다음을 통해 공유

Microsoft Defender for Cloud Apps 사용하여 파일 조사

  • 아티클

데이터 보호를 제공하기 위해 Microsoft Defender for Cloud Apps 연결된 앱의 모든 파일에 대한 가시성을 제공합니다. 앱 커넥터를 사용하여 앱에 Microsoft Defender for Cloud Apps 연결한 후 Microsoft Defender for Cloud Apps 모든 파일(예: OneDrive 및 Salesforce에 저장된 모든 파일)을 검색합니다. 그런 다음, Defender for Cloud Apps 수정될 때마다 각 파일을 다시 검사합니다. 수정은 콘텐츠, 메타데이터 또는 공유 권한일 수 있습니다. 검사 시간은 앱에 저장된 파일 수에 따라 달라집니다. 파일 페이지를 사용하여 파일을 필터링하여 클라우드 앱에 저장된 데이터의 종류를 조사할 수도 있습니다.

중요

2024년 9월 1일부터 Microsoft Defender for Cloud Apps 파일페이지를 단계적으로 살펴보겠습니다. 파일 페이지의 핵심 기능은 클라우드 앱 > 정책 정책 > 관리 페이지에서 사용할 수 있습니다. 정책 관리 페이지를 사용하여 파일을 조사하고 Information Protection 정책 및 맬웨어 파일을 만들고 수정하고 필터링하는 것이 좋습니다. 자세한 내용은 Microsoft Defender for Cloud Apps 파일 정책을 참조하세요.

파일 모니터링 사용

Defender for Cloud Apps 파일 모니터링을 사용하도록 설정하려면 먼저 설정 영역에서 파일 모니터링을 켭니다. Microsoft Defender 포털에서 설정>Cloud Apps>Information Protection>파일>모니터링 사용 저장을> 선택합니다.

  • 활성 파일 정책이 없는 경우 마지막 파일 페이지 참여 시간 7일 후에 파일 모니터링이 자동으로 꺼집니다.
  • 활성 파일 정책이 없는 경우 마지막 파일 페이지 참여 시간 35일 후 Defender for Cloud Apps 저장된 파일에 대해 클라우드용 Defender 앱에서 유지 관리하는 모든 데이터를 삭제하기 시작합니다.

파일 필터 예제

예를 들어 파일 페이지를 사용하여 다음과 같이 기밀로 레이블이 지정된 외부 공유 파일을 보호합니다.

앱을 Defender for Cloud Apps 연결한 후 Microsoft Purview Information Protection 통합합니다. 그런 다음 파일 페이지에서 기밀 로 레이블이 지정된 파일을 필터링하고 협력자 필터에서 도메인을 제외합니다. organization 외부에서 공유되는 기밀 파일이 있는 경우 파일 정책을 만들어 검색할 수 있습니다. 외부 협력자 제거 및 파일 소유자에게 정책 일치 다이제스트 보내기와 같은 자동 거버넌스 작업을 이러한 파일에 적용하여 organization 데이터 손실을 방지할 수 있습니다.

파일 필터 기밀.

다음은 파일 페이지를 사용하는 방법의 또 다른 예입니다. organization 지난 6개월 동안 수정되지 않은 파일을 공개적으로 또는 외부적으로 공유하지 않았는지 확인합니다.

앱을 Defender for Cloud Apps 연결하고 파일 페이지로 이동합니다. 액세스 수준이 외부 또는 공용 인 파일을 필터링하고 마지막으로 수정한 날짜를 6개월 전으로 설정합니다. 검색에서 새 정책을 선택하여 이러한 오래된 공용 파일을 검색하는 파일 정책을 만듭니다. 외부 사용자 제거와 같은 자동 거버넌스 작업을 적용하여 organization 데이터 손실을 방지합니다.

파일 필터 부실 외부.

기본 필터는 파일 필터링을 시작하는 데 유용한 도구를 제공합니다.

기본 파일 로그 필터입니다.

보다 구체적인 파일로 드릴다운하려면 고급 필터를 선택하여 기본 필터를 확장할 수 있습니다.

고급 파일 로그 필터.

파일 필터

Defender for Cloud Apps 20개 이상의 메타데이터 필터(예: 액세스 수준, 파일 형식)를 기반으로 모든 파일 형식을 모니터링할 수 있습니다.

DLP 엔진에서 빌드된 Defender for Cloud Apps 일반적인 파일 형식에서 텍스트를 추출하여 콘텐츠 검사를 수행합니다. 포함된 파일 형식 중 일부는 PDF, Office 파일, RTF, HTML 및 코드 파일입니다.

다음은 적용할 수 있는 파일 필터 목록입니다. 정책 생성을 위한 강력한 도구를 제공하기 위해 대부분의 필터는 여러 값과 NOT을 지원합니다.

