다음을 통해 공유


Defender for Cloud Apps Microsoft 365 환경을 보호하는 방법

클라우드 파일 스토리지, 공동 작업, BI 및 CRM 도구를 제공하는 주요 생산성 제품군인 Microsoft 365를 사용하면 사용자가 간소화되고 효율적인 방식으로 organization 및 파트너 간에 문서를 공유할 수 있습니다. Microsoft 365를 사용하면 중요한 데이터를 내부적으로뿐만 아니라 외부 협력자에게 노출하거나 더 나쁜 경우 공유 링크를 통해 공개적으로 사용할 수 있습니다. 이러한 인시던트가 악의적인 행위자 또는 인식할 수 없는 직원으로 인해 발생할 수 있습니다. 또한 Microsoft 365는 생산성 향상에 도움이 되는 대규모 타사 앱 에코 시스템을 제공합니다. 이러한 앱을 사용하면 악의적인 앱 또는 과도한 권한이 있는 앱을 사용할 위험에 organization 노출할 수 있습니다.

Microsoft 365를 Defender for Cloud Apps 연결하면 사용자의 활동에 대한 인사이트를 향상시키고, 기계 학습 기반 변칙 검색, 정보 보호 검색(예: 외부 정보 공유 검색)을 사용하여 위협 탐지를 제공하고, 자동화된 수정 제어를 사용하도록 설정하고, organization 사용하도록 설정된 타사 앱의 위협을 검색할 수 있습니다.

Defender for Cloud Apps Microsoft 365의 감사 로그와 직접 통합되며 지원되는 모든 서비스에 대한 보호를 제공합니다. 지원되는 서비스 목록은 감사를 지원하는 Microsoft 365 서비스를 참조하세요.

이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SaaS SSPM(보안 태세 관리) 기능에 액세스합니다. 자세히 알아보기.

Microsoft 365에 대한 파일 검사 개선 사항

Defender for Cloud Apps SharePoint 및 OneDrive에 대한 새로운 파일 검색 개선 사항을 추가했습니다.

  • SharePoint 및 OneDrive의 파일에 대한 빠른 실시간 검색 속도입니다.

  • SharePoint에서 파일의 액세스 수준에 대한 더 나은 식별: SharePoint의 파일 액세스 수준은 기본적으로 내부로 표시되고 비공개 로 표시되지 않습니다(SharePoint의 모든 파일은 사이트 소유자뿐만 아니라 파일 소유자도 액세스할 수 있기 때문에).

    참고

    이 변경 내용은 파일 정책에 영향을 미칠 수 있습니다(파일 정책이 SharePoint에서 내부 또는 프라이빗 파일을 찾고 있는 경우).

주요 위협

  • 손상된 계정 및 내부자 위협
  • 데이터 유출
  • 보안 인식 부족
  • 악의적인 타사 앱
  • 맬웨어
  • 피싱
  • 랜섬웨어
  • 관리되지 않는 사용자 고유의 디바이스 가져오기(BYOD)

Defender for Cloud Apps 환경 보호에 도움이 되는 방법

기본 제공 정책 및 정책 템플릿을 사용하여 Microsoft 365 제어

다음 기본 제공 정책 템플릿을 사용하여 잠재적 위협을 감지하고 알릴 수 있습니다.

유형 이름
기본 제공 변칙 검색 정책 익명 IP 주소에서의 활동
의외의 국가에서의 활동
의심스러운 IP 주소의 활동
불가능한 이동
종료된 사용자가 수행하는 작업(IdP로 Microsoft Entra ID 필요)
맬웨어 탐지
여러 번 실패한 로그인 시도
랜섬웨어 검색
의심스러운 이메일 삭제 작업(미리 보기)
의심스러운 받은 편지함 전달
비정상적인 파일 삭제 작업
비정상적인 파일 공유 활동
비정상적인 여러 파일 다운로드 활동
활동 정책 템플릿 위험한 IP 주소에서 로그온
단일 사용자가 대량 다운로드
잠재적 랜섬웨어 활동
액세스 수준 변경(Teams)
추가된 외부 사용자(Teams)
대량 삭제(Teams)
파일 정책 템플릿 권한이 없는 도메인과 공유된 파일 검색
개인 전자 메일 주소와 공유된 파일 검색
PII/PCI/PHI를 사용하여 파일 검색
OAuth 앱 이상 탐지 정책 오해의 소지가 있는 OAuth 앱 이름
OAuth 앱의 잘못된 게시자 이름
악의적인 OAuth 앱 동의

정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.

