다음을 통해 공유


내부자 위험 관리 포렌식 증거에 대해 알아보기

중요

포렌식 증거는 사용자 개인 정보가 기본 제공된 잠재적인 내부 데이터 보안 인시던트에 대한 시각적 인사이트를 보안 팀에 제공하는 Insider Risk Management의 옵트인 추가 기능입니다. 포렌식 증거에는 사용자 지정 가능한 이벤트 트리거 및 기본 제공 사용자 개인 정보 보호 제어가 포함되어 있어 보안 팀이 중요한 데이터의 무단 데이터 반출과 같은 잠재적인 내부자 데이터 위험을 더 잘 조사, 이해 및 대응할 수 있습니다.

조직은 법의학적 증거를 캡처하기 위해 가장 높은 우선 순위의 위험한 이벤트와 가장 중요한 데이터를 포함하여 자체에 적합한 정책을 설정합니다. 포렌식 증거는 기본적으로 꺼져 있으며 정책 생성에는 이중 권한 부여가 필요하며 사용자 이름은 가명으로 마스킹할 수 있습니다(참가자 위험 관리의 경우 기본적으로 설정됨). 내부 위험 관리 내에서 정책을 설정하고 보안 경고를 검토하면 강력한 RBAC(역할 기반 액세스 제어)를 활용하여 organization 지정된 개인이 추가 감사 기능을 사용하여 올바른 조치를 취하도록 합니다.

중요

Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

시각적 컨텍스트를 갖는 것은 잠재적으로 위험한 보안 관련 사용자 활동에 대한 더 나은 인사이트를 얻기 위해 포렌식 조사 중에 보안 팀에 매우 중요합니다. 사용자 지정 가능한 이벤트 트리거 및 기본 제공 사용자 개인 정보 보호 제어를 사용하면 포렌식 증거를 통해 디바이스 간에 사용자 지정 가능한 시각적 활동을 캡처하여 중요한 데이터의 무단 데이터 반출과 같은 잠재적 데이터 위험을 더 잘 완화, 이해 및 대응할 수 organization 있습니다. 포렌식 증거를 캡처하는 데 가장 중요한 위험한 이벤트, 가장 중요한 데이터, 포렌식 캡처가 활성화될 때 사용자에게 알림을 받을지 여부를 포함하여 organization 적합한 정책을 설정합니다. 포렌식 증거 캡처는 기본적으로 꺼져 있으며 정책 생성에는 이중 권한 부여가 필요합니다.

Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.

기능 기능

  • 시각적 캡처를 사용하면 조직에서 보안 관련 주요 사용자 활동의 클립을 캡처하여 보다 안전하고 규정을 준수하는 가시성을 확보하고 조직의 요구 사항을 충족할 수 있습니다.
  • 데스크톱 애플리케이션 및/또는 웹 사이트를 포함하거나 제외 하여 가장 위험한 애플리케이션 및 웹 사이트에 중점을 둔 기록 정책을 구성합니다. 이렇게 하면 스토리지 공간 및 사용자 개인 정보 보호가 유지됩니다. 예를 들어 개인 전자 메일 및 소셜 미디어 계정을 제외합니다.
  • 향상된 피싱 보호(미리 보기)를 사용하면 조직에서 Microsoft Defender SmartScreen에서 향상된 피싱 보호와 관련된 클립을 캡처할 수 있습니다. 예를 들어 사용자가 피싱 사이트 또는 피싱 사이트에 연결하는 애플리케이션에서 Windows 11 디바이스에 로그인하는 데 사용한 Microsoft 암호를 입력할 때 캡처할 수 있습니다. Microsoft Defender SmartScreen의 향상된 피싱 보호에 대해 자세히 알아보기
  • 캡처 기능 활성화에 대한 여러 수준의 승인을 통해 사용자 개인 정보를 보호합니다.
  • 사용자 지정 가능한 트리거 및 캡처 옵션은 보안 팀이 인시던트(예: 사용자가 'SecretResearchPlans.docx'을 다운로드한 후 5분 전 및 10분 캡처)를 기반으로 하든, 지속적인 캡처 요구 사항에 따라 요구 사항을 충족하도록 포렌식 증거를 설정할 수 있음을 의미합니다.
  • 사용자 중심 정책 대상 지정 은 보안 및 규정 준수 팀이 더 나은 컨텍스트 인사이트를 위해 디바이스가 아닌 사용자별 활동에 집중할 수 있음을 의미합니다.
  • 강력한 RBAC(역할 기반 액세스 제어)는 포렌식 클립을 설정하고 검토하는 기능이 엄격하게 제어되며 올바른 권한이 있는 organization 개인에게만 사용할 수 있음을 의미합니다.
  • 현재 내부 위험 관리 기능과 긴밀하게 통합되어 내부자 위험 관리 관리자와 신뢰할 수 있는 단일 플랫폼 접근 방식을 위한 보다 쉬운 온보딩 및 더 친숙한 워크플로를 만듭니다.
  • 캡처된 클립에 대한 평가판 용량(최대 20GB)이며, 용량 사용률에 빠르게 액세스하고 추가 용량을 구매할 수 있습니다.

디바이스 및 구성 요구 사항

다음 표에는 내부자 위험 관리 포렌식 증거를 활용하기 위한 지원되는 최소 요구 사항이 포함되어 있습니다.

