내부 위험 관리에서 경고 볼륨을 관리하기 위한 모범 사례

중요

Microsoft Purview 참가자 위험 관리는 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

잠재적으로 위험한 내부자 경고를 검토, 조사 및 조치를 수행하는 것은 조직의 내부자 위험을 최소화하는 중요한 부분입니다. 이러한 위험의 영향을 최소화하기 위해 신속하게 조치를 취하면 잠재적으로 조직에 시간, 비용 및 규제 또는 법적 파급 효과를 절약할 수 있습니다. 이 수정 프로세스에서 경고를 검토하는 첫 번째 단계는 많은 분석가와 조사자에게 가장 어려운 작업처럼 보일 수 있습니다.

이 문서에서는 경고가 너무 많거나 너무 적지 않도록 조직의 경고 볼륨을 관리하는 모범 사례를 제공합니다. 경고 생성 방법 및 경고 관리 도구에 대한 일반적인 내용은 내부 위험 활동 조사를 참조하세요.

검토할 경고가 너무 적습니다.

내부자 위험 관리 경고가 너무 적으면 다음을 수행합니다.

• 설정을 업데이트합니다. 설정에 대한 변경 내용은 모든 정책에서 전역적으로 적용됩니다.

  • 더 많은 표시기를 사용하도록 설정합니다. 더 많은 지표를 선택하면 정책에서 검색할 활동 그룹이 더 커집니다.

    어떻게:설정>정책 표시기로 이동한 다음 사용 가능한 모든 관련 지표를 사용하도록 설정합니다.

  • 경고 볼륨 슬라이더를 조정합니다. 이 슬라이더를 사용하여 모든 중간 및 높은 심각도 경고와 가장 낮은 심각도 경고를 볼 수 있습니다. 메모: 슬라이더를 조정하면 더 많은 가양성으로 발생할 수 있습니다.

    어떻게:설정>지능형 검색>경고 볼륨으로 이동한 다음 슬라이더를 추가 경고로 이동합니다.

• 정책을 수정합니다. 충분한 경고를 생성하지 않는 정책을 식별하고 다음 작업을 고려합니다.

  • 정책에서 사용자 범위를 늘입니다. 범위에 포함된 사용자가 거의 없는 정책은 경고를 생성할 가능성이 적습니다. 해당하는 경우 정책 범위에서 사용자 수를 늘리는 것이 좋습니다.

    어떻게:정책 페이지에서 특정 정책을 선택하고 정책 편집을 선택한 다음 사용자 및 그룹 페이지로 이동하여 범위 내 사용자 수를 늘립니다.

  • 트리거 임계값을 낮춥니다.데이터 누수 및 위험한 브라우저 사용량(미리 보기) 템플릿을 기반으로 하는 정책을 사용하면 일부 트리거 임계값을 사용자 지정할 수 있습니다. 이러한 임계값은 사용자 활동을 검색하기 시작하는 시기를 정의합니다. 트리거 임계값을 낮추면 사용자가 위험한 활동에 대한 평가를 시작할 수 있는 기준을 낮춥니다. 메모: 사용자가 사용자 및 그룹 페이지에 표시되지 않으면 트리거 이벤트 조건이 아직 충족되지 않았음을 의미합니다.

    어떻게:정책 페이지의 특정 정책으로 이동하여 정책 편집을 선택하고 , 트리거 임계값 페이지로 이동하고, 사용자 지정 임계값 사용 옵션을 선택한 다음, 임계값을 조정합니다.

  • 표시기를 더 추가합니다. 지표는 사용자가 위험한 것으로 간주하기 위해 수행해야 하는 활동입니다. 정책에서 많은 지표(위험한 것으로 간주되는 활동)가 선택되지 않은 경우 경고가 생성될 가능성이 적습니다.

    어떻게:정책 페이지의 특정 정책으로 이동하여 정책 편집을 선택하고 표시기 페이지로 이동한 다음 더 많은 지표를 선택합니다.

  • 낮은 표시기 임계값: 사용자가 평가를 시작한 후(트리거 이벤트가 있음) 해당 사용자가 활동이 위험하다는 것을 나타낼 수 있는 특정 임계값을 초과하는 작업을 수행하는 경우에만 경고가 생성됩니다. 지표 임계값을 낮추면 사용자가 경고를 생성하기 위해 초과해야 하는 임계값이 낮아질 수 있습니다.

    어떻게:정책 페이지의 특정 정책으로 이동하여 정책 편집을 선택하고 표시기 임계값 페이지로 이동하여 임계값 사용자 지정 옵션을 선택한 다음 임계값을 설정합니다. 지표 임계값 권장 사항에 대해 알아보기

검토할 경고가 너무 많음

유효한 경고가 너무 많거나 부실한 저위험 경고가 너무 많은 경우 다음 작업을 수행하는 것이 좋습니다.

