감사 로그에서 Microsoft Teams의 이벤트 검색
중요
Microsoft Teams 관리 센터는 비즈니스용 Skype 관리 센터를 점진적으로 대체하고 있으며, Teams 설정을 Microsoft 365 관리 센터 마이그레이션하고 있습니다. 설정이 마이그레이션된 경우 알림이 표시되고 Teams 관리 센터에서 설정의 위치로 이동됩니다. 자세한 내용은 Teams 관리 센터로 전환하는 동안 Teams 관리를 참조하세요.
감사 로그는 Microsoft 서비스 전반의 특정 활동을 조사하는 데 도움이 될 수 있습니다. Microsoft Teams의 경우 감사되는 몇 가지 활동은 다음과 같습니다.
- 팀 생성
- 팀 삭제
- 추가된 채널
- 채널 삭제됨
- 채널 설정 변경함
감사되는 Teams 활동의 전체 목록은 감사 로그의 Teams 활동을 참조하세요.
참고
비공개 채널의 감사 이벤트도 팀 및 표준 채널에 대해 기록됩니다.
Teams에서 감사 켜기
감사 데이터를 보려면 먼저 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 감사를 켜야 합니다. 자세한 내용은 감사 설정 또는 해제를 참조하세요.
중요
감사 데이터는 감사를 설정한 시점부터만 사용할 수 있습니다.
감사 로그에서 Teams 데이터 검색
Teams 활동에 대한 감사 로그를 검색하려면 Microsoft Purview 포털 또는 규정 준수 포털을 사용합니다. 단계별 지침은 감사 로그 검색을 참조하세요.
중요
감사 데이터는 감사가 켜져 있는 경우에만 감사 로그에 표시됩니다.
감사 로그에서 감사 레코드를 보존하고 검색할 수 있는 기간은 Microsoft 365 또는 Office 365 구독, 특히 사용자에게 할당된 라이선스 유형에 따라 달라집니다. 자세한 내용은 보안 & 준수 센터 서비스 설명을 참조하세요.
감사 로그 검색을 위한 팁
다음은 감사 로그에서 Teams 활동을 검색하기 위한 팁입니다.
하나 이상의 활동 옆에 있는 확인란을 클릭하여 검색할 특정 활동을 선택할 수 있습니다. 활동을 선택한 경우 해당 활동을 선택하여 선택을 취소할 수 있습니다. 검색 상자를 사용하여 입력한 키워드를 포함하는 활동을 표시할 수도 있습니다.
cmdlet을 사용하여 실행되는 활동에 대한 이벤트를 표시하려면 활동 목록의모든 활동에 대한 결과 표시를 선택합니다. 이러한 활동에 대한 작업의 이름을 알고 있는 경우 검색 상자에 입력하여 활동을 표시한 다음 선택합니다.
현재 검색 조건을 지우려면 모두 지우기를 선택합니다. 날짜 범위가 기본값인 최근 7일로 돌아갑니다.
5,000개의 결과가 발견되면 검색 조건에 맞는 이벤트가 5,000개 이상 있다고 가정할 수 있습니다. 검색 조건을 구체화하고 검색을 다시 실행하여 더 적은 결과를 반환하거나모든 결과 내보내기 다운로드를 선택하여 모든 검색 결과를 내보낼> 수 있습니다. 감사 로그를 내보내는 단계별 지침은 감사 로그 검색을 참조하세요.
오디오 로그 검색을 사용하려면 이 비디오를 확인하세요. Teams의 프로그램 관리자인 Ansuman Acharya에 참가하여 Teams에 대한 감사 로그 검색을 수행하는 방법을 보여 줍니다.
Teams 활동
Microsoft 365 감사 로그의 Teams에서 사용자 및 관리자 활동에 대해 기록되는 모든 이벤트 목록은 다음을 참조하세요.
Office 365 관리 작업 API
Office 365 관리 활동 API를 사용하여 Teams 이벤트에 대한 정보를 검색할 수 있습니다. Teams의 관리 활동 API 스키마에 대한 자세한 내용은 Teams 스키마를 참조하세요.
Teams 감사 로그의 특성
Microsoft Entra ID, Microsoft 365 관리 포털 또는 Microsoft 365 그룹 Graph API 통해 수행된 Teams의 멤버 자격 변경(예: 추가 또는 삭제됨)은 Teams 감사 메시지 및 일반 채널에 작업의 실제 개시자가 아닌 팀의 기존 소유자에 대한 특성이 있는 일반 채널에 표시됩니다. 이러한 시나리오에서는 Microsoft Entra ID 또는 Microsoft 365 그룹 감사 로그를 참조하여 관련 정보를 확인합니다.
