내부자 위험 관리 시작
중요
Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.
내부 위험 관리 정책을 사용하여 위험한 활동 및 관리 도구를 식별하여 organization 위험 경고에 대해 조치를 수행합니다. 다음 단계를 완료하여 필수 구성 요소를 설정하고 내부자 위험 관리 정책을 구성합니다.
중요
내부 위험 관리 솔루션은 고객이 사용자 수준에서 내부 거버넌스를 용이하게 하는 데 도움이 되는 테넌트 수준 옵션을 제공합니다. 테넌트 수준 관리자는 organization 구성원에게 이 솔루션에 대한 액세스를 제공하고 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 데이터 커넥터를 설정하여 잠재적으로 위험한 활동의 사용자 수준 식별을 지원하기 위해 관련 데이터를 가져올 수 있는 권한을 설정할 수 있습니다. 고객은 고용과 관련된 개별 사용자의 행동, 성격 또는 성과와 관련된 인사이트를 관리자가 계산하고 organization 다른 사람이 사용할 수 있도록 할 수 있음을 인정합니다. 또한 고객은 내부자 위험 관리 서비스의 인사이트에만 의존하는 것이 아니라 고용과 관련된 개별 사용자의 행동, 성격 또는 성과와 관련된 자체적인 전체 조사를 수행해야 한다는 것을 인정합니다. 고객은 내부 위험 관리 서비스 및 개별 사용자 식별 및 수정 조치와 관련된 법률을 포함하여 모든 관련 법률을 준수하는 관련 기능 또는 서비스를 전적으로 사용할 책임이 있습니다.
내부자 위험 정책이 organization 위험을 관리하는 데 어떻게 도움이 되는지에 대한 자세한 내용은 내부 위험 관리에 대해 알아보기를 참조하세요.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
구독 및 라이선스
내부자 위험 관리를 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인해야 합니다. 내부 위험 관리에 액세스하고 사용하려면 관리자가 organization 지원되는 구독이 있고 적절한 라이선스가 사용자에게 할당되었는지 확인해야 합니다. 구독 및 라이선스에 대한 자세한 내용은 내부 위험 관리를 위한 구독 요구 사항을 참조하세요.
중요
내부 위험 관리는 현재 Azure 서비스 종속성에서 지원하는 지리적 지역 및 국가에서 호스트되는 테넌트에서 사용할 수 있습니다. organization 내부 위험 관리가 지원되는지 확인하려면 국가/지역별 Azure 종속성 가용성을 참조하세요.
기존 Microsoft 365 Enterprise E5 플랜이 없고 내부자 위험 관리를 시도하려는 경우 기존 구독에 Microsoft 365를 추가하거나 Microsoft 365 Enterprise E5 평가판에 등록할 수 있습니다.
종량제 청구
내부자 위험 관리에 포함된 일부 지표는 organization 종량제 청구 모델을 사용하도록 설정한 경우에만 사용할 수 있습니다. 자세한 내용은 내부 위험 관리에서 정책 지표 구성을 참조하세요.
권장 조치
권장 작업은 organization 내부자 위험 관리를 신속하게 수행하는 데 도움이 될 수 있습니다. 개요 페이지에 포함된 권장 작업은 정책을 구성하고 배포하는 단계를 안내하는 데 도움이 됩니다.
참가자 위험 관리 구성을 시작하거나 최대화하는 데 도움이 되는 다음 권장 사항을 사용할 수 있습니다.
- 감사 켜기: 켜면 organization 사용자 및 관리자 활동이 Microsoft 365 감사 로그에 기록됩니다. 내부 위험 정책 및 분석 검사는 이 로그를 사용하여 위험 활동을 검색합니다.
- 내부자 위험 관리를 사용할 수 있는 권한 가져오기: 내부자 위험 관리 기능에 대한 액세스 수준은 할당된 역할 그룹에 따라 달라집니다. 권장 작업에 액세스하고 구성하려면 참가자 위험 관리 또는 내부 위험 관리관리자 역할 그룹에 사용자를 할당해야 합니다.
- 정책 지표 선택: 지표는 기본적으로 검색하고 조사하려는 위험 관리 활동입니다. 표시기를 선택하여 여러 Microsoft 365 위치 및 서비스에서 활동을 검색할 수 있습니다.
- 잠재적인 내부자 위험 검색: 분석 검사를 실행하여 조직에서 발생할 수 있는 잠재적인 내부자 위험을 검색합니다. 결과를 평가한 후 권장 정책을 검토하여 설정합니다.
- 다른 사용자에게 권한 할당: 내부자 위험 기능을 관리하는 추가 팀 구성원이 있는 경우 적절한 역할 그룹에 할당해야 합니다.
- 첫 번째 정책 만들기: 잠재적으로 위험한 활동에 대한 경고를 받으려면 검색하고 조사하려는 사용자 활동을 정의하는 미리 정의된 템플릿을 기반으로 정책을 설정해야 합니다.
이 환경에 포함된 각 권장 작업에는 다음과 같은 네 가지 특성이 있습니다.
- 작업: 권장 작업의 이름 및 설명입니다.
- 상태: 권장 작업의 상태입니다. 값이 시작되지 않음, 진행 중, 나중에 저장됨 또는 완료됨입니다.
- 필수 또는 선택 사항: 내부자 위험 관리 기능이 예상대로 작동하려면 권장 작업이 필요한지 또는 선택 사항인지 여부입니다.
- 예상 완료 시간: 권장 작업을 완료하는 데 걸리는 예상 시간(분)입니다.
목록에서 권장을 선택하여 내부자 위험 관리 구성을 시작할 수 있습니다. 권장되는 각 작업은 요구 사항, 예상되는 사항 및 organization 기능 구성의 영향을 포함하여 권장 사항에 필요한 작업을 안내합니다. 각 권장 작업은 구성되면 자동으로 완료로 표시되거나 구성되면 작업을 완료로 수동으로 선택해야 합니다.
1단계(필수): 내부자 위험 관리에 대한 사용 권한 사용
중요
역할 그룹을 구성한 후 역할 그룹 권한이 organization 할당된 사용자에게 적용되는 데 최대 30분이 걸릴 수 있습니다.
내부 위험 관리 기능을 구성하는 데 사용되는 6개의 역할 그룹이 있습니다. Microsoft Purview에서 내부 위험 관리를 메뉴 옵션으로 사용할 수 있도록 하고 이러한 구성 단계를 계속하려면 다음 역할 또는 역할 그룹 중 하나에 할당되어야 합니다.
