Defender for Cloud Apps 사용하여 organization 보호하기 위한 모범 사례

이 문서에서는 Microsoft Defender for Cloud Apps 사용하여 organization 보호하는 모범 사례를 제공합니다. 이러한 모범 사례는 Defender for Cloud Apps 대한 우리의 경험과 여러분과 같은 고객의 경험에서 비롯됩니다.

이 문서에서 설명하는 모범 사례는 다음과 같습니다.

• 클라우드 앱 검색 및 평가
• 클라우드 거버넌스 정책 적용
• 공유 데이터 노출 제한 및 공동 작업 정책 적용
• 클라우드에 저장된 데이터를 검색하고, 분류하고, 레이블을 지정하고, 보호
• 클라우드에 저장된 데이터에 대해 DLP 및 규정 준수 정책 적용
• 관리되지 않거나 위험한 장치에 중요한 데이터의 다운로드 차단 및 보호
• 실시간 세션 제어를 적용하여 외부 사용자와 안전하게 공동 작업
• 클라우드 위협, 손상된 계정, 악성 내부자 및 랜섬웨어 검색
• 과학 수사 조사를 위해 활동 감사 추적 사용
• 보안 IaaS 서비스 및 사용자 지정 앱

클라우드 앱 검색 및 평가

Defender for Cloud Apps 엔드포인트용 Microsoft Defender 통합하면 회사 네트워크 또는 보안 웹 게이트웨이 이외의 클라우드 검색을 사용할 수 있습니다. 사용자 및 디바이스 정보를 결합하면 위험한 사용자 또는 디바이스를 식별하고, 사용 중인 앱을 확인하고, 엔드포인트용 Defender 포털에서 자세히 조사할 수 있습니다.

모범 사례: 엔드포인트용 Defender를 사용하여 섀도 IT 검색 사용
세부 정보: 클라우드 검색은 엔드포인트용 Defender에서 수집한 트래픽 로그를 분석하고 클라우드 앱 카탈로그에 대해 식별된 앱을 평가하여 규정 준수 및 보안 정보를 제공합니다. 클라우드 검색을 구성하면 사용자가 사용 중인 허가되지 않은 앱의 클라우드 사용, 섀도 IT 및 지속적인 모니터링에 대한 가시성을 얻을 수 있습니다.
자세한 내용은 다음을 수행합니다.

• Defender for Cloud Apps 엔드포인트용 Microsoft Defender 통합
• 클라우드 검색 설정
• 네트워크에서 섀도 IT 검색 및 관리

---

모범 사례: 위험, 비준수 및 추세 앱을 사전에 식별하도록 App Discovery 정책 구성
세부 정보: 앱 검색 정책을 사용하면 organization 검색된 중요한 애플리케이션을 더 쉽게 추적하여 이러한 애플리케이션을 효율적으로 관리할 수 있습니다. 위험, 비준수, 추세 또는 대용량으로 식별되는 새 앱을 검색할 때 경고를 수신하는 정책을 만듭니다.
자세한 내용은 다음을 수행합니다.

• 클라우드 검색 정책
• 클라우드 검색 변칙 검색 정책
• 즉각적인 동작 분석 및 변칙 검색 가져오기

---

모범 사례: 사용자가 승인한 OAuth 앱 관리
세부 정보: 많은 사용자가 자신의 계정 정보에 액세스하기 위해 타사 앱에 OAuth 권한을 자연스럽게 부여하고, 이렇게 하면 실수로 다른 클라우드 앱의 데이터에 대한 액세스 권한도 부여합니다. 일반적으로 IT는 이러한 앱에 대한 가시성이 없으므로 앱이 제공하는 생산성 이점에 대해 앱의 보안 위험을 평가하기가 어렵습니다.

Defender for Cloud Apps 사용자가 부여한 앱 권한을 조사하고 모니터링하는 기능을 제공합니다. 이 정보를 사용하여 잠재적으로 의심스러운 앱을 식별할 수 있으며, 위험하다고 판단되면 액세스를 금지할 수 있습니다.
자세한 내용은 다음을 수행합니다.

• OAuth 앱 관리
• OAuth 앱 정책

---

---

---

---

클라우드 거버넌스 정책 적용

모범 사례: 앱 태그 지정 및 블록 스크립트 내보내기
세부 정보: organization 검색된 앱 목록을 검토한 후에는 원치 않는 앱 사용으로부터 환경을 보호할 수 있습니다. organization 승인된 앱과 승인되지 않은 태그를 승인되지 않은 앱에 적용할 수 있습니다. 검색 필터를 사용하여 허가되지 않은 앱을 모니터링하거나 스크립트를 내보내 온-프레미스 보안 어플라이언스를 사용하여 허가되지 않은 앱을 차단할 수 있습니다. 태그 및 내보내기 스크립트를 사용하면 안전한 앱만 액세스할 수 있도록 하여 앱을 구성하고 환경을 보호할 수 있습니다.
자세한 내용은 다음을 수행합니다.

