Cloud Discovery 정책

아티클
06/15/2022
읽는 데 13분 걸림

참고

Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

이 문서에서는 클라우드용 Defender 앱을 사용하여 Cloud Discovery를 사용하여 조직 전체에서 섀도 IT에 대한 가시성을 얻는 방법에 대한 개요를 제공합니다.

클라우드용 Defender 앱을 사용하면 조직의 환경에서 사용 중인 클라우드 앱을 검색하고 분석할 수 있습니다. Cloud Discovery 대시보드는 환경에서 실행되는 모든 클라우드 앱을 표시하고 함수 및 엔터프라이즈 준비 상태로 분류합니다. 각 앱에 대해 연결된 사용자, IP 주소, 디바이스, 트랜잭션을 검색하고 엔드포인트 디바이스에 에이전트를 설치할 필요 없이 위험 평가를 수행합니다.

새 대용량 또는 광범위한 앱 사용 감지

조직의 사용자 수 또는 트래픽 양 측면에서 매우 많이 사용되는 새 앱을 검색합니다.

필수 구성 요소

연속 보고서에 대한 자동 로그 업로드 구성에 설명된 대로 연속 Cloud Discovery 보고서에 대한 자동 로그 업로드를 구성하거나 클라우드용 Defender 앱과 엔드포인트용 Microsoft Defender 통합에 설명된 대로 엔드포인트용 Defender와 클라우드용 Defender 앱 통합을 사용하도록 설정합니다.

단계

정책 페이지에서 새 앱 검색 정책을 만듭니다.
정책 템플릿 필드에서 새 대용량 앱 또는 인기 있는 새 앱을 선택하고 템플릿을 적용합니다.
조직의 요구 사항을 충족하도록 정책 필터를 사용자 지정합니다.
경고가 트리거될 때 수행할 작업을 구성합니다.

참고

지난 90일 동안 검색되지 않은 각 새 앱에 대해 경고가 한 번 생성됩니다.

새로운 위험 또는 비규격 앱 사용 감지

보안 표준을 충족하지 않는 클라우드 앱에서 조직의 잠재적 노출을 감지합니다.

필수 구성 요소

단계

정책 페이지에서 새 앱 검색 정책을 만듭니다.
정책 템플릿 필드에서 새 위험한 앱 템플릿을 선택하고 템플릿을 적용합니다.
다음의 모든 항목과 일치하는 앱에서 위험 점수 슬라이더 및 준수 위험 요소를 설정하여 경고를 트리거하려는 위험 수준을 사용자 지정하고 조직의 보안 요구 사항을 충족하도록 다른 정책 필터를 설정합니다.
1. 선택 사항: 더 의미 있는 검색을 얻으려면 경고를 트리거할 트래픽 양을 사용자 지정합니다.
2. 같은 날 확인란에서 다음 항목이 모두 발생하는 경우 정책 일치 트리거를 선택합니다.
3. 2000GB(또는 기타)보다 큰 일별 트래픽 을 선택합니다.
경고가 트리거될 때 수행할 거버넌스 작업을 구성합니다. 거버넌스에서 허용되지 않는 것으로 태그 앱을 선택합니다.
정책이 일치하면 앱에 대한 액세스가 자동으로 차단됩니다.
선택 사항: 보안 웹 게이트웨이와 클라우드용 Defender 앱 네이티브 통합을 활용하여 앱 액세스를 차단합니다.

허가되지 않은 비즈니스 앱 사용 감지

직원이 승인된 비즈니스 준비 앱의 대체로 허가되지 않은 앱을 계속 사용하는 경우를 감지할 수 있습니다.

필수 구성 요소

연속 보고서에 대한 자동 로그 업로드 구성에 설명된 대로 연속 Cloud Discovery 보고서에 대한 자동 로그 업로드를 구성하거나 클라우드용 Defender 앱과 엔드포인트용 Microsoft Defender 통합에 설명된 대로 엔드포인트용 Defender와 클라우드용 Defender 앱 통합을 사용하도록 설정합니다.

