클라우드용 Microsoft Defender 앱에서 데이터 손실 방지 경고 조사
DLP 관련 구성을 사용하여 클라우드용 Defender 앱 파일 정책을 생성된 후에는 클라우드용 Defender 앱의 경고 영역에서 파일 정책 위반 경고를 조사할 수 있습니다.
경고를 관리하기 위해서 다음과 같이 수행합니다.
경고 페이지의 해결 상태에서 열기를 선택합니다.
대시보드의 이 섹션에서는 의심스러운 활동이나 설정된 정책의 위반을 완전히 파악할 수 있습니다. 클라우드 환경에 대해 정의한 보안 상태를 보호하는 데 도움이 될 수 있습니다.
각 경고에 대해 위반의 특성과 필요한 대응을 조사하고 결정해야 합니다.
경고 유형 또는 심각도에 따라 경고를 필터링하여 가장 중요한 경고를 먼저 처리할 수 있습니다.
특정 경고를 선택합니다. 경고 유형에 따라 경고를 해결하기 전에 수행할 수 있는 다양한 작업이 표시됩니다.
앱을 기준으로 필터링할 수 있습니다. 나열된 앱은 클라우드용 Defender 앱에서 활동이 검색된 앱입니다.
경고를 조사할 때 처리해야 하는 다음 세 가지 유형의 위반이 있습니다.
심각한 위반 - 심각한 위반은 즉각적인 대응이 필요합니다.
예:
의심스러운 활동 경고의 경우 사용자가 암호를 변경할 때까지 계정을 일시 중단하는 것이 좋습니다.
데이터 누출의 경우 사용 권한을 제한하거나 파일을 격리하는 것이 좋습니다.
새로운 앱이 검색된 경우 프록시 또는 방화벽에서 해당 서비스에 대한 액세스를 차단하는 것이 좋습니다.
의심스러운 위반 - 의심스러운 위반에는 추가 조사가 필요합니다.
사용자 또는 사용자의 관리자에게 작업의 특성을 문의할 수 있습니다.
추가 정보를 받을 때까지 활동을 미해결 상태로 둡니다.
승인된 위반 또는 비정상적인 동작 - 승인된 위반 또는 비정상적인 동작은 합법적인 사용에서 발생할 수 있습니다.
- 경고를 해제할 수 있습니다.
경고를 해제할 때마다 경고를 해제하는 이유에 대한 피드백을 제출하는 것이 중요합니다. 클라우드용 Defender 앱 팀은 경고의 정확도를 나타내는 표시로 이 피드백을 사용합니다. 이 정보는 향후 경고를 위해 기계 학습 모델을 미세 조정하는 데 사용됩니다. 경고를 분류하는 방법을 결정할 때 다음 지침을 따를 수 있습니다.
합법적인 사용으로 경고가 트리거되고 보안 문제가 아닌 경우 다음 유형 중 하나일 수 있습니다.
무해한 긍정: 경고는 정확하지만 작업은 합법적입니다. 경고를 해제하고 이유를 실제 심각도 낮음 또는 관심 없음으로 설정할 수 있습니다.
거짓 긍정: 경고가 정확하지 않습니다. 경고를 해제하고 경고가 정확하지 않음으로 설정합니다.
경고의 적법성과 정확도를 결정하는 데 너무 많은 노이즈가 있는 경우 경고를 해제하고 이유를 유사한 경고가 너무 많음으로 설정합니다.
참 긍정: 경고가 내부자나 외부인에 의해 악의적으로 또는 의도하지 않게 커밋된 실제 위험 이벤트와 관련된 경우, 이벤트를 수정하기 위해 모든 적절한 작업이 수행된 후 해결로 설정합니다.
DLP에 대한 파일 정책 경고에 관심이 있는 경우에도 경고 목록에는 다양한 경고 유형이 표시됩니다. 해당 비 DLP 경고는 보안 인시던트에 대한 인사이트를 제공할 수 있기 때문에 다양한 경고 유형을 이해하는 것이 중요합니다.
