검색 데이터 작업

  • 아티클
  • 읽는 데 9분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경 내용에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈이 될 것입니다. 이러한 변경 내용에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

Cloud Discovery 대시보드는 조직에서 클라우드 앱이 어떻게 사용되는지를 효과적으로 파악할 수 있도록 설계되었습니다. 이 대시보드에서는 사용되고 있는 앱의 종류, 미해결 경고 및 조직에서 앱의 위험 수준을 한눈에 파악할 수 있습니다. 또한 최고의 앱 사용자를 확인할 수 있으며 앱 본사 위치 지도를 제공합니다. Cloud Discovery 대시보드에는 데이터를 필터링하는 여러 가지 옵션이 있습니다. 필터링을 사용하면 이해하기 쉬운 그래픽을 사용하여 한 눈에 전체 그림을 그릴 수 있는 가장 관심 있는 항목에 따라 특정 보기를 생성할 수 있습니다.

cloud discovery dashboard.

Cloud Discovery 대시보드 검토

Cloud Discovery 앱의 일반적인 그림을 가져오려면 먼저 Cloud Discovery 대시보드에서 다음 정보를 검토해야 합니다.

  1. 먼저 상위 수준 사용 개요에서 조직의 전체 클라우드 앱 사용을 살펴보세요.

  2. 그런 다음 각 다른 사용 매개 변수에 대해 조직에서 사용되는 상위 범주 를 확인하려면 한 수준 더 자세히 알아보세요. 이 사용량이 얼마나 되는지 Sanction 앱에서 확인할 수 있습니다.

  3. 더 자세히 알아보고 검색된 앱 탭의 특정 범주에 있는 모든 앱을 확인합니다.

  4. 상위 사용자 및 원본 IP 주소를 확인하여 조직에서 클라우드 앱의 가장 지배적인 사용자를 식별할 수 있습니다.

  5. 검색된 앱이 앱 본사 맵의 지리적 위치(HQ에 따라)에 따라 어떻게 분산되는지 확인합니다.

  6. 마지막으로 앱 위험 개요에서 검색된 앱의 위험 점수를 검토해야 합니다. 검색 경고 상태를 확인하여 조사해야 하는 열린 경고 수를 확인합니다.

엔터티 제외

시스템 사용자, IP 주소 또는 시끄럽지만 불안하거나 관련이 없는 앱이 있는 경우 분석되는 Cloud Discovery 데이터에서 해당 데이터를 제외할 수 있습니다. 예를 들어 127.0.0.1 또는 로컬 호스트에서 발생하는 모든 정보를 제외할 수 있습니다.

제외 항목을 만들려면

  1. 포털의 설정 아이콘에서 클라우드 검색 설정을 선택합니다.

  2. 엔터티 제외 탭을 클릭합니다.

  3. 제외된 사용자, 제외된 IP 주소 또는 제외된 디바이스 탭을 선택하고 + 단추를 클릭하여 제외를 추가합니다.

  4. 사용자 별칭, IP 주소 또는 디바이스 이름을 추가합니다. 제외된 이유에 대한 정보를 추가하는 것이 좋습니다.

    exclude user.

연속 보고서 관리

사용자 지정 연속 보고서는 조직의 Cloud Discovery 로그 데이터를 모니터링할 때 더 많은 세분성을 제공합니다. 사용자 지정 보고서를 만들면 특정 지리적 위치, 네트워크 및 사이트 또는 조직 구성 단위를 기준으로 필터링할 수 있습니다. 기본적으로 다음과 같은 보고서만 Cloud Discovery 보고서 선택기에 표시 됩니다.

  • 전역 보고서는 로그에 포함한 모든 데이터 원본의 모든 정보를 포털에서 통합합니다. 전역 보고서에는 엔드포인트용 Microsoft Defender 데이터가 포함되지 않습니다.

  • 데이터 원본 특정 보고서는 특정 데이터 원본의 정보만 표시합니다.

새 연속 보고서를 만들려면

  1. 포털의 설정 아이콘에서 클라우드 검색 설정을 선택합니다.

  2. 연속 보고서 탭을 클릭합니다.

  3. 보고서 만들기 단추를 클릭합니다.

  4. 보고서 이름을 입력합니다.

  5. 포함할 데이터 원본을 선택합니다(모두 또는 특정).

  6. 데이터에서 원하는 필터를 설정합니다. 이러한 필터는 사용자 그룹, IP 주소 태그 또는 IP 주소 범위일 수 있습니다. IP 주소 태그 및 IP 주소 범위 작업에 대한 자세한 내용은 요구에 따라 데이터 구성을 참조하세요.

    create custom continuous report.

참고

모든 사용자 지정 보고서는 최대 1GB의 압축되지 않은 데이터로 제한됩니다. 데이터가 1GB를 초과하면 데이터의 처음 1GB를 보고서로 내보냅니다.

클라우드 검색 데이터 삭제

다양한 이유로 클라우드 검색 데이터를 삭제할 수 있습니다. 다음과 같은 경우 삭제하는 것이 좋습니다.

  • 로그 파일을 수동으로 업로드했으며 시스템을 새 로그 파일로 업데이트하기 전에 오랜 시간이 경과하여 이전 데이터가 결과에 영향을 주지 않도록 하려는 경우

  • 새 사용자 지정 데이터 보기를 설정하면 해당 시점 이후의 새 데이터에만 적용됩니다. 따라서 이전 데이터를 지운 다음, 로그 파일을 다시 업로드하여 사용자 지정 데이터 보기가 로그 파일 데이터에서 이벤트를 선택할 수 있게 하는 것이 좋습니다.

  • 많은 사용자 또는 IP 주소가 일정 시간 동안 오프라인 상태였다가 최근에 작업을 다시 시작한 경우 해당 활동이 비정상적인 것으로 식별되어 잘못된 가양성 위반을 초래할 수 있습니다.

클라우드 검색 데이터를 삭제하려면

  1. 포털의 설정 아이콘에서 클라우드 검색 설정을 선택합니다.

  2. 데이터 삭제 탭을 클릭합니다.

    계속하기 전에 데이터를 삭제할 것인지 확인하는 것이 좋습니다. 이 작업은 실행 취소할 수 없으며 시스템의 모든 Cloud Discovery 데이터가 삭제됩니다.

  3. 삭제 단추를 클릭합니다.

    delete data.

    참고

    삭제 프로세스는 몇 분 정도 걸리며 즉시 적용되지 않습니다.

다음 단계

클라우드 환경을 보호하는 일상적인 활동

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.