- 전역 관리자 역할 Microsoft Entra ID
- Microsoft Entra ID 준수 관리자 역할
- Microsoft Purview 조직 관리 역할 그룹
- Microsoft Purview 준수 관리자 역할 그룹
- 내부 위험 관리 역할 그룹
- 내부 위험 관리 관리자 역할 그룹
내부자 위험 관리 정책 및 경고를 관리하는 방법에 따라 특정 역할 그룹에 사용자를 할당하여 다양한 내부자 위험 관리 기능 집합을 관리해야 합니다. 특정 역할 그룹에 서로 다른 규정 준수 책임을 가진 사용자를 할당하여 내부자 위험 관리 기능의 다양한 영역을 관리할 수 있습니다. 또는 지정된 관리자, 분석가, 조사자 및 뷰어에 대한 모든 사용자 계정을 참가자 위험 관리 역할 그룹에 할당하기로 결정할 수 있습니다. 단일 역할 그룹 또는 여러 역할 그룹을 사용하여 규정 준수 관리 요구 사항에 가장 적합합니다.
내부자 위험 관리 작업 시 다음 역할 그룹 옵션 및 솔루션 작업 중에서 선택합니다.
작업 | 내부 위험 관리 | 내부 위험 관리 관리자 | 내부자 위험 관리 분석가 | 내부자 위험 관리 조사자 | 내부 위험 관리 감사자 | 내부 위험 관리 승인자 |
---|---|---|---|---|---|---|
정책 및 설정 구성 | 예 | 예 | 아니요 | 아니요 | 아니요 | 아니요 |
액세스 분석 인사이트 | 예 | 예 | 예 | 아니요 | 아니요 | 아니요 |
액세스 & 경고 조사 | 예 | 아니요 | 예 | 예 | 아니요 | 아니요 |
액세스 & 사례 조사 | 예 | 아니요 | 예 | 예 | 아니요 | 아니요 |
콘텐츠 Explorer 보기 & 액세스 | 예 | 아니요 | 아니요 | 예 | 아니요 | 아니요 |
알림 템플릿 구성 | 예 | 아니요 | 예 | 예 | 아니요 | 아니요 |
감사 로그 내보내기 & 보기 | 예 | 아니요 | 아니요 | 아니요 | 예 | 아니요 |
액세스 & 포렌식 증거 캡처 보기 | 예 | 아니요 | 아니요 | 예 | 아니요 | 아니요 |
포렌식 증거 캡처 요청 만들기 | 예 | 예 | 아니요 | 아니요 | 아니요 | 아니요 |
포렌식 증거 캡처 요청 승인 | 예 | 아니요 | 아니요 | 아니요 | 아니요 | 예 |
적응형 보호 구성 | 예 | 예 | 아니요 | 아니요 | 아니요 | 아니요 |
Adaptive Protection 사용자 보기 탭 | 예 | 아니요 | 예 | 예 | 아니요 | 아니요 |
경고 및 사례 보고서 보기 | 예 | 예 | 예 | 예 | 아니요 | 아니요 |
중요
특정 사용자가 organization 떠나는 경우 내부 위험 관리 구성이 '관리자 0' 시나리오에 들어가지 않도록 기본 제공 참가자 위험 관리 또는 참가자 위험 관리 관리자 역할 그룹에 항상 한 명 이상의 사용자가 있는지 확인합니다(선택한 옵션에 따라).
다음 역할의 멤버는 참가자 위험 관리 역할 그룹에 사용자를 할당하고 참가자 위험 관리 관리자 역할 그룹에 동일한 솔루션 권한을 포함할 수 있습니다.
- 전역 관리자 Microsoft Entra ID
- Microsoft Entra ID 준수 관리자
- Microsoft Purview 조직 관리
- Microsoft Purview 규정 준수 관리자
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
참가자 위험 관리 역할 그룹에 사용자 추가
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft 365 플랜에 따라 Microsoft Purview 규정 준수 포털 사용 중지되거나 곧 사용 중지됩니다.
Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
- 페이지의 오른쪽 위 모서리에서 설정을 선택하고 역할 및 그룹을 선택한 다음, 왼쪽 탐색 창에서 역할 그룹을 선택합니다.
- 참가자 위험 관리 역할 그룹을 선택한 다음 편집을 선택합니다.
- 사용자 선택을 선택한 다음 역할 그룹에 추가하려는 모든 사용자의 확인란을 선택합니다.
- 선택을 선택한 다음, 다음을 선택합니다.
- 저장을 선택하여 사용자를 역할 그룹에 추가한 다음 완료를 선택합니다.
지역 또는 부서에 사용자 권한을 scope 경우 관리 단위를 고려합니다.
내부자 위험 관리(미리 보기)의 관리 단위를 사용하여 특정 지리 또는 부서에 사용자 권한을 scope 수 있습니다. 예를 들어 전 세계에 자회사가 있는 글로벌 회사는 독일 사용자에 대한 사용자 활동만 볼 수 있도록 조사자를 위한 독일 scope 제공하는 관리 단위를 만들려고 할 수 있습니다.
내부 위험 관리에서 관리 단위를 사용하려면 먼저 관리 단위를 만든 다음(아직 생성되지 않은 경우) 역할 그룹의 구성원에게 관리 단위를 할당해야 합니다. 역할 그룹의 구성원에게 관리 단위를 할당하면 해당 멤버는 제한된 관리자가 되고 organization 내부 위험 관리 설정, 정책 및 사용자 데이터에 대한 액세스가 제한됩니다. 관리 단위가 할당되지 않은 멤버는 무제한 관리자 이며 모든 설정, 정책 및 사용자 데이터에 액세스할 수 있습니다.
중요
제한된 관리자는 관리 단위에 추가된 보안 그룹 또는 배포 그룹을 통해 할당된 사용자에 대한 경고에 액세스할 수 없습니다. 이러한 사용자 경고는 무제한 관리자에게만 표시됩니다. 관리 단위가 할당된 제한된 관리자도 경고를 볼 수 있도록 사용자를 관리 단위에 직접 추가하는 것이 좋습니다.
내부 위험 관리 역할에 대한 관리 단위 범위 지정의 영향
다음 표에서는 관리 단위가 적용될 때 내부자 위험 관리 작업/역할의 각 조합에 미치는 영향을 보여 주세요.
참고
다음 표에서 범위가 지정됨은 해당 역할에 대한 관리자 작업이 할당된 관리 단위에 의해 제한됨을 의미합니다.
