내부 위험 관리 사용자 대시보드를 사용하여 워크플로 관리

중요

Microsoft Purview 참가자 위험 관리는 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

사용자 대시보드는 내부 위험 관리 워크플로에서 중요한 도구이며 조사자와 분석가가 위험 활동을 보다 완벽하게 이해할 수 있도록 도와줍니다. 이 대시보드는 내부 위험 관리 정책 만들기와 내부자 위험 관리 사례 관리 간의 관리 요구 사항을 충족하는 보기 및 관리 기능을 제공합니다.

사용자가 내부 위험 관리 정책에 추가되면 백그라운드 프로세스는 표시기를 트리거하기 위한 사용자 활동을 자동으로 평가합니다. 트리거 표시기가 있으면 사용자 활동에 위험 점수가 할당됩니다. 이러한 활동 중 일부는 내부 위험 경고를 초래할 수 있지만 일부 활동은 최소 위험 점수 수준을 충족하지 않을 수 있으며 내부 위험 경고가 생성되지 않습니다. 사용자 대시보드를 사용하면 이러한 유형의 지표 및 위험 점수를 가진 사용자와 활성 참가자 위험 경고가 있는 사용자를 볼 수 있습니다.

다음 시나리오에서 사용자 대시보드가 사용자를 표시하는 방법에 대해 자세히 알아봅니다.

• 활성 참가자 위험 정책 경고가 있는 사용자
• 트리거 이벤트가 있는 사용자
• 잠재적인 높은 영향 사용자 또는 우선 순위 사용자 그룹으로 식별된 사용자
• 정책에 일시적으로 추가된 사용자

팁

보안용 Microsoft Copilot를 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 보안용 Microsoft Copilot에 대해 자세히 알아보세요.

활성 참가자 위험 정책 경고가 있는 사용자

사용자 대시보드는 활성 참가자 위험 정책 경고가 있는 모든 사용자를 자동으로 표시합니다. 경고가 있는 이러한 사용자에게는 내부 위험 경고를 만들기 위한 요구 사항을 충족하는 트리거링 지표와 활동 위험 점수가 모두 있습니다. 이러한 사용자에 대한 활동은 사용자 대시보드 에서 사용자를 선택하고 사용자 활동 탭으로 이동하여 볼 수 있습니다.

트리거 이벤트가 있는 사용자

사용자 대시보드는 트리거 이벤트가 있는 모든 사용자를 자동으로 표시하지만 내부자 위험 경고를 만드는 활동 위험 점수는 없습니다. 예를 들어 이 활동은 트리거 이벤트이지만 위험 점수가 있는 활동이 아니기 때문에 보고된 사임 날짜가 있는 사용자가 표시됩니다. 이러한 사용자에 대한 활동은 사용자 대시보드 에서 사용자를 선택하고 사용자 활동 탭으로 이동하여 볼 수 있습니다.

정책에 일시적으로 추가된 사용자

사용자 대시보드에는 내부자 위험 관리 워크플로 외부의 비정상적인 이벤트 후 내부자 위험 관리 정책에 추가된 사용자가 포함됩니다. 정책 대시보드에서 사용자를 일시적으로 추가하는 것도 필수 커넥터가 구성되지 않은 경우에도 정책을 테스트하기 위한 내부 위험 관리 정책에 대한 사용자 활동 점수 매기기를 시작하는 방법입니다.

사용자가 정책에 수동으로 추가되면 이전 90일 동안의 사용자 활동이 점수가 매기고 사용자 활동 타임라인에 추가됩니다. 예를 들어 현재 내부 위험 정책에 대한 위험 점수가 할당되지 않은 사용자가 있고 사용자에게 조직의 법률 부서에 보고된 데이터 누출 활동이 있습니다. 법률 부서에서는 사용자에 대한 새로운 단기 검색 요구 사항을 구성할 것을 권장합니다. 지정된 기간(활성화 기간)에 대해 데이터 누수 정책에 사용자를 일시적으로 할당할 수 있습니다. 트리거 이벤트 요구 사항이 면제되므로 일시적으로 추가된 모든 사용자가 사용자 대시보드 에 표시됩니다.

참고

수동으로 추가된 새 사용자가 사용자 대시보드에 표시되는 데 몇 시간이 걸릴 수 있습니다. 이러한 사용자의 이전 90일 동안의 활동은 표시하는 데 최대 24시간이 걸릴 수 있습니다. 수동으로 추가된 사용자의 활동을 보려면 사용자 대시보드 에서 사용자를 선택하고 세부 정보 창에서 사용자 활동 탭을 엽니다.

다음과 같은 경우 활성화 창에 정의된 시간이 만료되면 사용자가 사용자 대시보드에서 자동으로 제거되고 점수 매기기가 중지됩니다.

• 사용자에게 추가 트리거 이벤트 또는 내부자 위험 정책 경고가 없으며,
• 수동으로 정의된 정품 인증 기간 기간이 전역 정책 활성화 기간 보다 길면 입니다.