• 분석 사용: 분석을 사용하도록 설정하면 사용자의 잠재적 위험 영역을 신속하게 식별하고 구성할 수 있는 내부 위험 관리 정책의 유형과 범위를 결정하는 데 도움이 될 수 있습니다.

  어떻게:설정>분석으로 이동합니다.

• 실시간 인사이트 가져오기: 임계값 권장 사항을 활용하려는 경우 분석에서 실시간 인사이트를 얻을 수도 있습니다. 이러한 인사이트는 너무 적거나 너무 많은 정책 경고를 받지 않도록 활동 발생의 지표 및 임계값을 효율적으로 조정하는 데 도움이 될 수 있습니다.

  어떻게:실시간 분석을 사용하여 경고 볼륨 관리를 참조하세요.

• 정책 조정: 올바른 내부 위험 정책을 선택하고 구성하는 것이 경고의 유형과 볼륨을 해결하는 가장 기본적인 방법입니다. 적절한 정책 템플릿 부터는 표시되는 위험 활동 및 경고 유형에 초점을 맞추는 데 도움이 됩니다. 경고 볼륨에 영향을 미칠 수 있는 다른 요인은 범위 내 사용자 및 그룹의 크기와 우선 순위가 지정된 콘텐츠 및 채널입니다. 이러한 영역을 조직에 가장 중요한 영역으로 구체화하기 위해 정책을 조정하는 것이 좋습니다.

  어떻게:정책 페이지에서 특정 정책을 선택한 다음 정책 편집을 선택합니다.

• 내부 위험 설정을 수정합니다. 내부 위험 설정에는 수신하는 경고의 볼륨 및 유형에 영향을 미칠 수 있는 다양한 구성 옵션이 포함됩니다. 경고 노이즈를 필터링하려면 다음 설정을 검토하고 이해해야 합니다.

  • 정책 지표 및 지표 임계값
  • 전역 제외
  • 검색 그룹
  • 기본 제공 표시기의 변형
  • 지능형 탐지
  • 정책 기간

• 인라인 경고 사용자 지정 사용:인라인 경고 사용자 지정 을 사용하도록 설정하면 분석가와 조사자가 경고를 검토할 때 정책을 신속하게 편집할 수 있습니다. Microsoft 권장 사항을 사용하여 활동 검색에 대한 임계값을 업데이트하거나, 사용자 지정 임계값을 구성하거나, 경고를 만든 활동 유형을 무시하도록 선택할 수 있습니다. 사용하도록 설정되지 않은 경우 참가자 위험 관리 역할 그룹에 할당된 사용자만 인라인 경고 사용자 지정을 사용할 수 있습니다.

  어떻게:설정>인라인 경고 사용자 지정으로 이동합니다.

• 해당하는 경우 대량 삭제 경고: 분석가와 조사자가 여러 경고를 대량으로 즉시 해제하는 심사 시간을 절약하는 데 도움이 될 수 있습니다. 한 번에 최대 400개의 경고를 선택하여 해제할 수 있습니다.

조직에서 리소스 제약 조건 관리

현대 직장 사용자는 종종 시간에 대한 다양한 책임과 요구를 가지고 있습니다. 리소스 제약 조건을 해결하기 위해 수행할 수 있는 몇 가지 작업이 있습니다.

• 가장 높은 위험 경고에 먼저 분석가 및 조사자의 노력을 집중합니다. 정책에 따라 사용자 활동을 캡처하고 위험 완화 노력에 다양한 영향을 미치는 경고를 생성할 수 있습니다. 심각도별로 경고를 필터링하고 높은 심각도 경고의 우선 순위를 지정합니다.
• Microsoft Copilot 사용: Microsoft Purview에서 Microsoft Copilot를 사용하여 경고를 열지 않고도 요약할 수 있습니다. 이렇게 하면 심사 환경의 속도를 높일 수 있습니다.
• 사용자를 분석가 및 조사자로 할당합니다. 적절한 역할에 적절한 사용자를 할당하는 것은 내부 위험 경고 검토 프로세스의 중요한 부분입니다. 참가자 위험 관리 분석가 및 내부 위험 관리 조사자 역할 그룹에 적절한 사용자를 할당했는지 확인합니다.
• 자동화된 내부 위험 기능을 사용하여 가장 높은 위험 활동을 검색할 수 있습니다.
  • 내부 위험 관리 시퀀스 검색 및 누적 반출 검색 을 사용하여 조직에서 위험을 찾기가 더 어렵습니다.
  • 위험 점수 부스터를 미세 조정하고 전역 제외, 검색 그룹 및 변형을 사용하는 것이 좋습니다.
  • 정책에 대한 최소 표시기 임계값 설정을 미세 조정합니다.

참고 항목

내부 위험 관리 활동 조사