Defender for Cloud Apps 사용하여 활동 정책 설정
Microsoft Defender for Cloud Apps 통합을 사용하여 앱 공급자의 API를 사용하여 광범위한 자동화된 프로세스를 적용하도록 활동 정책을 설정할 수 있습니다. 이러한 정책을 사용하면 다양한 사용자가 수행하는 특정 활동을 모니터링하거나 특정 유형의 활동에 대해 예기치 않게 높은 비율을 따를 수 있습니다.
활동 검색 정책을 설정하면 경고 생성이 시작됩니다. 경고는 정책을 만든 후에 발생하는 활동에 대해서만 생성됩니다. 다음은 Defender for Cloud Apps 활동 정책을 사용하여 Teams 활동을 모니터링하는 방법에 대한 몇 가지 예제 시나리오입니다.
외부 사용자 시나리오
비즈니스 관점에서 볼 때 주시할 수 있는 한 가지 시나리오는 Teams 환경에 외부 사용자를 추가하는 것입니다. 외부 사용자를 사용하도록 설정한 경우 현재 상태를 모니터링하는 것이 좋습니다. Defender for Cloud Apps 사용하여 잠재적 위협을 식별할 수 있습니다.
외부 사용자 추가를 모니터링하는 이 정책의 스크린샷을 사용하면 정책 이름을 지정하고, 비즈니스 요구 사항에 따라 심각도를 설정하고, 단일 활동으로 설정한 다음, 비사용자 추가만 모니터링하는 매개 변수를 설정하고, 이 활동을 Teams로 제한할 수 있습니다.
이 정책의 결과는 활동 로그에서 볼 수 있습니다.
여기에서 설정한 정책과 일치하는 항목을 검토하고 필요에 따라 조정하거나 결과를 내보내 다른 곳에서 사용할 수 있습니다.
대량 삭제 시나리오
앞에서 설명한 대로 삭제 시나리오를 모니터링할 수 있습니다. Teams 사이트의 대량 삭제를 모니터링하는 정책을 만들 수 있습니다. 이 예제에서는 30분 동안 팀의 대량 삭제를 감지하도록 경고 기반 정책이 설정됩니다.
스크린샷에서 볼 수 있듯이 심각도, 단일 또는 반복 작업, 이를 Teams 및 사이트 삭제로 제한하는 매개 변수 등 Teams 삭제를 모니터링하기 위해 이 정책에 대한 다양한 매개 변수를 설정할 수 있습니다. 이 작업은 템플릿과 독립적으로 수행하거나 조직의 요구 사항에 따라 이 정책을 기반으로 하는 템플릿을 만들 수 있습니다.
비즈니스에 적합한 정책을 설정한 후 이벤트가 트리거될 때 활동 로그의 결과를 검토할 수 있습니다.
설정한 정책으로 필터링하여 해당 정책의 결과를 볼 수 있습니다. 활동 로그에서 가져오는 결과가 만족스럽지 않은 경우(결과가 많이 표시되거나 전혀 표시되지 않을 수 있음) 쿼리를 미세 조정하여 필요한 작업과 더 관련성을 높이는 데 도움이 될 수 있습니다.
경고 및 거버넌스 시나리오
활동 정책이 트리거될 때 경고를 설정하고 관리자 및 다른 사용자에게 전자 메일을 보낼 수 있습니다. 사용자를 일시 중단하거나 사용자가 자동화된 방식으로 다시 로그인하도록 하는 등의 자동화된 거버넌스 작업을 설정할 수 있습니다. 이 예제에서는 활동 정책이 트리거될 때 사용자 계정을 일시 중단하고 30분 만에 두 개 이상의 팀을 삭제한 사용자를 결정하는 방법을 보여 줍니다.
Defender for Cloud Apps 사용하여 변칙 검색 정책 설정
Defender for Cloud Apps 변칙 검색 정책은 클라우드 환경에서 고급 위협 탐지를 즉시 실행할 수 있도록 기본 제공 사용자 및 UEBA(엔터티 동작 분석) 및 ML(기계 학습)을 제공합니다. 자동으로 사용하도록 설정되므로 새 변칙 검색 정책은 즉각적인 검색을 제공하고 사용자와 네트워크에 연결된 컴퓨터 및 디바이스에서 수많은 동작 변칙을 대상으로 하여 즉각적인 결과를 제공합니다. 또한 새 정책은 Defender for Cloud Apps 검색 엔진에서 더 많은 데이터를 노출하여 조사 프로세스를 가속화하고 지속적인 위협을 포함할 수 있도록 지원합니다.
Teams 이벤트를 변칙 검색 정책에 통합하기 위해 노력하고 있습니다. 지금은 다른 Office 제품에 대한 변칙 검색 정책을 설정하고 해당 정책과 일치하는 사용자에 대해 작업 항목을 수행할 수 있습니다.