다음을 통해 공유

자습서: 섀도 IT 검색 및 관리

  • 아티클

IT 관리자에게 직원이 사용한다고 생각하는 클라우드 앱의 수를 묻는 메시지가 표시되면 평균적으로 30 또는 40을 말합니다. 실제로는 organization 직원이 사용하는 1,000개가 넘는 개별 앱이 평균입니다. 섀도 IT를 사용하면 사용 중인 앱과 위험 수준을 파악하고 식별할 수 있습니다. 직원의 80%는 아무도 검토하지 않았으며 보안 및 규정 준수 정책을 준수하지 않을 수 있는 비인가 앱을 사용합니다. 또한 직원이 회사 네트워크 외부에서 리소스 및 앱에 액세스할 수 있으므로 더 이상 방화벽에 규칙과 정책을 적용하기에 충분하지 않습니다.

이 자습서에서는 클라우드 검색을 사용하여 사용 중인 앱을 검색하고, 이러한 앱의 위험을 탐색하고, 사용 중인 새로운 위험한 앱을 식별하고, 프록시 또는 방화벽 어플라이언스 사용하여 이러한 앱을 차단하기 위한 정책을 구성하는 방법을 알아봅니다.

기본적으로 Defender for Cloud Apps 카탈로그에 없는 앱을 검색할 수 없습니다.

현재 카탈로그에 없는 앱의 Defender for Cloud Apps 데이터를 보려면 로드맵을 검사사용자 지정 앱을 만드는 것이 좋습니다.

네트워크에서 섀도 IT를 검색하고 관리하는 방법

이 프로세스를 사용하여 organization 섀도 IT 클라우드 검색을 롤아웃합니다.

섀도 IT 수명 주기.

1단계: 섀도 IT 검색 및 식별

  1. 섀도 IT 검색: organization 클라우드 검색을 실행하여 organization 보안 상태를 식별하여 네트워크에서 실제로 발생하는 상황을 확인합니다. 자세한 내용은 클라우드 검색 설정을 참조하세요. 이 작업은 다음 방법 중 한 가지 방법으로 수행할 수 있습니다.

    • 엔드포인트용 Microsoft Defender 통합하여 클라우드 검색을 빠르게 시작하고 실행합니다. 이 네이티브 통합을 통해 Windows 10 및 Windows 11 디바이스의 클라우드 트래픽에 대한 데이터 수집을 즉시 시작할 수 있습니다.

    • 네트워크에 연결된 모든 디바이스에서 적용하려면 방화벽 및 기타 프록시에 Defender for Cloud Apps 로그 수집기를 배포하여 엔드포인트에서 데이터를 수집하고 분석을 위해 Defender for Cloud Apps 보내는 것이 중요합니다.

    • 프록시와 Defender for Cloud Apps 통합합니다. Defender for Cloud Apps 기본적으로 Zscaler를 비롯한 일부 타사 프록시와 통합됩니다.

    정책은 사용자 그룹, 지역 및 비즈니스 그룹 간에 다르기 때문에 이러한 각 단위에 대해 전용 섀도 IT 보고서를 만들 수 있습니다. 자세한 내용은 사용자 지정 연속 보고서 만들기를 참조하세요.

    이제 클라우드 검색이 네트워크에서 실행되고 있으므로 생성된 연속 보고서를 살펴보고 클라우드 검색 dashboard 확인하여 organization 어떤 앱이 사용되고 있는지 전체적인 그림을 볼 수 있습니다. 승인되지 않은 앱이 승인된 앱에서 다루지 않은 합법적인 작업 관련 목적으로 사용되고 있는 경우가 많기 때문에 범주별로 살펴보는 것이 좋습니다.

  2. 앱의 위험 수준 식별: Defender for Cloud Apps 카탈로그를 사용하여 검색된 각 앱과 관련된 위험에 대해 자세히 알아봅니다. 클라우드용 Defender 앱 카탈로그에는 90개 이상의 위험 요소를 사용하여 평가되는 31,000개 이상의 앱이 포함되어 있습니다. 위험 요소는 앱에 대한 일반 정보(앱의 본사, 게시자) 및 보안 조치 및 제어를 통해 시작됩니다(미사용 암호화 지원은 사용자 활동의 감사 로그 제공). 자세한 내용은 위험 점수 작업을 참조하세요.