단계

클라우드 앱 카탈로그에서 비즈니스 지원 앱을 검색하고 사용자 지정 앱 태그로 표시합니다.
새 대용량 또는 광범위한 앱 사용 감지의 단계를 수행합니다.
앱 태그 필터를 추가하고 비즈니스 준비 앱에 대해 만든 앱 태그를 선택합니다.
경고가 트리거될 때 수행할 거버넌스 작업을 구성합니다. 거버넌스에서 허용되지 않는 것으로 태그 앱을 선택합니다.
정책이 일치하면 앱에 대한 액세스가 자동으로 차단됩니다.
선택 사항: 보안 웹 게이트웨이와 클라우드용 Defender 앱 네이티브 통합을 활용하여 앱 액세스를 차단합니다.

네트워크에서 비정상적인 사용 패턴 검색

클라우드 앱에서 조직 네트워크 내의 사용자 또는 IP 주소에서 발생하는 비정상적인 트래픽 사용 패턴(업로드/다운로드)을 검색합니다.

필수 구성 요소

단계

정책 페이지에서 새 Cloud Discovery 변칙 검색 정책을 만듭니다.
정책 템플릿 필드에서 검색된 사용자에서 비정상적인 동작을 선택하거나 검색된 IP 주소에서 비정상적인 동작을 선택합니다.
조직의 요구 사항에 맞게 필터를 사용자 지정합니다.
위험한 앱과 관련된 변칙이 있는 경우에만 경고를 표시하려면 위험 점수 필터를 사용하고 앱이 위험한 것으로 간주되는 범위를 설정합니다.
슬라이더를 사용하여 변칙 검색 민감도를 선택합니다.

참고

연속 로그 업로드가 설정된 후 변칙 검색 엔진은 조직에서 예상되는 동작에 대한 기준(학습 기간)이 설정될 때까지 며칠이 걸립니다. 기준이 설정되면 사용자가 만든 클라우드 앱 또는 IP 주소에서 예상되는 트래픽 동작의 불일치에 따라 경고를 받기 시작합니다.

승인되지 않은 스토리지 앱에서 비정상적인 클라우드 검색 동작 검색

승인되지 않은 클라우드 스토리지 앱에서 사용자가 비정상적인 동작을 검색합니다.

필수 구성 요소

단계

정책 페이지에서 새 Cloud Discovery 변칙 검색 정책을 만듭니다.
필터 앱 범주를 선택하면 Cloud Storage와 같습니다.
필터 앱 태그가 승인되지 않은 필터를 선택합니다.
확인란을 선택하여 정책의 심각도와 일치하는 각 이벤트에 대한 경고를 만듭니다.
경고가 트리거될 때 수행할 작업을 구성합니다.

위험한 OAuth 앱 검색

Google Workspace, Office 365 및 Salesforce 같은 앱 내에 설치된 OAuth 앱을 표시하고 제어합니다. 높은 권한을 요청하고 드물게 커뮤니티를 사용하는 OAuth 앱은 위험한 것으로 간주될 수 있습니다.

필수 구성 요소

앱 커넥터를 사용하여 Google Workspace, Office 365 또는 Salesforce 앱이 연결되어 있어야 합니다.

단계

정책 페이지에서 새 OAuth 앱 정책을 만듭니다.
필터 앱을 선택하고 정책이 적용해야 하는 앱, Google Workspace, Office 365 또는 Salesforce 설정합니다.
사용 권한 수준 필터가 높음(Google Workspace 및 Office 365 사용 가능)과 같습니다.
필터를 추가 Community 사용은 희귀와 같습니다.
경고가 트리거될 때 수행할 작업을 구성합니다. 예를 들어 Office 365 정책에서 검색된 OAuth 앱에 대한 해지 앱을 확인합니다.

참고

Google Workspace, Office 365 및 Salesforce 앱 스토어에서 지원됩니다.

다음 단계

클라우드 환경을 보호하는 일상적인 활동

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.