Defender for Cloud Apps 변칙 검색 정책 만들기

Microsoft Defender for Cloud Apps 변칙 검색 정책은 처음부터 클라우드 환경에서 고급 위협 탐지를 실행할 준비가 되도록 기본 제공 사용자 및 UEBA(엔터티 동작 분석) 및 ML(기계 학습)을 제공합니다. 자동으로 사용하도록 설정되므로 새 변칙 검색 정책은 결과를 검색하고 정렬하는 프로세스를 즉시 시작하여 사용자와 네트워크에 연결된 컴퓨터 및 디바이스에서 수많은 동작 변칙을 대상으로 합니다. 또한 정책은 조사 프로세스를 가속화하고 지속적인 위협을 포함하는 데 도움이 되도록 Defender for Cloud Apps 검색 엔진에서 더 많은 데이터를 노출합니다.

변칙 검색 정책은 자동으로 사용하도록 설정되지만 Defender for Cloud Apps 초기 학습 기간이 7일이며 이 기간 동안 모든 변칙 검색 경고가 발생하지는 않습니다. 그런 다음, 구성된 API 커넥터에서 데이터를 수집할 때 각 세션은 사용자가 활성 상태였던 활동, IP 주소, 디바이스 등과 비교하여 지난 한 달 동안 검색된 활동과 이러한 활동의 위험 점수를 검색합니다. API 커넥터에서 데이터를 사용할 수 있으려면 몇 시간이 걸릴 수 있습니다. 이러한 검색은 환경을 프로파일링하고 organization 활동에서 학습된 기준과 관련하여 경고를 트리거하는 추론적 변칙 검색 엔진의 일부입니다. 또한 이러한 검색은 사용자를 프로파일링하고 로그인 패턴을 사용하여 가양성 감소하도록 설계된 기계 학습 알고리즘을 사용합니다.

사용자 활동을 검사하여 변칙이 검색됩니다. 위험은 다음과 같이 위험 요소로 그룹화된 30개 이상의 다양한 위험 지표를 확인하여 평가됩니다.

• 위험한 IP 주소
• 로그인 실패
• 관리 활동
• 비활성 계정
• 위치
• 불가능한 이동
• 디바이스 및 사용자 에이전트
• 활동도

정책 결과에 따라 보안 경고가 트리거됩니다. Defender for Cloud Apps 클라우드의 모든 사용자 세션을 살펴보고 organization 기준이나 사용자의 정기적인 활동과 다른 문제가 발생하면 경고합니다.

네이티브 Defender for Cloud Apps 경고 외에도 Microsoft Entra ID Protection 받은 정보에 따라 다음과 같은 검색 경고가 표시됩니다.

• 유출된 자격 증명: 사용자의 유효한 자격 증명이 유출되었을 때 트리거됩니다. 자세한 내용은 Microsoft Entra ID 유출된 자격 증명 검색을 참조하세요.
• 위험한 로그인: 여러 Microsoft Entra ID Protection 로그인 검색을 단일 검색으로 결합합니다. 자세한 내용은 Microsoft Entra ID 로그인 위험 검색을 참조하세요.

이러한 정책은 Defender for Cloud Apps 정책 페이지에 표시되며 사용하거나 사용하지 않도록 설정할 수 있습니다.

변칙 검색 정책

Cloud Apps -Policies ->>Policy 관리로 이동하여 Microsoft Defender 포털에서 변칙 검색 정책을 볼 수 있습니다. 그런 다음, 정책 유형에 대한 변칙 검색 정책을 선택합니다.

다음 변칙 검색 정책을 사용할 수 있습니다.

