습니다. 정보가 특히 중요한 특정 상황에서만 이러한 유형의 정책을 설정하는 것이 좋습니다.

검사 목록 - 클라우드용 Defender 앱에서 관리자 경고를 고려할 때 주요 결정 및 작업에는 다음이 포함됩니다.

  • 경고가 필요한 시기 결정: 만들려는 각 정책에 대해 경고를 사용하기에 정당한 상황을 결정합니다.
  • 역할 및 책임 명시: 경고가 생성될 때 수행해야 하는 예상 및 작업을 결정합니다.
  • 경고를 받을 사람 결정: 어떤 보안 및 규정 준수 관리자가 경고를 검토하고 조치를 취할지 결정합니다. 클라우드용 Defender 앱을 사용할 각 관리자에 대해 사용 권한 및 라이선스 요구 사항이 충족되는지 확인합니다.
  • 새 그룹 생성: 필요한 경우 이메일 알림에 사용할 새 메일 사용 보안 그룹을 만듭니다.

정책 명명 규칙

클라우드용 Defender 앱에서 정책을 만들기 전에 먼저 명명 규칙을 만드는 것이 좋습니다. 명명 규칙은 여러 유형의 애플리케이션에 대한 정책 유형이 많은 경우에 유용합니다. Power BI 관리자가 모니터링에 참여할 때도 유용합니다.

Power BI 관리자에게 클라우드용 Defender 앱 액세스 권한을 부여하는 것이 좋습니다. Power BI 서비스 관련된 활동 로그, 로그인 이벤트 및 이벤트를 볼 수 있는 관리자 역할을 사용합니다.

<애플리케이션> - <설명> - <작업> - <정책 유형> 등 구성 요소 자리 표시자를 포함하는 명명 규칙 템플릿 고려을 고려하세요.

다음은 몇 가지 명명 규칙 예제입니다.

정책의 유형 실시간 정책 이름
세션 정책 Power BI - 매우 제한된 레이블 - 다운로드 차단 - RT
액세스 정책 모두 - 관리되지 않는 디바이스 - 액세스 차단 - RT
활동 정책 아니요 Power BI - 관리 활동
활동 정책 아니요 Power BI - 외부 사용자 임원 보고서 보기

명명 규칙의 구성 요소는 다음과 같습니다.

  • 애플리케이션: 애플리케이션 이름입니다. Power BI 접두사는 정렬할 때 모든 Power BI 관련 정책을 그룹화할 수 있도록 도와줍니다. 그러나 일부 정책은 Power BI 서비스만이 아닌 모든 클라우드 앱에 적용됩니다.
  • 설명: 이름의 설명 부분은 가장 다양합니다. 영향을 받는 민감도 레이블 또는 추적 중인 활동 유형이 포함될 수 있습니다.
  • 작업: (선택 사항) 예제에서 하나의 세션 정책으로 다운로드 차단 작업이 있습니다. 일반적으로 작업은 실시간 정책인 경우에만 필요합니다.
  • 정책 유형: (선택 사항) 이 예제에서 RT 접미사는 실시간 정책임을 나타냅니다. 실시간인지 여부를 지정하면 예상을 관리하는 데 도움이 됩니다.

정책 이름에 포함할 필요가 없는 다른 특성이 있습니다. 이러한 특성에는 심각도 수준(낮음, 중간 또는 높음) 및 범주(예: 위협 탐지 또는 DLP)가 포함됩니다. 두 특성은 모두 경고 페이지에서 필터링할 수 있습니다.

클라우드용 Defender 앱에서 정책 이름을 바꿀 수 있습니다. 그러나 기본 제공 변칙 검색 정책의 이름은 바꿀 수 없습니다. 예를 들어 수상한 Power BI 보고서 공유는 이름을 바꿀 수 없는 기본 제공 정책입니다.

검사 목록 - 작업 영역 명명 규칙을 만드는 것을 고려할 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • 명명 규칙 선택: 첫 번째 정책을 사용하여 쉽게 해석할 수 있는 일관된 명명 규칙을 설정합니다. 일관된 접두사 및 접미사를 사용하는 데 집중합니다.
  • 명명 규칙 문서화: 정책 명명 규칙에 대한 참조 설명서를 제공합니다. 시스템 관리자가 명명 규칙을 알고 있는지 확인합니다.
  • 기존 정책 업데이트: 새 명명 규칙을 준수하도록 기존 Defender 정책을 업데이트합니다.

