다음을 통해 공유


내부 위험 관리 사용자를 사용하여 워크플로 관리 dashboard

중요

Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.

사용자 dashboard 내부자 위험 관리 워크플로의 중요한 도구이며 조사자와 분석가가 위험 활동을 보다 완벽하게 이해할 수 있도록 도와줍니다. 이 dashboard 내부 위험 관리 정책 만들기와 내부자 위험 관리 사례 관리 간의 관리 요구 사항을 충족하는 보기 및 관리 기능을 제공합니다.

사용자가 내부 위험 관리 정책에 추가되면 백그라운드 프로세스는 표시기를 트리거하기 위한 사용자 활동을 자동으로 평가합니다. 트리거 표시기가 있으면 사용자 활동에 위험 점수가 할당됩니다. 이러한 활동 중 일부는 내부 위험 경고를 초래할 수 있지만 일부 활동은 최소 위험 점수 수준을 충족하지 않을 수 있으며 내부 위험 경고가 생성되지 않습니다. 사용자 dashboard 사용하면 이러한 유형의 지표 및 위험 점수를 가진 사용자와 활성 내부자 위험 경고가 있는 사용자를 볼 수 있습니다.

사용자 dashboard 다음 시나리오에서 사용자를 표시하는 방법에 대해 자세히 알아봅니다.

  • 활성 참가자 위험 정책 경고가 있는 사용자
  • 트리거 이벤트가 있는 사용자
  • 잠재적인 높은 영향 사용자 또는 우선 순위 사용자 그룹으로 식별된 사용자
  • 정책에 일시적으로 추가된 사용자

Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.

활성 참가자 위험 정책 경고가 있는 사용자

사용자 dashboard 활성 참가자 위험 정책 경고가 있는 모든 사용자를 자동으로 표시합니다. 경고가 있는 이러한 사용자에게는 내부 위험 경고를 만들기 위한 요구 사항을 충족하는 트리거링 지표와 활동 위험 점수가 모두 있습니다. 이러한 사용자의 활동은 사용자 dashboard 사용자를 선택하고 사용자 활동 탭으로 이동하여 볼 수 있습니다.

트리거 이벤트가 있는 사용자

사용자 dashboard 트리거 이벤트가 있는 모든 사용자를 자동으로 표시하지만 내부자 위험 경고를 만드는 활동 위험 점수는 없습니다. 예를 들어 이 활동은 트리거 이벤트이지만 위험 점수가 있는 활동이 아니기 때문에 보고된 사임 날짜가 있는 사용자가 표시됩니다. 이러한 사용자의 활동은 사용자 dashboard 사용자를 선택하고 사용자 활동 탭으로 이동하여 볼 수 있습니다.

정책에 일시적으로 추가된 사용자

사용자 dashboard 내부 위험 관리 워크플로 외부에서 비정상적인 이벤트가 발생하는 후 내부자 위험 관리 정책에 추가된 사용자를 포함합니다. 정책 dashboard 사용자를 일시적으로 추가하는 것도 필요한 커넥터가 구성되지 않은 경우에도 정책을 테스트하기 위한 내부 위험 관리 정책에 대한 사용자 활동 점수 매기기를 시작하는 방법입니다.

사용자가 정책에 수동으로 추가되면 이전 90일 동안의 사용자 활동이 점수가 매기고 사용자 활동 타임라인 추가됩니다. 예를 들어 현재 내부자 위험 정책에 대한 위험 점수가 할당되지 않은 사용자가 있고 사용자에게 organization 법률 부서에 보고된 데이터 누수 활동이 있습니다. 법률 부서에서는 사용자에 대한 새로운 단기 검색 요구 사항을 구성할 것을 권장합니다. 지정된 기간(활성화 기간)에 대해 데이터 누수 정책에 사용자를 일시적으로 할당할 수 있습니다. 트리거 이벤트 요구 사항이 면제되므로 일시적으로 추가된 모든 사용자가 사용자 dashboard 표시됩니다.

참고

수동으로 추가된 새 사용자가 사용자 dashboard 표시되는 데 몇 시간이 걸릴 수 있습니다. 이러한 사용자의 이전 90일 동안의 활동은 표시하는 데 최대 24시간이 걸릴 수 있습니다. 수동으로 추가된 사용자의 활동을 보려면 사용자 dashboard 사용자를 선택하고 세부 정보 창에서 사용자 활동 탭을 엽니다.

다음과 같은 경우 활성화 에 정의된 시간이 만료되면 사용자가 사용자 dashboard 자동으로 제거되고 점수 매기기가 중지됩니다.

  • 사용자에게 추가 트리거 이벤트 또는 내부자 위험 정책 경고가 없으며,
  • 수동으로 정의된 정품 인증 기간 기간이 전역 정책 활성화 기간 보다 길면 입니다.

