경고 관리
참고
Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.
이 문서에서는 클라우드용 Defender 앱 포털에서 발생한 경고로 작업하는 방법을 설명합니다.
참고
경고는 해당 정책에서 관리되며 전자 메일, 문자 메시지 또는 둘 다로 보내도록 구성할 수 있습니다.
경고 관리
경고는 클라우드 환경을 보다 자세히 이해하기 위한 진입점입니다. 찾은 내용에 따라 새 정책을 만들 수도 있습니다. 예를 들어 한 관리자가 그린란드에서 로그인한다고 표시되는데 조직의 누구도 이전에 그린란드에서 로그인한 적이 없는 경우, 해당 위치에서 로그인에 사용된 관리자 계정을 자동으로 일시 중단하는 정책을 만들 수 있습니다.
모든 경고를 검토하고 정책을 수정하기 위한 도구로 사용하는 것이 좋습니다. 무해한 이벤트가 기존 정책에 대한 위반으로 간주되는 경우 불필요한 경고 수를 줄이기 위해 정책을 구체화합니다.
경고 페이지에서 해결 상태에 대해 열기를 선택합니다.
대시보드의 이 섹션에서는 의심스러운 활동이나 설정된 정책의 위반을 완전히 파악할 수 있습니다. 클라우드 환경에 대해 정의한 보안 상태를 보호하는 데 도움이 될 수 있습니다.
각 경고에 대해 위반의 특성 및 필요한 응답을 조사하고 결정해야 합니다.
경고를 경고 유형이나 심각도에 따라 필터링하여 가장 중요한 경고를 먼저 처리할 수 있습니다.
특정 경고를 선택합니다. 경고 유형에 따라 경고를 해결하기 전에 수행할 수 있는 다양한 작업이 표시됩니다.
앱을 기준으로 필터링할 수 있습니다. 나열된 앱은 클라우드용 Defender 앱에서 활동이 검색된 앱입니다.
경고를 조사할 때 처리해야 하는 다음 세 가지 유형의 위반이 있습니다.
심각한 위반 - 심각한 위반에는 즉시 응답해야 합니다.
예:- 의심스러운 활동 경고의 경우 사용자가 암호를 변경할 때까지 계정을 일시 중단하는 것이 좋습니다.
- 데이터 누출의 경우 사용 권한을 제한하거나 파일을 격리하는 것이 좋습니다.
- 새로운 앱이 검색된 경우 프록시 또는 방화벽에서 해당 서비스에 대한 액세스를 차단하는 것이 좋습니다.
의심스러운 위반 - 의심스러운 위반에는 추가 조사가 필요합니다.
- 사용자 또는 사용자의 관리자에게 작업의 특성을 문의할 수 있습니다.
- 추가 정보를 받을 때까지 활동을 미해결 상태로 둡니다.
승인된 위반 또는 비정상적인 동작 - 승인된 위반 또는 비정상적인 동작은 합법적인 사용에서 발생할 수 있습니다.
- 경고를 해제할 수 있습니다.
경고를 해제하는 경우 경고를 해제하는 이유에 대한 피드백을 제출하는 경우 유용합니다. 클라우드용 Defender 앱 팀은 경고의 정확도를 나타내는 표시로 이 피드백을 사용합니다. 그런 다음, 이 정보는 향후 경고를 위해 기계 학습 모델을 미세 조정하는 데 사용됩니다. 이 경고 상자에 대해 문의해도 괜찮습니다.를 선택하면 선택 사례에서 추가 정보를 다시 확인할 수 있습니다. 경고를 분류하는 방법을 결정할 때 다음 지침을 따를 수 있습니다.
합법적인 사용으로 경고가 트리거되고 보안 문제가 아닌 경우 다음 유형 중 하나일 수 있습니다.
- 양성 긍정: 경고는 정확하지만 활동은 합법적입니다. 경고를 해제하고 이유를 실제 심각도가 더 낮 거나 흥미롭지 않음으로 설정할 수 있습니다.
- 거짓 긍정: 경고가 정확하지 않습니다. 경고를 해제하고 경고 이유를 정확하게 설정하지 않습니다.
경고의 정당성과 정확도를 결정하기에 노이즈가 너무 많은 경우 경고를 해제하고 이유를 너무 많은 유사한 경고로 설정합니다.
