다음을 통해 공유

미리 정의된 앱 정책 경고 조사

  • 아티클

앱 거버넌스는 비정상적인 활동에 대해 미리 정의된 앱 정책 경고를 제공합니다. 이 가이드의 목적은 각 경고에 대한 일반적이고 실용적인 정보를 제공하여 조사 및 수정 작업에 도움이 되는 것입니다.

이 가이드에는 경고를 트리거하는 조건에 관한 일반적인 정보가 포함되어 있습니다. 미리 정의된 정책은 기본적으로 비결정적이므로 표준에서 벗어나는 동작이 있을 때만 트리거됩니다.

일부 경고는 미리 보기 상태일 수 있으므로 업데이트된 경고 상태를 정기적으로 검토합니다.

보안 경고 분류

적절한 조사 후에는 모든 앱 거버넌스 경고를 다음 작업 유형 중 하나로 분류할 수 있습니다.

  • TP(True positive) : 확인된 악성 활동에 대한 경고입니다.
  • 양성 참 긍정(B-TP): 침투 테스트 또는 기타 승인된 의심스러운 작업과 같이 의심스럽지만 악의적이지 않은 활동에 대한 경고입니다.
  • FP(가양성) : 비정상 활동에 대한 경고입니다.

일반적인 조사 단계

모든 유형의 경고를 조사할 때 다음 일반 지침을 사용하여 권장 조치를 적용하기 전에 잠재적 위협을 보다 명확하게 이해합니다.

  1. 앱 심각도 수준을 검토하고 테넌트의 나머지 앱과 비교합니다. 이 검토는 테넌트에서 더 큰 위험을 초래하는 앱을 식별하는 데 도움이 됩니다.

  2. TP를 식별하는 경우 모든 앱 활동을 검토하여 영향을 이해합니다. 예를 들어 다음 앱 정보를 검토합니다.

    • 액세스 권한이 부여된 범위
    • 평소와 다른 행동
    • IP 주소 및 위치

미리 정의된 앱 정책 경고

이 섹션에서는 조사 및 수정 단계와 함께 미리 정의된 각 정책 경고에 대한 정보를 제공합니다.

권한이 지나치게 높거나 권한이 높은 앱에 의한 데이터 사용량 증가

심각도: 보통

Graph API 통해 데이터 사용량이 급격하게 증가하는 강력한 또는 사용되지 않는 권한이 있는 앱을 찾습니다. 데이터 사용량의 비정상적인 변경은 손상을 나타낼 수 있습니다.

TP일까요, FP일까요?

경고가 참 긍정(TP) 또는 가양성(FP)인지 확인하려면 앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 권한이 지나치게 높거나 권한이 높은 앱의 데이터 사용 증가가 불규칙하거나 잠재적으로 악의적인 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 데이터 사용량이 증가한 앱 활동에 대해 사용자에게 문의합니다. 일시적으로 앱을 사용하지 않도록 설정하고, 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 의도되고 organization 합법적인 비즈니스 사용이 있음을 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

심각도: 보통

우선 순위 계정에서 동의를 받은 앱에서 표시되는 데이터 사용량 또는 Graph API 액세스 오류의 비정상적인 증가를 찾습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 우선 순위 계정의 동의가 있는 앱의 데이터 사용량 또는 API 액세스 오류 증가가 매우 불규칙하거나 악의적일 수 있음을 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 데이터 사용량 증가 또는 API 액세스 오류를 발생시킨 앱 활동에 대해 우선 순위 계정 사용자에게 문의합니다. 일시적으로 앱을 사용하지 않도록 설정하고 암호를 다시 설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 의도되고 organization 합법적인 비즈니스 사용이 있음을 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

심각도: 보통

사용자가 새로 만든 앱의 동의 요청이 자주 거부되었습니다. 사용자는 일반적으로 예기치 않은 동작을 나타내거나 신뢰할 수 없는 원본에서 도착한 앱의 동의 요청을 거부합니다. 동의율이 낮은 앱은 위험하거나 악의적일 가능성이 높습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 앱이 알 수 없는 원본에서 온 것으로 확인되고 해당 활동이 매우 불규칙하거나 잠재적으로 악의적인 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 합법적인지 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

OneDrive에 대한 Graph API 통화 급증

심각도: 보통

클라우드 앱은 OneDrive에 대한 Graph API 호출이 크게 증가한 것으로 나타났습니다. 이 앱은 데이터 반출 또는 중요한 데이터에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 매우 불규칙하고 잠재적으로 악의적인 활동으로 인해 OneDrive 사용량이 검색된 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 합법적인지 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

