내부 위험 관리 활동 및 경고 조사
- 10분
위험한 사용자 활동을 조사하는 것은 organization 대한 내부자 위험을 최소화하는 중요한 첫 번째 단계입니다. 이러한 위험은 다음과 같습니다.
- 참가자 위험 관리 정책에서 경고를 생성하는 활동입니다.
- 정책이 검색되었지만 사용자에 대한 내부 위험 관리 경고를 즉시 만들지 않는 활동의 위험.
조직은 사용자 활동 보고서 및 경고 dashboard 사용하여 이러한 유형의 활동을 조사할 수 있습니다.
사용자 활동 보고서
사용자 활동 보고서를 사용하면 organization 정의된 기간 동안 특정 사용자의 활동을 검사할 수 있습니다. organization 사용자를 참가자 위험 관리 정책에 일시적으로 또는 명시적으로 할당하지 않고도 보고서를 볼 수 있습니다. 대부분의 내부 위험 관리 시나리오에서 조직은 정책에서 사용자를 명시적으로 정의합니다. 또한 정책 경고(트리거 이벤트에 따라 다름) 및 활동과 관련된 위험 점수가 있을 수 있습니다.
그러나 일부 시나리오에서는 organization 정책에서 명시적으로 정의하지 않은 사용자의 활동을 검사하려고 할 수 있습니다. 이러한 활동은 잠재적으로 위험한 활동에 참여하는 사용자에 대한 팁을 받은 사용자를 위한 것일 수 있습니다. organization 일반적으로 참가자 위험 관리 정책에 할당하지 않는 사용자에 대한 활동일 수도 있습니다.
organization 참가자 위험 관리 설정 페이지에서 지표를 구성한 후 참가자 위험 관리는 선택한 지표와 관련된 위험한 사용자 활동을 검색합니다. organization 사용자가 위험한 활동을 검색하고 보고하도록 사용자 활동 보고서에 대한 정책을 구성할 필요가 없습니다. 사용자 활동 보고서는 활동을 표시하기 위해 이벤트를 트리거할 필요가 없습니다.
이 구성은 사용자에 대해 검색된 모든 활동을 검토할 수 있음을 의미합니다. 활동에는 트리거 이벤트가 필요하지 않으며 경고를 만들 필요가 없습니다. 내부 위험 관리는 사용자별로 보고서를 만듭니다. 사용자 지정 90일 동안의 모든 활동을 포함할 수 있습니다. 시스템은 동일한 사용자에 대해 여러 보고서를 지원하지 않습니다.
조사자가 사용자의 활동을 조사한 후 다음을 수행할 수 있습니다.
- 개별 활동을 무해한 것으로 해제합니다.
- 보고서 링크를 다른 조사관과 공유하거나 전자 메일로 보내주세요.
- 사용자를 참가자 위험 관리 정책에 임시 또는 명시적으로 할당하도록 선택합니다.
사용자 활동 보고서 페이지를 보려면 참가자 위험 관리 조사자 역할 그룹에 사용자를 할당해야 합니다.
organization 참가자 위험 관리 개요 페이지의 사용자 활동 조사 섹션에서 보고서 관리를 선택하여 시작할 수 있습니다. 사용자의 활동을 보려면 먼저 사용자 활동 보고서 만들기를 선택합니다. 그런 다음 , 새 사용자 활동 보고서 창에서 다음 필드를 완료합니다.
- 사용자. 이름 또는 전자 메일 주소로 사용자를 검색합니다.
- 시작 날짜입니다. 일정 컨트롤을 사용하여 사용자 활동에 대한 시작 날짜를 선택합니다.
- 종료 날짜입니다. 일정 컨트롤을 사용하여 사용자 활동에 대한 종료 날짜를 선택합니다. 선택한 종료 날짜는 선택한 시작 날짜로부터 2일 이상이어야 하며 선택한 시작 날짜로부터 90일을 초과하지 않아야 합니다.
참고
새 보고서는 일반적으로 검토할 준비가 되기까지 최대 10시간이 걸립니다. 보고서가 준비되면 사용자 활동 보고서 페이지의 상태 열에 보고서 준비 상태가 표시됩니다. 자세한 보고서를 볼 사용자를 선택합니다.