불가능한 이동

• • 이 검색은 사용자가 첫 번째 위치에서 두 번째 위치로 이동하는 데 걸린 시간보다 짧은 기간 내에 지리적으로 먼 위치에서 발생하는 두 개의 사용자 활동(단일 또는 여러 세션)을 식별하여 다른 사용자가 동일한 자격 증명을 사용하고 있음을 나타냅니다. 이 검색은 VPN 및 organization 다른 사용자가 정기적으로 사용하는 위치와 같은 불가능한 이동 조건에 기여하는 명백한 "가양성"을 무시하는 기계 학습 알고리즘을 사용합니다. 검색에는 새 사용자의 활동 패턴을 학습하는 7일의 초기 학습 기간이 있습니다. 불가능한 이동 감지는 두 위치 간의 비정상적이고 불가능한 사용자 활동을 식별합니다. 활동은 손상의 지표로 간주될 만큼 비정상적이어야 하며 경고에 합당해야 합니다. 이를 위해 검색 논리에는 VPN 활동이나 물리적 위치를 나타내지 않는 클라우드 공급자의 활동과 같이 가양성 트리거할 수 있는 시나리오를 해결하기 위한 다양한 수준의 표시 안 함이 포함됩니다. 민감도 슬라이더를 사용하면 알고리즘에 영향을 미치고 검색 논리가 얼마나 엄격한지 정의할 수 있습니다. 민감도 수준이 높을수록 검색 논리의 일부로 더 적은 활동이 억제됩니다. 이러한 방식으로 검사 요구 사항 및 SNR 대상에 따라 검색을 조정할 수 있습니다.

    참고

    • 여행 양쪽의 IP 주소가 안전한 것으로 간주되고 민감도 슬라이더가 높음으로 설정되지 않은 경우 이동은 신뢰할 수 있으며 불가능한 이동 검색을 트리거하지 않습니다. 예를 들어 양쪽 모두 회사 태그가 지정된 경우 안전한 것으로 간주됩니다. 그러나 여행의 한쪽 IP 주소만 안전한 것으로 간주되면 검색이 정상적으로 트리거됩니다.
    • 위치는 국가/지역 수준에서 계산됩니다. 즉, 동일한 국가/지역 또는 국경 국가/지역에서 발생하는 두 가지 작업에 대한 경고가 없습니다.

의외의 국가에서의 활동

• 이 검색은 과거 활동 위치를 고려하여 신규 및 드문 위치를 결정합니다. 변칙 검색 엔진은 사용자가 사용한 이전 위치에 대한 정보를 저장합니다. 사용자가 최근에 방문하지 않았거나 방문한 적이 없는 위치에서 활동이 발생하면 경고가 트리거됩니다. 가양성 경고를 줄이기 위해 검색은 사용자에 대한 일반적인 기본 설정이 특징인 연결을 표시하지 않습니다.

맬웨어 검색

이 검색은 Microsoft 앱 또는 타사 앱에서 온 악성 파일을 클라우드 스토리지에서 식별합니다. Microsoft Defender for Cloud Apps Microsoft의 위협 인텔리전스를 사용하여 파일 형식 및 공유 수준과 같은 위험 추론과 일치하는 특정 파일이 알려진 맬웨어 공격과 관련이 있으며 잠재적으로 악의적인지 여부를 인식합니다. 이 기본 제공 정책은 기본적으로 사용하지 않도록 설정되어 있습니다. 악성 파일이 검색되면 감염된 파일 목록을 볼 수 있습니다. 파일 서랍에서 맬웨어 파일 이름을 선택하여 파일이 감염된 맬웨어 유형에 대한 정보를 제공하는 맬웨어 보고서를 엽니다.

이 검색을 사용하여 세션 정책을 사용하여 실시간으로 파일 업로드 및 다운로드를 제어합니다.

파일 샌드박싱

파일 샌드박싱을 사용하도록 설정하면 메타데이터에 따라 잠재적으로 위험할 수 있는 독점 추론을 기반으로 하는 파일도 안전한 환경에서 샌드박스 스캔됩니다. 샌드박스 검사는 위협 인텔리전스 원본을 기반으로 검색되지 않은 파일을 검색할 수 있습니다.

Defender for Cloud Apps 다음 앱에 대한 맬웨어 검색을 지원합니다.

• Box
• Dropbox
• Google Workspace

참고

• 사전에 샌드박싱은 타사 애플리케이션(Box, Dropbox 등)에서 수행됩니다. OneDrive 및 SharePoint 파일은 서비스 자체의 일부로 검사되고 샌드박스됩니다.
• Box, Dropbox 및 Google Workspace에서 Defender for Cloud Apps 파일을 자동으로 차단하지는 않지만 고객이 설정한 앱의 기능 및 앱 구성에 따라 차단이 수행될 수 있습니다.
• 검색된 파일이 실제로 맬웨어인지 거짓 긍정인지 확실하지 않은 경우 의 Microsoft 보안 인텔리전스 페이지 https://www.microsoft.com/wdsi/filesubmission 로 이동하여 추가 분석을 위해 파일을 제출합니다.

