클라우드 검색 변칙 검색 정책

클라우드 검색 변칙 검색 정책을 사용하면 클라우드 애플리케이션 사용량의 비정상적인 증가에 대한 지속적인 모니터링을 설정하고 구성할 수 있습니다. 다운로드한 데이터, 업로드된 데이터, 트랜잭션 및 사용자의 증가는 각 클라우드 애플리케이션에 대해 고려됩니다. 각 증가는 과거 사용량에서 학습한 애플리케이션의 일반 사용 패턴과 비교됩니다. 가장 극단적으로 증가할 경우 보안 경고가 트리거됩니다.

이 문서에서는 Microsoft Defender for Cloud Apps 클라우드 검색 변칙 검색 정책을 만들고 구성하는 방법을 설명합니다.

중요

2024년 8월부터 Microsoft Defender for Cloud Apps 대한 클라우드 검색 변칙 지원이 사용 중지됩니다. 따라서 이 문서에 제시된 레거시 절차는 정보 제공 목적으로만 제공됩니다. 변칙 검색과 유사한 보안 경고를 받으려면 앱 검색 정책 만들기의 단계를 완료합니다.

앱 검색 정책 만들기

클라우드 검색 변칙 검색에 대한 지원은 사용 중지되었지만 앱 검색 정책을 만들어 유사한 보안 경고를 받을 수 있습니다.

1. Microsoft Defender 포털의 왼쪽 메뉴에서 Cloud Apps>정책 섹션을 확장하고 정책 관리를 선택합니다.

2. 정책 페이지에서 섀도 IT 탭을 선택합니다.

3. 정책 만들기 드롭다운 메뉴를 확장하고 앱 검색 정책 옵션을 선택합니다.

4. 같은 날에 다음이 모두 발생하는 경우 정책 일치 트리거 옵션을 선택합니다.

   

5. 변칙 검색 정책 만들기에 설명된 대로 연결된 필터 및 설정을 구성합니다.

(레거시) 변칙 검색 정책 만들기

각 변칙 검색 정책에 대해 애플리케이션 사용량을 선택적으로 모니터링할 수 있는 필터를 설정합니다. 필터는 애플리케이션, 선택한 데이터 뷰 및 선택한 시작 날짜에 사용할 수 있습니다. 민감도를 설정하고 정책을 트리거할 경고 수를 지정할 수도 있습니다.

단계에 따라 클라우드 검색 변칙 검색 정책을 만듭니다.

1. Microsoft Defender 포털의 왼쪽 메뉴에서 Cloud Apps>정책 섹션을 확장하고 정책 관리를 선택합니다.

2. 정책 페이지에서 섀도 IT 탭을 선택합니다.

3. 정책 만들기 드롭다운 메뉴를 확장하고 Cloud Discovery 변칙 검색 정책 옵션을 선택합니다.

   

   만들 정책에 대한 매개 변수를 구성하는 Cloud Discovery 변칙 검색 정책 만들기 페이지가 열립니다.

4. Cloud Discovery 변칙 검색 정책 만들기 페이지에서 정책 템플릿 옵션은 정책의 기본으로 사용하도록 선택할 수 있는 템플릿 목록을 제공합니다. 기본적으로 옵션은 템플릿 없음으로 설정됩니다.

   템플릿에서 정책을 기반으로 하려면 드롭다운 메뉴를 확장하고 템플릿을 선택합니다.

   • 검색된 사용자의 비정상적인 동작: 검색된 사용자 및 앱에서 비정상적인 동작이 검색되면 경고합니다. 이 템플릿을 사용하여 다른 사용자에 비해 대량의 업로드된 데이터 또는 사용자 기록과 비교한 대규모 사용자 트랜잭션에 대해 검사 수 있습니다.

   • 검색된 IP 주소의 비정상적인 동작: 검색된 IP 주소 및 앱에서 비정상적인 동작이 검색되면 경고합니다. 이 템플릿을 사용하여 다른 IP 주소에 비해 대량의 업로드된 데이터 또는 IP 주소 기록에 비해 큰 앱 트랜잭션에 대해 검사 수 있습니다.

   다음 이미지는 Microsoft Defender 포털에서 새 정책의 기반으로 사용할 템플릿을 선택하는 방법을 보여 줍니다.

   

5. 새 정책에 대한 정책 이름 및 설명을 입력합니다.

6. 필터 선택 옵션을 사용하여 모니터링하려는 앱에 대한 필터를 만듭니다.

   • 드롭다운 메뉴를 확장하고 앱 태그, 앱 및 도메인, 범주, 다양한 위험 요소 또는 위험 점수를 기준으로 일치하는 모든 앱을 필터링하도록 선택합니다.