선택한 사용자의 사용자 활동 보고서에 는 사용자 활동 및 활동 탐색기 탭이 포함됩니다.
-
사용자 활동. 이 차트 보기를 사용하여 활동을 조사하고 시퀀스에서 발생하는 잠재적인 활동을 볼 수 있습니다. 이 탭의 구조를 사용하면 관리자가 사례를 신속하게 검토할 수 있습니다. 이 목록에는 다음과 같은 내용이 포함됩니다.
- 모든 활동의 기록 타임라인
- 활동 세부 정보
- 이 경우 사용자의 현재 위험 점수
- 위험 이벤트 시퀀스
- 조사 활동에 도움이 되는 컨트롤 필터링
- 활동 탐색기. 활동 탐색기 탭은 위험 조사자에게 활동에 대한 자세한 정보를 제공하는 포괄적인 분석 도구를 제공합니다. 활동 탐색기를 사용하면 검토자가 검색된 위험한 활동의 타임라인 신속하게 검토하고 경고와 관련된 모든 위험 활동을 식별하고 필터링할 수 있습니다.
경고 대시보드
내부 위험 관리 정책에 정의된 위험 지표는 참가자 위험 관리 경고를 자동으로 생성합니다. 이러한 경고는 규정 준수 분석가와 조사자에게 현재 위험 상태 대한 전체 보기를 제공합니다. 또한 organization 검색된 위험을 심사하고 조치를 취할 수 있습니다. 기본적으로 정책은 특정 양의 낮음, 중간 및 높은 심각도 경고를 생성합니다. 그러나 organization 필요에 맞게 경고 볼륨을 늘리거나 줄일 수 있습니다. 정책 만들기 도구를 사용하여 새 정책을 만들 때 정책 지표에 대한 경고 임계값 을 구성할 수도 있습니다.
추가 보기. 경고가 위험한 활동에 대한 세부 정보, 컨텍스트 및 관련 콘텐츠를 제공하는 방법과 조사 프로세스를 보다 효과적으로 만드는 방법에 대한 개요를 보려면 다음 링크를 선택하여 참가자 위험 관리 경고 심사 환경이라는 짧은 비디오를 watch.
내부 위험 관리 dashboard 경고 탭을 사용하면 조직에서 내부 위험 정책에 의해 생성된 경고를 보고 조치를 수행할 수 있습니다. 각 보고서 위젯은 다음을 포함하여 지난 30일 동안의 정보를 표시합니다.
- 검토가 필요한 총 경고입니다. 경고 심각도별 분석을 포함하여 검토 및 심사가 필요한 총 경고 수입니다.
- 지난 30일 동안 경고를 엽니다. 정책에서 만든 총 경고 수는 지난 30일 동안 일치하며 높음, 중간 및 낮은 경고 심각도 수준으로 정렬됩니다.
-
경고를 resolve 평균 시간입니다. 유용한 경고 통계 요약:
- 심각도가 높은 경고를 해결하기 위한 평균 시간(시간, 일 또는 월)입니다.
- 시간, 일 또는 월 단위로 나열된 중간 심각도 경고를 해결하는 평균 시간입니다.
- 낮은 심각도 경고를 해결하기 위한 평균 시간(시간, 일 또는 월)입니다.
경고
내부 위험 관리는 기본 제공 경고 제한을 사용하여 organization 위험 조사 및 검토 환경을 보호하고 최적화합니다. 정책 경고의 오버로드를 초래할 수 있는 문제에 대해 보호합니다. 예를 들어 잘못 구성된 데이터 커넥터 또는 DLP 정책입니다. 따라서 사용자에 대한 새 경고를 표시하는 데 지연이 있을 수 있습니다.
경고 상태 및 심각도
조직은 경고를 다음 상태 중 하나로 심사할 수 있습니다.
확인되었습니다. 경고가 확인되고 새 사례 또는 기존 사례에 할당됩니다.
해제되었습니다. 심사 프로세스에서 양성으로 해제된 경고입니다. 경고 해제 이유를 제공하고 사용자의 경고 기록에서 사용할 수 있는 메모를 포함할 수 있습니다. 이렇게 하면 향후 참조 또는 다른 검토자를 위한 추가 컨텍스트가 제공됩니다. 예를 들어 그 이유는 다음과 같습니다.
