정책을 사용하여 클라우드 앱 제어
정책을 사용하면 사용자가 클라우드에서 행동하는 방식을 정의할 수 있습니다. 이를 통해 클라우드 환경에서 위험한 동작, 위반 또는 의심스러운 데이터 포인트 및 활동을 검색할 수 있습니다. 필요한 경우 수정 작업 흐름을 통합하여 완전한 위험 완화를 달성할 수 있습니다. 클라우드 환경에 대해 수집하려는 다양한 유형의 정보 및 수행할 수 있는 문제 해결 조치 유형과 관련된 여러 유형의 정책이 있습니다.
예를 들어 격리하려는 데이터 위반 위협이 있는 경우 조직에서 위험한 클라우드 앱을 사용하지 못하도록 차단하려는 경우와 다른 유형의 정책이 필요합니다.
정책 유형
정책 관리 페이지를 보면 다양한 정책 및 템플릿을 유형 및 아이콘으로 구분하여 사용할 수 있는 정책을 확인할 수 있습니다. 정책은 모든 정책 탭 또는 해당 범주 탭에서 함께 볼 수 있습니다. 사용 가능한 정책은 데이터 원본과 organization Defender for Cloud Apps 사용하도록 설정한 항목에 따라 달라집니다. 예를 들어 클라우드 검색 로그를 업로드한 경우 클라우드 검색과 관련된 정책이 표시됩니다.
다음 유형의 정책을 만들 수 있습니다.
| 정책 유형 아이콘 | 정책 유형 | 범주 | 사용 |
|---|---|---|---|
|
활동 정책 | 위협 검색 | 활동 정책을 사용하면 앱 공급자의 API를 사용하여 광범위한 자동화된 프로세스를 적용할 수 있습니다. 이러한 정책을 사용하면 다양한 사용자가 수행하는 특정 활동을 모니터링하거나 특정 활동 유형의 예상치 못한 높은 비율을 추적할 수 있습니다. 자세한 정보 |
|
이상 탐지 정책 | 위협 검색 | 변칙 검색 정책을 사용하면 클라우드에서 비정상적인 활동을 찾을 수 있습니다. 탐지는 조직의 기준 또는 사용자의 일상적인 활동과 다른 일이 발생할 때 경고하도록 설정한 위험 요소를 기반으로 합니다. 자세한 정보 |
|
OAuth 앱 정책 | 위협 검색 | OAuth 앱 정책을 사용하면 각 OAuth 앱이 요청한 권한을 조사하고 자동으로 승인하거나 취소할 수 있습니다. 이러한 정책은 Defender for Cloud Apps 함께 제공되는 기본 제공 정책이며 만들 수 없습니다. 자세한 정보 |
|
맬웨어 탐지 정책 | 위협 검색 | 맬웨어 검색 정책을 사용하면 클라우드 스토리지에서 악성 파일을 식별하고 자동으로 승인하거나 취소할 수 있습니다. 이 정책은 Defender for Cloud Apps 함께 제공되며 만들 수 없는 기본 제공 정책입니다. 자세한 정보 |
|
파일 정책 | 정보 보호 | 파일 정책을 사용하면 클라우드 앱에서 지정된 파일 또는 파일 형식(공유, 외부 도메인과 공유), 데이터(독점 정보, 개인 데이터, 신용 카드 정보 및 기타 유형의 데이터)를 검색하고 파일에 거버넌스 작업을 적용할 수 있습니다(거버넌스 작업은 클라우드 앱별). 자세한 정보 |
|
액세스 정책 | 조건부 액세스 | 액세스 정책은 클라우드 앱에 대한 사용자 로그인에 대한 실시간 모니터링 및 제어를 제공합니다. 자세한 정보 |
|
|
세션 정책 | 조건부 액세스 | 세션 정책은 클라우드 앱에서 사용자 활동을 실시간으로 모니터링하고 제어할 수 있도록 지원합니다. 자세한 정보 |
|
앱 검색 정책 | 섀도 IT | 앱 검색 정책을 사용하면 조직 내에서 새 앱이 검색될 때 알려주는 경고를 설정할 수 있습니다. 자세한 정보 |
|
|
클라우드 검색 변칙 검색 정책 | 섀도 IT | 클라우드 검색 변칙 검색 정책은 클라우드 앱을 검색하는 데 사용하는 로그를 살펴보고 비정상적인 발생을 검색합니다. 예를 들어 Dropbox를 전혀 사용하지 않던 사용자가 갑자기 Dropbox에 600GB를 업로드하거나 특정 앱에서 평소보다 많은 트랜잭션이 발생하는 경우입니다. 자세한 정보 |
위험 식별
Defender for Cloud Apps는 클라우드에서 다양한 위험을 완화하는 데 도움이 됩니다. 다음 위험 중 하나와 연결되도록 모든 정책 및 경고를 구성할 수 있습니다.