라이선싱 요구 사항

Power BI 테넌트 모니터링을 위해서는 특정 라이선스가 있어야 합니다. 관리자에게 다음 라이선스 중 하나가 있어야 합니다.

  • Microsoft 클라우드용 Defender 앱: 지원되는 모든 애플리케이션(Power BI 서비스 포함)에 대한 클라우드용 Defender 앱 기능을 제공합니다.
  • Office 365 Cloud App Security: Office 365 E5 제품군(Power BI 서비스 포함)의 일부인 Office 365 앱에 대한 클라우드용 Defender 앱 기능을 제공합니다.

또한 사용자가 클라우드용 Defender 앱에서 실시간 액세스 정책 또는 세션 정책을 사용해야 하는 경우 Microsoft Entra ID Premium P1 라이선스가 필요합니다.

라이선스 요구 사항에 대한 설명이 필요한 경우 Microsoft 계정 팀에 문의하세요.

검사 목록 - 민감도 레이블에 대한 라이선스 요구 사항을 평가할 때 주요 결정과 조치에는 다음이 포함됩니다.

  • 제품 라이선스 요구 사항 검토: 클라우드용 Defender 앱을 사용하기 위한 모든 라이선스 요구 사항을 검토했는지 확인합니다.
  • 추가 라이선스 조달: 해당하는 경우 사용하려는 기능의 잠금을 해제하기 위해 더 많은 라이선스를 구매하세요.
  • 라이선스 할당: 클라우드용 Defender 앱을 사용할 각 보안 및 규정 준수 관리자에게 라이선스를 할당합니다.

사용자 설명서 및 교육

클라우드용 Defender 앱을 배포하기 전에 사용자 설명서를 만들고 게시하는 것이 좋습니다. 중앙 집중식 포털의 SharePoint 페이지 또는 Wiki 페이지는 유지 관리가 쉽기 때문에 잘 작동할 수 있습니다. 공유 라이브러리 또는 Teams 사이트에 업로드된 문서도 좋은 솔루션입니다.

설명서의 목표는 원활한 사용자 환경을 달성하는 것입니다. 사용자 설명서를 준비하면 모든 것을 고려했는지 확인하는 데도 도움이 됩니다.

사용자에게 질문이나 기술 문제가 있을 때 연락할 사람에 대한 정보를 포함합니다.

FAQ 및 예제는 사용자 설명서에 특히 유용합니다.

검사 목록 - 사용자 설명서 및 교육을 준비할 때 주요 결정과 조치에는 다음이 포함됩니다.

  • 콘텐츠 작성자 및 소비자에 대한 설명서 업데이트: FAQ 및 예제를 업데이트하여 사용자가 발생할 수 있는 정책에 대한 관련 정보를 포함합니다.
  • 도움말을 얻는 방법 게시: 사용자가 예기치 않은 문제가 발생하거나 이해하지 못하는 경우 도움을 받는 방법을 알고 있는지 확인합니다.
  • 특정 학습이 필요한지 여부 확인: 특히 규정 요구 사항이 있는 경우 유용한 정보를 포함하도록 사용자 교육을 만들거나 업데이트합니다.

사용자 지원

사용자 지원 담당자가 누구인지 확인하는 것이 중요합니다. 클라우드용 Defender 앱을 사용하여 Power BI를 모니터링하는 것은 중앙 집중식 IT 지원 센터에서 수행하는 것이 일반적입니다.

지원 센터에 대한 설명서를 만들고 지원 센터에서 지원 요청에 응답할 준비가 되었는지 확인하기 위해 몇 가지 지식 전달 세션을 수행해야 할 수 있습니다.

검사 목록 - 사용자 지원 기능을 준비할 때 주요 결정과 조치에는 다음이 포함됩니다.

