Purview에서 Microsoft Security Copilot 에이전트 시작

다음 절차를 사용하여 Microsoft Purview 에이전트를 롤아웃합니다.

시작하기 전에

Microsoft Purview에서 에이전트를 Microsoft Security Copilot 경우 다음 문서를 읽어야 합니다.

• Microsoft Purview의 Security Copilot 에이전트 개요(미리 보기)

SKU/구독 라이선싱

Microsoft Purview 에이전트에는 표준 사용자 단위 라이선스 모델과 종량제 청구 모델이 모두 필요합니다. organization 다음에 대한 라이선스가 있어야 합니다.

• Purview DLP 심사 에이전트를 사용하는 Microsoft Purview 데이터 손실 방지( Purview DLP)
• Microsoft Purview 내부 위험 관리 참가자 위험 관리 심사 에이전트를 사용합니다.

Microsoft Purview 심사 에이전트는 작업을 수행할 때 SCU(보안 컴퓨팅 단위)를 사용합니다. 심사 에이전트가 작동하려면 SCU가 프로비전되어 있어야 합니다. 사용되는 SCU 수는 처리되는 경고의 수와 유형에 따라 달라집니다. SCU에 대한 자세한 내용은 SCU(보안 컴퓨팅 단위)를 참조하세요. 사용 모니터링 도구에서 SCU 사용량을 추적할 수 있습니다. Microsoft Security Copilot 온보딩에 대한 자세한 내용은 Microsoft Security Copilot 시작을 참조하세요.

라이선스에 대한 자세한 내용은

• Microsoft 365 Enterprise 계획
• Microsoft 365 서비스 설명

권한 및 역할

Microsoft Purview 에이전트를 사용하여 다양한 기능을 수행하는 데 필요한 다양한 권한과 역할이 있습니다. 자세한 내용은 Microsoft Purview 포털의 권한 및 Microsoft Purview 포털의 역할 및 역할 그룹을 참조하세요.

중요

에이전트는 에이전트 구성을 저장한 마지막 사용자의 보안 컨텍스트에서 실행됩니다. 이 인증은 90일 동안 적합합니다. 90일이 지나면 구성이 다시 수동으로 저장될 때까지 에이전트의 실행이 중지됩니다.

Purview DLP 에이전트를 사용하도록 설정하기 위한 권한

Purview DLP 에이전트를 사용하도록 설정하고 관리하는 데 사용하는 계정에는 다음 역할이 모두 있어야 합니다.

• Information Protection 분석가 또는 Information Protection 조사자(역할 그룹: 준수 관리자 또는 규정 준수 데이터 관리자 또는 데이터 보안 관리 또는 Information Protection 또는 Information Protection 분석가 또는 Information Protection 조사자)

• Purview 콘텐츠 분석가(역할 그룹: Purview 에이전트 관리)

• Security Copilot 기여자(Security Copilot 관리)

참가자 위험 관리 에이전트를 사용하도록 설정하기 위한 권한

참가자 위험 관리 에이전트를 사용하도록 설정하고 관리하는 데 사용하는 계정에는 다음 역할이 모두 있어야 합니다.

• 내부 위험 관리 분석 또는 내부자 위험 관리 조사(역할 그룹: 데이터 보안 관리 또는 내부자 위험 관리 또는 내부자 위험 관리 분석가 또는 내부자 위험 관리 조사자)

• Purview 콘텐츠 분석가(역할 그룹: Purview 에이전트 관리)

• Security Copilot 기여자(Security Copilot 관리)

Purview DLP 에이전트를 사용자 지정하고 구성하기 위한 권한

Purview DLP 에이전트를 사용자 지정하고 구성하는 데 사용하는 계정에는 다음 역할이 모두 있어야 합니다.

• Purview 에이전트 분석(역할 그룹: Information Protection 분석가 또는 Information Protection 조사자 또는 Information Protection 또는 규정 준수 관리자 또는 데이터 보안 관리)

• Security Copilot 기여자(Security Copilot 관리)

참가자 위험 관리 에이전트를 사용자 지정하고 구성하기 위한 권한

Insider Risk Management 에이전트를 사용자 지정하고 구성하는 데 사용하는 계정에는 다음 역할이 모두 있어야 합니다.