액세스 제어: 누가 어디에서 무엇을 액세스합니까?
지속적으로 동작을 모니터링하고 위험 수준이 높은 내부 및 외부 공격을 비롯한 비정상적인 활동을 검색하고, 앱 내의 앱 또는 특정 작업에 대한 ID 확인을 경고, 차단 또는 요구하는 정책을 적용합니다. 대략적 차단 및 세분화된 보기, 편집 및 차단을 통해 사용자, 장치 및 지역을 기반으로 온-프레미스 및 모바일 액세스 제어 정책을 활성화합니다. 다단계 인증 실패, 비활성화된 계정 로그인 실패 및 가장 이벤트를 포함하여 의심스러운 로그인 이벤트를 검색합니다.
컴플라이언스: 규정 준수 요구 사항이 위반되었나요?
PCI, SOX 및 HIPAA와 같은 규정 준수를 보장하기 위해 파일 동기화 서비스에 저장된 각 파일에 대한 공유 권한을 포함하여 중요하거나 규제된 데이터를 카탈로그화하고 식별합니다.
구성 컨트롤: 구성을 무단으로 변경하고 있나요?
원격 구성 조작을 포함하여 구성 변경 내용을 모니터링합니다.
클라우드 검색: organization 새 앱이 사용되고 있나요? 본인도 모르는 섀도 IT 앱이 사용되는 문제가 있나요?
규제 및 업계 인증과 모범 사례를 기반으로 각 클라우드 앱에 대한 전반적인 위험을 평가합니다. 각 클라우드 애플리케이션에 대한 사용자 수, 활동, 트래픽 볼륨 및 일반적인 사용 시간을 모니터링할 수 있습니다.
DLP: 독점 파일이 공개적으로 공유되고 있나요? 파일을 격리해야 합니까?
온-프레미스 DLP 통합은 기존 온-프레미스 DLP 솔루션과의 통합 및 폐쇄 루프 문제 해결을 제공합니다.
권한 있는 계정: 관리자 계정을 모니터링해야 합니까?
특권 사용자 및 관리자의 실시간 활동 모니터링 및 보고.
공유 컨트롤: 클라우드 환경에서 데이터는 어떻게 공유되나요?
클라우드의 파일 및 콘텐츠 콘텐츠를 검사하고 내부 및 외부 공유 정책을 시행합니다. 공동 작업을 모니터링하고 파일이 조직 외부에서 공유되지 않도록 차단하는 등의 공유 정책을 시행합니다.
위협 탐지: 클라우드 환경을 위협하는 의심스러운 활동이 있나요?
이메일을 통해 정책 위반 또는 활동 임계값에 대한 실시간 알림을 받습니다. 기계 학습 알고리즘을 적용하여 Defender for Cloud Apps를 사용하면 사용자가 데이터를 오용하고 있음을 나타낼 수 있는 동작을 검색할 수 있습니다.
위험을 제어하는 방법
정책을 사용하여 위험을 제어하려면 다음 프로세스를 수행합니다.
템플릿 또는 쿼리에서 정책을 만듭니다.
정책을 미세 조정하여 예상 결과를 달성합니다.
자동으로 대응하고 위험을 수정하는 자동화된 작업을 추가합니다.
정책 만들기
Defender for Cloud Apps 정책 템플릿을 모든 정책의 기준으로 사용하거나 쿼리에서 정책을 만들 수 있습니다.
정책 템플릿은 환경 내에서 관심 있는 특정 이벤트를 검색하는 데 필요한 올바른 필터 및 구성을 설정하는 데 도움이 됩니다. 템플릿에는 모든 유형의 정책이 포함되며 다양한 서비스에 적용할 수 있습니다.
정책 템플릿에서 정책을 만들려면 다음 단계를 수행합니다.
Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 템플릿으로 이동합니다.
사용하려는 템플릿 행의 맨 오른쪽에 있는 더하기 기호(+)를 선택합니다. 템플릿의 미리 정의된 구성을 사용하여 정책 만들기 페이지가 열립니다.
사용자 지정 정책에 필요한 대로 템플릿을 수정합니다. 이 새 템플릿 기반 정책의 모든 속성과 필드는 필요에 따라 수정할 수 있습니다.
참고
정책 필터를 사용하는 경우 Contains는 comas, dots, spaces 또는 밑줄로 구분된 전체 단어만 검색합니다. 예를 들어 맬웨어 또는 바이러스를 검색하는 경우 virus_malware_file.exe 찾지만 malwarevirusfile.exe 찾을 수 없습니다. malware.exe검색하는 경우 파일 이름에 맬웨어 또는 exe가 있는 모든 파일을 찾는 반면, "malware.exe"(따옴표 포함)을 검색하면 정확히 "malware.exe"이 포함된 파일만 찾을 수 있습니다.