    • Microsoft Defender 포털Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 검색된 앱 탭으로 이동합니다. organization 검색된 앱 목록을 우려되는 위험 요소로 필터링합니다. 예를 들어 고급 필터를 사용하여 위험 점수가 8보다 낮은 모든 앱을 찾을 수 있습니다.

    • 앱 이름을 선택한 다음 정보 탭을 선택하여 앱의 보안 위험 요소에 대한 세부 정보를 확인하여 앱의 규정 준수에 대해 자세히 이해할 수 있습니다.

2단계: 평가 및 분석

  1. 규정 준수 평가: 앱이 HIPAA 또는 SOC2와 같은 organization 표준을 준수하는지 확인합니다.

    • Microsoft Defender 포털Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 검색된 앱 탭으로 이동합니다. organization 검색된 앱 목록을 관심 있는 규정 준수 위험 요소로 필터링합니다. 예를 들어 제안된 쿼리를 사용하여 비준수 앱을 필터링합니다.

    • 앱 이름을 선택한 다음 정보 탭을 선택하여 앱의 규정 준수 위험 요소에 대한 세부 정보를 확인하여 앱의 규정 준수에 대해 자세히 이해할 수 있습니다.

  2. 사용량 분석: 이제 organization 앱을 사용할지 여부를 확인했으므로 앱을 사용하는 방법과 사용자를 조사하려고 합니다. organization 제한된 방식으로만 사용되는 경우 괜찮을 수도 있지만 사용이 증가하는 경우 앱을 차단할지 여부를 결정할 수 있도록 알림을 받고 싶을 수 있습니다.

    • Microsoft Defender 포털Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 검색된 앱 탭으로 이동한 다음 조사하려는 특정 앱을 선택하여 드릴다운합니다. 사용 탭을 사용하면 앱을 사용하는 활성 사용자 수와 생성되는 트래픽 수를 알 수 있습니다. 이렇게 하면 앱에서 발생하는 일에 대한 좋은 그림이 이미 제공될 수 있습니다. 그런 다음, 특히 앱을 사용하는 사용자를 확인하려면 총 활성 사용자를 선택하여 추가로 드릴다운할 수 있습니다. 이 중요한 단계는 관련 정보를 제공할 수 있습니다. 예를 들어 특정 앱의 모든 사용자가 마케팅 부서에서 온 것으로 확인되면 이 앱에 대한 비즈니스 요구가 있을 수 있으며, 위험한 경우 차단하기 전에 대안에 대해 이야기해야 합니다.

    • 검색된 앱의 사용을 조사할 때 더 자세히 알아보세요. 하위 도메인 및 리소스를 확인하여 클라우드 서비스의 특정 활동, 데이터 액세스 및 리소스 사용에 대해 알아봅니다. 자세한 내용은 검색된 앱에 대한 심층 분석리소스 및 사용자 지정 앱 검색을 참조하세요.

  3. 대체 앱 식별: 클라우드 앱 카탈로그를 사용하여 검색된 위험한 앱과 유사한 비즈니스 기능을 달성하지만 organization 정책을 준수하는 더 안전한 앱을 식별합니다. 고급 필터를 사용하여 다른 보안 컨트롤과 일치하는 동일한 범주의 앱을 찾아서 이 작업을 수행할 수 있습니다.

3단계: 앱 관리

  • 클라우드 앱 관리: Defender for Cloud Apps organization 앱 사용을 관리하는 프로세스에 도움이 됩니다. organization 사용되는 다양한 패턴과 동작을 식별한 후 비즈니스 상태 또는 근거에 따라 각 앱을 분류하기 위해 새 사용자 지정 앱 태그를 만들 수 있습니다. 이러한 태그는 특정 모니터링 목적으로 사용할 수 있습니다. 예를 들어 위험한 클라우드 스토리지 앱으로 태그가 지정된 앱으로 가는 트래픽이 많은 것을 식별할 수 있습니다. 앱 태그는 설정>Cloud Apps>Cloud Discovery>앱 태그에서 관리할 수 있습니다. 그런 다음 나중에 이러한 태그를 사용하여 클라우드 검색 페이지에서 필터링하고 정책을 만드는 데 사용할 수 있습니다.