가장 긴 기간이 있는 활성화 창 설정은 항상 더 짧은 기간으로 활성화 창 설정을 재정의합니다. 예를 들어 모든 내부 위험 정책에 자동으로 적용되는 15일 동안 내부 위험 관리 전역 설정의 전역 정책 기간 탭에서 활성화 창을 구성했습니다.

데이터 누수 내부자 위험 정책에 사용자를 일시적으로 추가하고 30일을 이 사용자의 활성화 창으로 정의합니다. 일시적으로 추가된 사용자에 대해 30일의 활성화 창 설정을 정의하여 15일 의 전역활성화 창 설정을 재정의합니다. 일시적으로 추가된 사용자는 사용자 대시보드 에 남아 있으며 30일 동안 정책에 대한 범위가 지정됩니다.

전역 활성화 창 설정이 일시적으로 추가된 사용자에 대해 정의된 활성화 창 설정보다 긴 반대 시나리오에서는 전역 활성화 창 설정이 일시적으로 추가된 사용자의 활성화 창 설정을 재정의합니다. 일시적으로 추가된 사용자는 사용자 대시보드 에 유지되며 전역 활성화 창 설정에 정의된 일 수에 대한 정책 범위 내입니다.

사용자 대시보드에서 사용자 정보 보기

사용자 대시보드에 표시되는 각 사용자에게는 다음 정보가 있습니다.

• 사용자: 사용자의 사용자 이름입니다. 이 필드는 내부 위험 관리를 위한 전역 익명화 설정을 사용하도록 설정하면 익명화됩니다.
• 경고 심각도 수준: 사용자의 현재 계산된 위험 수준입니다. 이 점수는 24시간마다 계산되며 사용자와 연결된 모든 활성 경고의 경고 위험 점수를 사용합니다. 트리거 표시기만 있는 사용자의 경우 경고 심각도 수준은 0입니다.
• 활성 경고: 모든 정책에 대한 활성 경고 수입니다.
• 확인된 위반: 사용자에 대해 확인된 정책 위반 으로 확인된 사례 수입니다.
• 사례: 사용자의 현재 활성 사례입니다.

특정 사용자를 빠르게 찾으려면 사용자 대시보드의 오른쪽 위에 있는 검색 을 사용합니다. 사용자를 검색할 때 UPN(사용자 계정 이름)을 사용해야 합니다. 예를 들어 조직에서 UPN이 'thidayah'인 'Tiara Hidayah'라는 사용자를 검색할 때 검색에서 'thidayah' 또는 UPN의 일부를 입력합니다.

참고

사용자 대시보드에 표시되는 사용자 수는 활성 경고의 볼륨 및 일치하는 정책에 따라 일부 인스턴스에서 제한될 수 있습니다. 활성 경고가 있는 사용자는 경고가 생성될 때 사용자 대시보드 에 표시되며 표시된 최대 사용자 수에 도달하는 경우는 드물 수 있습니다. 이 제한이 발생하면 표시되지 않는 활성 경고가 있는 사용자는 기존 사용자 경고가 심사됨에 따라 사용자 대시보드 에 추가됩니다.

사용자 세부 정보 보기

사용자의 위험 활동에 대한 자세한 내용을 보려면 사용자 대시보드에서 사용자를 두 번 클릭하여 사용자 세부 정보 창을 엽니다. 세부 정보 창에서 다음 정보를 볼 수 있습니다.

• 사용자 프로필 탭

  • 이름 및 제목: Microsoft Entra ID에서 사용자의 이름 및 위치 제목입니다. 내부 위험 관리에 대한 전역 익명화 설정을 사용하는 경우 이러한 사용자 필드는 익명화되거나 비어 있습니다.
  • 사용자 세부 정보: 사용자가 잠재적인 영향이 높은 사용자로 식별되었는지 또는 사용자가 우선 순위 사용자 그룹에 있는지 여부를 나열합니다.
  • 경고 및 활동 요약: 활성 사용자 경고 및 열린 사례를 나열합니다.
  • 사용자 이메일: 사용자의 이메일 주소입니다.
  • 별칭: 사용자의 네트워크 별칭입니다.
  • 조직 또는 부서: 사용자를 위한 조직 또는 부서입니다.
  • 범위에서: 정책에 대한 사용자의 범위 내 할당을 나열합니다.

• 사용자 활동 탭

  • 최근 사용자 활동 기록: 지난 90일까지의 위험 활동에 대한 트리거 지표와 내부자 위험 지표를 모두 나열합니다. 내부자 위험 지표와 관련된 모든 위험 활동도 채점되지만 활동은 내부자 위험 경고를 생성하거나 생성하지 않았을 수 있습니다. 트리거 표시기 예제는 사용자의 사직 날짜 또는 마지막으로 예약된 작업 날짜일 수 있습니다. 내부 위험 지표는 위험 요소가 있는 것으로 결정되는 활동으로, 잠재적으로 보안 인시던트가 발생할 수 있으며 사용자가 포함된 정책에 정의됩니다. 이벤트 및 위험 활동은 가장 최근 항목이 먼저 나열되어 있습니다.