다음 표에서는 트리거될 수 있는 경고 유형 목록과 권장되는 해결 방법을 제공합니다.
경고 유형 | 설명 | 권장 솔루션 |
---|---|---|
활동 정책 위반 | 이 유형의 경고는 생성된 정책의 결과입니다. | 이 유형의 경고를 대량으로 사용하려면 정책 센터 내에서 작업하여 완화하는 것이 좋습니다. 더 많은 필터와 보다 세부적인 제어를 추가하여 불필요한 항목을 제외하도록 정책을 미세 조정합니다. 정책이 정확하고 경고가 보증되었으며 즉시 중지해야 할 위반인 경우에는 정책에 자동 수정을 추가할 수도 있습니다. |
파일 정책 위반 | 이 유형의 경고는 생성된 정책의 결과입니다. | 이 유형의 경고를 대량으로 사용하려면 정책 센터 내에서 작업하여 완화하는 것이 좋습니다. 더 많은 필터와 보다 세부적인 제어를 추가하여 불필요한 항목을 제외하도록 정책을 미세 조정합니다. |
손상된 계정 | 이 유형의 경고는 클라우드용 Defender 앱에서 손상된 계정을 식별할 때 트리거됩니다. 즉, 계정이 무단으로 사용되었을 가능성이 매우 높다는 것을 의미합니다. | 사용자에 접근하고 사용자가 암호를 변경할 때까지 계정을 일시 중단하는 것이 좋습니다. |
비활성 계정 | 이 경고는 연결된 클라우드 앱 중 하나에서 60일 동안 계정이 사용되지 않은 경우 트리거됩니다. | 사용자 및 사용자의 관리자에게 문의하여 계정이 여전히 활성 상태인지 확인합니다. 그렇지 않은 경우 사용자를 일시 중단하고 앱에 대한 라이선스를 종료합니다. |
새 관리 사용자 | 연결된 앱에 대한 권한 있는 계정의 변경 내용을 경고합니다. | 새 관리자 권한이 사용자에게 실제로 필요한지 확인합니다. 그렇지 않은 경우에는 관리자 권한을 해지하여 노출을 줄이는 것이 좋습니다. |
새 관리 위치 | 연결된 앱에 대한 권한 있는 계정의 변경 내용을 경고합니다. | 비정상적인 위치에서의 로그인이 합법적이었는지 확인합니다. 그렇지 않을 경우 관리자 권한을 해지하거나 계정을 일시 중단하여 노출을 줄이는 것이 좋습니다. |
새 위치 | 새 위치에서 연결된 앱의 액세스와 관련된 정보 제공용 경고이며 국가/지역별로 한 번만 트리거됩니다. | 특정 사용자의 활동을 조사합니다. |
새로 검색된 서비스 | 이 경고는 Shadow IT에 대한 경고입니다. Cloud Discovery에서 새 앱이 검색되었습니다. | 응용 프로그램 카탈로그를 기반으로 하여 서비스의 위험을 평가합니다. |
의심되는 활동 | 이 경고를 통해 조직의 예상된 활동 또는 사용자와 일치하지 않는 비정상적인 활동이 감지되었음을 알 수 있습니다. | 동작을 조사하고 사용자와 확인합니다. 이 유형의 경고는 사용자 환경을 자세히 확인하고 이러한 경고에 관한 새 정책을 생성 시작하는 데 적합합니다. 예를 들어 누군가가 연결된 앱 중 하나에 많은 양의 데이터를 갑자기 업로드하는 경우 해당 유형의 비정상적인 동작을 제어하는 규칙을 설정할 수 있습니다. |
개인 계정 사용 | 이 경고를 통해 새 개인 계정이 연결된 앱의 리소스에 액세스할 수 있음을 알 수 있습니다. | 외부 계정에서 사용자의 협업을 제거합니다. |