참 긍정: 경고가 내부자 또는 외부인에 의해 악의적으로 또는 의도치 않게 커밋된 실제 위험한 이벤트와 관련된 경우 이벤트를 수정하기 위해 모든 적절한 조치를 취한 후 이벤트를 해결 하도록 설정해야 합니다.
경고 유형
다음 표에서는 트리거될 수 있는 경고 유형 목록과 권장되는 해결 방법을 제공합니다.
| 경고 유형 | 설명 | 권장 해결 방법 |
|---|---|---|
| 활동 정책 위반 | 이 유형의 경고는 생성된 정책의 결과입니다. | 이 유형의 경고를 대량으로 사용하려면 정책 센터 내에서 작업하여 완화하는 것이 좋습니다. 더 많은 필터와 보다 세부적인 제어를 추가하여 불필요한 항목을 제외하도록 정책을 미세 조정합니다. 정책이 정확하고 경고가 보증되었으며 즉시 중지해야 할 위반인 경우에는 정책에 자동 수정을 추가할 수도 있습니다. |
| 파일 정책 위반 | 이 유형의 경고는 생성된 정책의 결과입니다. | 이 유형의 경고를 대량으로 사용하려면 정책 센터 내에서 작업하여 완화하는 것이 좋습니다. 더 많은 필터와 보다 세부적인 제어를 추가하여 불필요한 항목을 제외하도록 정책을 미세 조정합니다. 정책이 정확하고 경고가 보증되었으며 즉시 중지해야 할 위반인 경우에는 정책에 자동 수정을 추가할 수도 있습니다. |
| 손상된 계정 | 이 유형의 경고는 클라우드용 Defender 앱에서 손상된 계정을 식별할 때 트리거됩니다. 즉, 계정이 무단으로 사용되었을 가능성이 매우 높다는 것을 의미합니다. | 사용자에 접근하고 사용자가 암호를 변경할 때까지 계정을 일시 중단하는 것이 좋습니다. |
| 비활성 계정 | 이 경고는 연결된 클라우드 앱 중 하나에서 계정이 60일 이내에 사용되지 않는 경우에 트리거됩니다. | 사용자와 사용자의 관리자에게 문의하여 계정이 여전히 활성 상태인지 확인합니다. 그렇지 않으면 사용자를 일시 중단하고 앱의 라이선스를 종료합니다. |
| 새 관리자 | 연결된 앱에 대한 권한 있는 계정의 변경 내용을 경고합니다. | 새 관리자 권한이 사용자에게 실제로 필요한지 확인합니다. 그렇지 않은 경우에는 관리자 권한을 해지하여 노출을 줄이는 것이 좋습니다. |
| 새 관리자 위치 | 연결된 앱에 대한 권한 있는 계정의 변경 내용을 경고합니다. | 비정상적인 위치에서의 로그인이 합법적이었는지 확인합니다. 그렇지 않을 경우 관리자 권한을 해지하거나 계정을 일시 중단하여 노출을 줄이는 것이 좋습니다. |
| 새 위치 | 새 위치에서 연결된 앱의 액세스와 관련된 정보 제공용 경고이며 국가/지역별로 한 번만 트리거됩니다. | 특정 사용자의 활동을 조사합니다. |
| 새 검색된 서비스 | 이 경고는 섀도 IT에 대한 경고입니다. Cloud Discovery에서 새 앱이 검색되었습니다. |
|
| 의심되는 활동 | 이 경고를 통해 조직의 예상 활동이나 사용자와 일치하지 않는 비정상적인 활동이 검색된 것을 알 수 있습니다. | 동작을 조사하고 사용자에게 확인합니다. 이 유형의 경고는 사용자 환경을 자세히 확인하고 이러한 경고에 관한 새 정책을 생성 시작하는 데 적합합니다. 예를 들어 누군가가 연결된 앱 중 하나에 많은 양의 데이터를 갑자기 업로드하는 경우 해당 유형의 비정상적인 동작을 제어하는 규칙을 설정할 수 있습니다. |
| 개인 계정 사용 | 이 경고를 사용하면 새 개인 계정이 연결된 앱의 리소스에 액세스할 수 있음을 알 수 있습니다. | 외부 계정에서 사용자의 협업을 제거합니다. |
다음 단계
경고를 조사하는 방법에 대한 자세한 내용은 조사를 참조하세요.
문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.