참고

파일 정책 필터를 사용하는 경우 Contains 는 검색할 쉼표, 점, 하이픈 또는 공백으로 구분된 전체 단어 만 검색합니다.

  • 단어 사이의 공백 또는 하이픈은 OR과 같이 작동합니다. 예를 들어 맬웨어바이러스 를 검색하면 이름에 맬웨어 또는 바이러스가 있는 모든 파일이 발견되므로 malware-virus.exevirus.exe모두 찾을 수 있습니다.
  • 문자열을 검색하려면 단어를 따옴표로 묶습니다. 이 함수는 AND와 같습니다. 예를 들어 "malware""virus"를 검색하면 virus-malware-file.exe 찾을 수 있지만 malwarevirusfile.exe 찾을 수 없으며 malware.exe찾을 수 없습니다. 그러나 정확한 문자열을 검색합니다. "맬웨어 바이러스"를 검색하는 경우 "바이러스" 또는 "바이러스-맬웨어"를 찾을 수 없습니다.

Equals는 전체 문자열만 검색합니다. 예를 들어 malware.exe 검색하면 malware.exe찾을 수 있지만 malware.exe.txt않습니다.

  • 액세스 수준 – 액세스 수준 공유; public, external, internal 또는 private입니다.

    • 내부 - 일반 설정에서 설정한 내부 도메인 내의 모든 파일입니다.
    • 외부 - 설정한 내부 도메인 내에 없는 위치에 저장된 모든 파일입니다.
    • 공유 - 공유 수준이 프라이빗보다 높은 파일입니다. 공유에는 다음이 포함됩니다.

      • 내부 공유 - 내부 도메인 내에서 공유되는 파일입니다.

      • 외부 공유 - 내부 도메인에 나열되지 않은 도메인에서 공유되는 파일입니다.

      • 링크가 있는 공용 - 링크를 통해 누구와도 공유할 수 있는 파일입니다.

      • 공용 - 인터넷을 검색하여 찾을 수 있는 파일입니다.

        참고

        외부 사용자가 연결된 스토리지 앱에 공유한 파일은 다음과 같이 Defender for Cloud Apps 처리됩니다.

        • OneDrive: OneDrive는 외부 사용자가 OneDrive에 배치한 파일의 소유자로 내부 사용자를 할당합니다. 이러한 파일은 organization 소유하는 것으로 간주되므로 Defender for Cloud Apps 이러한 파일을 검색하고 OneDrive의 다른 파일과 마찬가지로 정책을 적용합니다.
        • Google 드라이브: Google Drive는 외부 사용자가 소유하고 있으며 organization 소유하지 않은 파일 및 데이터에 대한 법적 제한으로 인해 Defender for Cloud Apps 이러한 파일에 액세스할 수 없다고 간주합니다.
        • 상자: Box는 외부 소유 파일을 개인 정보로 간주하므로 Box 전역 관리자는 파일의 콘텐츠를 볼 수 없습니다. 이러한 이유로 Defender for Cloud Apps 이러한 파일에 액세스할 수 없습니다.
        • Dropbox: Dropbox는 외부 소유 파일을 개인 정보로 간주하므로 Dropbox 전역 관리자는 파일의 콘텐츠를 볼 수 없습니다. 이러한 이유로 Defender for Cloud Apps 이러한 파일에 액세스할 수 없습니다.

  • – 이러한 앱 내의 파일만 검색합니다.

  • 협력자 – 특정 협력자 또는 그룹을 포함/제외합니다.

    • 도메인의 모든 항목 – 이 도메인의 사용자가 파일에 직접 액세스할 수 있는 경우

      참고

      • 이 필터는 특정 사용자와만 그룹과 공유된 파일을 지원하지 않습니다.
      • SharePoint 및 OneDrive의 경우 필터는 공유 링크를 통해 특정 사용자와 공유된 파일을 지원하지 않습니다.

    • 전체 organization – 전체 organization 파일에 액세스할 수 있는 경우

    • 그룹 – 특정 그룹에 파일에 대한 액세스 권한이 있는 경우 그룹 Active Directory, 클라우드 앱에서 가져오거나 서비스에서 수동으로 만들 수 있습니다.

      참고

      • 이 필터는 전체적으로 협력자 그룹을 검색하는 데 사용됩니다. 개별 그룹 구성원과 일치하지 않습니다.

    • 사용자 – 파일에 액세스할 수 있는 특정 사용자 집합입니다.

  • 만든 시간 – 파일 만들기 시간입니다. 필터는 이전/이후 날짜 및 날짜 범위를 지원합니다.

  • 확장명 – 특정 파일 확장명 에 집중합니다. 예를 들어 실행 파일(*.exe)인 모든 파일입니다.