• Purview 에이전트 분석(역할 그룹: 데이터 보안 관리 또는 내부자 위험 관리 또는 내부자 위험 관리 분석가 또는 내부자 위험 관리 조사자)

• Security Copilot 기여자(Security Copilot 관리)

심사된 Purview DLP 경고를 볼 수 있는 권한

Purview DLP 심사 에이전트 경고 활동을 보는 데 사용하는 계정은 아래 역할에 부여된 Purview DLP 경고에 액세스할 수 있어야 합니다.

• Purview 에이전트 분석(역할 그룹: Information Protection 분석가 또는 Information Protection 조사자 또는 Information Protection 또는 규정 준수 관리자 또는 데이터 보안 관리)

• 선택 사항 - Security Copilot 기여자(Security Copilot 관리)

심사된 참가자 위험 관리 경고를 볼 수 있는 권한

참가자 위험 관리 심사 에이전트 경고 활동을 보는 데 사용하는 계정은 다음 중 하나여야 합니다.

• Purview 에이전트 분석(역할 그룹: 데이터 보안 관리 또는 내부자 위험 관리 또는 내부자 위험 관리 분석가 또는 내부자 위험 관리 조사자)

• 선택 사항 - Security Copilot 기여자(Security Copilot 관리)

배포 및 구성 로드맵

Microsoft Purview 에이전트 구현에는 다음과 같은 여러 단계가 포함됩니다.

1. 인프라 전제 조건
2. 에이전트 사용
3. 에이전트 설정
4. 에이전트 일시 중지
5. 에이전트 제거

인프라 전제 조건

Microsoft Purview 심사 에이전트는 Microsoft Security Copilot 실행됩니다.

1. 테넌트는 Microsoft Security Copilot 온보딩되어야 합니다. 온보딩하는 방법에 대한 자세한 내용은 Microsoft Security Copilot 시작을 참조하세요.
2. Security Copilot Microsoft 365 데이터 공유를 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft 365 서비스에서 데이터 액세스를 참조하세요.
3. Microsoft Security Copilot Microsoft Purview 플러그 인을 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft Security Copilot Microsoft Purview 원본 사용을 참조하세요.

에이전트 사용

이 절차는 Microsoft Purview 에이전트를 사용하도록 설정하지 않았거나 에이전트를 제거한 조직에서 다시 사용하도록 설정하려는 조직을 위한 것입니다. 에이전트를 사용하도록 설정하면 Microsoft Purview에서 사용할 수 있습니다. 테넌트에서 각 에이전트의 instance 하나만 있을 수 있습니다. 이 절차는 Purview DLP 심사 에이전트와 Insider Risk Management 심사 에이전트 모두에 대해 작동합니다.

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 사용하도록 설정할 에이전트를 선택하고 추가를 선택합니다. 그러면 에이전트를 사용하도록 설정하기 위한 요구 사항을 보여 주는 페이지가 열립니다.
5. 설치를 선택하면 에이전트 전역 구성 배포 페이지가 열립니다. 다음을 수행할 수 있습니다.
   1. 설정된 일정에 따라 자동으로 실행하도록 선택합니다. 이 옵션을 선택하지 않으면 에이전트를 한 번에 하나씩 수동으로 실행해야 합니다. 예약된 은 Microsoft에서 설정하며 조직에서 구성할 수 없습니다. 나중에 에이전트를 편집할 때 이 설정을 변경할 수 있습니다.
   2. 에이전트가 심사할 경고를 찾는 시간 범위인 경고 기간을 선택합니다. 분석가는 에이전트를 편집할 때 기간을 단축할 수 있지만 길어지지는 않습니다. 자세한 내용은 경고 기간 선택을 참조하세요.
6. 배포를 선택합니다. 에이전트가 성공적으로 배포되면 솔루션>에 <경고 심사 에이전트가 배포됨 메시지가 표시됩니다.

에이전트 설정

에이전트를 사용하도록 설정하면 에이전트에 대한 특정 트리거를 설정해야 합니다. 트리거는 에이전트 심사 경고를 결정하는 데 사용됩니다. 에이전트 페이지에서 또는 솔루션에 대한 경고 페이지의 첫 번째 실행 환경에서 이 작업을 수행할 수 있습니다 . 이 절차에서는 첫 번째 실행 환경 경고 페이지 메서드 를 사용합니다. 이 절차에서는 이전 절차의 에이전트 탐색 페이지에 Microsoft Purview 포털이 열려 있다고 가정합니다.

중요

가장 최근 에이전트 구성은 항상 사용됩니다.

1. 솔루션>으로 이동을 <선택합니다. 그러면 솔루션에 대한 경고 페이지가 열립니다.