• 검색된 앱 관리

---

공유 데이터 노출 제한 및 공동 작업 정책 적용

모범 사례: Microsoft 365 연결
세부 정보: Microsoft 365를 Defender for Cloud Apps 연결하면 사용자의 활동, 액세스 중인 파일에 대한 즉각적인 가시성을 제공하고 Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange 및 Dynamics에 대한 거버넌스 작업을 제공합니다.
자세한 내용은 다음을 수행합니다.

• 앱 연결
• Microsoft 365를 Microsoft Defender for Cloud Apps 연결

---

모범 사례: 앱 연결
세부 정보: 앱을 Defender for Cloud Apps 연결하면 사용자의 활동, 위협 탐지 및 거버넌스 기능에 대한 인사이트를 향상할 수 있습니다. 지원되는 타사 앱 API를 확인하려면 앱 연결로 이동합니다.

자세한 내용은 다음을 수행합니다.

• 앱 연결

---

모범 사례: 개인 계정과의 공유를 제거하는 정책 만들기
세부 정보: Microsoft 365를 Defender for Cloud Apps 연결하면 사용자의 활동, 액세스 중인 파일에 대한 즉각적인 가시성을 제공하고 Microsoft 365, SharePoint, OneDrive, Teams, Power BI, Exchange 및 Dynamics에 대한 거버넌스 작업을 제공합니다.
자세한 내용은 다음을 수행합니다.

• 연결된 앱 관리

---

클라우드에 저장된 규제를 받는 중요한 데이터의 검색, 분류, 레이블 붙이기 및 보호

모범 사례: Microsoft Purview Information Protection 통합
세부 정보: Microsoft Purview Information Protection 통합하면 민감도 레이블을 자동으로 적용하고 필요에 따라 암호화 보호를 추가할 수 있습니다. 통합이 켜지면 레이블을 거버넌스 작업으로 적용하고, 분류별로 파일을 보고, 분류 수준별로 파일을 조사하고, 분류된 파일이 제대로 처리되고 있는지 확인하는 세분화된 정책을 만들 수 있습니다. 통합을 켜지 않으면 클라우드에서 파일을 자동으로 검사, 레이블 지정 및 암호화하는 기능을 활용할 수 없습니다.
자세한 내용은 다음을 수행합니다.

• Microsoft Purview Information Protection 통합
• 자습서: Microsoft Purview Information Protection 민감도 레이블 자동 적용

---

모범 사례: 데이터 노출 정책 만들기
세부 정보: 파일 정책을 사용하여 정보 공유를 검색하고 클라우드 앱에서 기밀 정보를 검색합니다. 데이터 노출이 감지되면 경고하는 다음 파일 정책을 만듭니다.

• 중요한 데이터를 포함하는 외부에서 공유된 파일
• 외부에서 공유되고 기밀로 레이블이 지정된 파일
• 권한이 없는 도메인과 공유되는 파일
• SaaS 앱에서 중요한 파일 보호

자세한 내용은 다음을 수행합니다.

• 콘텐츠 검사
• 파일 정책
• 정보 보호 정책

---

모범 사례: 파일 페이지에서 보고서 검토
세부 정보: 앱 커넥터를 사용하여 다양한 SaaS 앱을 연결한 후에는 Defender for Cloud Apps 이러한 앱에 저장된 파일을 검색합니다. 또한 파일이 수정될 때마다 다시 검색됩니다. 파일 페이지를 사용하여 클라우드 앱에 저장되는 데이터 유형을 이해하고 조사할 수 있습니다. 조사할 수 있도록 도메인, 그룹, 사용자, 생성 날짜, 확장명, 파일 이름 및 형식, 파일 ID, 민감도 레이블 등을 기준으로 필터링할 수 있습니다. 이러한 필터를 사용하면 파일을 조사하여 데이터가 위험에 노출되지 않도록 선택하는 방법을 제어할 수 있습니다. 데이터가 사용되는 방식을 더 잘 이해한 후에는 이러한 파일에서 중요한 콘텐츠를 검색하는 정책을 만들 수 있습니다.
자세한 내용은 다음을 수행합니다.