작업 | 범위가 지정된 내부 위험 관리 | 범위가 지정된 내부 위험 관리 관리 | 범위가 지정된 내부 위험 관리 분석가 | 범위가 지정된 내부 위험 관리 조사자 | 범위가 지정된 내부 위험 관리 승인자 |
---|---|---|---|---|---|
전역 설정 구성 | 제한 없음 | 제한 없음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
정책 구성 | 범위 | 범위 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
사용자에 대한 채점 활동 시작 | 범위 | 범위 | 범위 | 범위 | 허용되지 않습니다. |
액세스 분석 인사이트 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. |
경고 액세스 및 조사 | 범위 | 허용되지 않습니다. | 범위 | 범위 | 허용되지 않습니다. |
사용자 활동 조사 | 범위 | 허용되지 않습니다. | 허용되지 않습니다. | 범위 | 허용되지 않습니다. |
사례 액세스 및 조사 | 범위 | 허용되지 않습니다. | 범위 | 범위 | 허용되지 않습니다. |
콘텐츠 탐색기 액세스 및 보기 | 제한 없음 | 허용되지 않습니다. | 허용되지 않습니다. | 제한 없음 | 허용되지 않습니다. |
알림 템플릿 구성 | 제한 없음 | 허용되지 않습니다. | 제한 없음 | 제한 없음 | 허용되지 않습니다. |
법의학적 증거 캡처 액세스 및 보기 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. |
포렌식 증거 캡처 요청 만들기 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
포렌식 증거 캡처 요청 승인 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. | 범위가 지정된 경우 허용되지 않음 |
적응형 보호 구성 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
Adaptive Protection 사용자 보기 탭 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. |
디바이스 상태 보고서 보기 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
빠른 정책 만들기 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
우선 순위 사용자별 정책 구성 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
우선 순위 사용자 그룹 구성 | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 허용되지 않습니다. | 허용되지 않습니다. |
경고 할당 또는 다시 할당 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. |
사례 할당 또는 재할당 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. | 범위가 지정된 경우 허용되지 않음 | 범위가 지정된 경우 허용되지 않음 | 허용되지 않습니다. |
경고 및 사례 보고서 보기 | 범위 | 범위 | 범위 | 범위 | 범위 |
참고
관리 단위와 함께 적응형 범위(내부 위험 관리를 위한 미리 보기)를 사용할 수 있습니다. 역할 그룹이 organization 대한 하나 이상의 관리 단위로 범위가 지정된 경우 정책을 만들거나 편집할 때 선택할 수 있는 적응형 범위는 관리 단위에 의해 제한됩니다.
2단계(필수): Microsoft 365 감사 로그 사용
내부 위험 관리는 정책 및 분석 인사이트에서 식별된 사용자 인사이트 및 위험 관리 활동에 Microsoft 365 감사 로그를 사용합니다. Microsoft 365 감사 로그는 organization 내의 모든 활동에 대한 요약이며 내부 위험 관리 정책은 이러한 활동을 사용하여 정책 인사이트를 생성할 수 있습니다.
감사는 기본적으로 Microsoft 365 사용하도록 설정되어 있습니다. 일부 조직에서는 특정 이유로 감사를 사용하지 않도록 설정한 경우도 있습니다. 조직에서 감사를 사용하지 않도록 설정한 경우 다른 관리자가 감사 기능을 해제한 것일 수 있습니다. 이 단계를 완료할 때 감사를 다시 설정하는 것이 좋습니다.
감사를 켜는 단계별 지침은 감사 로그 검색 설정 또는 해제를 참조하세요. 감사를 설정하면 감사 로그가 준비되고 있으며 준비가 완료된 후 몇 시간 내에 검색을 실행할 수 있다는 메시지가 표시됩니다. 이 작업은 한 번만 수행하면 됩니다. 감사 로그를 사용하는 Microsoft 365 자세한 내용은 감사 로그 검색을 참조하세요.
3단계(선택 사항): 내부 위험 분석 인사이트 사용 및 보기
내부자 위험 관리 분석을 사용하도록 설정하는 경우 다음을 수행할 수 있습니다.
- 정책을 만들기 전에 잠재적인 내부 위험을 검색합니다. 내부자 위험 정책을 구성하지 않고도 organization 잠재적인 내부자 위험에 대한 평가를 수행할 수 있습니다. 이 평가는 organization 사용자 위험이 높은 잠재적 영역을 식별하고 구성할 내부자 위험 관리 정책의 유형 및 scope 결정하는 데 도움이 될 수 있습니다. 이 평가는 추가 라이선스 또는 기존 정책의 향후 최적화에 대한 요구 사항을 결정하는 데 도움이 될 수도 있습니다. 분석 검사 결과가 검토를 위해 보고서로 제공되기까지 최대 48시간이 걸릴 수 있습니다. 분석 인사이트에 대한 자세한 내용은 내부 위험 관리 설정: 분석 및 내부 위험 관리 분석 비디오를 검사 분석이 잠재적인 내부자 위험 식별을 가속화하고 신속하게 조치를 취하는 데 도움이 되는 방법을 이해하는 데 도움이 됩니다.
- 지표 임계값 설정에 대한 실시간 권장 사항을 받습니다. "노이즈"를 줄이기 위해 정책을 수동으로 조정하는 것은 매우 시간이 많이 걸리는 환경이 될 수 있으며, 정책의 원하는 구성을 결정하기 위해 많은 시행착오를 수행해야 합니다. 분석이 켜져 있는 경우 내부 위험 관리는 지표 임계값에 대한 실시간 권장 사항을 제공할 수 있습니다. 또한 제공된 권장 사항을 수동으로 조정하고 변경 내용에 따라 정책 scope 가져온 사용자 수를 실시간으로 확인할 수 있습니다. 실시간 지표 임계값 권장 사항에 대해 자세히 알아보기
참고
내부자 위험 분석을 사용하도록 설정하려면 참가자 위험 관리, 내부자 위험 관리 관리자 또는 Microsoft 365 전역 관리자 역할 그룹의 구성원이어야 합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
내부 위험 분석 사용
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft 365 플랜에 따라 Microsoft Purview 규정 준수 포털 사용 중지되거나 곧 사용 중지됩니다.
Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
- 내부 위험 관리 솔루션으로 이동합니다.
- 개요 탭의 organization 카드 내부자 위험 검색에서검사 실행을 선택합니다. 이 작업은 organization 대한 분석 검사를 설정합니다. 참가자 위험 설정>분석으로 이동하고 테넌트의 사용자 활동 검색을 사용하도록 설정하여 잠재적인 내부 위험을 식별하여 검사를 설정할 수도 있습니다.
- 분석 세부 정보 창에서 검색 실행을 선택하여 organization 대한 검사를 시작합니다. 분석 검사 결과가 검토를 위해 보고서로 제공되기까지 최대 48시간이 걸릴 수 있습니다.
분석 인사이트를 검토한 후 내부 위험 정책을 선택하고 organization 내부자 위험 완화 전략을 가장 잘 충족하는 관련 필수 구성 요소를 구성합니다.
4단계(권장): 정책에 대한 필수 구성 요소 구성
대부분의 내부 위험 관리 정책에는 관련 활동 경고를 생성하기 위해 정책 지표에 대해 구성해야 하는 필수 구성 요소가 있습니다. organization 대해 구성하려는 정책에 따라 적절한 필수 구성 요소를 구성합니다.