가장 긴 기간이 있는 활성화 창 설정은 항상 더 짧은 기간으로 활성화 창 설정을 재정의합니다. 예를 들어 모든 내부 위험 정책에 자동으로 적용되는 15일 동안 내부 위험 관리 전역 설정의 전역 정책 기간 탭에서 활성화 창을 구성했습니다.

데이터 누수 내부자 위험 정책에 사용자를 일시적으로 추가하고 30일을 이 사용자의 활성화 창으로 정의합니다. 일시적으로 추가된 사용자에 대해 30일의 활성화 창 설정을 정의하여 15일 의 전역활성화 창 설정을 재정의합니다. 일시적으로 추가된 사용자는 사용자 dashboard 유지되며 30일 동안 정책에 대한 scope.

전역 활성화 창 설정이 일시적으로 추가된 사용자에 대해 정의된 활성화 창 설정보다 긴 반대 시나리오에서는 전역 활성화 창 설정이 일시적으로 추가된 사용자의 활성화 창 설정을 재정의합니다. 일시적으로 추가된 사용자는 사용자 dashboard 유지되며 전역 활성화 창 설정에 정의된 일 수에 대한 정책에 대해 scope.

사용자 dashboard 대한 사용자 정보 보기

사용자 dashboard 표시되는 각 사용자에게는 다음 정보가 있습니다.

  • 사용자: 사용자의 사용자 이름입니다. 이 필드는 내부 위험 관리를 위한 전역 익명화 설정을 사용하도록 설정하면 익명화됩니다.
  • 경고 심각도 수준: 사용자의 현재 계산된 위험 수준입니다. 이 점수는 24시간마다 계산되며 사용자와 연결된 모든 활성 경고의 경고 위험 점수를 사용합니다. 트리거 표시기만 있는 사용자의 경우 경고 심각도 수준은 0입니다.
  • 활성 경고: 모든 정책에 대한 활성 경고 수입니다.
  • 확인된 위반: 사용자에 대해 확인된 정책 위반 으로 확인된 사례 수입니다.
  • 사례: 사용자의 현재 활성 사례입니다.

특정 사용자를 빠르게 찾으려면 사용자 dashboard 오른쪽 위에 있는 검색을 사용합니다. 사용자를 검색할 때 UPN(사용자 계정 이름)을 사용해야 합니다. 예를 들어 organization UPN이 'thidayah'인 'Tiara Hidayah'라는 사용자를 검색할 때 검색에서 'thidayah' 또는 UPN의 일부를 입력합니다.

내부자 위험 관리 사용자 dashboard

참고

사용자 dashboard 표시되는 사용자 수는 활성 경고의 양과 일치하는 정책에 따라 일부 경우에 제한될 수 있습니다. 활성 경고가 있는 사용자는 경고가 생성될 때 사용자 dashboard 표시되며 표시되는 최대 사용자 수에 도달하는 경우는 드물 수 있습니다. 이 제한이 발생하면 표시되지 않는 활성 경고가 있는 사용자는 기존 사용자 경고가 심사됨에 따라 사용자 dashboard 추가됩니다.

사용자 세부 정보 보기

사용자의 위험 활동에 대한 자세한 내용을 보려면 사용자 dashboard 사용자를 두 번 클릭하여 사용자 세부 정보 창을 엽니다. 세부 정보 창에서 다음 정보를 볼 수 있습니다.

  • 사용자 프로필

    • 이름 및 제목: Microsoft Entra ID 사용자의 이름 및 위치 제목입니다. 내부 위험 관리에 대한 전역 익명화 설정을 사용하는 경우 이러한 사용자 필드는 익명화되거나 비어 있습니다.
    • 사용자 세부 정보: 사용자가 잠재적인 영향력이 높은 사용자로 식별되었는지 또는 사용자가 우선 순위 사용자 그룹에 있는지 여부를 Lists.
    • 경고 및 활동 요약: 활성 사용자 경고 및 열린 사례를 Lists.
    • 사용자 이메일: 사용자의 Email 주소입니다.
    • 별칭: 사용자의 네트워크 별칭입니다.
    • 조직 또는 부서: 사용자를 위한 조직 또는 부서입니다.
    • scope: 사용자 할당을 정책에 Lists scope.
  • 사용자 활동

    • 최근 사용자 활동 기록: 지난 90일까지 위험 활동에 대한 트리거 지표 및 내부자 위험 지표를 모두 Lists. 내부자 위험 지표와 관련된 모든 위험 활동도 채점되지만 활동은 내부자 위험 경고를 생성하거나 생성하지 않았을 수 있습니다. 트리거 표시기 예제는 사용자의 사직 날짜 또는 마지막으로 예약된 작업 날짜일 수 있습니다. 내부 위험 지표는 위험 요소가 있는 것으로 결정되는 활동으로, 잠재적으로 보안 인시던트가 발생할 수 있으며 사용자가 포함된 정책에 정의됩니다. 이벤트 및 위험 활동은 가장 최근 항목이 먼저 나열되어 있습니다.

