정책을 사용하여 클라우드 앱 제어
정책을 사용하면 사용자가 클라우드에서 행동하는 방식을 정의할 수 있습니다. 이를 통해 클라우드 환경에서 위험한 동작, 위반 또는 의심스러운 데이터 포인트 및 활동을 검색할 수 있습니다. 필요한 경우 수정 작업 흐름을 통합하여 완전한 위험 완화를 달성할 수 있습니다. 클라우드 환경에 대해 수집하려는 다양한 유형의 정보 및 수행할 수 있는 문제 해결 조치 유형과 관련된 여러 유형의 정책이 있습니다.
예를 들어 격리하려는 데이터 위반 위협이 있는 경우 조직에서 위험한 클라우드 앱을 사용하지 못하도록 차단하려는 경우와 다른 유형의 정책이 필요합니다.
정책 유형
정책 관리 페이지를 보면 다양한 정책 및 템플릿을 유형 및 아이콘으로 구분하여 사용할 수 있는 정책을 확인할 수 있습니다. 정책은 모든 정책 탭 또는 해당 범주 탭에서 함께 볼 수 있습니다. 사용 가능한 정책은 데이터 원본과 조직의 클라우드용 Defender 앱에서 사용하도록 설정한 항목에 따라 달라집니다. 예를 들어 Cloud Discovery 로그를 업로드한 경우 Cloud Discovery와 관련된 정책이 표시됩니다.
다음 유형의 정책을 만들 수 있습니다.
| 정책 유형 아이콘 | 정책 유형 | 범주 | 사용 |
|---|---|---|---|
 |
활동 정책 | 위협 검색 | 활동 정책을 사용하면 앱 공급자의 API를 사용하여 광범위한 자동화된 프로세스를 적용할 수 있습니다. 이러한 정책을 사용하면 다양한 사용자가 수행하는 특정 활동을 모니터링하거나 특정 활동 유형의 예상치 못한 높은 비율을 추적할 수 있습니다. 자세한 정보 |
 |
이상 탐지 정책 | 위협 검색 | 변칙 검색 정책을 사용하면 클라우드에서 비정상적인 활동을 찾을 수 있습니다. 탐지는 조직의 기준 또는 사용자의 일상적인 활동과 다른 일이 발생할 때 경고하도록 설정한 위험 요소를 기반으로 합니다. 자세한 정보 |
 |
OAuth 앱 정책 | 위협 검색 | OAuth 앱 정책을 사용하면 각 OAuth 앱이 요청한 권한을 조사하고 자동으로 승인하거나 취소할 수 있습니다. 이러한 정책은 클라우드용 Defender 앱과 함께 제공되며 만들 수 없는 기본 제공 정책입니다. 자세한 정보 |
 |
맬웨어 탐지 정책 | 위협 검색 | 맬웨어 검색 정책을 사용하면 클라우드 스토리지에서 악성 파일을 식별하고 자동으로 승인하거나 해지할 수 있습니다. 클라우드용 Defender 앱과 함께 제공되는 기본 제공 정책이며 만들 수 없습니다. 자세한 정보 |
 |
파일 정책 | 정보 보호 | 파일 정책을 사용하면 클라우드 앱에서 지정된 파일 또는 파일 형식(공유, 외부 도메인과 공유), 데이터(소유 정보, 개인 데이터, 신용 카드 정보 및 기타 유형의 데이터)를 검색하고 파일에 거버넌스 작업을 적용할 수 있습니다(거버넌스 작업은 클라우드 앱과 관련이 있음). 자세한 정보 |
 |
액세스 정책 | 조건부 액세스 | 액세스 정책을 통해 클라우드 앱에 대한 사용자 로그인을 실시간으로 모니터링하고 제어할 수 있습니다. 자세한 정보 |
|
세션 정책 | 조건부 액세스 | 세션 정책을 통해 클라우드 앱의 사용자 작업을 실시간으로 모니터링하고 제어할 수 있습니다. 자세한 정보 |
 |
앱 검색 정책 | 섀도 IT | 앱 검색 정책을 사용하면 조직 내에서 새 앱이 검색될 때 알려주는 경고를 설정할 수 있습니다. 자세한 정보 |
|
클라우드 검색 이상 탐지 정책 | 섀도 IT | 클라우드 검색 변칙 검색 정책은 클라우드 앱 검색에 사용하는 로그를 확인하고 비정상적인 발생을 검색합니다. 예를 들어 Dropbox를 전혀 사용하지 않던 사용자가 갑자기 Dropbox에 600GB를 업로드하거나 특정 앱에서 평소보다 많은 트랜잭션이 발생하는 경우입니다. 자세한 정보 |
위험 식별
Defender for Cloud Apps는 클라우드에서 다양한 위험을 완화하는 데 도움이 됩니다. 다음 위험 중 하나와 연결되도록 모든 정책 및 경고를 구성할 수 있습니다.