Microsoft Defender 클라우드 앱에 연결
내부 위험 관리에는 다음과 같은 클라우드 지표(미리 보기)가 포함됩니다.
- Google 드라이브, Box 및 Dropbox를 비롯한 클라우드 스토리지 표시기
- Amazon S3 및 Azure(Storage 및 SQL Server)를 비롯한 클라우드 서비스 지표
클라우드 스토리지 표시기
클라우드 스토리지 표시기를 사용하여 Google Drive, Box 및 Dropbox에서 다음 활동을 검색합니다.
- 발견: 환경을 파악하는 데 사용되는 기술
- 수집: 관심 있는 데이터를 수집하는 데 사용되는 기술
- 반출: 중요한 문서와 같은 데이터를 도용하는 데 사용되는 기술
- 삭제(영향): 가용성을 방해하거나 시스템의 무결성을 손상시키는 데 사용되는 기술
클라우드 서비스 지표
클라우드 서비스 지표를 사용하여 Amazon S3 및 Azure에서 다음 활동을 검색합니다.
- 방어 회피: 추적 로그를 사용하지 않도록 설정하거나 SQL Server 방화벽 규칙을 업데이트하거나 삭제하여 위험한 활동 검색을 방지하는 데 사용되는 기술
- 반출: 중요한 문서와 같은 데이터를 도용하는 데 사용되는 기술
- 삭제(영향): 가용성을 방해하거나 시스템의 무결성을 손상시키는 데 사용되는 기술
- 권한 상승: 시스템 및 데이터에 대한 더 높은 수준의 권한을 얻는 데 사용되는 기술
클라우드 지표에 액세스하기 위한 필수 구성 요소
내부자 위험 관리 설정 및 정책의 클라우드 지표 중에서 선택하려면 아직 연결하지 않은 경우 먼저 Microsoft Defender 관련 클라우드 앱에 연결해야 합니다.
앱에 연결한 후에는 정책 표시기 설정 페이지 및 개별 정책에서 표시기를 사용할 수 있습니다.
내부 위험 지표(미리 보기) 커넥터 구성
타사(타사) 워크로드에 대한 검색을 가져와 내부자 위험 관리를 확장할 수 있습니다. 예를 들어 검색을 확장하여 Salesforce 및 Dropbox 활동을 포함하고 SharePoint Online 및 Exchange Online 같은 Microsoft 서비스에 중점을 둔 내부 위험 관리 솔루션에서 제공하는 기본 제공 검색과 함께 사용할 수 있습니다.
자체 검색을 내부자 위험 관리 솔루션으로 가져오려면 Microsoft Sentinel 또는 Splunk와 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션에서 전처리되고 집계된 검색을 가져옵니다. 샘플 파일을 Insider Risk Indicators 커넥터 워크플로로 가져와서 이 작업을 수행합니다. 커넥터 워크플로는 샘플 파일을 분석하고 필요한 스키마를 구성합니다.
참고
현재는 "원시" 검색 신호를 내부 위험 관리로 가져올 수 없습니다. 미리 처리된 집계만 파일로 가져올 수 있습니다.
사용자 지정 표시기를 다음과 같이 사용할 수 있습니다.
- 사용자를 정책의 scope 가져오는 데 사용되는 트리거입니다.
- 사용자에게 위험 점수를 매기는 데 사용되는 정책 지표입니다.
organization 대한 내부 위험 지표 커넥터를 구성하는 단계별 지침은 내부 위험 지표 커넥터 문서를 참조하세요. 커넥터를 구성한 후 다음 구성 단계로 돌아갑니다.
Microsoft 365 HR 커넥터 구성
내부 위험 관리는 타사 위험 관리 및 인적 리소스 플랫폼에서 가져온 사용자 및 로그 데이터 가져오기를 지원합니다. Microsoft 365 HR(인사) 데이터 커넥터를 사용하면 사용자 종료 날짜, 마지막 고용 날짜, 성능 향상 계획 알림, 성능 검토 작업 및 작업 수준 변경 상태 포함하여 CSV 파일에서 인적 리소스 데이터를 가져올 수 있습니다. 이 데이터는 내부 위험 관리 정책의 경고 표시기를 구동하는 데 도움이 되며 조직에서 전체 위험 관리 범위를 구성하는 데 있어 중요한 부분입니다. organization 대해 둘 이상의 HR 커넥터를 구성하는 경우 내부 위험 관리는 모든 HR 커넥터에서 자동으로 지표를 가져옵니다.
다음 정책 템플릿을 사용하는 경우 Microsoft 365 HR 커넥터가 필요합니다.
- 위험한 사용자에 의한 데이터 유출
- 출발 사용자 데이터 도난
- 환자 데이터 오용
- 퇴사하는 사용자의 보안 정책 위반
- 위험한 사용자의 보안 정책 위반
organization 대한 Microsoft 365 HR 커넥터를 구성하는 단계별 지침은 HR 데이터를 가져오도록 커넥터 설정 문서를 참조하세요. HR 커넥터를 구성한 후 이러한 구성 단계로 돌아갑니다.
의료 관련 데이터 커넥터 구성
내부 위험 관리는 기존 EMR(전자 의료 기록) 시스템에서 타사에서 가져온 사용자 및 로그 데이터 가져오기를 지원합니다. Microsoft Healthcare 및 Epic 데이터 커넥터를 사용하면 부적절한 환자 레코드 액세스, 의심스러운 볼륨 활동, 작업 편집 및 내보내기를 포함하여 CSV 파일을 사용하여 EMR 시스템에서 활동 데이터를 가져올 수 있습니다. 이 데이터는 내부 위험 관리 정책의 경고 표시기를 구동하는 데 도움이 되며 조직에서 전체 위험 관리 범위를 구성하는 데 있어 중요한 부분입니다.
organization 대해 둘 이상의 Healthcare 또는 Epic 커넥터를 구성하는 경우 내부 위험 관리는 모든 의료 및 에픽 커넥터의 이벤트 및 활동 신호를 자동으로 지원합니다. 다음 정책 템플릿을 사용하는 경우 Microsoft 365 Healthcare 또는 Epic 커넥터가 필요합니다.
- 환자 데이터 오용
organization 대한 의료 관련 커넥터를 구성하는 단계별 지침은 의료 데이터를 가져오기 위한 커넥터 설정 문서를 참조하세요. 커넥터를 구성한 후 다음 구성 단계로 돌아갑니다.
DLP(데이터 손실 방지) 정책 구성
내부자 위험 관리는 DLP 정책을 사용하여 높은 심각도 수준 DLP 경고에 대한 원치 않는 당사자에게 중요한 정보가 의도적이거나 실수로 노출되는 것을 식별할 수 있도록 지원합니다. 데이터 누수 템플릿을 사용하여 내부 위험 관리 정책을 구성할 때 이러한 유형의 경고에 대한 정책에 특정 DLP 정책을 할당할 수 있습니다.