   • 더 많은 필터를 만들려면 필터 추가를 선택합니다.

   다음 이미지는 Microsoft Defender 포털에서 일치하는 모든 애플리케이션에 적용할 정책에 대한 필터를 선택하는 방법을 보여 줍니다.

   

7. 적용 항목 섹션에서 애플리케이션 사용 필터를 구성합니다.

   1. 첫 번째 드롭다운 메뉴를 사용하여 지속적인 사용량에 대한 보고서를 모니터링하는 방법을 선택합니다.

      • 모든 연속 보고서 (기본값): 모든 데이터 뷰에서 학습한 대로 각 사용량 증가를 일반 사용 패턴과 비교합니다.

      • 특정 연속 보고서: 각 사용량 증가를 일반 사용 패턴과 비교합니다. 이 패턴은 증가가 관찰된 동일한 데이터 뷰에서 학습됩니다.

   2. 두 번째 드롭다운 메뉴를 사용하여 모든 클라우드 애플리케이션 사용에 대해 모니터링되는 연결을 지정합니다.

      • 사용자: 애플리케이션 사용과 IP 주소의 연결을 무시합니다.

      • IP 주소: 사용자와의 애플리케이션 사용 연결을 무시합니다.

      • 사용자, IP 주소 (기본값): 사용자 및 IP 주소별 애플리케이션 사용량의 연결을 모니터링합니다. 이 옵션은 사용자와 IP 주소 간에 긴밀한 대응이 있을 때 중복 경고를 생성할 수 있습니다.

   다음 이미지는 애플리케이션 사용량 필터를 구성하는 방법과 Microsoft Defender 포털에서 사용량 경고를 발생시키는 시작 날짜를 보여 줍니다.

   

8. 후 발생한 의심스러운 활동에 대해서만 경고 발생 옵션의 경우 애플리케이션 사용량 경고 발생을 시작하는 날짜를 입력합니다.

   지정된 시작 날짜 이전의 애플리케이션 사용량 증가는 무시됩니다. 그러나 시작 날짜 이전의 사용 활동 데이터를 학습하여 정상적인 사용 패턴을 설정합니다.

9. 경고 섹션에서 경고 민감도 및 알림을 구성합니다. 정책에 의해 트리거되는 경고 수를 제어하는 방법에는 여러 가지가 있습니다.

   • 변칙 검색 민감도 선택 슬라이더를 사용하여 주당 사용자 1,000명당 상위 X 비정상 활동에 대한 경고를 트리거합니다. 위험이 가장 높은 활동에 대한 경고 트리거입니다.

   • 정책의 심각도를 사용하여 일치하는 각 이벤트에 대한 경고 만들기 옵션을 선택하고 경고에 대한 다른 매개 변수를 설정합니다.

     • 메일로 경고 보내기: 경고 메시지의 전자 메일 주소를 입력합니다. 하루에 이메일 주소당 최대 500개 메시지를 보낼 수 있습니다. UTC 표준 시간대의 자정에 카운트가 다시 설정됩니다.

     • 정책당 일일 경고 제한: 드롭다운 메뉴를 사용하고 원하는 제한을 선택합니다. 이 옵션은 하루에 발생한 경고 수를 지정된 값으로 제한합니다.

     • Power Automate에 경고 보내기: 경고가 트리거되면 작업을 실행할 플레이북을 선택합니다. Power Automate에서 플레이북 만들기를 선택하여 새 플레이북을 열 수도 있습니다.

   • 일일 경고 제한 및 전자 메일 설정에 대한 값을 사용하도록 organization 기본 설정을 설정하려면 기본 설정으로 저장을 선택합니다.

   • 일일 경고 제한 및 전자 메일 설정에 대한 organization 기본 설정을 사용하려면 기본 설정 복원을 선택합니다.

   다음 이미지는 Microsoft Defender 포털에서 민감도, 메일 알림 및 일일 제한을 포함하여 정책에 대한 경고를 구성하는 방법을 보여 줍니다.

   

10. 구성 선택 항목을 확인하고 만들기를 선택합니다.

기존 정책 작업

정책을 만들 때 기본적으로 사용하도록 설정됩니다. 정책을 사용하지 않도록 설정하고 편집 및 삭제와 같은 다른 작업을 수행할 수 있습니다.

1. 정책 페이지에서 정책 목록에서 업데이트할 정책을 찾습니다.

2. 정책 목록에서 정책 행의 오른쪽으로 스크롤하고 추가 옵션 (...)을 선택합니다.

3. 팝업 메뉴에서 정책에서 수행할 작업을 선택합니다.

다음 단계

organization 보호하기 위한 모범 사례 살펴보기

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.