내부 위험 관리에서 보고서 사용
중요
Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.
Microsoft Purview 내부 위험 관리 보고서를 사용하여 내부 위험 프로그램의 환경을 파악합니다. 보고서는 잠재적 위험 영역에 대한 인사이트를 식별하는 데 도움이 되도록 Microsoft 서비스 전반의 적격 위험 활동에서 생성된 경고, 사례, 사용자 활동 및 분석을 포함하여 내부자 위험과 관련된 모든 영역에 대한 심층적인 인사이트와 요약 정보를 제공합니다.
다음 보고서는 Microsoft Purview 포털에서 참가자 위험 관리>보고서로 이동하여 사용할 수 있습니다.
- 경고(미리 보기): 생성된 경고에 대한 추세 보기, 시간에 따른 경고에 대한 작업 및 정책별 경고.
- 분석: organization 검색된 익명화된 사용자 활동 요약을 봅니다.
- 사례(미리 보기): 생성된 사례의 추세, 시간에 따른 사례에 대해 수행된 작업 및 정책 및 지역별로 상태 사례를 봅니다.
- 사용자 활동: 사용자가 정책 또는 경고에 포함되어 있는지 여부에 관계없이 최근 사용자 활동을 검토합니다.
보고서 작업
참가자 위험 관리 보고서를 시작하고 보려면 해당 역할 또는 역할 그룹의 구성원이어야 합니다. 경고 및 사례에 대한 보고서를 보기 위한 권한 요구 사항과 분석을 위한 보고서를 보는 데 필요한 권한은 다릅니다. organization 관리 단위를 사용하는 경우 이러한 보고서에 대한 액세스 권한이 다를 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
차트 사용자 지정
각 보고서 영역에 대해 미리 정의된 보고서 필터 컨트롤과 날짜 선택기를 사용하여 특정 조건 또는 날짜 범위에 대한 인사이트를 신속하게 scope 수 있습니다. 각 영역의 페이지 맨 위에 있는 필터를 선택하여 해당 영역의 모든 보고서를 필터 설정으로 신속하게 scope. 보고 날짜의 경우 특정 월을 선택하거나 지난 3개월 을 선택하여 보고서 영역에 대한 모든 데이터를 봅니다.
각 보고서 영역에서 기본적으로 표시할 보고서를 선택하고 선택할 수도 있습니다. 각 영역에 표시된 보고서를 사용자 지정하려면 보기 사용자 지정을 선택합니다. 보기 플라이아웃 사용자 지정 창에서 표시할 보고서와 각 영역에 숨길 보고서를 선택할 수 있습니다.
차트 세부 정보
보고서에 포함된 결과를 자세히 알아보려면 보고서에 대한 세부 정보 보기를 선택합니다. 세부 정보 보기에서 필터를 사용하여 정보를 scope 날짜 또는 정책에 따라 보기를 변경할 수 있습니다. 보고서에 포함된 데이터를 내보내려면 내보내 기를 선택하여 보고서 차트의 이미지 또는 보고서 값이 있는 .csv 파일을 다운로드합니다.
경고 보고서(미리 보기)
잠재적으로 위험한 사용자 활동을 조사하는 것은 organization 대한 내부자 위험을 최소화하는 중요한 첫 번째 단계입니다. 이러한 위험은 내부자 위험 관리 정책에서 경고를 생성하는 활동일 수 있습니다. 경고 보고서는 경고 볼륨, 경고 관리 진행률, 일반적인 경고 원본 및 심사에 소요된 시간에 대한 인사이트를 제공합니다. 모든 경고, 확인된 경고 및 해제된경고로 모든경고 보고서를 빠르게 필터링할 수 있습니다.
| 보고서 유형 | 보고서 | 설명 |
|---|---|---|
| 요약 | 생성된 경고 | 지정된 날짜 범위 동안 생성된 낮음, 중간 및 높은 심각도 경고의 수를 표시합니다. |
| 경고가 작동됨 | 지정된 날짜 범위 동안 케이스에 확인되거나 해제된 경고 수를 표시합니다. | |
| 해고 이유 | 표시... | |
| 인구 통계 | 경고가 있는 상위 국가/지역 | 사용자가 있는 국가 또는 지역에 따라 사용자에 대해 생성된 경고 수를 표시합니다. 지정되지 않음은 해당 국가 또는 지역이 Microsoft Entra ID 지정되지 않음을 의미합니다. |
| 부서에서 생성한 경고 | 사용자가 있는 부서에 따라 사용자에 대해 생성된 경고 수를 표시합니다. 지정되지 않음은 해당 부서가 Microsoft Entra ID 지정되지 않음을 의미합니다. | |
| 인사이트 | 상위 트리거 이벤트별 경고 | 지정된 날짜 범위 동안 검색된 상위 트리거 이벤트를 기반으로 하는 경고 수를 표시합니다. |
| 경고를 생성한 상위 활동별 경고 | 지정된 날짜 범위 동안 검색된 상위 활동을 기준으로 경고 수를 표시합니다. | |
| 생산성 | 할당별 경고 상태 | 특정 관리자에게 할당된 경고 수를 경고 상태 세분화하여 표시합니다. |
| 평균 일수 경고는 요구 사항 검토에 있습니다. | 지정된 날짜 범위 동안 경고가 검토 필요 상태 유지된 평균 일 수를 표시합니다. | |
분석 보고서
organization 대한 첫 번째 분석 검사가 완료되면 참가자 위험 관리 관리자 역할 그룹의 구성원이 자동으로 이메일 알림을 받고 사용자가 잠재적으로 위험한 활동에 대한 초기 인사이트 및 권장 사항을 볼 수 있습니다. organization 대한 분석을 해제하지 않는 한 매일 검사가 계속됩니다. organization 잠재적으로 위험한 활동의 첫 번째 instance 후 분석(데이터 유출, 도난 및 반출)에 대한 세 가지 scope 범주 각각에 대해 관리자에게 Email 알림이 제공됩니다. Email 알림은 매일 검사로 인한 후속 위험 관리 활동 검색을 위해 관리자에게 전송되지 않습니다.