• 앱 연결
• 파일 필터
• 콘텐츠 검사

---

---

---

---

클라우드에 저장된 데이터에 대해 DLP 및 규정 준수 정책 적용

모범 사례: 기밀 데이터가 외부 사용자와 공유되지 않도록 보호
세부 정보: 사용자가 기밀 민감도 레이블과 파일을 organization 외부 사용자와 공유하려고 할 때를 감지하는 파일 정책을 만들고 외부 사용자를 제거하도록 거버넌스 작업을 구성합니다. 이 정책은 기밀 데이터가 organization 나가지 않고 외부 사용자가 액세스 권한을 얻을 수 없도록 합니다.
자세한 내용은 다음을 수행합니다.

• 연결된 앱 관리

---

---

---

---

관리되지 않거나 위험한 장치에 중요한 데이터의 다운로드 차단 및 보호

모범 사례: 고위험 디바이스에 대한 액세스 관리 및 제어
세부 정보: 조건부 액세스 앱 컨트롤을 사용하여 SaaS 앱에서 컨트롤을 설정합니다. 높은 위험, 낮은 신뢰 세션을 모니터링하는 세션 정책을 만들 수 있습니다. 마찬가지로 관리되지 않거나 위험한 디바이스에서 중요한 데이터에 액세스하려는 사용자가 다운로드를 차단하고 보호하는 세션 정책을 만들 수 있습니다. 고위험 세션을 모니터링하는 세션 정책을 만들지 않으면 웹 클라이언트에서 다운로드를 차단하고 보호하는 기능과 Microsoft 및 타사 앱에서 저신뢰 세션을 모니터링하는 기능이 손실됩니다.
자세한 내용은 다음을 수행합니다.

• Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호
• 세션 정책

---

---

---

---

실시간 세션 제어를 적용하여 외부 사용자와 안전하게 공동 작업

모범 사례: 조건부 액세스 앱 제어를 사용하여 외부 사용자와 세션 모니터링
세부 정보: 사용자 환경에서 공동 작업을 보호하기 위해 세션 정책을 만들어 내부 및 외부 사용자 간의 세션을 모니터링할 수 있습니다. 이렇게 하면 사용자 간의 세션을 모니터링하고 세션 활동이 모니터링되고 있음을 알리는 기능을 제공할 뿐만 아니라 특정 활동도 제한할 수 있습니다. 활동을 모니터링하는 세션 정책을 만들 때 모니터링하려는 앱과 사용자를 선택할 수 있습니다.
자세한 내용은 다음을 수행합니다.

• Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호
• 세션 정책

---

---

---

---

클라우드 위협, 손상된 계정, 악성 내부자 및 랜섬웨어 검색

모범 사례: 변칙 정책 튜닝, IP 범위 설정, 경고에 대한 피드백 보내기
세부 정보: 변칙 검색 정책은 클라우드 환경에서 고급 위협 탐지를 즉시 실행할 수 있도록 기본 제공 사용자 및 UEBA(엔터티 동작 분석) 및 ML(기계 학습)을 제공합니다.

변칙 검색 정책은 사용자 환경에서 사용자가 수행하는 비정상적인 활동이 있을 때 트리거됩니다. Defender for Cloud Apps 사용자의 활동을 지속적으로 모니터링하고 UEBA 및 ML을 사용하여 사용자의 정상적인 동작을 학습하고 이해합니다. 조직의 요구 사항에 맞게 정책 설정을 조정할 수 있습니다. 예를 들어 정책의 민감도를 설정하고 특정 그룹에 정책을 scope 수 있습니다.

• 변칙 검색 정책 조정 및 범위 지정: 예를 들어 불가능한 이동 경고 내에서 가양성 수를 줄이기 위해 정책의 민감도 슬라이더를 낮게 설정할 수 있습니다. organization 자주 사용하는 사용자가 있는 경우 해당 사용자를 사용자 그룹에 추가하고 정책 scope 해당 그룹을 선택할 수 있습니다.

• IP 범위 설정: Defender for Cloud Apps IP 주소 범위가 설정되면 알려진 IP 주소를 식별할 수 있습니다. IP 주소 범위를 구성하면 로그 및 경고가 표시 및 조사되는 방식에 태그를 지정하고, 분류하고, 사용자 지정할 수 있습니다. IP 주소 범위를 추가하면 가양성 검색을 줄이고 경고의 정확도를 개선하는 데 도움이 됩니다. IP 주소를 추가하지 않도록 선택하면 조사할 수 있는 가양성 및 경고 수가 증가할 수 있습니다.