- 예상 활동
- 영향을 미치는 이벤트 없음
- 사용자에 대한 경고 활동 수 줄이기
- 경고 노트와 관련된 이유입니다. 이유 분류 선택 항목은 다음과 같습니다.
- 이 사용자에 대한 작업이 필요합니다.
- 활동은 내가 더 조사 할 수있을만큼 영향력이 있습니다.
- 이 사용자에 대한 경고에는 너무 많은 활동이 포함됩니다.
검토가 필요합니다. organization 아직 심사 작업을 수행하지 않은 새 경고입니다.
해결되었습니다. 종결되고 해결된 사례의 일부인 경고입니다.
내부자 위험 관리는 여러 위험 활동 지표에서 경고 위험 점수를 자동으로 계산합니다. 이러한 지표는 다음과 같습니다.
- 위험 활동의 유형입니다.
- 활동 발생 횟수와 빈도입니다.
- 사용자 위험 활동 기록입니다.
- 활동의 심각성을 높일 수 있는 활동 위험이 추가되었습니다.
경고 위험 점수는 각 경고에 대한 위험 심각도 수준을 프로그래밍 방식으로 할당합니다. 사용자 지정할 수 없습니다. 경고가 계속 시도되지 않고 위험 활동이 경고에 계속 발생하는 경우 위험 심각도 수준이 증가할 수 있습니다. 위험 분석가 및 조사자는 경고 위험 심각도를 사용하여 organization 위험 정책 및 표준에 따라 경고를 심사할 수 있습니다.
경고 위험 심각도 수준은 다음과 같습니다.
- 심각도가 높습니다. 경고에 대한 활동 및 지표는 상당한 위험을 초래합니다. 관련된 위험 활동은 심각하고 반복적이며 다른 중요한 위험 요소에 강력하게 영향을 줍니다.
- 중간 심각도. 경고에 대한 활동 및 지표는 보통의 위험을 초래합니다. 관련된 위험 활동은 보통이고 자주 발생하며 다른 위험 요소와 어느 정도 상관 관계가 있습니다.
- 심각도가 낮습니다. 경고에 대한 활동 및 지표는 사소한 위험을 초래합니다. 관련된 위험 활동은 미미하고 빈도가 높으며 다른 중요한 위험 요소로 코어레이트하지 않습니다.
위험한 사용자 활동을 조사하는 것은 organization 대한 내부자 위험을 최소화하는 중요한 첫 번째 단계입니다. 이러한 위험은 내부 위험 관리 정책에서 경고를 생성하는 활동일 수 있습니다. 또는 정책에서 검색하지만 사용자에 대한 참가자 위험 관리 경고를 즉시 만들지 않는 활동의 위험일 수 있습니다. 사용자 활동 보고서를 사용하거나 경고 dashboard 사용하여 이러한 유형의 활동을 조사할 수 있습니다.
심사 경고
내부 위험 경고를 심사하려면 다음 단계를 완료합니다.
Microsoft Purview 규정 준수 포털의 탐색 창에서 참가자 위험 관리를 선택합니다.
내부 위험 관리 페이지에서 경고 탭을 선택합니다.
경고 dashboard 심사할 경고를 선택합니다.
경고 세부 정보 페이지에서 경고에 대한 정보를 검토할 수 있습니다. 다음을 수행할 수 있습니다.
- 경고를 확인하고 새 사례를 만듭니다.
- 경고를 확인하고 기존 사례에 추가합니다.
- 경고를 해제합니다.
경고 세부 정보 페이지에는 경고에 대한 현재 상태 및 높음, 중간 또는 낮음으로 나열된 경고 위험 심각도 수준도 포함됩니다. organization 경고를 심사하지 않으면 심각도 수준이 시간이 지남에 따라 증가하거나 감소할 수 있습니다.
활동 탐색기
참고
organization 활동 탐색기를 사용할 수 있는 경우 트리거 이벤트가 있는 사용자의 경고 관리 영역을 사용할 수 있습니다.