같음은 전체 문자열만 검색합니다. 예를 들어 malware.exe 찾을malware.exe 검색하지만 malware.exe.txt 검색하지 않습니다.새 템플릿 기반 정책을 만든 후에는 정책이 만들어진 템플릿 옆에 있는 정책 템플릿 테이블의 연결된 정책 열에 새 정책에 대한 링크가 나타납니다. 각 템플릿에서 원하는 만큼 정책을 만들 수 있으며 모두 원래 템플릿에 연결됩니다. 연결을 사용하면 동일한 템플릿을 사용하여 빌드된 모든 정책을 추적할 수 있습니다.
또는 조사 중에 정책을 만들 수 있습니다. 활동 로그, 파일 또는 ID를 조사하고 특정 항목을 검색하기 위해 드릴다운하는 경우 언제든지 조사 결과에 따라 새 정책을 만들 수 있습니다.
예를 들어 활동 로그를 보고 사무실의 IP 주소 외부에서 관리자 활동을 확인하는 경우 만들 수 있습니다.
조사 결과에 따라 정책을 만들려면 다음 단계를 수행합니다.
Microsoft Defender 포털에서 다음 중 하나로 이동합니다.
- Cloud Apps ->활동 로그
- Cloud Apps ->Files
- 자산 ->ID
페이지 맨 위에 있는 필터를 사용하여 검색 결과를 의심스러운 영역으로 제한합니다. 예를 들어 활동 로그 페이지에서 관리 활동을 선택하고 True를 선택합니다. 그런 다음 IP 주소에서 범주 를 선택하고 관리자, 회사 및 VPN IP 주소와 같이 인식된 도메인에 대해 만든 IP 주소 범주를 포함하지 않도록 값을 설정합니다.
쿼리 아래에서 검색에서 새 정책을 선택합니다.
조사에 사용한 필터가 포함된 정책 만들기 페이지가 열립니다.
사용자 지정 정책에 필요한 대로 템플릿을 수정합니다. 이 새로운 조사 기반 정책의 모든 속성과 필드는 필요에 따라 수정할 수 있습니다.
참고
정책 필터를 사용하는 경우 Contains는 comas, dots, spaces 또는 밑줄로 구분된 전체 단어만 검색합니다. 예를 들어 맬웨어 또는 바이러스를 검색하는 경우 virus_malware_file.exe 찾지만 malwarevirusfile.exe 찾을 수 없습니다.
같음은 전체 문자열만 검색합니다. 예를 들어 malware.exe 찾을malware.exe 검색하지만 malware.exe.txt 검색하지 않습니다.
자동으로 대응하고 위험을 수정하는 자동화된 작업 추가
앱당 사용 가능한 거버넌스 작업 목록은 연결된 앱 관리를 참조하세요.
일치 항목이 검색되면 메일로 경고를 보내도록 정책을 설정할 수도 있습니다.
알림 기본 설정을 Email 알림 기본 설정으로 이동합니다.
정책 사용 및 사용 안 함
정책을 만든 후에는 정책을 사용하거나 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정하면 정책을 만든 후 삭제할 필요가 없습니다. 대신 어떤 이유로 정책을 중지하려는 경우 정책을 다시 사용하도록 선택할 때까지 사용하지 않도록 설정합니다.
정책을 사용하도록 설정하려면 정책 페이지에서 사용하려는 정책 행의 끝에 있는 세 개의 점을 선택합니다. 사용을 선택합니다.
정책을 사용하지 않도록 설정하려면 정책 페이지에서 사용하지 않도록 설정할 정책 행의 끝에 있는 세 개의 점을 선택합니다. 사용 안 함을 선택합니다.
기본적으로 새 정책을 만든 후에는 사용하도록 설정됩니다.
정책 개요 보고서
Defender for Cloud Apps 정책당 집계된 경고 메트릭을 보여 주는 정책 개요 보고서를 내보내 organization 더 잘 보호하기 위해 정책을 모니터링, 이해 및 사용자 지정할 수 있습니다.
로그를 내보내려면 다음 단계를 수행합니다.
정책 페이지에서 내보내기 단추를 선택합니다.
필요한 시간 범위를 지정합니다.
내보내기를 선택합니다. 이 프로세스에는 다소 시간이 걸릴 수 있습니다.
내보낸 보고서를 다운로드하려면 다음을 수행합니다.
보고서가 준비되면 Microsoft Defender 포털에서 보고서로 이동한 다음 Cloud Apps ->Exported 보고서로 이동합니다.
테이블에서 관련 보고서를 선택한 다음 다운로드를 선택합니다.
다음 단계
문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.