다음을 통해 공유

클라우드 앱 위험 및 의심스러운 활동 조사

  • 아티클

클라우드 환경에서 Microsoft Defender for Cloud Apps 실행되면 학습 및 조사 단계가 필요합니다. Microsoft Defender for Cloud Apps 도구를 사용하여 클라우드 환경에서 발생하는 일을 더 깊이 이해하는 방법을 알아봅니다. 특정 환경 및 사용 방법에 따라 위험으로부터 organization 보호하기 위한 요구 사항을 식별할 수 있습니다. 이 문서에서는 조사를 수행하여 클라우드 환경을 더 잘 이해하는 방법을 설명합니다.

앱에 승인 또는 허가되지 않음으로 태그 지정

클라우드를 이해하는 중요한 단계는 앱을 승인되거나 허가되지 않은 앱으로 태그를 지정하는 것입니다. 앱을 승인한 후에는 승인되지 않은 앱을 필터링하고 동일한 유형의 승인된 앱으로 마이그레이션을 시작할 수 있습니다.

  • Microsoft Defender Portal의 Cloud Apps에서 클라우드 앱 카탈로그 또는 클라우드 검색 - >검색된 앱으로 이동합니다.

  • 앱 목록에서 승인됨으로 태그를 지정할 앱이 표시되는 행에서 태그 행의 끝에 있는 세 개의 점을 승인된 점으로 선택합니다. 그리고 제재됨을 선택합니다.

    승인된 태그입니다.

조사 도구 사용

  1. Microsoft Defender 포털의 Cloud Apps에서 활동 로그로 이동하여 특정 앱으로 필터링합니다. 다음 항목을 확인합니다.

    • 클라우드 환경에 액세스하는 사람은 누구인가요?

    • 어떤 IP 범위에서?

    • 관리자 활동은 무엇인가요?

    • 관리자가 연결하는 위치는 무엇인가요?

    • 오래된 디바이스가 클라우드 환경에 연결되고 있나요?

    • 실패한 로그인이 예상 IP 주소에서 들어오나요?

  2. Microsoft Defender Portal의 Cloud Apps에서 파일로 이동하여 다음 항목을 검사.

    • 링크 없이 누구나 액세스할 수 있도록 공개적으로 공유되는 파일은 몇 개입니까?

    • 파일을 공유하는 파트너(아웃바운드 공유)는 무엇인가요?

    • 파일에 중요한 이름이 있나요?

    • 다른 사람의 개인 계정 공유되는 파일이 있나요?

  3. Microsoft Defender 포털에서 ID로 이동하여 다음 항목을 검사.

    • 특정 서비스에서 오랫동안 비활성 상태인 계정이 있나요? 해당 사용자의 라이선스를 해당 서비스에 취소할 수 있습니다.

    • 특정 역할이 있는 사용자를 알고 싶으신가요?

    • 누군가가 해고되었지만 여전히 앱에 액세스할 수 있으며 해당 액세스를 사용하여 정보를 도용할 수 있나요?

    • 특정 앱에 대한 사용자의 권한을 취소하거나 특정 사용자가 다단계 인증을 사용하도록 요구하시겠습니까?

    • 사용자의 계정 행 끝에 있는 세 개의 점을 선택하고 수행할 작업을 선택하여 사용자 계정으로 드릴다운할 수 있습니다. 사용자 일시 중단 또는 사용자의 공동 작업 제거와 같은 작업을 수행합니다. 사용자가 Microsoft Entra ID 가져온 경우 Microsoft Entra 계정 설정을 선택하여 고급 사용자 관리 기능에 쉽게 액세스할 수 있습니다. 관리 기능의 예로는 그룹 관리, MFA, 사용자의 로그인에 대한 세부 정보 및 로그인을 차단하는 기능이 있습니다.

  4. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택한 다음, 앱을 선택합니다. 앱 dashboard 열리고 정보와 인사이트를 제공합니다. 위쪽의 탭을 사용하여 다음을 검사 수 있습니다.

    • 사용자가 앱에 연결하는 데 사용하는 디바이스의 종류는 무엇인가요?

    • 클라우드에서 저장하는 파일 유형은 무엇인가요?

    • 현재 앱에서 어떤 활동이 일어나고 있나요?

    • 사용자 환경에 연결된 타사 앱이 있나요?

    • 이러한 앱에 대해 잘 알고 있나요?

    • 허용되는 액세스 수준에 대한 권한이 있나요?

    • 얼마나 많은 사용자가 배포했나요? 이러한 앱은 일반적으로 얼마나 일반적입니까?

    앱 dashboard.

  5. Microsoft Defender 포털의 Cloud Apps에서 Cloud Discovery로 이동합니다. 대시보드 탭을 선택하고 다음 항목을 검사.

    • 어떤 클라우드 앱이 사용되고 있는지, 어느 정도, 어떤 사용자가 사용 중입니까?

    • 어떤 용도로 사용되나요?

    • 이러한 클라우드 앱에 업로드되는 데이터의 양

    • 어떤 범주에서 승인된 클라우드 앱이 있지만 사용자가 대체 솔루션을 사용하고 있나요?

    • 대체 솔루션의 경우 organization 클라우드 앱을 사용 취소하시겠습니까?

    • 사용되지만 organization 정책을 준수하지 않는 클라우드 앱이 있나요?

샘플 조사

위험한 IP 주소로 클라우드 환경에 액세스할 수 없다고 가정해 보겠습니다. 예를 들어 Tor라고 가정해 보겠습니다. 하지만 다음을 확인하기 위해 위험 IP에 대한 정책을 만듭니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 템플릿으로 이동합니다.

  2. 형식에 대한 활동 정책을 선택합니다.

  3. 위험한 IP 주소 행의 로그온 끝에 있는 더하기 기호(+)를 선택하여 새 정책을 만듭니다.

  4. 정책 이름을 식별할 수 있도록 변경합니다.

  5. 다음의 모든 항목과 일치하는 활동에서 필터를 추가하도록 선택합니다+. IP 태그까지 아래로 스크롤한 다음, 토르를 선택합니다.

    위험한 IP에 대한 예제 정책입니다.

이제 정책이 적용되었으므로 정책을 위반했다는 경고가 있는 것을 확인할 수 있습니다.

  1. Microsoft Defender 포털에서 인시던트 & 경고 ->경고로 이동하여 정책 위반에 대한 경고를 확인합니다.

  2. 실제 위반으로 보이는 경우 위험을 포함하거나 수정하려고 합니다.

    위험을 포함하기 위해 사용자에게 위반이 의도적인지, 사용자가 알고 있었는지 묻는 알림을 보낼 수 있습니다.

    또한 경고를 드릴다운하고 수행해야 하는 작업을 파악할 수 있을 때까지 사용자를 일시 중단할 수 있습니다.

  3. 다시 발생할 가능성이 없는 허용된 이벤트인 경우 경고를 해제할 수 있습니다.

    허용되는 경우 다시 발생할 것으로 예상되는 경우 이 유형의 이벤트가 나중에 위반으로 간주되지 않도록 정책을 변경할 수 있습니다.

다음 단계

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.