    참고

    • 이 필터는 대/소문자를 구분합니다.
    • OR 절을 사용하여 둘 이상의 대문자 변형에 필터를 적용합니다.

  • 파일 ID – 특정 파일 ID를 검색합니다. 파일 ID는 소유자, 위치 또는 이름에 대한 종속성 없이 특정 고가치 파일을 추적할 수 있는 고급 기능입니다.

  • 파일 이름 – 클라우드 앱에 정의된 이름의 파일 이름 또는 하위 문자열입니다. 예를 들어 이름에 암호가 있는 모든 파일입니다.

  • 민감도 레이블 - 특정 레이블이 설정된 파일을 검색합니다. 레이블은 다음과 같습니다.

    참고

    이 필터를 파일 정책에서 사용하는 경우 정책은 Microsoft Office 파일에만 적용되며 다른 파일 형식은 무시됩니다.

    • Microsoft Purview Information Protection - Microsoft Purview Information Protection 통합이 필요합니다.
    • Defender for Cloud Apps - 검색하는 파일에 대한 자세한 인사이트를 제공합니다. Defender for Cloud Apps DLP에서 검사한 각 파일에 대해 파일이 암호화되거나 손상되어 검사가 차단되었는지 알 수 있습니다. 예를 들어 외부에서 공유되는 암호로 보호된 파일을 경고하고 격리하는 정책을 설정할 수 있습니다.
      • Azure RMS 암호화 – Azure RMS 암호화 집합이 있으므로 콘텐츠를 검사하지 않은 파일입니다.
      • 암호 암호화 – 사용자가 암호로 보호하므로 콘텐츠를 검사하지 않은 파일입니다.
      • 손상된 파일 – 콘텐츠를 읽을 수 없어 콘텐츠를 검사하지 않은 파일입니다.

  • 파일 형식 – Defender for Cloud Apps 파일을 검사하여 실제 파일 형식이 서비스에서 받은 MIME 형식(테이블 참조)과 일치하는지 확인합니다. 이 검사는 데이터 검색과 관련된 파일(문서, 이미지, 프레젠테이션, 스프레드시트, 텍스트 및 zip/보관 파일)에 대한 것입니다. 필터는 파일/폴더 유형별로 작동합니다. 예를 들어 ... 또는 모든 스프레드시트 파일인 모든 폴더는...

MIME 형식 파일 형식
- application/vnd.openxmlformats-officedocument.wordprocessingml.document
- application/vnd.ms-word.document.macroEnabled.12
- application/msword
- application/vnd.oasis.opendocument.text
- application/vnd.stardivision.writer
- application/vnd.stardivision.writer-global
- application/vnd.sun.xml.writer
- application/vnd.stardivision.math
- application/vnd.stardivision.chart
- application/x-starwriter
- application/x-stardraw
- application/x-starmath
- application/x-starchart
- application/vnd.google-apps.document
- application/vnd.google-apps.kix
- 애플리케이션/pdf
- application/x-pdf
- application/vnd.box.webdoc
- application/vnd.box.boxnote
- application/vnd.jive.document
- text/rtf
- 애플리케이션/rtf		 문서
- application/vnd.oasis.opendocument.image
- application/vnd.google-apps.photo
- 으로 시작: image/		 이미지
- application/vnd.openxmlformats-officedocument.presentationml.presentation
- application/vnd.ms-powerpoint.template.macroEnabled.12
- application/mspowerpoint
- 애플리케이션/파워포인트
- application/vnd.ms-powerpoint
- application/x-mspowerpoint
- application/mspowerpoint
- application/vnd.ms-powerpoint
- application/vnd.oasis.opendocument.presentation
- application/vnd.sun.xml.impress
- application/vnd.stardivision.impress
- application/x-starimpress
- application/vnd.google-apps.presentation		 프레젠테이션
- application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
- application/vnd.ms-excel.sheet.macroEnabled.12
- 애플리케이션/excel
- application/vnd.ms-excel
- application/x-excel
- application/x-msexcel
- application/vnd.oasis.opendocument.spreadsheet
- application/vnd.sun.xml.calc
- application/vnd.stardivision.calc
- application/x-starcalc
- application/vnd.google-apps.spreadsheet		 스프레드시트
- 으로 시작: text/ 텍스트
다른 모든 파일 MIME 형식 기타

policy_file 필터 형식입니다.

  • 휴지통 – 휴지통 폴더의 파일을 제외/포함합니다. 이러한 파일은 여전히 공유되고 위험할 수 있습니다.

    참고

    이 필터는 SharePoint 및 OneDrive의 파일에는 적용되지 않습니다.

    policy_file 휴지통을 필터링합니다.