Copilot를 사용하여 사용자 활동 요약(미리 보기)

사용자 세부 정보 창에서 Copilot로 요약 을 선택하여 추가 조사가 필요할 수 있는 사용자의 활동을 빠르게 요약할 수 있습니다. Microsoft Purview에서 Microsoft Copilot를 사용하여 사용자 위험 활동을 요약하면 사용자 요약이 있는 Copilot 창이 화면 오른쪽에 표시됩니다.

사용자 요약에는 사용자의 이름, 제목, 사용자 계정 이름, 경고 및 사례 기록 및 주요 위험 요소와 같은 필수 세부 정보가 포함됩니다. 주요 위험 요소는 사용자 역할, 권한, 반출 활동 참여, 순차적 패턴 또는 비정상적인 동작에 대한 중요한 인사이트를 제공합니다. 이 보기는 조직에 가장 높은 내부자 위험을 초래할 수 있는 사용자를 식별하는 데 도움이 됩니다.

요약을 더욱 구체화하고 사용자와 연결된 활동에 대한 추가 인사이트를 제공하기 위해 제안된 프롬프트가 자동으로 나열됩니다. 다음 제안된 프롬프트 중에서 선택합니다.

• 이 사용자와 관련된 모든 데이터 반출 활동을 나열합니다.
• 이 사용자와 관련된 모든 순차적 활동을 나열합니다.
• 사용자가 비정상적인 동작에 참여했나요?
• 지난 10일 동안 사용자가 수행한 주요 작업을 표시합니다.
• 사용자의 최근 30일 활동을 요약합니다.

팁

독립 실행형 버전의 보안용 Microsoft Copilot를 사용하여 내부자 위험 관리, Microsoft Purview DLP(데이터 손실 방지) 및 Microsoft Defender XDR 경고를 조사할 수도 있습니다.

정책에 대한 범위 내 할당에서 사용자 제거

내부 위험 관리 정책에서 사용자에게 위험 점수 할당을 중지해야 하는 시나리오가 있을 수 있습니다. 사용자 대시보드의 사용자에 대한 점수 매기기 중지 작업을 사용하여 현재 범위에 있는 모든 내부자 위험 관리 정책에서 사용자에 대한 위험 점수 할당을 중지합니다. 이 작업은 전체 정책 할당에서 사용자를 제거하지 않고(정책 구성에 사용자 또는 그룹을 추가할 때) 현재 트리거 이벤트 후 정책에 의한 활성 처리에서 사용자를 제거합니다. 사용자가 나중에 다른 트리거링 이벤트가 있는 경우 정책의 위험 점수가 자동으로 사용자에게 다시 할당되기 시작합니다. 이 사용자의 기존 경고 또는 사례는 제거되지 않습니다.

모든 내부 위험 관리 정책의 범위 내 상태에서 사용자 제거

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

Microsoft Purview 포털

1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 왼쪽 탐색 영역에서 사용자를 선택합니다.
4. 사용자 대시보드에서 채점 활동을 중지할 사용자를 선택합니다.
5. 사용자에 대한 점수 매기기 작업 중지를 선택합니다.

규정 준수 포털

1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 규정 준수 포털 에 로그인합니다.
2. 내부 위험 관리 솔루션으로 이동합니다.
3. 사용자 탭을 선택합니다.
4. 사용자 대시보드에서 채점 활동을 중지할 사용자를 선택합니다.
5. 사용자에 대한 점수 매기기 작업 중지를 선택합니다.

참고

범위 내 상태에서 사용자를 제거하는 데 몇 분 정도 걸릴 수 있습니다. 완료되면 사용자가 사용자 대시보드에 나열되지 않습니다. 제거된 사용자에게 활성 경고 또는 사례가 있는 경우 사용자는 사용자 대시보드 에 유지되며 사용자 세부 정보에는 더 이상 정책 범위 내가 없음이 표시됩니다.

사용자에 대한 Power Automate 흐름을 사용하여 자동화된 작업 실행

권장 Power Automate 흐름을 사용하면 위험 조사자와 분석가가 내부자 위험 정책에 추가될 때 사용자에게 알리기 위한 조치를 신속하게 수행할 수 있습니다.

내부 위험 관리 사용자를 위한 Power Automate 흐름을 실행, 관리 및 만들려면 다음을 수행합니다.

1. 사용자 작업 도구 모음에서 자동화 를 선택합니다.
2. 실행할 Power Automate 흐름을 선택한 다음 흐름 실행을 선택합니다.
3. 흐름이 완료되면 완료를 선택합니다.

내부 위험 관리를 위한 Power Automate 흐름에 대한 자세한 내용은 내부 위험 관리 설정 시작을 참조하세요.