팁
또한 내부 위험 관리에서 Adaptive Protection을 사용하여 위험 수준이 낮은 사용자의 생산성을 유지하면서 고위험 사용자에게 DLP 보호 제어를 동적으로 적용할 수 있습니다. 적응형 보호에 대해 자세히 알아보기
데이터 손실 정책은 중요한 정보에 대한 높은 심각도 DLP 경고에 대한 내부자 위험 관리에서 위험 점수를 활성화하는 사용자를 식별하는 데 도움이 되며 organization 전체 위험 관리 범위를 구성하는 데 중요한 부분입니다. 내부 위험 관리 및 DLP 정책 통합 및 계획 고려 사항에 대한 자세한 내용은 내부 위험 관리 정책을 참조하세요.
중요
다음을 완료했는지 확인합니다.
- DLP 및 내부 위험 관리 정책 모두에서 scope 내 사용자를 이해하고 적절하게 구성하여 예상한 정책 범위를 생성합니다.
- 이러한 템플릿과 함께 사용되는 내부 위험 관리를 위한 DLP 정책의 인시던트 보고서 설정은 높은 심각도 수준 경고에 대해 구성됩니다. 인시던트 보고서 필드가 낮음 또는 보통으로 설정된 DLP 정책에서는 내부 위험 관리 경고가 생성되지 않습니다.
다음 정책 템플릿을 사용하는 경우 DLP 정책은 선택 사항입니다.
- 데이터 유출
- 우선순위 사용자의 데이터 유출
organization 대한 DLP 정책을 구성하는 단계별 지침은 데이터 손실 방지 정책 만들기 및 배포 문서를 참조하세요. DLP 정책을 구성한 후 다음 구성 단계로 돌아갑니다.
참고
엔드포인트 DLP는 이제 가상화된 환경을 지원합니다. 즉, 내부 위험 관리 솔루션은 엔드포인트 DLP를 통해 가상화된 환경을 지원합니다. 엔드포인트 DLP의 가상화된 환경에 대한 지원에 대해 자세히 알아봅니다.
Microsoft Defender 및 DLP 경고와 내부자 위험 수준 공유 구성
내부자 위험 관리(미리 보기)에서 내부자 위험 수준을 공유하여 고유한 사용자 컨텍스트를 Microsoft Defender 및 DLP 경고로 가져올 수 있습니다. 내부 위험 관리는 90-120일 동안의 사용자 활동을 분석하고 해당 기간 동안 비정상적인 동작을 찾습니다. 이 데이터를 Microsoft Defender 및 DLP 경고에 추가하면 분석가가 경고의 우선 순위를 지정할 수 있도록 이러한 솔루션에서 사용할 수 있는 데이터가 향상됩니다. Microsoft Defender 및 DLP 경고와 사용자 위험 심각도 수준을 공유하는 방법에 대해 자세히 알아봅니다.
내부자 위험 관리 사용자 위험 심각도 수준을 공유하면 Microsoft Security Copilot 향상됩니다. 예를 들어 Security Copilot 먼저 Copilot에 DLP 경고를 요약하도록 요청한 다음 Copilot에 경고에 플래그가 지정된 사용자와 연결된 내부 위험 수준을 표시하도록 요청할 수 있습니다. 또는 사용자가 고위험 사용자로 간주되는 이유를 물어볼 수 있습니다. 이 경우 사용자 위험 정보는 내부 위험 관리에서 가져옵니다. Security Copilot 내부 위험 관리를 DLP와 원활하게 통합하여 조사를 지원합니다. 결합된 DLP/내부자 위험 관리 조사를 위해 독립 실행형 버전의 Copilot를 사용하는 방법에 대해 자세히 알아봅니다.
우선 순위 사용자 그룹 구성
내부 위험 관리에는 중요한 위치, 높은 수준의 데이터 및 네트워크 액세스 또는 과거 위험 동작 기록을 가진 사용자의 고유한 위험 활동을 식별하는 데 도움이 되는 우선 순위 사용자 그룹을 정책에 할당하는 지원이 포함됩니다. 우선 순위 사용자 그룹을 만들고 그룹에 사용자를 할당하면 이러한 사용자가 제시하는 고유한 상황에 정책을 scope 수 있습니다.
우선 순위 사용자 그룹을 만들고 사용자를 그룹에 할당하여 이러한 식별된 사용자가 제시하는 고유한 상황과 관련된 정책을 scope 수 있습니다. 우선 순위 사용자 그룹 위험 점수 부스터를 사용하도록 설정하려면 참가자 위험 관리 설정 페이지로 이동한 다음 정책 지표 및 위험 점수 부스터를 선택합니다. 이러한 식별된 사용자는 경고를 받을 가능성이 높으므로 분석가와 조사자는 이러한 사용자의 위험 심각도를 검토하고 우선 순위를 지정하여 organization 위험 정책 및 표준에 따라 경고를 심사할 수 있습니다.
다음 정책 템플릿을 사용하는 경우 우선 순위 사용자 그룹이 필요합니다.
- 우선순위 사용자의 보안 정책 위반
- 우선순위 사용자의 데이터 유출
단계별 구성 지침 은 내부 위험 관리 설정 시작 문서를 참조하세요.
물리적 배딩 커넥터 구성
내부 위험 관리는 물리적 제어 및 액세스 플랫폼에서 사용자 및 로그 데이터 가져오기를 지원합니다. 물리적 badging 커넥터를 사용하면 사용자 ID, 액세스 지점 ID, 액세스 시간 및 날짜 및 액세스 상태 포함하여 JSON 파일에서 액세스 데이터를 가져올 수 있습니다. 이 데이터는 내부 위험 관리 정책의 경고 표시기를 구동하는 데 도움이 되며 조직에서 전체 위험 관리 범위를 구성하는 데 있어 중요한 부분입니다. organization 대해 둘 이상의 물리적 배딩 커넥터를 구성하는 경우 내부 위험 관리는 모든 물리적 배딩 커넥터에서 자동으로 지표를 가져옵니다. 물리적 배딩 커넥터의 정보는 모든 내부 위험 정책 템플릿을 사용할 때 다른 내부자 위험 신호를 보완합니다.
중요
내부 위험 관리 정책을 사용하여 출발 및 종료된 사용자와 관련된 신호 데이터를 물리적 제어 및 액세스 플랫폼의 이벤트 데이터와 상호 연결하려면 Microsoft 365 HR 커넥터도 구성해야 합니다. Microsoft 365 HR 커넥터를 사용하도록 설정하지 않고 물리적 배딩 커넥터를 사용하도록 설정하는 경우 내부 위험 관리 정책은 organization 사용자의 무단 물리적 액세스에 대한 이벤트만 처리합니다.
organization 대한 물리적 배딩 커넥터를 구성하는 단계별 지침은 물리적 badging 데이터를 가져오도록 커넥터 설정 문서를 참조하세요. 커넥터를 구성한 후 다음 구성 단계로 돌아갑니다.