Copilot를 사용하여 사용자 활동 요약(미리 보기)

사용자 세부 정보 창에서 Copilot로 요약 을 선택하여 추가 조사가 필요할 수 있는 사용자의 활동을 빠르게 요약할 수 있습니다. Microsoft Purview에서 Microsoft Copilot 사용자 위험 활동을 요약하면 사용자 요약이 있는 Copilot 창이 화면 오른쪽에 표시됩니다.

내부 위험 관리 Copilot 단추

사용자 요약에는 사용자의 이름, 제목, 사용자 계정 이름, 경고 및 사례 기록 및 주요 위험 요소와 같은 필수 세부 정보가 포함됩니다. 주요 위험 요소는 사용자 역할, 권한, 반출 활동 참여, 순차적 패턴 또는 비정상적인 동작에 대한 중요한 인사이트를 제공합니다. 이 보기는 organization 가장 높은 내부자 위험을 초래할 수 있는 사용자를 식별하는 데 도움이 됩니다.

요약을 더욱 구체화하고 사용자와 연결된 활동에 대한 추가 인사이트를 제공하기 위해 제안된 프롬프트가 자동으로 나열됩니다. 다음 제안된 프롬프트 중에서 선택합니다.

  • 이 사용자와 관련된 모든 데이터 반출 활동을 나열합니다.
  • 이 사용자와 관련된 모든 순차적 활동을 나열합니다.
  • 사용자가 비정상적인 동작에 참여했나요?
  • 지난 10일 동안 사용자가 수행한 주요 작업을 표시합니다.
  • 사용자의 최근 30일 활동을 요약합니다.

정책에 대한 scope 할당에서 사용자 제거

내부 위험 관리 정책에서 사용자에게 위험 점수 할당을 중지해야 하는 시나리오가 있을 수 있습니다. 사용자 dashboard사용자의 점수 매기기 중지 활동을 사용하여 현재 scope 있는 모든 내부자 위험 관리 정책에서 사용자에 대한 위험 점수 할당을 중지합니다. 이 작업은 전체 정책 할당에서 사용자를 제거하지 않고(정책 구성에 사용자 또는 그룹을 추가할 때) 현재 트리거 이벤트 후 정책에 의한 활성 처리에서 사용자를 제거합니다. 사용자가 나중에 다른 트리거링 이벤트가 있는 경우 정책의 위험 점수가 자동으로 사용자에게 다시 할당되기 시작합니다. 이 사용자의 기존 경고 또는 사례는 제거되지 않습니다.

모든 내부 위험 관리 정책의 scope 상태 사용자 제거

사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

  1. Microsoft 365 조직의 관리자 계정에 대한 자격 증명을 사용하여 Microsoft Purview 포털에 로그인합니다.
  2. 내부 위험 관리 솔루션으로 이동합니다.
  3. 왼쪽 탐색 영역에서 사용자를 선택합니다.
  4. 사용자 dashboard 점수 매기기 작업을 중지하려는 사용자를 선택합니다.
  5. 사용자에 대한 점수 매기기 작업 중지를 선택합니다.

참고

scope 상태 사용자를 제거하는 데 몇 분 정도 걸릴 수 있습니다. 완료되면 사용자가 사용자 dashboard 나열되지 않습니다. 제거된 사용자에게 활성 경고 또는 사례가 있는 경우 사용자는 사용자 dashboard 유지되고 사용자 세부 정보에는 더 이상 정책에 대한 scope 없음이 표시됩니다.

사용자에 대한 Power Automate 흐름을 사용하여 자동화된 작업 실행

권장 Power Automate 흐름을 사용하면 위험 조사자와 분석가가 내부자 위험 정책에 추가될 때 사용자에게 알리기 위한 조치를 신속하게 수행할 수 있습니다.

내부 위험 관리 사용자를 위한 Power Automate 흐름을 실행, 관리 및 만들려면 다음을 수행합니다.

  1. 사용자 작업 도구 모음에서 자동화 를 선택합니다.
  2. 실행할 Power Automate 흐름을 선택한 다음 흐름 실행을 선택합니다.
  3. 흐름이 완료되면 완료를 선택합니다.

내부 위험 관리를 위한 Power Automate 흐름에 대한 자세한 내용은 내부 위험 관리 설정 시작을 참조하세요.