다음을 통해 공유

클라우드 검색 dashboard 사용하여 검색된 앱 보기

  • 아티클

클라우드 검색 페이지는 클라우드 앱이 organization 사용되는 방식에 대한 더 많은 인사이트를 제공하도록 설계된 dashboard 제공합니다. dashboard 사용 중인 앱 유형, 열린 경고 및 organization 앱의 위험 수준을 한눈에 볼 수 있습니다. 또한 상위 앱 사용자가 누구인지를 표시하고 앱 본사 위치 맵을 제공합니다.

클라우드 검색 데이터를 필터링하여 가장 관심 있는 항목에 따라 특정 보기를 생성합니다. 자세한 내용은 검색된 앱 필터를 참조하세요.

필수 구성 요소

필요한 역할에 대한 자세한 내용은 관리자 액세스 관리를 참조하세요.

클라우드 검색 dashboard 검토

이 절차에서는 클라우드 검색 dashboard 클라우드 검색 앱의 초기 일반 그림을 가져오는 방법을 설명합니다.

  1. Microsoft Defender 포털에서 클라우드 앱 > 클라우드 검색을 선택합니다.

    예시:

    클라우드 검색 dashboard 스크린샷

    지원되는 앱에는 Defender - 관리형 엔드포인트 스트림 아래에 나열된 Windows 및 macOS 앱이 포함됩니다.

  2. 다음 정보를 검토합니다.

    1. 상위 수준 사용 개요를 사용하여 organization 전체 클라우드 앱 사용을 이해합니다.

    2. 각 다른 사용 매개 변수에 대해 조직에서 사용되는 상위 범주 를 이해하려면 한 수준 더 자세히 살펴보세요. 이 사용량은 승인된 앱에서 얼마나 많이 사용하는지 확인합니다.

    3. 검색된 앱 탭을 사용하여 더 자세히 살펴보고 특정 범주의 모든 앱을 확인합니다.

    4. 상위 사용자 및 원본 IP 주소를 확인하여 organization 클라우드 앱의 가장 지배적인 사용자인 사용자를 식별합니다.

    5. 앱 본사 맵을 사용하여 검색된 앱이 본사에 따라 지리적 위치에 따라 어떻게 분산되는지 검사.

    6. 앱 위험 개요를 사용하여 검색된 앱의 위험 점수를 이해하고 검색 경고 상태 검사 조사해야 하는 열린 경고 수를 확인합니다.

검색된 앱에 대한 심층 분석

클라우드 검색 데이터에 대해 자세히 알아보려면 필터를 사용하여 위험하거나 일반적으로 사용되는 앱을 검사.

예를 들어 일반적으로 사용되는 위험한 클라우드 스토리지 및 공동 작업 앱을 식별하려면 검색된 앱 페이지를 사용하여 원하는 앱을 필터링합니다. 그런 다음 다음과 같이 인증을 취소하거나 차단 합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색을 선택합니다. 그런 다음 검색된 앱 탭을 선택합니다.

  2. 검색된 앱 탭의 범주별 찾아보기에서 클라우드 스토리지공동 작업을 모두 선택합니다.

  3. 고급 필터를 사용하여 준수 위험 요소를SOC 2 = 아니요로 설정합니다.

  4. 사용량의 경우 사용자를 50명 이상으로 설정하고 트랜잭션을 100보다 크게 설정합니다.

  5. 미사용 데이터 암호화에 대한 보안 위험 요소를지원되지 않음으로 설정합니다. 그런 다음 위험 점수를 6 이하로 설정합니다.

    검색된 샘플 앱 필터의 스크린샷.

결과를 필터링한 후 대량 작업 확인란을 사용하여 한 작업에서 모두 사용 권한을 해제하여 허용을 취소 하고 차단 합니다. 사용이 허가되지 않은 경우 차단 스크립트를 사용하여 사용자 환경에서 사용할 수 없도록 차단합니다.