  • Microsoft Entra 갤러리를 사용하여 검색된 앱 관리: Defender for Cloud Apps Microsoft Entra ID 네이티브 통합을 사용하여 Microsoft Entra 갤러리에서 검색된 앱을 관리할 수 있습니다. Microsoft Entra 갤러리에 이미 표시되는 앱의 경우 Single Sign-On을 적용하고 Microsoft Entra ID 사용하여 앱을 관리할 수 있습니다. 이렇게 하려면 관련 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음, Microsoft Entra ID 사용하여 앱 관리를 선택합니다.

    Microsoft Entra 갤러리에서 앱을 관리합니다.

  • 지속적인 모니터링: 이제 앱을 철저히 조사했으므로 앱을 모니터링하고 필요한 경우 제어를 제공하는 정책을 설정할 수 있습니다.

이제 문제가 발생할 때 자동으로 경고를 받을 수 있도록 정책을 만들어야 합니다. 예를 들어 관심 있는 앱의 다운로드 또는 트래픽이 급증하는 시기를 알려주는 앱 검색 정책을 만들 수 있습니다. 이를 위해 검색된 사용자 정책, 클라우드 스토리지 앱 규정 준수 검사새로운 위험한 앱에서 비정상적인 동작을 사용하도록 설정해야 합니다. 또한 이메일로 알리도록 정책을 설정해야 합니다. 자세한 내용은 정책 템플릿 참조, 클라우드 검색 정책 및 앱 검색 정책 구성에 대한 자세한 내용을 참조 하세요.

경고 페이지를 살펴보고 정책 유형 필터를 사용하여 앱 검색 경고를 확인합니다. 앱 검색 정책과 일치하는 앱의 경우 앱의 사용자에게 문의하는 등 앱 사용에 대한 비즈니스 근거에 대해 자세히 알아보려면 고급 조사를 수행하는 것이 좋습니다. 그런 다음, 2단계의 단계를 반복하여 앱의 위험을 평가합니다. 그런 다음 나중에 사용을 승인할지 아니면 다음에 사용자가 액세스할 때 애플리케이션을 차단할지 여부에 관계없이 애플리케이션에 대한 다음 단계를 결정합니다. 이 경우 방화벽, 프록시 또는 보안 웹 게이트웨이를 사용하여 차단할 수 있도록 해당 애플리케이션을 사용 허가되지 않은 것으로 태그해야 합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 통합, Zscaler와 통합, iboss와 통합블록 스크립트를 내보내 앱 차단을 참조하세요.

4단계: 고급 섀도 IT 검색 보고

Defender for Cloud Apps 사용할 수 있는 보고 옵션 외에도 추가 조사 및 분석을 위해 클라우드 검색 로그를 Microsoft Sentinel 통합할 수 있습니다. 데이터가 Microsoft Sentinel 있으면 대시보드에서 보고, Kusto 쿼리 언어를 사용하여 쿼리를 실행하고, 쿼리를 Microsoft Power BI로 내보내고, 다른 원본과 통합하고, 사용자 지정 경고를 만들 수 있습니다. 자세한 내용은 Microsoft Sentinel 통합을 참조하세요.

5단계: 승인된 앱 제어

  1. API를 통해 앱 제어를 사용하도록 설정하려면 지속적인 모니터링을 위해 API를 통해 앱을 연결 합니다.

  2. 조건부 액세스 앱 제어를 사용하여 앱을 보호합니다.

클라우드 앱의 특성은 매일 업데이트되고 새 앱이 항상 표시됨을 의미합니다. 이 때문에 직원들은 계속해서 새 앱을 사용하고 있으며, 정책을 계속 추적하고 검토하고 업데이트하고, 사용자가 사용하고 있는 앱과 사용량 및 동작 패턴을 확인하는 것이 중요합니다. 항상 클라우드 검색 dashboard 이동하여 사용 중인 새 앱을 확인하고 이 문서의 지침에 따라 organization 및 데이터가 보호되는지 확인할 수 있습니다.

다음 단계

organization 보호하기 위한 모범 사례

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.

자세히 알아보기