거버넌스 제어 자동화

잠재적 위협에 대한 모니터링 외에도 다음 Microsoft 365 거버넌스 작업을 적용하고 자동화하여 검색된 위협을 수정할 수 있습니다.

유형 작업
데이터 거버넌스 OneDrive:
- 부모 폴더 사용 권한 상속
- 파일/폴더를 비공개로 설정
- 관리 격리에 파일/폴더 배치
- 사용자 격리에 파일/폴더 배치
- 휴지통 파일/폴더
- 특정 협력자 제거
- 파일/폴더에서 외부 협력자 제거
- Microsoft Purview Information Protection 민감도 레이블 적용
- Microsoft Purview Information Protection 민감도 레이블 제거
SharePoint:
- 부모 폴더 사용 권한 상속
- 파일/폴더를 비공개로 설정
- 관리 격리에 파일/폴더 배치
- 사용자 격리에 파일/폴더 배치
- 사용자 격리에 파일/폴더 배치 및 소유자 권한 추가
- 휴지통 파일/폴더
- 파일/폴더에서 외부 협력자 제거
- 특정 협력자 제거
- Microsoft Purview Information Protection 민감도 레이블 적용
- Microsoft Purview Information Protection 민감도 레이블 제거
사용자 거버넌스 - 사용자에게 경고 알림(Microsoft Entra ID 통해)
- 사용자가 다시 로그인하도록 요구(Microsoft Entra ID 통해)
- 사용자 일시 중단(Microsoft Entra ID 통해)
OAuth 앱 거버넌스 - OAuth 앱 권한 취소

앱의 위협 수정에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.

Microsoft 365를 실시간으로 보호

외부 사용자와의 보안 및 공동 작업 및관리되지 않거나 위험한 디바이스에 대한 중요한 데이터 다운로드를 차단 및 보호하기 위한 모범 사례를 검토합니다.

Microsoft 365와의 Defender for Cloud Apps 통합

Defender for Cloud Apps 레거시 Microsoft 365 전용 플랫폼뿐만 아니라 Microsoft 365의 vNext 릴리스 제품군이라고도 하는 Microsoft 365 서비스의 최신 제품을 지원합니다.

경우에 따라 vNext 서비스 릴리스는 표준 Microsoft 365 제품과 관리 및 관리 수준에서 약간 다릅니다.

감사 로깅

Defender for Cloud Apps Microsoft 365의 감사 로그와 직접 통합되며 지원되는 모든 서비스에서 감사된 모든 이벤트를 수신합니다. 지원되는 서비스 목록은 감사를 지원하는 Microsoft 365 서비스를 참조하세요.

  • Microsoft 365에서 기본적으로 사용하도록 설정된 Exchange 관리자 감사 로깅은 관리자(또는 관리자 권한이 할당된 사용자)가 Exchange Online organization 변경하면 Microsoft 365 감사 로그에 이벤트를 기록합니다. Exchange 관리 센터를 사용하거나 Windows PowerShell cmdlet을 실행하여 변경한 내용은 Exchange 관리자 감사 로그에 기록됩니다. Exchange의 관리자 감사 로깅에 대한 자세한 내용은 관리자 감사 로깅을 참조하세요.

  • Exchange, Power BITeams의 이벤트는 포털에서 해당 서비스의 활동이 검색된 후에만 표시됩니다.