엔드포인트용 Microsoft Defender 구성
엔드포인트용 Microsoft Defender 엔터프라이즈 네트워크가 고급 위협을 방지, 검색, 조사 및 대응할 수 있도록 설계된 엔터프라이즈 엔드포인트 보안 플랫폼입니다. organization 보안 위반에 대한 가시성을 높이기 위해 내부 위험 관리 보안 위반 정책 템플릿에서 만든 정책에 사용되는 활동에 대한 엔드포인트용 Defender 경고를 가져오고 필터링할 수 있습니다.
보안 위반 정책을 만드는 경우 organization 엔드포인트용 Microsoft Defender 구성하고 Defender Security Center에서 내부 위험 관리 통합을 위해 엔드포인트용 Defender를 사용하도록 설정하여 보안 위반 경고를 가져와야 합니다. 요구 사항에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 대한 최소 요구 사항 문서를 참조하세요.
내부 위험 관리 통합 을 위해 엔드포인트용 Defender 를 구성하는 단계별 지침은 엔드포인트용 Defender의 고급 기능 구성 문서를 참조하세요. 엔드포인트용 Microsoft Defender 구성한 후 다음 구성 단계로 돌아갑니다.
포렌식 증거 구성
시각적 컨텍스트를 갖는 것은 보안 인시던트로 이어질 수 있는 위험한 사용자 활동에 대한 더 나은 인사이트를 얻기 위해 포렌식 조사 중에 보안 팀에 매우 중요합니다. 사용자 지정 가능한 이벤트 트리거 및 기본 제공 사용자 개인 정보 보호 제어를 사용하면 포렌식 증거를 통해 디바이스 간에 사용자 지정 가능한 캡처를 통해 중요한 데이터의 무단 데이터 반출과 같은 잠재적 데이터 위험을 더 잘 완화, 이해 및 대응할 수 organization 있습니다.
organization 대한 포렌식 증거를 구성하는 단계별 지침은 내부자 위험 관리 포렌식 증거 시작 문서를 참조하세요.
광학 문자 인식 구성
Microsoft Purview는 문서에서 중요한 콘텐츠를 검색하여 부적절한 노출로부터 해당 문서를 보호할 수 있습니다. Microsoft Purview에서 OCR(광학 문자 인식)을 사용하도록 설정하면 중요한 정보 유형 및 학습 가능한 분류자와 같은 데이터 분류자가 독립 실행형 이미지에서 문자를 검색할 수도 있습니다. OCR 설정(미리 보기)을 구성한 후 기존 내부 위험 정책이 이미지와 문서 모두에 적용됩니다.
OCR 미리 보기의 경우 내부 위험 관리는 Windows 엔드포인트 디바이스, SharePoint Online 및 Teams 위치에서 검사를 지원합니다. Exchange Online 및 OneDrive는 미리 보기에 지원되지 않습니다.
OCR 설정은 내부 위험 관리의 법의학 증거 클립에는 적용되지 않습니다.
OCR 검사 및 종량제 청구 설정에 대해 자세히 알아봅니다.
5단계(필수): 내부 위험 설정 구성
내부 위험 설정은 정책을 만들 때 선택한 템플릿에 관계없이 모든 내부 위험 관리 정책에 적용됩니다. 설정은 내부 위험 관리 페이지의 맨 위에 있는 설정을 사용하여 구성됩니다. 이러한 설정은 개인 정보, 지표, 전역 제외, 검색 그룹, 지능형 검색 등을 제어합니다. 정책을 만들기 전에 고려해야 할 설정에 대해 자세히 알아보세요.
6단계(필수): 내부자 위험 관리 정책 만들기
내부 위험 관리 정책에는 할당된 사용자가 포함되며 경고에 대해 구성된 위험 표시기 유형을 정의합니다. 잠재적으로 위험한 활동이 경고를 트리거하려면 먼저 정책을 구성해야 합니다. 정책 워크플로를 사용하여 새 내부 위험 관리 정책을 만듭니다.
참고
Microsoft가 아닌 워크로드에 대한 사용자 지정 트리거 또는 표시기를 만들려면 사용자 지정 표시기를 참조하세요.
정책 생성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft 365 플랜에 따라 Microsoft Purview 규정 준수 포털 사용 중지되거나 곧 사용 중지됩니다.
Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
내부 위험 관리 솔루션으로 이동합니다.
왼쪽 탐색 창에서 정책을 선택합니다.
정책 만들기를 선택하여 정책 워크플로를 엽니다.
정책 템플릿 페이지에서 정책 범주를 선택한 다음 새 정책에 대한 템플릿을 선택합니다. 이 서식 파일은 탐지하고 조사하려는 위험 활동을 정의하는 조건 및 지표로 구성됩니다. 템플릿 필수 구성 요소, 트리거링 이벤트 및 탐지된 활동을 검토하여 이 정책 템플릿이 요구 사항에 맞는지 확인합니다.
중요
일부 정책 템플릿에는 관련 경고를 생성하기 위해 정책에 대해 구성해야 하는 필수 구성 요소가 있습니다. 해당 정책 필수 구성 요소를 구성하지 않은 경우 4단계를 참조하세요.
다음을 선택하여 계속합니다.
이름 및 설명 페이지에서 다음 필드를 입력합니다.
- 이름(필수): 정책의 이름을 입력합니다. 정책을 만든 후에는 이 이름을 변경할 수 없습니다.
- 설명(선택 사항): 정책에 대한 설명을 입력합니다.
다음을 선택하여 계속합니다.
테넌트용 관리 단위를 만든 경우 관리 단위 페이지가 표시됩니다. 그렇지 않으면 사용자 및 그룹 페이지가 표시되고 다음 단계로 건너뛸 수 있습니다.
정책을 하나 이상의 관리 단위에 scope 관리자 단위 추가를 선택한 다음 정책에 적용할 관리 단위를 선택합니다.
참고
역할로 범위가 지정된 관리 단위만 볼 수 있습니다. 무제한 관리자인 경우 테넌트의 모든 관리 단위를 볼 수 있습니다. 할당된 역할 그룹 및 관리 단위의 요약을 보려면 내 권한 보기를 선택합니다.
다음을 선택하여 계속합니다.
사용자 및 그룹 페이지에서 다음 옵션 중 하나를 선택합니다.
모든 사용자 및 그룹을 포함합니다. 이 옵션을 선택하면 내부 위험 관리에서 organization 모든 사용자 및 그룹에 대한 트리거 이벤트를 찾아 정책에 대한 위험 점수 할당을 시작합니다.