2. 첫 번째 실행 환경에 있으므로 사용자 지정 단추를 사용하여 경고 심사 에이전트 사용자 지정 플라이아웃을 여는 대화 상자가 표시됩니다.

3. 여기서 경고 기간 선택에 대한 기본 전역 설정을 적용하거나 에이전트 배포 중에 구성된 것보다 짧게 변경하도록 선택합니다.

4. 정책 선택을 선택하여 에이전트에서 경고를 심사할 정책을 선택합니다. 미리 보기에서 모든 정책은 기본적으로 선택되며 여기에서 변경할 수 있습니다.

   중요

   공개 미리 보기에서 Purview DLP 에이전트는 Exchange, Teams, OneDrive 및 SharePoint 위치로 범위가 지정된 정책의 경고만 심사합니다. 또한 심사 에이전트는 Microsoft에서 제공하는 중요한 정보 유형(SIT) 및 학습 가능한 분류자를 사용하는 정책만 지원합니다.

5. 정책 선택을 선택합니다.

6. 검토를 선택합니다.

7. 에이전트 시작을 선택합니다.

에이전트가 이 초기 설정에서 scope 경고의 심사를 완료할 수 있도록 최대 2시간을 허용합니다.

에이전트 일시 중지

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 일시 중지하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 개요 페이지의 오른쪽 위 모서리에서 에이전트 편집 단추 옆에 있는 타원(점 3개)을 선택합니다.
6. 에이전트 비활성화를 선택합니다. 에이전트를 일시 중지하면 에이전트가 경고를 심사하지 못하게 됩니다. 에이전트를 제거하지 않으며 경고 시간 범위 선택 참조 시점을 다시 설정하지 않습니다.

에이전트 제거

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 일시 중지하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 개요 페이지의 오른쪽 위 모서리에서 에이전트 편집 단추 옆에 있는 타원(점 3개)을 선택합니다.
6. 에이전트 제거를 선택합니다. 에이전트를 제거하면 Microsoft Purview에서 삭제됩니다. 다시 사용하려면 에이전트 사용 및 에이전트설정 절차를 다시 수행해야 합니다. 에이전트를 제거하면 경고 시간 범위 참조 지점 선택 시간이 다시 설정됩니다.

에이전트 편집

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 편집하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 편집을 선택합니다. 그러면 에이전트 편집 페이지가 열립니다.
6. 트리거를 선택합니다.
7. 여기서는 에이전트가 실행될 때 에이전트가 한 번에 하나의 경고에서 수동으로 실행 되거나 에이전트가 설정된 일정에 따라 자동으로 실행될 때 변경할 수 있습니다.
8. 편집을 선택하여 경고 기간 선택 값과 에이전트가 경고를 심사할 정책을 변경합니다.
9. 에이전트가 한 번에 하나의 경고에서 수동으로 실행되도록 선택하는 경우 솔루션에 대한 경고 페이지에서 단일 경고를 선택할 수 있습니다. 토글을 경고 심사 에이전트 미리 보기 로 설정하고 에이전트 실행을 선택합니다.

SCU 사용 모니터링

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 편집하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 편집을 선택합니다. 그러면 에이전트 편집 페이지가 열립니다.
6. 사용량 모니터링을 선택합니다.
7. 사용 모니터링 도구에서 SCU 사용량을 추적할 수 있습니다.

경고 페이지 개요

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 심사된 경고를 보려는 솔루션을 엽니다.
3. 솔루션에 대한 경고 페이지를 엽니다.
4. 페이지의 오른쪽 위 영역에는 경고 페이지의 Standard 보기와 경고 페이지의 경고 심사 에이전트(미리 보기) 보기 중에서 선택할 수 있는 새로운 토글이 있습니다. 토글을 경고 심사 에이전트(미리 보기) 보기로 설정합니다. 이 보기는 에이전트에서 심사한 경고를 보여 줍니다. 경고는 에이전트별로 다음 네 가지 범주로 그룹화됩니다.
   • 모두
   • 주의 필요
   • 덜 긴급
   • 분류되지 않음

다음 단계

심사된 경고를 검토하는 방법에 대한 자세한 내용은 솔루션 관련 문서를 참조하세요.

• 데이터 손실 방지 경고 조사에 대해 알아보기
• 데이터 손실 방지 경고 dashboard 시작
• 경고 심사 에이전트 dashboard(미리 보기)
• 참가자 위험 관리를 위한 지표 및 경고 심사 에이전트