또한 검색된 하위 도메인을 조사하여 사용 중인 특정 앱 인스턴스를 식별할 수도 있습니다. 예를 들어 여러 SharePoint 사이트를 구분합니다.

하위 도메인 필터.

참고

검색된 앱에 대한 심층 분석 내용은 대상 URL 데이터가 포함된 방화벽 및 프록시에서만 지원됩니다. 자세한 내용은 지원되는 방화벽 및 프록시를 참조하세요.

Defender for Cloud Apps 트래픽 로그에서 검색된 하위 도메인을 앱 카탈로그에 저장된 데이터와 일치시킬 수 없는 경우 하위 도메인은 기타로 태그가 지정됩니다.

리소스 및 사용자 지정 애플리케이션 검색

또한 클라우드 검색을 통해 IaaS 및 PaaS 리소스를 살펴볼 수 있습니다. Azure, Google Cloud Platform 및 AWS에서 호스트되는 스토리지 계정, 인프라 및 사용자 지정 앱을 포함하여 자체 호스팅 앱 및 리소스에서 데이터에 대한 액세스를 확인하여 리소스 호스팅 플랫폼에서 활동을 검색합니다. IaaS 솔루션에서 전반적인 사용량을 확인할 수 있습니다. 하지만 각 솔루션에서 호스트되는 특정 리소스와 리소스의 전반적인 사용량을 파악하여 리소스당 위험을 완화할 수 있습니다.

예를 들어 많은 양의 데이터가 업로드되는 경우 업로드된 리소스를 검색하고 드릴다운하여 누가 활동을 수행했는지 확인합니다.

참고

대상 URL 데이터가 포함된 방화벽 및 프록시에서만 지원됩니다. 자세한 내용은 지원되는 방화벽 및 프록시에서 지원되는 어플라이언스 목록을 참조하세요.

검색된 리소스를 보려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색을 선택합니다. 그런 다음 검색된 리소스 탭을 선택합니다.

    검색된 리소스 메뉴의 스크린샷

  2. 검색된 리소스 페이지에서 각 리소스를 드릴다운하여 어떤 종류의 트랜잭션이 발생했는지, 누가 액세스했는지 확인하고, 드릴다운하여 사용자를 더 자세히 조사합니다.

    검색된 리소스 탭의 스크린샷

  3. 사용자 지정 앱의 경우 행 끝에 있는 옵션 메뉴를 선택한 다음 , 새 사용자 지정 앱 추가를 선택합니다. 그러면 이 앱 추가 대화 상자가 열립니다. 여기서 앱을 이름을 지정하고 식별하여 클라우드 검색 dashboard 포함할 수 있습니다.

클라우드 검색 임원 보고서 생성

organization 전체에서 섀도 IT 사용에 대한 개요를 가져오는 가장 좋은 방법은 클라우드 검색 임원 보고서를 생성하는 것입니다. 이 보고서는 잠재적인 주요 위험을 식별하고 해결될 때까지 위험을 완화하고 관리하는 워크플로를 계획하는 데 도움이 됩니다.

클라우드 검색 임원 보고서를 생성하려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 클라우드 검색을 선택합니다.

  2. 클라우드 검색 페이지에서 작업>Cloud Discovery 생성 임원 보고서를 선택합니다.

  3. 필요에 따라 보고서 이름을 변경한 다음 생성을 선택합니다.

엔터티 제외

시스템 사용자, IP 주소 또는 시끄럽지만 관심이 없는 디바이스 또는 섀도 IT 보고서에 표시되지 않아야 하는 엔터티가 있는 경우 분석된 클라우드 검색 데이터에서 해당 데이터를 제외할 수 있습니다. 예를 들어 로컬 호스트에서 발생하는 모든 정보를 제외할 수 있습니다.

제외를 만들려면 다음을 수행합니다.

  1. Microsoft Defender 포털에서 설정>Cloud Apps>Cloud Discovery>제외 엔터티를 선택합니다.

  2. 제외된 사용자, 제외된 그룹, 제외된 IP 주소 또는 제외된 디바이스 탭을 선택하고 +추가 단추를 선택하여 제외를 추가합니다.