정책 범위가 하나 이상의 관리 단위로 지정되면 이 옵션은 관리 단위 내의 모든 사용자 및 그룹을 선택합니다.
참고
지표 임계값 설정에 대한 실시간 분석(미리 보기)을 활용하려면 모든 사용자 및 그룹을 포함하도록 정책을 scope 합니다. 실시간 분석을 사용하면 지정된 정책 조건 집합과 실시간으로 일치시킬 수 있는 사용자 수의 추정치를 볼 수 있습니다. 이렇게 하면 정책 경고가 너무 적거나 너무 많지 않도록 활동 발생의 표시기 및 임계값을 효율적으로 조정할 수 있습니다. 정책 범위를 모든 사용자 및 그룹 포함으로 지정하면 테넌트 전체에서 전반적인 보호가 향상됩니다. 지표 임계값 설정에 대한 실시간 분석에 대한 자세한 내용은 지표 수준 설정을 참조하세요.
특정 사용자 및 그룹을 포함합니다. 정책에 포함할 사용자 또는 그룹을 정의하려면 이 옵션을 선택합니다.
정책이 하나 이상의 관리 단위로 범위가 지정된 경우 관리 단위 scope 내에서만 사용자를 선택할 수 있습니다.
참고
게스트 계정은 지원되지 않습니다.
적응형 scope. 이 옵션(내부자 위험 관리를 위한 미리 보기)은 특정 사용자 및 그룹 포함 옵션을 선택하면 나타납니다. 적응형 범위 추가 또는 편집을 선택하여 적응형 scope 정책에 적용합니다. 정책을 만들거나 편집하기 전에 적응형 scope 만들어야 합니다. 정책이 하나 이상의 관리 단위로도 범위가 지정되는 경우 사용 가능한 적응 범위는 관리 단위에 의해 제한됩니다. 적응형 범위가 관리 단위와 함께 작동하는 방법을 알아봅니다.
우선 순위 사용자 그룹을 추가하거나 편집합니다. 이 옵션은 우선 순위 사용자 템플릿에서 데이터 누수 를 선택한 경우에만 표시됩니다. 이 옵션을 선택한 다음 우선 순위 사용자 그룹을 추가하거나 편집합니다.
참고
정책 템플릿이 우선 순위 사용자 그룹을 기반으로 하는 경우 정책을 scope 관리 단위를 선택할 수 없습니다. 우선 순위 사용자 그룹은 현재 관리 단위에서 사용할 수 없습니다.
다음을 선택하여 계속합니다.
이전 단계에서 모든 사용자 및 그룹 포함 을 선택한 경우 사용자 및 그룹 제외(선택 사항) (미리 보기) 페이지가 나타납니다.
참고
현재 사용자 및 그룹을 제외하려면 모든 사용자 및 그룹 포함 을 선택해야 합니다.
정책 scope 특정 사용자 또는 그룹을 제외하려면 이 페이지를 사용합니다. 예를 들어 전체 organization 사용자에 대해 잠재적으로 위험한 작업을 검색하지만 경영진 수준의 영업 관리자는 제외하는 정책을 만들 수 있습니다. 사용자 추가 또는 편집 또는 그룹 추가 또는 편집을 선택하여 제외할 사용자 또는 그룹을 선택합니다. 정책이 하나 이상의 관리 단위로 범위가 지정된 경우 관리 단위 내에 있는 사용자 또는 그룹만 scope 제외할 수 있습니다.
우선순위를 지정할 콘텐츠 페이지에서 우선순위를 지정할 소스를 할당할 수 있고(필요한 경우), 이를 통해 이러한 소스에 대해 높은 심각도 경고를 생성할 가능성이 높아집니다. 다음 선택 항목 중 하나를 선택합니다.
콘텐츠의 우선 순위를 지정하려고 합니다. 이 옵션을 선택하면 SharePoint 사이트, 민감도 레이블, 중요한 정보 유형 및 파일 확장명 콘텐츠 형식의 우선 순위를 지정할 수 있습니다. 이 옵션을 선택하는 경우 우선 순위 콘텐츠 유형을 하나 이상 선택해야 합니다.
지금은 우선 순위 콘텐츠를 지정하고 싶지 않습니다. 이 옵션을 선택하면 워크플로의 우선 순위 콘텐츠 세부 정보 페이지를 건너뜁습니다.
다음을 선택하여 계속합니다.
이전 단계에서 콘텐츠의 우선 순위를 지정하려는 경우 SharePoint 사이트, 민감도 레이블, 중요한 정보 형식, 파일 확장명 및 점수 매기기 세부 정보 페이지가 표시됩니다. 이러한 세부 정보 페이지를 사용하여 정책의 우선 순위를 지정할 SharePoint, 중요한 정보 형식, 민감도 레이블, 학습 가능한 분류자 및 파일 확장자를 정의합니다. 점수 매기기 세부 정보 페이지에서는 정책을 scope 위험 점수만 할당하고 우선 순위 콘텐츠가 포함된 지정된 활동에 대한 경고를 생성할 수 있습니다.
SharePoint 사이트: SharePoint 사이트 추가를 선택하고 액세스 권한이 있고 우선순위를 지정할 SharePoint 사이트를 선택합니다. 예를 들어 "group1@contoso.sharepoint.com/sites/group1"입니다.
참고
정책이 하나 이상의 관리 단위로 범위가 지정된 경우 관리 단위가 SharePoint 사이트를 지원하지 않으므로 SharePoint 사이트뿐만 아니라 모든 SharePoint 사이트가 관리 단위로 범위가 지정됩니다.
중요한 정보 유형: 중요한 정보 유형 추가를 선택하고 우선순위를 지정할 민감도 유형을 선택합니다. 예: "미국 은행 계좌 번호" 및 "신용 카드 번호".
민감도 레이블: 민감도 레이블 추가를 선택하고 우선순위를 지정할 레이블을 선택합니다. 예: "기밀" 및 "비밀".
학습 가능한 분류자: 학습 가능한 분류자 추가 를 선택하고 우선 순위를 지정할 학습 가능한 분류자를 선택합니다. 예를 들어 소스 코드입니다.
파일 확장명: 최대 50개의 파일 확장자를 추가합니다. 파일 확장명에서 '.'을 포함하거나 생략할 수 있습니다. 예를 들어 .py 또는 py 는 Python 파일의 우선 순위를 지정합니다.
점수 매기기: 이 정책에서 감지한 모든 위험 관리 활동에 위험 점수를 할당할지 아니면 우선 순위 콘텐츠가 포함된 활동에만 위험 점수를 할당할지 결정합니다. 모든 활동에 대한 경고 가져오기 또는 우선 순위 콘텐츠가 포함된 활동에 대해서만 경고 가져오기를 선택합니다.
다음을 선택하여 계속합니다.