  • 사용자 지원을 제공할 담당자 식별: 역할과 책임을 정의할 때 발생할 수 있는 문제와 관련해 사용자가 도움을 받을 방법을 고려해야 합니다.
  • 사용자 지원 팀이 준비되었는지 확인: 설명서를 만들고 기술 자료 전송 세션을 수행하여 지원 센터에서 이러한 프로세스를 지원할 준비가 되었는지 확인합니다.
  • 팀 간 커뮤니케이션: 사용자가 볼 수 있는 메시지와 Power BI 관리자 및 우수성 센터와 함께 열린 경고를 해결하는 프로세스에 대해 논의합니다. 관련된 모든 사용자가 Power BI 사용자의 잠재적인 질문에 대비해야 합니다.

구현 요약

결정이 내려지고 롤아웃 계획이 준비되면 구현을 시작해야 합니다.

실시간 정책(세션 정책 또는 액세스 정책)을 사용하려는 경우 첫 번째 작업은 Microsoft Entra 조건부 액세스 앱 제어를 설정하는 것입니다. Power BI 서비스를 클라우드용 Defender 앱에서 제어하는 카탈로그 앱으로 설정해야 합니다.

Microsoft Entra 조건부 액세스 앱 제어가 설정되고 테스트되면 클라우드용 Defender 앱에서 정책을 만들 수 있습니다.

Important

먼저 소수의 테스트 사용자에게 이 기능을 도입하는 것이 좋습니다. 이 기능을 순서대로 소개하는 데 도움이 될 수 있는 모니터링 전용 모드도 있습니다.

다음 검사 목록에는 엔드 투 엔드 구현 단계의 요약된 목록이 포함되어 있습니다. 대부분의 단계에는 이 문서의 이전 섹션에서 설명한 다른 세부 정보가 있습니다.

검사 목록 - Power BI를 사용하여 클라우드용 Defender 앱을 구현할 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • 현재 상태 및 목표 확인: Power BI와 함께 사용할 DLP의 현재 상태에 대한 명확성이 있는지 확인합니다. DLP를 구현하기 위한 모든 목표와 요구 사항은 의사 결정 프로세스를 추진하는 데 명확하고 적극적으로 사용해야 합니다.
  • 의사 결정 프로세스 수행: 필요한 모든 결정을 검토하고 논의합니다. 이 작업은 프로덕션 환경에서 뭔가를 설정하기 전에 발생해야 합니다.
  • 라이선스 요구 사항 검토: 제품 라이선스 및 사용자 라이선스 요구 사항을 이해해야 합니다. 필요한 경우 더 많은 라이선스를 조달하고 할당합니다.
  • 사용자 설명서 게시: 사용자가 질문에 답변하고 기대치를 명확히 하는 데 필요한 정보를 게시합니다. 사용자가 준비할 수 있도록 지침, 커뮤니케이션 및 교육을 제공합니다.
  • Microsoft Entra 조건부 액세스 정책 만들기: Microsoft Entra ID에서 조건부 액세스 정책을 만들어 Power BI 서비스 모니터링하기 위한 실시간 컨트롤을 사용하도록 설정합니다. 처음에는 몇 명의 테스트 사용자에 대해 Microsoft Entra 조건부 액세스 정책을 사용하도록 설정합니다.
  • 클라우드용 Defender 앱에서 Power BI를 연결된 앱으로 설정: 조건부 액세스 앱 제어를 위해 클라우드용 Defender 앱에서 Power BI가 연결된 앱으로 표시되는지 추가하거나 확인합니다.
  • 초기 테스트 수행: 테스트 사용자 중 하나로 Power BI 서비스에 로그인합니다. 액세스가 작동하는지 확인합니다. 또한 표시되는 메시지가 클라우드용 Defender 앱에서 Power BI 서비스를 모니터링한다는 것을 알리는지 확인합니다.
  • 실시간 정책 만들기 및 테스트: 이미 컴파일된 사용 사례를 사용하여 클라우드용 Defender 앱에서 액세스 정책 또는 세션 정책을 만듭니다.
  • 초기 테스트 수행: 테스트 사용자는 실시간 정책을 트리거하는 작업을 수행합니다. 작업이 차단되고(적절한 경우) 예상되는 경고 메시지가 표시되는지 확인합니다.
  • 사용자 피드백 수집: 프로세스 및 사용자 환경에 대한 피드백을 가져옵니다. 혼동 영역, 중요한 정보 유형 및 기타 기술 문제가 있는 예기치 않은 결과를 식별합니다.
  • 지속 반복 릴리스: 모든 사용 사례가 해결될 때까지 클라우드용 Defender 앱에 정책을 점진적으로 추가합니다.
  • 기본 제공 정책 검토: 클라우드용 Defender 앱(이름에 Power BI가 있는)에서 기본 제공 변칙 검색 정책을 찾습니다. 필요한 경우 기본 제공 정책에 대한 경고 설정을 업데이트합니다.
  • 더 광범위한 롤아웃 진행: 반복 롤아웃 계획을 계속 진행합니다. Microsoft Entra 조건부 액세스 정책을 업데이트하여 더 광범위한 사용자 집합에 적절하게 적용합니다. 클라우드용 Defender 앱의 개별 정책을 업데이트하여 더 광범위한 사용자 집합에 적절하게 적용합니다.
  • 모니터링 및 조정: 리소스를 투자하여 정책 일치 경고 및 감사 로그를 자주 검토합니다. 가양성을 조사하고 필요한 경우 정책을 조정합니다.