익명 IP 주소에서의 활동

• 이 검색은 사용자가 익명 프록시 IP 주소로 식별된 IP 주소에서 활성 상태임을 식별합니다. 이러한 프록시는 디바이스의 IP 주소를 숨기려는 사용자가 사용하며 악의적인 의도에 사용될 수 있습니다. 이 검색은 organization 사용자가 널리 사용하는 잘못된 태그가 지정된 IP 주소와 같이 "가양성"을 줄이는 기계 학습 알고리즘을 사용합니다.

랜섬웨어 활동

• Defender for Cloud Apps 변칙 검색을 통해 랜섬웨어 검색 기능을 확장하여 정교한 랜섬웨어 공격에 대해 보다 포괄적인 검사를 보장합니다. 보안 연구 전문 지식을 사용하여 랜섬웨어 활동을 반영하는 행동 패턴을 식별하는 Defender for Cloud Apps 전체적이고 강력한 보호를 보장합니다. 예를 들어 Defender for Cloud Apps 파일 업로드 또는 파일 삭제 작업의 비율이 높으면 불리한 암호화 프로세스를 나타낼 수 있습니다. 이 데이터는 연결된 API에서 받은 로그에서 수집된 다음 학습된 동작 패턴 및 위협 인텔리전스(예: 알려진 랜섬웨어 확장)와 결합됩니다. Defender for Cloud Apps 랜섬웨어를 감지하는 방법에 대한 자세한 내용은 랜섬웨어로부터 organization 보호를 참조하세요.

종료된 사용자가 수행한 활동

• 이 검색을 통해 종료된 직원이 SaaS 앱에서 작업을 계속 수행하는 시기를 식별할 수 있습니다. 데이터는 내부자 위협의 가장 큰 위험이 나쁜 조건에 떠난 직원에서 온다는 것을 보여 주므로, 해고 된 직원의 계정에 대한 활동을 주시하는 것이 중요합니다. 경우에 따라 직원이 퇴사할 때 해당 계정은 회사 앱에서 프로비저닝 해제되지만 대부분의 경우 특정 회사 리소스에 대한 액세스 권한은 여전히 유지됩니다. 이는 이전 관리자가 수행할 수 있는 잠재적 피해가 본질적으로 더 크기 때문에 권한 있는 계정을 고려할 때 더욱 중요합니다. 이 검색은 앱에서 사용자 동작을 모니터링하는 Defender for Cloud Apps 기능을 활용하여 사용자의 정기적인 활동, 계정이 삭제되었다는 사실 및 다른 앱의 실제 활동을 식별할 수 있습니다. 예를 들어 Microsoft Entra 계정이 삭제되었지만 여전히 회사 AWS 인프라에 액세스할 수 있는 직원은 대규모 손상을 일으킬 수 있습니다.

검색은 Microsoft Entra ID 계정이 삭제되었지만 AWS 또는 Salesforce와 같은 다른 플랫폼에서 작업을 수행하는 사용자를 찾습니다. 이는 사용자가 회사를 떠날 때 이러한 계정이 삭제되지 않는 경우가 많기 때문에 다른 계정(기본 Single Sign-On 계정이 아님)을 사용하여 리소스를 관리하는 사용자와 특히 관련이 있습니다.

의심스러운 IP 주소에서의 활동

• 이 검색은 사용자가 Microsoft Threat Intelligence에서 위험으로 식별된 IP 주소에서 활성 상태임을 식별합니다. 이러한 IP 주소는 암호 스프레이, Botnet C&C 수행과 같은 악의적인 활동에 관여하며 손상된 계정을 나타낼 수 있습니다. 이 검색은 organization 사용자가 널리 사용하는 잘못된 태그가 지정된 IP 주소와 같이 "가양성"을 줄이는 기계 학습 알고리즘을 사용합니다.

의심스러운 받은 편지함 전달

• 이 검색은 의심스러운 전자 메일 전달 규칙을 찾습니다(예: 사용자가 모든 전자 메일의 복사본을 외부 주소로 전달하는 받은 편지함 규칙을 만든 경우).

참고

Defender for Cloud Apps 사용자의 일반적인 동작에 따라 의심스러운 것으로 식별되는 각 전달 규칙에 대해서만 경고합니다.

