내부 위험 관리에서 분석 사용
중요
Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.
Microsoft Purview 내부 위험 관리 분석을 사용하도록 설정하면 두 가지 중요한 이점이 있습니다. 분석을 사용하도록 설정하면 다음을 수행할 수 있습니다.
- 내부자 위험 정책을 구성하지 않고 organization 잠재적인 내부자 위험을 평가합니다.
- 지표 임계값 설정 구성에 대한 실시간 지침을 받습니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
organization 내부 위험 평가 수행
Microsoft Purview 내부 위험 관리 분석을 사용하면 내부자 위험 정책을 구성하지 않고도 organization 잠재적인 내부자 위험을 평가할 수 있습니다. 이 평가는 organization 사용자 위험이 높은 잠재적 영역을 식별하고 구성할 내부자 위험 관리 정책의 유형 및 scope 결정하는 데 도움이 될 수 있습니다. 분석 검사는 organization 다음과 같은 이점을 제공합니다.
- 구성하기 쉬운 방법: 분석 검사를 시작하려면 분석 권장 사항에 따라 검색 실행을 선택하거나 내부자 위험 설정>분석 으로 이동하여 분석을 사용하도록 설정합니다.
- 의도적으로 개인 정보 보호: 검사된 결과 및 인사이트는 집계되고 익명화된 사용자 활동으로 반환됩니다. 개별 사용자 이름은 검토자가 식별할 수 없습니다. 내부 위험 관리는 분석을 위해 organization ID를 분류하지 않으므로 솔루션은 organization 경계를 벗어나는 데이터에 포함될 수 있는 모든 UPN/ID를 차지합니다. 여기에는 사용자 계정, 시스템 계정, 게스트 계정 등이 포함될 수 있습니다.
- 통합 인사이트를 통해 잠재적 위험 이해: 검색 결과를 통해 사용자의 잠재적 위험 영역을 신속하게 식별하고 이러한 위험을 완화하는 데 가장 적합한 정책을 파악할 수 있습니다.
내부 위험 관리 분석 비디오를 확인하여 분석이 잠재적인 내부자 위험 식별을 가속화하는 데 어떻게 도움이 되는지 이해합니다.
스캔한 영역
Analytics는 여러 원본에서 위험 관리 활동을 검색하여 잠재적 위험 영역에 대한 인사이트를 식별합니다. 현재 구성에 따라 분석은 다음 영역에서 적격 위험 활동을 찾습니다.
- Microsoft 365 감사 로그: 모든 검사에 포함되며, 이는 잠재적으로 위험한 대부분의 활동을 식별하기 위한 기본 소스입니다.
- Exchange Online: 모든 검사에 포함된 Exchange Online 활동은 첨부 파일의 데이터가 외부 연락처 또는 서비스로 전자 메일로 전송되는 활동을 식별하는 데 도움이 됩니다.
- Microsoft Entra ID: 모든 검사에 포함된 Microsoft Entra 기록은 삭제된 사용자 계정으로 사용자와 관련된 위험한 활동을 식별하는 데 도움이 됩니다.
- Microsoft 365 HR 데이터 커넥터: 구성된 경우 HR 커넥터 이벤트는 사임 또는 종료 날짜가 있는 사용자와 관련된 위험한 활동을 식별하는 데 도움이 됩니다.
검사의 분석 인사이트는 내부자 위험 관리 정책에서 사용하는 것과 동일한 위험 관리 활동 신호를 기반으로 하며 단일 및 시퀀스 사용자 활동을 기반으로 결과를 보고합니다. 그러나 분석에 대한 위험 점수는 최대 10일의 활동을 기반으로 하며 내부자 위험 정책은 인사이트를 위해 매일 활동을 사용합니다. organization 분석을 처음 사용하도록 설정하고 실행하면 하루 동안의 검사 결과가 표시됩니다. 분석을 사용하도록 설정한 상태로 두면 이전 10일 동안의 최대 활동 범위에 대한 인사이트 보고서에 추가된 각 일일 검사 결과가 표시됩니다.
지표 임계값 설정 구성에 대한 실시간 지침 받기
"노이즈"를 줄이기 위해 정책을 수동으로 조정하는 것은 매우 시간이 많이 걸리는 환경이 될 수 있으며, 정책의 원하는 구성을 결정하기 위해 많은 시행착오를 수행해야 합니다. 분석이 켜져 있는 경우 너무 적거나 너무 많은 정책 경고를 받지 않도록 활동 발생의 표시기 및 임계값을 효율적으로 조정하는 데 도움이 되는 실시간 인사이트를 얻을 수 있습니다. 실시간 분석을 사용하여 경고 볼륨을 관리하는 방법에 대해 자세히 알아봅니다.