• 경고에 대한 피드백 보내기

  경고를 해제하거나 해결할 때 경고를 해제한 이유 또는 해결 방법을 사용하여 피드백을 보내야 합니다. 이 정보는 Defender for Cloud Apps 경고를 개선하고 가양성을 줄이는 데 도움이 됩니다.

자세한 내용은 다음을 수행합니다.

• 즉각적인 동작 분석 및 변칙 검색 가져오기
• IP 범위 및 태그 작업

---

모범 사례: 예기치 않은 위치 또는 국가/지역에서 활동 검색
세부 정보: 사용자가 예기치 않은 위치 또는 국가/지역에서 로그인할 때 알리는 활동 정책을 만듭니다. 이러한 알림은 위협이 발생하기 전에 감지하고 수정할 수 있도록 사용자 환경에서 손상된 세션에 대해 경고할 수 있습니다.
자세한 내용은 다음을 수행합니다.

• 위협 보호 정책

---

모범 사례: OAuth 앱 정책 만들기
세부 정보: OAuth 앱이 특정 조건을 충족하는 경우 사용자에게 알리는 OAuth 앱 정책을 만듭니다. 예를 들어 높은 사용 권한 수준이 필요한 특정 앱이 100명 이상의 사용자가 액세스한 경우 알림을 받도록 선택할 수 있습니다.
자세한 내용은 다음을 수행합니다.

• OAuth 앱 정책

---

---

---

---

과학 수사 조사를 위해 활동 감사 추적 사용

모범 사례: 경고를 조사할 때 활동의 감사 내역 사용
세부 정보: 사용자, 관리자 또는 로그인 활동이 정책을 준수하지 않을 때 경고가 트리거됩니다. 경고를 조사하여 사용자 환경에 위협이 발생할 수 있는지 파악하는 것이 중요합니다.

경고 페이지에서 경고를 선택하고 해당 경고 와 관련된 활동의 감사 내역을 검토하여 경고를 조사할 수 있습니다. 감사 내역을 사용하면 동일한 유형의 활동, 동일한 사용자, 동일한 IP 주소 및 위치에 대한 가시성을 제공하여 경고의 전반적인 스토리를 제공합니다. 경고가 추가 조사를 보증하는 경우 organization 이러한 경고를 resolve 계획을 만듭니다.

경고를 해제할 때는 경고가 왜 중요하지 않은지 또는 가양성인지 조사하고 이해하는 것이 중요합니다. 이러한 활동이 많은 경우 경고를 트리거하는 정책을 검토하고 조정하는 것도 고려할 수 있습니다.
자세한 내용은 다음을 수행합니다.

• 활동

---

---

---

---

보안 IaaS 서비스 및 사용자 지정 앱

모범 사례: Azure, AWS 및 GCP 연결
세부 정보: 이러한 각 클라우드 플랫폼을 Defender for Cloud Apps 연결하면 위협 탐지 기능을 개선하는 데 도움이 됩니다. 이러한 서비스에 대한 관리 및 로그인 활동을 모니터링하면 가능한 무차별 암호 대입 공격, 권한 있는 사용자 계정의 악의적인 사용 및 사용자 환경의 기타 위협에 대해 검색하고 알림을 받을 수 있습니다. 예를 들어 VM의 비정상적인 삭제 또는 이러한 앱의 가장 활동과 같은 위험을 식별할 수 있습니다.
자세한 내용은 다음을 수행합니다.

• Azure를 Microsoft Defender for Cloud Apps 연결
• Amazon Web Services를 Microsoft Defender for Cloud Apps 연결
• Google Workspace를 Microsoft Defender for Cloud Apps 연결

---

모범 사례: 사용자 지정 앱 온보딩
세부 정보: 기간 업무 앱에서 활동에 대한 추가 가시성을 얻으려면 사용자 지정 앱을 온보딩하여 Defender for Cloud Apps 수 있습니다. 사용자 지정 앱이 구성되면 해당 앱을 사용하는 사용자, 사용 중인 IP 주소, 앱에서 들어오고 나가는 트래픽의 양에 대한 정보가 표시됩니다.

또한 사용자 지정 앱을 조건부 액세스 앱 제어 앱으로 온보딩하여 낮은 신뢰 세션을 모니터링할 수 있습니다. Microsoft Entra ID 앱이 자동으로 온보딩됩니다.

자세한 내용은 다음을 수행합니다.

• 클라우드 검색에 사용자 지정 앱 추가
• 조건부 액세스 앱 제어를 위해 비 Microsoft IdP 카탈로그 앱 온보딩
• 조건부 액세스 앱 제어를 위한 비 Microsoft IdP 사용자 지정 앱 온보딩