의심스러운 받은 편지함 조작 규칙

• 이 검색은 사용자의 받은 편지함에 메시지 또는 폴더를 삭제하거나 이동하는 의심스러운 규칙이 설정되면 환경을 프로파일링하고 경고를 트리거합니다. 이는 사용자의 계정이 손상되고, 메시지가 의도적으로 숨겨져 있으며, 사서함이 organization 스팸 또는 맬웨어를 배포하는 데 사용되고 있음을 나타낼 수 있습니다.

의심스러운 이메일 삭제 작업(미리 보기)

• 이 정책은 환경을 프로파일링하고 사용자가 단일 세션에서 의심스러운 이메일 삭제 작업을 수행할 때 경고를 트리거합니다. 이 정책은 전자 메일을 통한 명령 및 제어 통신(C&C/C2)과 같은 잠재적인 공격 벡터로 인해 사용자의 사서함이 손상될 수 있음을 나타낼 수 있습니다.

참고

Defender for Cloud Apps Microsoft Defender XDR 통합되어 URL 폭발, 맬웨어 보호 등을 포함하여 Exchange Online에 대한 보호를 제공합니다. Microsoft 365용 Defender를 사용하도록 설정하면 Defender for Cloud Apps 활동 로그에 경고가 표시되기 시작합니다.

의심스러운 OAuth 앱 파일 다운로드 활동

• 사용자 환경에 연결된 OAuth 앱을 검사하고 앱이 Microsoft SharePoint 또는 Microsoft OneDrive에서 사용자에게 비정상적인 방식으로 여러 파일을 다운로드할 때 경고를 트리거합니다. 이는 사용자 계정이 손상되었음을 나타낼 수 있습니다.

OAuth 앱 대한 비정상적인 ISP

• 이 정책은 환경을 프로파일링하고 OAuth 앱이 일반적이지 않은 ISP에서 클라우드 애플리케이션에 연결할 때 경고를 트리거합니다. 이 정책은 공격자가 합법적인 손상된 앱을 사용하여 클라우드 애플리케이션에서 악의적인 활동을 수행하려 했음을 나타낼 수 있습니다.

비정상적인 활동(사용자별)

이러한 검색은 다음을 수행하는 사용자를 식별합니다.

• 비정상적인 여러 파일 다운로드 활동
• 비정상적인 파일 공유 활동
• 비정상적인 파일 삭제 작업
• 비정상적인 가장 활동
• 비정상적인 관리 활동
• 비정상적인 Power BI 보고서 공유 활동(미리 보기)
• 비정상적인 여러 VM 만들기 작업(미리 보기)
• 비정상적인 여러 스토리지 삭제 작업(미리 보기)
• 클라우드 리소스에 대한 비정상적인 지역(미리 보기)
• 비정상적인 파일 액세스

이러한 정책은 학습된 기준과 관련하여 단일 세션 내에서 활동을 찾습니다. 이는 위반 시도를 나타낼 수 있습니다. 이러한 검색은 사용자 로그온 패턴을 프로파일링하고 가양성 감소시키는 기계 학습 알고리즘을 활용합니다. 이러한 검색은 환경을 프로파일링하고 organization 활동에서 학습된 기준과 관련하여 경고를 트리거하는 추론적 변칙 검색 엔진의 일부입니다.

여러 번 실패한 로그인 시도

• 이 검색은 학습된 기준과 관련하여 단일 세션에서 여러 번의 로그인 시도에 실패한 사용자를 식별하며 이는 위반 시도를 나타낼 수 있습니다.

불허된 앱으로의 데이터 반출

• 이 정책은 사용자 또는 IP 주소가 organization 정보를 유출하려는 시도와 유사한 활동을 수행하기 위해 승인되지 않은 앱을 사용하는 경우 자동으로 경고하도록 설정됩니다.

여러 VM 삭제 활동

• 이 정책은 환경을 프로파일링하고 사용자가 organization 기준선을 기준으로 단일 세션에서 여러 VM을 삭제할 때 경고를 트리거합니다. 이는 위반 시도를 나타낼 수 있습니다.

자동화된 거버넌스 사용

변칙 검색 정책에 의해 생성된 경고에 대해 자동화된 수정 작업을 사용하도록 설정할 수 있습니다.