  • 마지막으로 수정한 – 파일 수정 시간입니다. 필터는 날짜, 날짜 범위 및 상대 시간 식 전후를 지원합니다. 예를 들어 지난 6개월 동안 수정되지 않은 모든 파일입니다.

  • 일치 정책 - 활성 Defender for Cloud Apps 정책과 일치하는 파일입니다.

  • MIME 형식 – 파일 MIME 형식 검사. 무료 텍스트를 허용합니다.

  • 소유자 - 특정 파일 소유자를 포함/제외합니다. 예를 들어 rogue_employee_#100에서 공유하는 모든 파일을 추적합니다.

  • 소유자 OU – 특정 조직 구성 단위에 속한 파일 소유자를 포함하거나 제외합니다. 예를 들어 EMEA_marketing 공유한 파일을 제외한 모든 공용 파일입니다. Google 드라이브에 저장된 파일에만 적용됩니다.

  • 부모 폴더 – 특정 폴더를 포함하거나 제외합니다(하위 폴더에는 적용되지 않음). 예를 들어 이 폴더의 파일을 제외한 모든 공개적으로 공유된 파일입니다.

    참고

    Defender for Cloud Apps 일부 파일 작업이 수행된 후에만 새 SharePoint 및 OneDrive 폴더를 검색합니다.

  • 격리됨 – 서비스에서 격리된 파일인 경우 예를 들어 격리된 모든 파일을 표시합니다.

정책을 만들 때 필터에 적용을 설정하여 특정 파일에서 실행 되도록 설정할 수도 있습니다. 모든 파일, 선택한 폴더(하위 폴더 포함) 또는 선택한 폴더를 제외한 모든 파일로 필터링합니다. 그런 다음, 관련된 파일 또는 폴더를 선택합니다.

필터에 적용합니다.

파일 권한 부여

Defender for Cloud Apps 맬웨어 또는 DLP 위험을 초래하는 것으로 파일을 식별한 후 파일을 조사하는 것이 좋습니다. 파일이 안전하다고 판단되면 권한을 부여할 수 있습니다. 파일에 권한을 부여하면 맬웨어 검색 보고서에서 파일이 제거되고 이 파일의 향후 일치 항목이 표시되지 않습니다.

파일에 권한을 부여하려면

  1. Microsoft Defender Portal의 Cloud Apps에서 정책 ->정책 관리를 선택합니다. 정보 보호 탭을 선택합니다.

  2. 정책 목록에서 조사를 트리거한 정책이 표시되는 행의 개수 열에서 일치 링크를 선택합니다.

    유형별로 정책 목록을 필터링할 수 있습니다. 다음 표에서는 사용할 필터 형식을 위험 유형별로 나열합니다.

    위험 유형 필터 형식
    DLP 파일 정책
    맬웨어 맬웨어 탐지 정책

  3. 일치하는 파일 목록에서 조사 중인 파일이 표시되는 행에서 권한 부여에 대한 ✓ 를 선택합니다.

파일 서랍 작업

파일 로그에서 파일 자체를 선택하여 각 파일에 대한 자세한 정보를 볼 수 있습니다. 이 항목을 선택하면 파일에 대해 수행할 수 있는 다음과 같은 추가 작업을 제공하는 파일 서랍 이 열립니다.

  • URL - 파일 위치로 이동합니다.
  • 파일 식별자 - 파일 ID 및 암호화 키를 사용할 수 있는 경우 파일에 대한 원시 데이터 세부 정보가 포함된 팝업을 엽니다.
  • 소유자 - 이 파일의 소유자에 대한 사용자 페이지를 봅니다.
  • 일치 정책 - 파일이 일치하는 정책 목록을 참조하세요.
  • 민감도 레이블 - 이 파일에 있는 Microsoft Purview Information Protection 민감도 레이블 목록을 봅니다. 그런 다음 이 레이블과 일치하는 모든 파일을 기준으로 필터링할 수 있습니다.

파일 서랍의 필드는 서랍에서 직접 수행할 수 있는 추가 파일 및 드릴다운에 대한 컨텍스트 링크를 제공합니다. 예를 들어 소유자 필드 옆에 커서를 이동하는 경우 필터에 "필터에 추가" 아이콘 추가를 사용할 수 있습니다. 소유자를 현재 페이지의 필터에 즉시 추가할 수 있습니다. 설정 코그 아이콘 설정 아이콘 을 사용할 수도 있습니다. 민감 도 레이블과 같은 필드 중 하나의 구성을 수정하는 데 필요한 설정 페이지에 바로 도착하도록 팝업됩니다.

파일 서랍.

사용 가능한 거버넌스 작업 목록은 파일 거버넌스 작업을 참조하세요.

다음 단계

organization 보호하기 위한 모범 사례

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.