분석을 사용하도록 설정하고 organization 잠재적인 내부자 위험 검색을 시작합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
내부자 위험 분석을 사용하도록 설정하려면 참가자 위험 관리, 내부자 위험 관리 관리자 또는 Microsoft 365 전역 관리자 역할 그룹의 구성원이어야 합니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
- 내부 위험 관리 솔루션으로 이동합니다.
- 개요 탭에서 내부 위험 분석 카드 아래로 스크롤한 다음, organization 내부자 위험 검색에서검색 실행을 선택합니다. 그러면 organization 대한 분석 검사가 켜집니다. 분석 검사 결과는 검토를 위한 보고서로 인사이트를 사용할 수 있는 데 최대 48시간이 걸릴 수 있습니다.
팁
내부 위험 관리 페이지의 맨 위에 있는 설정을 통해 organization 검사를 설정할 수도 있습니다. 분석을 선택한 다음 설정을 켭니다.
첫 번째 분석 검사 후 분석 인사이트 보기
organization 대한 첫 번째 분석 검사가 완료되면 참가자 위험 관리 관리자 역할 그룹의 구성원이 자동으로 이메일 알림을 받고 사용자가 잠재적으로 위험한 활동에 대한 초기 인사이트 및 권장 사항을 볼 수 있습니다. organization 대한 분석을 해제하지 않는 한 매일 검사가 계속됩니다. organization 잠재적으로 위험한 활동의 첫 번째 instance 후 분석(데이터 유출, 도난 및 반출)에 대한 세 가지 scope 범주 각각에 대해 관리자에게 Email 알림이 제공됩니다. Email 알림은 매일 검사로 인한 후속 위험 관리 활동 검색을 위해 관리자에게 전송되지 않습니다.
참고
분석 설정을 사용하지 않도록 설정한 다음 다시 사용하도록 설정하면 자동 메일 알림 다시 설정되고 새 검사 인사이트를 위해 참가자 위험 관리 관리자 역할 그룹의 구성원에게 메일 알림 전송됩니다.
organization 대한 잠재적 위험을 보려면 개요 탭으로 이동한 다음, 내부 위험 분석 카드 결과 보기를 선택합니다.
참고
organization 대한 검사가 완료되지 않은 경우 검사가 여전히 활성 상태라는 메시지가 표시됩니다.
완료된 분석을 위해 organization 발견된 잠재적 위험과 이러한 위험을 해결하기 위한 인사이트 및 권장 사항을 확인할 수 있습니다. 식별된 위험 및 특정 인사이트는 지역별로 그룹화된 보고서, 식별된 위험이 있는 총 사용자 수(사용자, 게스트, 시스템 등 모든 유형의 Microsoft Entra 계정), 잠재적으로 위험한 활동이 있는 사용자의 비율 및 이러한 위험을 완화하는 데 도움이 되는 권장 내부자 위험 정책에 포함됩니다. 보고서에는 다음이 포함됩니다.
- 데이터 누수 인사이트: 악의적인 의도를 가진 사용자가 organization 외부의 정보를 실수로 과도하게 공유하거나 데이터 누출을 포함할 수 있는 모든 사용자에 대해
- 데이터 도난 인사이트: organization 외부의 위험한 정보 공유 또는 악의적인 의도를 가진 사용자에 의한 데이터 도난을 포함할 수 있는 삭제된 Microsoft Entra 계정을 가진 출발 사용자 또는 사용자.
- 상위 반출 인사이트: organization 외부에서 데이터 공유를 포함할 수 있는 모든 사용자에 대한 정보입니다.
인사이트에 대한 자세한 정보를 표시하려면 세부 정보 보기를 선택하여 인사이트에 대한 세부 정보 창을 표시합니다. 세부 정보 창에는 전체 인사이트 결과, 내부 위험 정책 권장 사항 및 권장 정책을 빠르게 만드는 데 도움이 되는 정책 만들기 가 포함됩니다. 정책 만들기를 선택하면 정책 마법사로 이동하고 인사이트와 관련된 권장 정책 템플릿을 자동으로 선택합니다. 예를 들어 데이터 도난 활동에 대한 분석 인사이트인 경우 데이터 도난 정책 템플릿은 정책 마법사에서 미리 선택됩니다.
분석 끄기
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
내부자 위험 분석을 해제하려면 참가자 위험 관리, 내부자 위험 관리 관리자 또는 Microsoft 365 전역 관리자 역할 그룹의 구성원이어야 합니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
- 페이지의 오른쪽 위 모서리에서 설정을 선택합니다.
- 내부 위험 관리를 선택하여 내부 위험 관리 설정으로 이동합니다.
- 내부 위험 설정에서 분석을 선택한 다음 설정을 끕니다.
분석을 사용하지 않도록 설정한 후:
- 분석 인사이트 보고서는 정적 상태로 유지되며 새로운 위험에 대해 업데이트되지 않습니다.
- 정책에 대한 지표 임계값 설정을 사용자 지정할 때 실시간 분석을 볼 수 없습니다.