액세스 제어: 누가 어디서 무엇에 액세스하나요?
지속적으로 동작을 모니터링하고 높은 위험의 내부 및 외부 공격을 비롯한 비정상적인 활동을 검색한 다음 경고에 정책을 적용하거나 차단하거나 앱 또는 앱 내의 특정 작업에 대해 ID 확인을 요구합니다. 대략적 차단 및 세분화된 보기, 편집 및 차단을 통해 사용자, 장치 및 지역을 기반으로 온-프레미스 및 모바일 액세스 제어 정책을 활성화합니다. 다단계 인증 실패, 비활성화된 계정 로그인 실패 및 가장 이벤트를 포함하여 의심스러운 로그인 이벤트를 검색합니다.
규정 준수: 규정 준수 요구 사항이 위반되었나요?
파일 동기화 서비스에 저장된 각 파일에 대한 공유 권한을 비롯한 중요한 데이터 또는 규제 데이터를 카탈로그로 작성하고 식별하여 PCI, SOX, HIPAA 등의 규정 준수를 보장합니다.
구성 제어: 구성이 무단으로 변경되고 있나요?
원격 구성 조작을 포함하여 구성 변경 내용을 모니터링합니다.
클라우드 검색: 새로운 앱이 조직에서 사용되고 있나요? 본인도 모르는 섀도 IT 앱이 사용되는 문제가 있나요?
규제 및 업계 인증과 모범 사례를 기반으로 각 클라우드 앱에 대한 전반적인 위험을 평가합니다. 각 클라우드 애플리케이션에 대한 사용자 수, 활동, 트래픽 볼륨 및 일반적인 사용 시간을 모니터링할 수 있습니다.
DLP: 소유 파일이 공개적으로 공유되고 있나요? 파일을 격리해야 합니까?
온-프레미스 DLP 통합은 기존 온-프레미스 DLP 솔루션과의 통합 및 폐쇄 루프 문제 해결을 제공합니다.
권한 있는 계정: 관리자 계정을 모니터링해야 하나요?
특권 사용자 및 관리자의 실시간 활동 모니터링 및 보고.
제어권 공유: 클라우드 환경에서 데이터가 어떻게 공유되고 있나요?
클라우드의 파일 및 콘텐츠 콘텐츠를 검사하고 내부 및 외부 공유 정책을 시행합니다. 공동 작업을 모니터링하고 파일이 조직 외부에서 공유되지 않도록 차단하는 등의 공유 정책을 시행합니다.
위협 검색: 클라우드 환경을 위협하는 의심스러운 활동이 있나요?
전자 메일을 통해 정책 위반 또는 활동 임계값에 대한 실시간 알림을 받습니다. 기계 학습 알고리즘을 적용하여 Defender for Cloud Apps를 사용하면 사용자가 데이터를 오용하고 있음을 나타낼 수 있는 동작을 검색할 수 있습니다.
위험을 제어하는 방법
정책을 사용하여 위험을 제어하려면 다음 프로세스를 따르세요.
템플릿 또는 쿼리에서 정책을 만듭니다.
예상 결과를 얻기 위해 정책을 미세 조정합니다.
위험에 자동으로 대응하고 수정하기 위해 자동화된 작업을 추가합니다.
정책 만들기
클라우드용 Defender 앱 정책 템플릿을 모든 정책의 기준으로 사용하거나 쿼리에서 정책을 만들 수 있습니다.
정책 템플릿은 사용자 환경 내에서 특정 이벤트를 검색하는 데 필요한 구성과 올바른 필터를 설정하는 데 도움이 됩니다. 템플릿에는 모든 유형의 정책이 포함되며, 다양한 서비스에 적용될 수 있습니다.
정책 템플릿에서 정책을 만들려면 다음 단계를 수행합니다.
Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 템플릿으로 이동합니다.
사용하려는 템플릿 행의 맨 오른쪽에 있는 더하기 기호(+)를 선택합니다. 사전 정의된 템플릿 구성이 있는 정책 만들기 페이지가 열립니다.
사용자 지정 정책에 필요한 경우 템플릿을 수정합니다. 이 새로운 템플릿 기반 정책의 모든 속성 및 필드를 요구에 따라 수정할 수 있습니다.
참고 항목
정책 필터를 사용하는 경우 포함은 쉼표, 점, 공백 또는 밑줄로 구분된 전체 단어만 검색합니다. 예를 들어 malware 또는 virus를 검색하는 경우 virus_malware_file.exe를 찾지만 malwarevirusfile.exe는 찾지 않습니다. malware.exe 검색하는 경우 해당 파일 이름에서 맬웨어 또는 exe가 있는 모든 파일을 찾은 반면, "malware.exe"(따옴표 포함)을 검색하면 정확히 "malware.exe"이 포함된 파일만 찾을 수 있습니다.