참고
분석 설정을 사용하지 않도록 설정한 다음 다시 사용하도록 설정하면 자동 메일 알림 다시 설정되고 새 검사 인사이트를 위해 참가자 위험 관리 관리자 역할 그룹의 구성원에게 메일 알림 전송됩니다.
organization 대한 잠재적 위험을 보려면 내부 위험 관리>보고서> 분석으로 이동하세요.
참고
organization 대한 검사가 완료되지 않은 경우 검사가 여전히 활성 상태라는 메시지가 표시됩니다.
완료된 분석을 위해 organization 발견된 잠재적 위험과 이러한 위험을 해결하기 위한 인사이트 및 권장 사항을 확인할 수 있습니다. 식별된 위험 및 특정 인사이트는 지역별로 그룹화된 보고서, 식별된 위험이 있는 총 사용자 수(사용자, 게스트, 시스템 등 모든 유형의 Microsoft Entra 계정), 잠재적으로 위험한 활동이 있는 사용자의 비율 및 이러한 위험을 완화하는 데 도움이 되는 권장 내부자 위험 정책에 포함됩니다. 보고서에는 다음이 포함됩니다.
- 데이터 누수 인사이트: 악의적인 의도를 가진 사용자가 organization 외부의 정보를 실수로 과도하게 공유하거나 데이터 누출을 포함할 수 있는 모든 사용자에 대해
- 데이터 도난 인사이트: organization 외부의 위험한 정보 공유 또는 악의적인 의도를 가진 사용자에 의한 데이터 도난을 포함할 수 있는 삭제된 Microsoft Entra 계정을 가진 출발 사용자 또는 사용자.
- 상위 반출 인사이트: organization 외부에서 데이터 공유를 포함할 수 있는 모든 사용자에 대한 정보입니다.
인사이트에 대한 자세한 정보를 표시하려면 세부 정보 보기를 선택하여 인사이트에 대한 세부 정보 창을 표시합니다. 세부 정보 창에는 전체 인사이트 결과, 내부 위험 정책 권장 사항 및 권장 정책을 빠르게 만드는 데 도움이 되는 정책 만들기 가 포함됩니다. 정책 만들기를 선택하면 정책 워크플로로 이동하고 인사이트와 관련된 권장 정책 템플릿을 자동으로 선택합니다. 예를 들어 데이터 도난 활동에 대한 분석 인사이트인 경우 데이터 도난 정책 템플릿은 정책 워크플로에서 미리 선택됩니다.
사례 보고서(미리 보기)
사례를 통해 정책에 정의된 위험 지표에 의해 생성된 문제를 심층적으로 조사하고 조치를 수행할 수 있습니다. 사례는 사용자의 규정 준수 관련 문제를 해결하기 위해 추가 작업이 필요한 상황에서 경고에서 수동으로 만들어집니다. 사례 보고서는 사례 유형, 현재 사례 상태, 지역 또는 할당별 사례 등을 추적하는 데 도움이 되는 사례에 대한 추세 정보를 제공합니다. 모든 사례, 확인된 사례 및 양성사례별로 모든 사례 보고서를 신속하게 필터링할 수 있습니다.