1. 정책 페이지에서 검색 정책의 이름을 선택합니다.
2. 열리는 변칙 검색 정책 편집 창의 거버넌스 작업 에서 연결된 각 앱 또는 모든 앱에 대해 원하는 수정 작업을 설정합니다.
3. 업데이트를 선택합니다.

변칙 검색 정책 조정

기본 설정에 따라 경고를 표시하지 않거나 표시하기 위해 변칙 검색 엔진에 영향을 주려면 다음을 수행합니다.

• 불가능한 이동 정책에서 민감도 슬라이더를 설정하여 경고가 트리거되기 전에 필요한 비정상적인 동작 수준을 확인할 수 있습니다. 예를 들어 낮음 또는 보통으로 설정하면 사용자의 공통 위치에서 불가능한 이동 경고가 표시되지 않으며 높은 위치로 설정하면 이러한 경고가 표시됩니다. 다음 민감도 수준에서 선택할 수 있습니다.

  • 낮음: 시스템, 테넌트 및 사용자 표시 안 함

  • 중간: 시스템 및 사용자 표시 안 함

  • 높음: 시스템 억제만

    여기서,

    억제 유형	설명
    시스템	기본 제공되는 탐지 기능으로 항상 표시되지 않습니다.
    테넌트	테넌트의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 organization 이전에 경고한 ISP의 활동을 표시하지 않습니다.
    사용자	특정 사용자의 이전 활동을 기반으로 하는 일반적인 활동입니다. 예를 들어 사용자가 일반적으로 사용하는 위치에서 활동을 표시하지 않습니다.

참고

불가능한 이동, 드문 국가/지역의 활동, 익명 IP 주소의 활동 및 의심스러운 IP 주소의 활동 경고는 실패한 로그인 및 비대화형 로그인에 적용되지 않습니다.

범위 변칙 검색 정책

정책에 포함하거나 정책에서 제외하려는 사용자 및 그룹에만 적용되도록 각 이상 징후 탐지 정책의 범위를 독립적으로 지정할 수 있습니다. 예를 들어 이동이 잦은 특정 사용자를 무시하도록 드물게 방문하는 국가의 활동 탐지를 설정할 수 있습니다.

이상 징후 탐지 정책의 범위를 지정하려면 다음을 수행하세요.

1. Microsoft Defender 포털에서 Cloud Apps -Policies ->>Policy 관리로 이동합니다. 그런 다음, 정책 유형에 대한 변칙 검색 정책을 선택합니다.

2. 범위를 지정하려는 정책을 선택합니다.

3. 범위에서 드롭다운을 모든 사용자 및 그룹의 기본 설정에서 특정 사용자 및 그룹으로 변경합니다.

4. 포함을 선택하여 이 정책을 적용할 사용자 및 그룹을 지정합니다. 여기서 선택하지 않은 사용자 또는 그룹은 위협으로 간주되지 않으며 경고를 생성하지 않습니다.

5. 제외를 선택하여 이 정책이 적용되지 않는 사용자를 지정합니다. 여기에서 선택한 모든 사용자는 위협으로 간주되지 않으며 포함에서 선택한 그룹의 구성원인 경우에도 경고를 생성하지 않습니다.

   

변칙 검색 경고 심사

새 변칙 검색 정책에 의해 트리거되는 다양한 경고를 신속하게 심사하고 먼저 처리해야 하는 경고를 결정할 수 있습니다. 이렇게 하려면 경고에 대한 컨텍스트가 필요하므로 더 큰 그림을 보고 악의적인 일이 실제로 일어나고 있는지 이해할 수 있습니다.

1. 활동 로그에서 활동을 열어 활동 서랍을 표시할 수 있습니다. 사용자를 선택하여 사용자 인사이트 탭을 봅니다. 이 탭에는 경고 수, 활동 및 연결 위치와 같은 정보가 포함되어 있으며 이는 조사에서 중요합니다.

   

2. 맬웨어에 감염된 파일의 경우 파일이 검색된 후 감염된 파일 목록을 볼 수 있습니다. 파일 서랍에서 맬웨어 파일 이름을 선택하여 파일이 감염된 해당 유형의 맬웨어에 대한 정보를 제공하는 맬웨어 보고서를 엽니다.

관련 비디오

위협 방지 웨비나

다음 단계

organization 보호하기 위한 모범 사례

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.