  • 다중 지역 배포는 OneDrive에 대해서만 지원됩니다.

Microsoft Entra 통합

  • Microsoft Entra ID Active Directory 온-프레미스 환경의 사용자와 자동으로 동기화되도록 설정된 경우 온-프레미스 환경의 설정이 Microsoft Entra 설정을 재정의하고 사용자 거버넌스 일시 중단 작업의 사용이 되돌려집니다.

  • Microsoft Entra 로그인 작업의 경우 Defender for Cloud Apps ActiveSync와 같은 레거시 프로토콜의 대화형 로그인 활동 및 로그인 활동만 표시합니다. 비대화형 로그인 활동은 Microsoft Entra 감사 로그에서 볼 수 있습니다.

  • Office 앱을 사용하도록 설정하면 Microsoft 365의 일부인 그룹도 특정 Office 앱에서 Defender for Cloud Apps 가져오기(예: SharePoint를 사용하는 경우 Microsoft 365 그룹도 SharePoint 그룹으로 가져옵니다.)

격리 지원

  • SharePoint 및 OneDrive에서 Defender for Cloud Apps 공유 문서 라이브러리(SharePoint Online)의 파일 및 문서 라이브러리(비즈니스용 OneDrive)의 파일에 대해서만 사용자 격리를 지원합니다.

  • SharePoint에서 Defender for Cloud Apps 영어로 된 경로에 공유 문서가 있는 파일에 대해서만 격리 작업을 지원합니다.

Microsoft 365를 Microsoft Defender for Cloud Apps 연결

이 섹션에서는 앱 커넥터 API를 사용하여 기존 Microsoft 365 계정에 Microsoft Defender for Cloud Apps 연결하는 지침을 제공합니다. 이 연결을 통해 Microsoft 365 사용을 파악하고 제어할 수 있습니다. Defender for Cloud Apps Microsoft 365를 보호하는 방법에 대한 자세한 내용은 Microsoft 365 보호를 참조하세요.

이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SaaS SSPM(보안 태세 관리) 기능에 액세스합니다. 자세히 알아보기.

필수 구성 요소:

Microsoft 365를 Defender for Cloud Apps 연결하려면 다음을 수행합니다.

  1. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다.

  2. 앱 커넥터 페이지에서 +앱 연결을 선택한 다음, Microsoft 365를 선택합니다.

    O365 연결 메뉴 옵션입니다.

  3. Microsoft 365 구성 요소 선택 페이지에서 필요한 옵션을 선택한 다음 연결을 선택합니다.

    참고

    • 최상의 보호를 위해 모든 Microsoft 365 구성 요소를 선택하는 것이 좋습니다.
    • Azure AD 파일 구성 요소에는 Azure AD 작업 구성 요소 및 Defender for Cloud Apps 파일 모니터링이 필요합니다(설정>Cloud Apps>파일>파일 모니터링 사용).

    O365 구성 요소를 연결합니다.

  4. 링크 팔로우 페이지에서 Microsoft 365 연결을 선택합니다.

  5. Microsoft 365가 성공적으로 연결된 것으로 표시되면 완료를 선택합니다.

  6. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다. 연결된 App Connector의 상태 연결되었는지 확인합니다.

SaaS SSPM(보안 태세 관리) 데이터는 보안 점수 페이지의 Microsoft Defender 포털에 표시됩니다. 자세한 내용은 SaaS 앱에 대한 보안 태세 관리를 참조하세요.

참고

Microsoft 365를 연결한 후 API를 끌어당기는 Microsoft 365에 연결된 타사 애플리케이션을 포함하여 일주일 후의 데이터가 표시됩니다. 연결 전에 API를 끌어당기지 않은 타사 앱의 경우 기본적으로 꺼져 있던 API를 켜기 Defender for Cloud Apps Microsoft 365를 연결하는 순간부터 이벤트가 표시됩니다.

앱 연결에 문제가 있는 경우 앱 커넥터 문제 해결을 참조하세요.

다음 단계

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.