지원되는 플랫폼

운영 체제 SKU 프로세서
Windows 10(Windows 365 포함) Enterprise 64비트(Intel 또는 AMD)
Windows 11(Windows 365 포함) Enterprise 64비트(Intel 또는 AMD)

물리적 디바이스

하드웨어 최소 요구 사항
RAM 최소 8GB(클라이언트 사용 시 2GB 이상을 사용할 수 있어야 합니다.
CPU 프로세서 Intel i5 이상 및 AMD Ryzen 5 이상
그래픽 카드 WDDM 1.0 드라이버 이상에서 DirectX 11 이상과 호환됨(현재는 통합 그래픽 카드만 지원됨)
디스크 공간 최소 10GB의 디스크 스토리지
표시 1920 x 1080의 최소 화면 해상도

Hyper-V 및 가상 머신

하드웨어 최소 요구 사항
RAM 최소 16GB(클라이언트 사용 시 2GB 이상 사용 가능)
CPU 프로세서 최소 8개의 vCPU 프로세서 또는 해당 프로세서
디스크 공간 최소 10GB의 디스크 스토리지
표시 1920 x 1080의 최소 화면 해상도

중요

최소 요구 사항이 충족되지 않으면 사용자는 Microsoft Purview 클라이언트 문제가 발생할 수 있으며 포렌식 캡처 품질이 신뢰할 수 없을 수 있습니다.

캡처 옵션

이벤트 트리거, 글로벌 지표 및 정책 지표는 포렌식 증거 정책을 포함하여 모든 내부 위험 관리 정책에서 중요한 역할을 합니다. 트리거 이벤트는 사용자가 내부자 위험 관리 정책의 평가를 위해 scope 가져오는지 여부를 결정하는 사용자 작업입니다. 전역 설정 지표는 내부자 위험 관리에서 수집되는 활동을 결정하는 데 사용됩니다. 정책 지표는 scope 사용자에 대한 위험 점수를 결정하는 데 사용됩니다.

organization 포렌식 증거를 구성하는 방법에 따라 두 가지 캡처 옵션이 있습니다.

  • 특정 활동: 이 정책 옵션은 트리거 이벤트가 승인된 사용자를 포렌식 증거 정책에 대한 scope 가져온 경우와 사용자에 대한 정책 표시기에 대한 조건이 검색된 경우에만 활동을 캡처합니다. 예를 들어 포렌식 증거 캡처에 대해 승인된 사용자는 포렌식 증거 정책에 scope 가져오고 사용자는 개인 클라우드 스토리지 서비스 또는 휴대용 스토리지 디바이스에 데이터를 복사합니다. 캡처 범위는 사용자가 개인 클라우드 스토리지 서비스 또는 휴대용 스토리지 디바이스에 데이터를 복사하는 경우 구성된 시간 프레임으로만 범위가 지정됩니다. 이 옵션에 대한 캡처는 경고 dashboard 포렌식 증거 탭에서 검토할 수 있습니다.
  • 모든 활동: 이 정책 옵션은 사용자가 수행하는 모든 활동을 캡처합니다. 예를 들어 organization 보안 인시던트로 이어질 수 있는 잠재적으로 위험한 활동에 적극적으로 관여하는 승인된 사용자의 활동을 캡처하는 데 시간이 민감해야 합니다. 정책 지표가 정책에 의해 생성되는 경고의 임계값에 도달하지 않았을 수 있으며 잠재적으로 위험한 활동은 문서화되지 않을 수 있습니다. 연속 캡처는 잠재적으로 위험한 활동이 누락되거나 검색되지 않도록 방지합니다. 이 옵션에 대한 캡처는 사용자 활동 보고서(미리 보기) dashboard 포렌식 증거 탭에서 검토할 수 있습니다.

중요

포렌식 증거 클립은 캡처된 후 120일 또는 미리 보기 기간이 끝날 때 삭제됩니다. 삭제되기 전에 포렌식 증거 클립을 다운로드하거나 전송할 수 있습니다.

워크플로

클립 캡처가 포함된 경고를 검색, 조사 및 수정하기 위한 전체 워크플로는 다른 내부 위험 관리 정책과 동일한 기본 단계를 따릅니다. 그러나 organization 구성할 때 법의학적 증거에 대한 몇 가지 주목할 만한 차이점이 있습니다.

  • 캡처 대상이 되는 사용자에게는 명시적 캡처 요청 및 승인이 있어야 합니다. 이는 다른 내부자 위험 관리 정책 구성의 일부로 포함되지 않은 추가 프로세스입니다. 참가자 위험 관리 또는 내부자 위험 관리 관리자 역할 그룹에 할당된 사용자는 organization 모든 사용자가 클립 캡처 옵션을 사용할 수 있으려면 먼저 참가자 위험 관리 승인자 역할 그룹에 할당된 사용자에게 요청을 제출해야 합니다. 예를 들어 이 요구 사항은 모든 사용자를 캡처하기 전에 내부 위험 관리 관리자가 지정된 법률 또는 인사 담당자로부터 명시적 승인을 받아야 하는 조직 시나리오를 지원하는 데 도움이 됩니다.
  • 디바이스를 온보딩하고 Microsoft Purview 클라이언트를 설치해야 합니다. 포렌식 증거가 적격 사용자에 대해 캡처된 클립을 수집하고 저장하려면 먼저 해당 디바이스를 Microsoft Purview 규정 준수 포털 온보딩해야 합니다. 또한 각 디바이스에는 Microsoft Purview 클라이언트가 설치되어 있어야 합니다. 이러한 필수 구성 요소를 사용하면 온라인 및 오프라인 디바이스 캡처를 모두 지원할 수 있습니다.

시작할 준비가 되셨나요?

  • organization 포렌식 증거 캡처를 구성하려면 단계별 지침은 내부자 위험 관리 포렌식 증거 시작을 참조하세요.
  • 필수 구성 요소를 구성하고, 정책을 만들고, 경고 수신을 시작하려면 내부 위험 관리 시작을 참조하세요.