활동 탐색기는 위험 조사자와 분석가에게 경고에 대한 자세한 정보를 제공하는 포괄적인 분석 도구를 제공합니다. 활동 탐색기를 사용하면 검토자가 검색된 위험한 활동의 타임라인 신속하게 검토하고 경고와 관련된 모든 위험 활동을 식별하고 필터링할 수 있습니다.
열 정보에 대한 활동 탐색기에서 경고를 필터링하려면 필터 컨트롤을 선택합니다. 경고에 대한 세부 정보 창에 나열된 하나 이상의 특성으로 경고를 필터링할 수 있습니다. 활동 탐색기는 또한 조사자와 분석가가 가장 중요한 정보에 dashboard 집중할 수 있도록 사용자 지정 가능한 열을 지원합니다.
organization 활동 scope 및 위험 인사이트 필터를 사용하여 다음 영역에 대한 활동 및 인사이트를 표시하고 정렬할 수 있습니다.
-
활동 scope 필터. 사용자에 대해 점수가 매기된 모든 활동을 필터링합니다.
- 이 사용자에 대해 점수가 매기된 모든 활동입니다.
- 이 경고에서 점수가 매깁니다.
-
위험 요소 필터. 위험 점수를 할당하는 모든 정책에 적용할 수 있는 위험 요소 활동에 대한 필터 이 작업에는 scope 사용자에 대한 모든 정책에 대한 모든 활동이 포함됩니다.
- 비정상적인 활동
- 우선 순위 콘텐츠가 있는 이벤트 포함
- 허용되지 않는 도메인이 있는 이벤트 포함
- 시퀀스 작업
- 누적 반출 활동
- 상태 레코드 액세스 활동
활동 탐색기를 사용하려면 다음 단계를 완료합니다.
- Microsoft Purview 규정 준수 포털의 탐색 창에서 참가자 위험 관리를 선택합니다.
- 내부 위험 관리 페이지에서 경고 탭을 선택합니다.
- 경고 dashboard 심사할 경고를 선택합니다.
- 경고 세부 정보 창에서 확장된 보기 열기를 선택합니다.
- 선택한 경고의 페이지에서 활동 탐색기 탭을 선택합니다.
조사자와 분석가가 활동 탐색기에서 활동을 검토할 때 특정 활동을 선택하고 활동 세부 정보 창을 열 수 있습니다. 창에는 조사자 및 분석가가 경고 심사 프로세스 중에 사용할 수 있는 활동에 대한 자세한 정보가 표시됩니다. 자세한 정보는 경고에 대한 컨텍스트를 제공할 수 있습니다. 또한 경고를 트리거한 위험 활동의 전체 scope 식별하는 데 도움이 될 수 있습니다.
조사자와 분석가가 활동 타임라인 활동의 이벤트를 선택하면 활동 탐색기에 표시되는 활동 수가 타임라인 나열된 활동 이벤트 수와 일치하지 않을 수 있습니다. 이러한 차이는 다음과 같은 이유로 발생할 수 있습니다.
- 누적 반출 검색. 누적 반출 검색은 이벤트 로그를 분석합니다. 그러나 유사한 활동을 중복 제거하여 누적 반출 위험을 계산하는 모델을 적용합니다. organization 기존 정책 또는 설정을 변경한 경우 활동 탐색기에 표시되는 활동 수에도 차이가 있을 수 있습니다. 예를 들어 organization 수정된 허용 도메인을 가정하고 정책을 만든 후 새 파일 형식 제외를 추가했다고 가정해 보겠습니다. 활동 일치가 발생한 경우 누적 반출 검색 활동은 정책 또는 설정이 변경되기 전의 결과와 다릅니다. 누적 반출 검색 활동 합계는 계산 시 정책 및 설정 구성을 기반으로 합니다. 정책 및 설정이 변경되기 전에는 활동이 포함되지 않습니다.
- 외부 받는 사람에게 전자 메일을 보냅니다. 시스템은 보낸 이메일 수에 따라 외부 받는 사람에게 전송된 전자 메일의 활동에 위험 점수를 할당할 수 있습니다. 이 값은 활동 이벤트 로그와 일치하지 않을 수 있습니다.
지식 점검
다음 질문에 가장 적합한 답을 고르세요.