이러한 검사 목록 항목은 계획 목적으로 요약되어 있습니다. 이러한 검사 목록 항목에 대한 자세한 내용은 이 문서의 이전 섹션을 참조하세요.

클라우드용 Defender 앱에서 Power BI를 카탈로그 애플리케이션으로 배포하는 방법에 대한 자세한 내용은 카탈로그 앱을 배포하는 단계를 참조하세요.

지속적인 모니터링

구현을 완료한 후에는 사용량에 따라 클라우드용 Defender 앱 정책을 모니터링, 적용 및 조정하는 데 주의를 기울여야 합니다.

Power BI 관리자와 보안 및 규정 준수 관리자는 수시로 공동 작업해야 합니다. Power BI 콘텐츠의 경우 모니터링을 위한 두 개의 대상 그룹이 있습니다.

  • Power BI 관리자: 클라우드용 Defender 앱에서 생성된 경고 외에도 Power BI 활동 로그의 활동도 클라우드용 Defender 앱 포털에 표시됩니다.
  • 보안 및 규정 준수 관리자: 조직의 보안 및 규정 준수 관리자는 일반적으로 클라우드용 Defender 앱 경고를 사용합니다.

Power BI 관리자에게 클라우드용 Defender 앱에서 제한된 보기를 제공할 수 있습니다. 범위가 지정된 역할을 사용하여 Power BI 서비스 관련된 활동 로그, 로그인 이벤트 및 이벤트를 봅니다. 이 기능은 Power BI 관리자에게 편리합니다.

검사 목록 - 클라우드용 Defender 앱을 모니터링할 때 주요 의사 결정 및 작업에는 다음이 포함됩니다.

  • 역할 및 책임 확인: 어떤 작업에 책임이 있는지 명확히 확인합니다. 모니터링의 모든 측면을 담당할 경우 Power BI 관리자를 교육하고 통신합니다.
  • Power BI 관리자에 대한 액세스 관리: 클라우드용 Defender 앱의 범위가 지정된 관리자 역할에 Power BI 관리자를 추가합니다. 이 추가 정보로 수행할 수 있는 작업을 인식할 수 있도록 통신합니다.
  • 작업을 검토하기 위한 프로세스 생성 또는 유효성 검사: 보안 및 규정 준수 관리자가 활동 탐색기를 정기적으로 검토할 것이라는 기대가 명확한지 확인합니다.
  • 경고를 해결하기 위한 프로세스 생성 또는 유효성 검사: 보안 및 규정 준수 관리자에게 열려 있는 경고를 조사하고 해결하는 프로세스가 있는지 확인합니다.

관련 콘텐츠

이 시리즈의 다음 문서에서는 Power BI에 대한 정보 보호 및 데이터 손실 방지에 대한 감사에 대해 알아봅니다.