같음은 전체 문자열만 검색합니다. 예를 들어 malware.exe를 검색하는 경우 malware.exe를 찾지만 malware.exe.txt는 찾지 않습니다.새로운 템플릿 기반 정책을 만들면 정책 템플릿 테이블에서 정책을 만든 템플릿 옆에 있는 연결된 정책 열에 새 정책에 대한 링크가 나타납니다. 각 템플릿에서 원하는 만큼의 정책을 만들 수 있으며 이러한 정책은 모두 원래 템플릿에 연결됩니다. 링크를 통해 동일한 템플릿을 사용하여 빌드된 모든 정책을 추적할 수 있습니다.
또는 조사하는 동안 정책을 만들 수 있습니다. 활동 로그, 파일 또는 ID를 조사하고 특정 항목을 검색하기 위해 드릴다운하는 경우 언제든지 조사 결과에 따라 새 정책을 만들 수 있습니다.
예를 들어 활동 로그를 보고 사무실의 IP 주소 외부에서 관리자 활동을 보는 경우 만들 수 있습니다.
조사 결과에 따라 정책을 만들려면 다음 단계를 수행합니다.
Microsoft Defender 포털에서 다음 중 하나로 이동합니다.
- Cloud Apps ->Activity log
- Cloud Apps ->Files
- 자산 ->ID
페이지 맨 위에 있는 필터를 사용하여 의심스러운 영역에 검색 결과를 제한합니다. 예를 들어 활동 로그 페이지에서 관리istrative 활동을 선택하고 True를 선택합니다. 그런 다음 IP 주소에서 범주를 선택하고 관리자, 회사 및 VPN IP 주소와 같이 인식된 도메인에 대해 만든 IP 주소 범주에 포함하지 않을 값을 설정합니다.
쿼리 아래에서 검색에서 새 정책을 선택합니다.
조사에 사용한 필터가 포함된 정책 만들기 페이지가 열립니다.
사용자 지정 정책에 필요한 경우 템플릿을 수정합니다. 이 새로운 조사 기반 정책의 모든 속성 및 필드를 요구에 따라 수정할 수 있습니다.
참고 항목
정책 필터를 사용하는 경우 포함은 쉼표, 점, 공백 또는 밑줄로 구분된 전체 단어만 검색합니다. 예를 들어 malware 또는 virus를 검색하는 경우 virus_malware_file.exe를 찾지만 malwarevirusfile.exe는 찾지 않습니다.
같음은 전체 문자열만 검색합니다. 예를 들어 malware.exe를 검색하는 경우 malware.exe를 찾지만 malware.exe.txt는 찾지 않습니다.
위험에 자동으로 대응하고 수정하기 위해 자동화된 작업 추가
앱당 사용 가능한 거버넌스 작업 목록은 연결된 앱 제어를 참조하세요.
일치 항목이 검색되면 메일로 경고를 보내도록 정책을 설정할 수도 있습니다.
알림 기본 설정을 하려면 전자 메일 알림 기본 설정으로 이동합니다.
정책 사용 및 사용 안 함
정책을 만든 후 정책을 사용 또는 사용하지 않도록 설정할 수 있습니다. 비활성화하면 정책을 만든 후 정책을 중지하기 위해 삭제할 필요가 없습니다. 대신, 어떤 이유로 정책을 중지하려는 경우 이를 다시 사용하도록 설정할 때까지 사용하지 않습니다.
정책을 사용하도록 설정하려면 정책 페이지에서 사용하려는 정책 행의 끝에 있는 세 개의 점을 선택합니다. 사용을 선택합니다.
정책을 사용하지 않도록 설정하려면 정책 페이지에서 사용하지 않도록 설정할 정책 행의 끝에 있는 세 개의 점을 선택합니다. 사용 안 함을 선택합니다.
새 정책을 만들면 기본적으로 사용하도록 설정됩니다.
정책 개요 보고서
클라우드용 Defender 앱을 사용하면 정책당 집계된 경고 메트릭을 보여 주는 정책 개요 보고서를 내보내서 정책을 모니터링, 이해 및 사용자 지정하여 조직을 더 잘 보호할 수 있습니다.
로그를 내보내려면 다음 단계를 수행합니다.
정책 페이지에서 내보내기 단추를 선택합니다.
필요한 시간 범위를 지정합니다.
내보내기를 선택합니다. 이 프로세스는 다소 시간이 걸릴 수 있습니다.
내보낸 보고서를 다운로드하려면 다음을 수행합니다.
보고서가 준비되면 Microsoft Defender 포털에서 보고서로 이동한 다음 Cloud Apps ->Exported 보고서로 이동합니다.
표에서 관련 보고서를 선택한 다음 다운로드를 선택합니다.
다음 단계
문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.