SharePoint에 대한 Graph API 호출 급증

심각도: 보통

클라우드 앱은 SharePoint에 대한 Graph API 호출이 크게 증가한 것으로 나타났습니다. 이 앱은 데이터 반출 또는 중요한 데이터에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 매우 불규칙하고 잠재적으로 악의적인 활동으로 인해 SharePoint 사용량이 검색된 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 합법적인지 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

Exchange에 대한 Graph API 호출 급증

심각도: 보통

클라우드 앱은 Exchange에 대한 Graph API 호출이 크게 증가한 것으로 나타났습니다. 이 앱은 데이터 반출 또는 중요한 데이터에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 매우 불규칙하고 잠재적으로 악의적인 활동으로 인해 Exchange 사용량이 증가하는 것을 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 합법적인지 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

여러 Microsoft 365 서비스에 액세스할 수 있는 의심스러운 앱

심각도: 보통

인증서 또는 비밀 업데이트 후 통계적으로 비정상적인 Graph API 활동을 보인 여러 Microsoft 365 서비스에 대한 OAuth 액세스 권한이 있는 앱을 찾습니다. 이러한 앱을 식별하고 손상 여부를 확인하면 클라우드 폴더, 이메일 및 기타 서비스를 트래버스하는 횡적 이동, 데이터 반출 및 기타 악의적인 활동을 방지할 수 있습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 앱 인증서 또는 비밀 및 기타 앱 활동에 대한 업데이트가 매우 불규칙하거나 잠재적으로 악의적인 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 합법적인지 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

앱에 의한 대량의 받은 편지함 규칙 만들기 작업

심각도: 보통

앱은 Exchange 받은 편지함 규칙을 만들기 위해 많은 수의 Graph API 호출을 했습니다. 이 앱은 데이터 수집 및 반출 또는 중요한 정보에 액세스하고 검색하려는 기타 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 받은 편지함 규칙 및 기타 활동의 생성이 매우 불규칙하거나 잠재적으로 악의적인 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 검색된 앱 활동이 합법적인지 확인한 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

앱별 대량의 전자 메일 검색 활동

심각도: 보통

앱은 Exchange 전자 메일 콘텐츠를 검색하기 위해 많은 수의 Graph API 전화를 걸었습니다. 이 앱은 데이터 수집 또는 중요한 정보에 액세스하고 검색하려는 다른 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: Exchange 및 기타 활동에 대한 콘텐츠 검색이 매우 불규칙하거나 잠재적으로 악의적인 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 메일 검색 활동이 수행되지 않거나 앱이 Graph API 통해 비정상적인 메일 검색 활동을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

앱에서 대량의 전자 메일 보내기 활동

심각도: 보통

앱은 Exchange Online 사용하여 전자 메일 메시지를 보내기 위해 많은 수의 Graph API 전화를 걸었습니다. 이 앱은 데이터 수집 및 반출 또는 중요한 정보에 액세스하고 검색하려는 기타 시도와 관련이 있을 수 있습니다.

TP일까요, FP일까요?

앱에서 수행하는 모든 활동, 앱에 부여된 범위 및 앱과 연결된 사용자 활동을 검토합니다.

  • TP: 전자 메일 메시지 및 기타 활동의 전송이 매우 불규칙하거나 잠재적으로 악의적인 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 일시적으로 앱을 사용하지 않도록 설정하고 암호를 재설정한 다음, 앱을 다시 사용하도록 설정합니다.

  • FP: 앱에서 비정상적인 메일 보내기 활동을 수행하지 않거나 앱이 Graph API 통해 비정상적인 메일 보내기 활동을 수행하도록 의도된 것을 확인할 수 있는 경우

    권장 작업: 경고를 해제합니다.

중요한 데이터에 대한 액세스

심각도: 보통

특정 레이블로 식별된 중요한 데이터에 액세스하는 앱을 찾습니다.

TP일까요, FP일까요?

경고가 참 긍정(TP) 또는 가양성(FP)인지 확인하려면 앱에서 액세스하는 리소스를 검토합니다.

  • TP: 앱 또는 검색된 활동이 불규칙하거나 잠재적으로 악의적인 것으로 확인된 경우 이 권장 작업을 적용합니다.

    권장 작업: 앱이 Microsoft Entra ID 비활성화하여 리소스에 액세스하지 못하도록 방지합니다.

  • FP: 앱이 organization 합법적인 비즈니스 사용이 있고 검색된 작업이 예상되는 경우 이 권장 작업을 적용합니다.

    권장 작업: 경고를 해제합니다.

다음 단계

앱 위협 탐지 및 수정에 대해 알아보기