  3. 사용자 별칭, IP 주소 또는 디바이스 이름을 추가합니다. 제외가 이루어진 이유에 대한 정보를 추가하는 것이 좋습니다.

    사용자를 제외하는 스크린샷

참고

모든 엔터티 제외는 새로 받은 데이터에만 적용됩니다. 제외된 엔터티의 기록 데이터는 보존 기간(90일)을 통해 유지됩니다.

연속 보고서 관리

사용자 지정 연속 보고서는 organization 클라우드 검색 로그 데이터를 모니터링할 때 보다 세분성을 제공합니다. 특정 지리적 위치, 네트워크 및 사이트 또는 조직 단위를 필터링하는 사용자 지정 보고서를 만듭니다. 기본적으로 클라우드 검색 보고서 선택기에서 다음 보고서만 표시됩니다.

  • 전역 보고서는 로그에 포함된 모든 데이터 원본에서 포털의 모든 정보를 통합합니다. 전역 보고서에는 엔드포인트용 Microsoft Defender 데이터가 포함되지 않습니다.

  • 데이터 원본별 보고서에는 특정 데이터 원본의 정보만 표시됩니다.

새 연속 보고서를 만들려면 다음을 수행합니다.

  1. Microsoft Defender 포털에서 설정>Cloud Apps>Cloud Discovery>연속 보고서 보고서만들기를> 선택합니다.

  2. 보고서 이름을 입력합니다.

  3. 포함할 데이터 원본(전부 또는 특정)을 선택합니다.

  4. 데이터에 대해 원하는 필터를 설정합니다. 이러한 필터는 사용자 그룹, IP 주소 태그 또는 IP 주소 범위일 수 있습니다. IP 주소 태그 및 IP 주소 범위 작업에 대한 자세한 내용은 필요에 따라 데이터 구성을 참조하세요.

    사용자 지정 연속 보고서를 만드는 스크린샷

참고

모든 사용자 지정 보고서는 최대 1GB의 압축되지 않은 데이터로 제한됩니다. 1GB 이상의 데이터가 있는 경우 처음 1GB의 데이터가 보고서로 내보내집니다.

클라우드 검색 데이터 삭제

다음 경우에 클라우드 검색 데이터를 삭제하는 것이 좋습니다.

  • 로그 파일을 수동으로 업로드한 경우 시스템을 새 로그 파일로 업데이트한 후 오랜 시간이 지났으며 이전 데이터가 결과에 영향을 주지 않도록 합니다.

  • 새 사용자 지정 데이터 뷰를 설정하면 해당 시점의 새 데이터에만 적용됩니다. 이러한 경우 이전 데이터를 지운 다음 로그 파일을 다시 업로드하여 사용자 지정 데이터 뷰가 로그 파일 데이터의 이벤트를 선택할 수 있도록 할 수 있습니다.

  • 많은 사용자 또는 IP 주소가 최근 몇 시간 동안 오프라인 상태가 된 후 다시 작동하기 시작한 경우 해당 활동은 비정상으로 식별되며 거짓 긍정 위반을 줄 수 있습니다.

중요

이렇게 하기 전에 데이터를 삭제해야 합니다. 이 작업은 돌이킬 수 없으며 시스템의 모든 클라우드 검색 데이터를 삭제합니다.

클라우드 검색 데이터를 삭제하려면 다음을 수행합니다.

  1. Microsoft Defender 포털에서 설정>Cloud Apps>Cloud Discovery>데이터 삭제를 선택합니다.

  2. 삭제 단추를 선택합니다.

    클라우드 검색 데이터를 삭제하는 스크린샷

참고

삭제 프로세스는 몇 분 정도 걸리며 즉시 수행되지는 않습니다.

다음 단계

스냅샷 클라우드 검색 보고서 만들기

연속 보고서에 대한 자동 로그 업로드 구성

클라우드 검색 데이터 작업

엔드포인트용 Microsoft Defender 통합을 사용하여 앱 검색