우선 순위 사용자 템플릿에 의한 데이터 누 수 또는 데이터 누수 템플릿을 선택한 경우 사용자 지정 트리거 이벤트 및 정책 지표에 대한 이 정책의 트리거 페이지에 옵션이 표시됩니다. 활동 점수 매기기를 위해 scope 정책에 할당된 사용자를 가져오는 이벤트를 트리거하기 위한 DLP 정책 또는 지표를 선택할 수 있습니다. 사용자가 DLP(데이터 손실 방지) 정책 트리거 이벤트 옵션과 일치하도록 선택하는 경우 DLP 정책 드롭다운 목록에서 DLP 정책을 선택하여 이 내부 위험 관리 정책에 대한 DLP 정책에 대한 트리거 표시기를 사용하도록 설정해야 합니다. 사용자가 반출 활동 트리거 이벤트 옵션을 선택하는 경우 정책 트리거 이벤트에 대해 나열된 표시기 중 하나 이상을 선택해야 합니다.
참고
우선 순위 사용자 그룹은 현재 관리 단위에 대해 지원되지 않습니다. 우선 순위 사용자 템플릿별 데이터 누수 또는 우선 순위 사용자 템플릿별 보안 정책 위반에 따라 정책을 만드는 경우 정책 범위를 지정하기 위한 관리 단위를 선택할 수 없습니다. 무제한 관리자는 관리 단위를 선택하지 않고 우선 순위 사용자 그룹을 선택할 수 있지만 제한되거나 범위가 지정된 관리자는 이러한 정책을 전혀 만들 수 없습니다.
중요
나열된 표시기 또는 시퀀스를 선택할 수 없는 경우 현재 organization 사용할 수 없기 때문입니다. 정책을 선택하고 할당할 수 있도록 하려면 표시기 켜기 프롬프트를 선택합니다.
다른 정책 템플릿을 선택한 경우 사용자 지정 트리거 이벤트가 지원되지 않습니다. 이벤트를 트리거하는 기본 제공 정책이 적용됩니다. 정책 특성을 정의하지 않고 15단계로 건너뜁니다.
위험한 사용자에 의한 데이터 유출 또는 위험한 사용자 템플릿의 보안 정책 위반을 선택한 경우 통신 규정 준수 및 HR 데이터 커넥터 이벤트와의 통합을 위한 이 정책의 트리거 페이지에 옵션이 표시됩니다. 사용자가 잠재적으로 위협적이거나 괴롭히거나 차별적 언어가 포함된 메시지를 보낼 때 위험 점수를 할당하거나 HR 시스템에서 위험한 사용자 이벤트가 보고된 후 scope 사용자를 정책으로 가져올 수 있습니다. 통신 규정 준수(미리 보기) 옵션에서 위험 트리거를 선택하는 경우 기본 통신 규정 준수 정책(자동으로 생성됨)을 수락하거나, 이 트리거에 대해 이전에 만든 정책 scope 선택하거나, 범위가 지정된 다른 정책을 만들 수 있습니다. HR 데이터 커넥터 이벤트를 선택하는 경우 organization HR 데이터 커넥터를 구성해야 합니다.
다음을 선택하여 계속합니다.
우선 순위 사용자 템플릿에서 데이터누수 또는 데이터 누수 를 선택하고 사용자가 반출 활동 및 관련 지표를 수행하도록 선택한 경우 선택한 이벤트를 트리거하는 표시기에서 사용자 지정 또는 기본 임계값을 선택할 수 있습니다. 기본 임계값 사용(권장) 또는 트리거 이벤트에 사용자 지정 임계값 사용을 선택합니다.
다음을 선택하여 계속합니다.
트리거 이벤트에 사용자 지정 임계값 사용을 선택한 경우 10단계에서 선택한 각 트리거 이벤트 지표에 대해 적절한 수준을 선택하여 원하는 수준의 활동 경고를 생성합니다. 사용자의 일일 표준에 비해 비정상적인 활동(특정 지표의 경우)에 따라 권장 임계값, 사용자 지정 임계값 또는 임계값을 사용할 수 있습니다.
다음을 선택하여 계속합니다.
정책 지표 페이지에는 정의된 경우 표시기 변형이 포함된 참가자 위험 설정>표시기 페이지에서 사용할 수 있는 것으로 정의한 표시기가 표시됩니다. 정책에 적용할 지표를 선택합니다.
중요
이 페이지의 지표를 선택할 수 없는 경우 모든 정책에 대해 사용하도록 설정할 지표를 선택해야 합니다. 워크플로 에서 표시기 켜기를 사용하거나 내부 위험 관리>설정>정책 지표 페이지에서 지표를 선택할 수 있습니다.
하나 이상의 Office 또는 장치 지표를 선택한 경우 위험 점수 부스터를 적절하게 선택합니다. 위험 점수 부스터는 선택한 지표에만 적용됩니다. 데이터 도난 또는 데이터 유출 정책 템플릿을 선택한 경우 정책에 적용할 하나 이상의 시퀀스 탐지 방법과 누적 반출 탐지 방법을 선택합니다. 위험한 브라우저 사용 정책 템플릿을 선택한 경우 검색 표시기 중 하나 이상을 선택합니다.
다음을 선택하여 계속합니다.
기본 또는 사용자 지정 표시기 임계값 사용 여부 결정 페이지에서 선택한 정책 지표에 대한 사용자 지정 또는 기본 임계값을 선택합니다. 모든 지표에 기본 임계값 사용 또는 선택한 정책 지표에 대한 사용자 지정 임계값 지정을 선택합니다. 사용자 지정 임계값 지정을 선택한 경우 적절한 수준을 선택하여 각 정책 지표에 대해 원하는 수준의 활동 경고를 생성합니다.
팁
각 임계값 설정 집합 아래의 인사이트에서 영향 보기 링크를 선택하여 적절한 임계값 설정을 결정하는 데 도움이 되는 그래프를 봅니다. 임계값을 수동으로 사용자 지정하는 방법에 대해 자세히 알아봅니다.
다음을 선택하여 계속합니다.
검토 페이지에서 정책에 대해 선택한 설정과 선택 항목에 대한 제안 또는 경고를 검토합니다. 편집을 선택하여 정책 값을 변경하거나 제출을 선택하여 정책을 만들고 활성화합니다.
다음 단계
첫 번째 내부자 위험 관리 정책을 만들기 위해 이러한 단계를 완료한 후에는 약 24시간 후에 활동 지표에서 경고를 받기 시작합니다. 이 문서의 4단계 또는 새 내부 위험 정책 만들기의 단계를 사용하여 필요에 따라 추가 정책을 구성합니다.
내부자 위험 경고 및 경고 dashboard 조사하는 방법에 대한 자세한 내용은 내부 위험 관리 활동을 참조하세요.