| 보고서 유형 | 보고서 | 설명 |
|---|---|---|
| 요약 | 생성된 사례 | 지정된 날짜 범위 동안 생성된 사례 수를 표시합니다. |
| 실행된 사례 | 지정된 날짜 범위 동안 활동이 있는 사례 수를 표시합니다. | |
| 인구 통계 | 사례가 있는 상위 국가/지역 | 사용자가 있는 국가 또는 지역에 따라 사용자에 대해 생성된 사례 수를 표시합니다. 지정되지 않음은 해당 국가 또는 지역이 Microsoft Entra ID 지정되지 않음을 의미합니다. |
| 사례가 있는 상위 부서 | 사용자가 있는 부서를 기준으로 사용자에 대해 생성된 사례 수를 표시합니다. 지정되지 않음은 해당 국가 또는 지역이 Microsoft Entra ID 지정되지 않음을 의미합니다. | |
| 생산성 | 대/소문자 상태 | 특정 관리자에게 할당된 사례 수를 경고 상태 세분화하여 표시합니다. |
| 활성 상태 있는 평균 일수 | 지정된 날짜 범위 동안 사례가 활성 상태 남아 있는 평균 일 수를 표시합니다. | |
사용자 활동 보고서
사용자 활동 보고서를 사용하면 내부자 위험 관리 정책에 이러한 활동을 일시적으로 또는 명시적으로 할당하지 않고도 잠재적으로 위험한 활동(특정 사용자 및 정의된 기간 동안)을 검사할 수 있습니다. 대부분의 내부 위험 관리 시나리오에서 사용자는 정책에 명시적으로 정의되며 활동과 관련된 정책 경고(트리거 이벤트에 따라 다름) 및 위험 점수가 있을 수 있습니다. 그러나 일부 시나리오에서는 정책에 명시적으로 정의되지 않은 사용자의 활동을 검사할 수 있습니다. 이러한 활동은 사용자 및 잠재적으로 위험한 활동에 대한 팁을 받은 사용자 또는 일반적으로 내부자 위험 관리 정책에 할당할 필요가 없는 사용자를 위한 것일 수 있습니다.
내부 위험 관리 설정 페이지에서 지표를 구성한 후 선택한 지표와 관련된 잠재적으로 위험한 활동에 대한 사용자 활동이 검색됩니다. 이 구성은 트리거 이벤트가 있거나 경고를 만드는지 여부에 관계없이 사용자에 대해 검색된 모든 활동을 검토할 수 있음을 의미합니다. 보고서는 사용자별로 생성되며 사용자 지정 90일 동안의 모든 활동을 포함할 수 있습니다. 동일한 사용자에 대한 여러 보고서는 지원되지 않습니다.
잠재적으로 위험한 활동을 조사한 후 조사자는 개별 사용자의 활동을 무해한 것으로 기각할 수 있습니다. 또한 다른 조사자들과 보고서 링크를 공유하거나 메일로 보내거나 사용자를 내부자 위험 관리 정책에 (일시적으로 또는 명시적으로) 할당하도록 선택할 수도 있습니다. 사용자 활동 보고서 페이지를 보려면 참가자 위험 관리 조사자 역할 그룹에 사용자를 할당해야 합니다.
사용자 활동 보고서 만들기
사용자 활동 보고서를 만들려면 다음 단계를 완료합니다.
- 내부 위험 관리>보고서>사용자 활동으로 이동합니다.
- 사용자 활동 보고서 만들기를 선택합니다.
- 시작 날짜의 날짜를 선택합니다.
- 종료 날짜의 날짜를 선택합니다.
- 사용자 필드에서 이름 또는 사용자 계정 이름으로 하나 이상의 사용자를 검색합니다.
- 보고서 만들기를 선택합니다.
사용자 활동 데이터는 활동이 발생한 후 약 48시간 후에 보고할 수 있습니다. 예를 들어 12월 1일에 대한 사용자 활동 데이터를 검토하려면 보고서를 만들기 전에 최소 48시간이 경과했는지 확인해야 합니다(가장 이른 12월 3일에 보고서를 만들 것).
새 보고서는 일반적으로 검토할 준비가 되기까지 최대 10시간이 걸립니다. 보고서가 준비되면 보고서 준비 상태가 사용자 활동 보고서 페이지의 상태 열에 표시됩니다.
사용자 활동 보고서 보기
사용자를 선택하여 자세한 보고서를 봅니다.
선택한 사용자의 사용자 활동 보고서에 는 사용자 활동, 활동 탐색기 및 포렌식 증명 정보 탭이 포함됩니다.
- 사용자 활동: 이 차트 보기를 사용하여 잠재적으로 위험한 활동을 조사하고 시퀀스에서 발생할 수 있는 관련 활동을 볼 수 있습니다. 이 탭은 모든 활동의 기록 타임라인, 활동 세부 정보, 사례의 사용자에 대한 현재 위험 점수, 위험 이벤트 시퀀스 및 조사 작업에 도움이 되는 컨트롤 필터링을 포함하여 사례를 빠르게 검토할 수 있도록 구성됩니다. 자세한 내용은 사용자 활동을 참조하세요.
- 활동 탐색기: 이 탭은 위험에 대한 자세한 정보를 제공하는 포괄적인 분석 도구를 위험 조사자에게 제공합니다. 활동 탐색기를 사용하여 검토자는 검색된 위험한 활동의 타임라인 신속하게 검토하고 경고와 관련된 잠재적으로 위험한 모든 활동을 식별하고 필터링할 수 있습니다. 자세한 내용은 활동 탐색기를 참조하세요.
- 법의학 증거: 이 탭을 사용하면 위험 조사자가 법의학 증거 감지의 사례에 포함된 위험 활동과 관련된 시각적 캡처를 검토할 수 있습니다.