다음을 통해 공유

Microsoft Defender for Cloud Apps 활동 정책 만들기

  • 아티클

활동 정책을 사용하면 앱 공급자의 API를 사용하여 광범위한 자동화된 프로세스를 적용할 수 있습니다. 이러한 정책을 사용하면 다양한 사용자가 수행하는 특정 활동을 모니터링하거나 특정 유형의 활동에 대해 예기치 않게 높은 비율을 따를 수 있습니다.

활동 검색 정책을 설정하면 경고가 생성되기 시작합니다. 경고는 정책을 만든 후에 발생하는 활동에서만 생성됩니다.

참고

  • 하루에 200,000개 이상의 일치 항목 또는 3시간당 100,000개 일치 항목을 트리거하는 정책은 자동으로 비활성화될 수 있습니다. 추가 필터를 추가하여 정책을 구체화하거나 보고 목적으로 정책을 사용하는 경우 대신 쿼리로 저장하는 것이 좋습니다.
  • 새 정책을 설정하여 배포하는 데 최대 15분이 걸릴 수 있습니다.

사용자 지정 경고

활동 정책을 사용하면 사용자 지정 경고를 보내거나 사용자 활동이 감지될 때 수행되는 작업을 수행할 수 있습니다. 예를 들어 다음을 수행할 때마다 알고 싶습니다.

  • 사용자가 로그인을 시도하고 1분 동안 70번 실패합니다.
  • 사용자가 7,000개의 파일을 다운로드합니다.
  • 사용자가 익숙하지 않은 국가/지역에서 로그인합니다.

이러한 이벤트가 발생할 때 사용자 자신 또는 사용자에게 전송되도록 활동 경고를 설정할 수 있습니다. 발생한 내용 조사를 완료할 때까지 사용자를 일시 중단할 수도 있습니다.

새 활동 정책을 만들려면 다음 절차를 수행합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 그런 다음 위협 검색 탭을 선택합니다.

  2. 정책 만들기를 클릭하고 활동 정책을 선택합니다.

    위협 탐지 정책을 만듭니다.

  3. 정책 템플릿을 기반으로 할 수 있는 경우 정책 이름과 설명을 지정합니다. 정책 템플릿에 대한 자세한 내용은 정책을 사용하여 클라우드 앱 제어를 참조하세요.

  4. 이 정책을 트리거할 작업 또는 기타 메트릭을 설정하려면 활동 필터를 사용합니다.

    지정된 필터 필드에 값이 있는 결과만 포함하려면 is set 테스트를 사용하여 동일한 필드를 다시 추가하는 것이 좋습니다. 예를 들어 위치별 필터링이 지정된 국가/지역 목록과 같지 않은 경우 Location에 대한 필터도 설정됩니다. 결과 편집 및 미리 보기를 선택하여 필터 결과를 미리 볼 수도 있습니다. 예시:

    위치 필드가 설정된 것을 보여 주는 필터 설정의 스크린샷.

    필터가 같지 않고 특성이 이벤트에 없으면 이벤트가 필터링되지 않습니다. 예를 들어 디바이스 태그에 대한 필터링은 하이브리드 조인이 Microsoft Entra 디바이스가 조인된 경우에도 디바이스 태그를 포함하지 않는 이벤트를 필터링하지 Microsoft Entra.

    게스트 사용자의 경우 사용자 그룹 필터가 해당 도메인에서 계정을 인식하지 못하는 경우가 있을 수 있습니다. 모든 게스트 사용자가 포함되어 있는지 확인하려면 정책에 대한 요구 사항을 충족하는 경우 외부 사용자를 그룹으로 사용합니다.

  5. 정책에 대한 필터 만들기에서 정책 위반이 트리거될 시기를 선택합니다. 단일 활동이 필터와 일치하는 경우 또는 지정된 수의 반복 작업이 검색된 경우에만 트리거하도록 선택합니다.

    • 반복 작업을 선택하는 경우 단일 앱에서 를 설정할 수 있습니다. 이 설정은 동일한 앱에서 반복되는 활동이 발생하는 경우에만 정책 일치를 트리거합니다. 예를 들어 Box에서 30분 동안 5건의 다운로드가 정책 일치를 트리거합니다.

  6. 일치 항목이 발견되면 수행해야 하는 작업을 구성합니다.

다음 예제를 살펴보세요.

  • 여러 로그인 실패

    짧은 기간 내에 많은 수의 실패한 로그인이 발생할 때 경고를 받도록 정책을 설정할 수 있습니다. 이러한 종류의 정책을 구성하려면 새 활동 정책 페이지에서 적절한 활동 필터를 선택합니다.

    활동 필터 필드 아래에서 경고가 트리거될 매개 변수를 구성합니다.

    실패한 여러 로그인 시도에 대한 정책 예제입니다.

  • 높은 다운로드 속도

    예기치 않거나 특이한 수준의 다운로드 작업이 있을 때 경고를 받도록 정책을 설정할 수 있습니다. 이러한 종류의 정책을 구성하려면 속도 매개 변수에서 경고를 트리거할 매개 변수를 선택합니다.

    높은 다운로드 속도 예제입니다.

활동 정책 참조

이 섹션에는 정책에 대한 참조 세부 정보, 각 정책 유형에 대한 설명 및 각 정책에 대해 구성할 수 있는 필드가 있습니다.

활동 정책은 클라우드에서 organization 활동을 모니터링할 수 있는 API 기반 정책입니다. 이 정책은 디바이스 유형 및 위치를 포함하여 20개가 넘는 파일 메타데이터 필터를 고려합니다. 정책 결과에 따라 알림을 생성할 수 있으며 사용자는 클라우드 앱에서 일시 중단될 수 있습니다. 각 정책은 다음 부분으로 구성됩니다.

  • 활동 필터 – 메타데이터에 따라 세분화된 조건을 만들 수 있습니다.

  • 활동 일치 매개 변수 – 활동 반복이 정책과 일치하는 것으로 간주되는 횟수에 대한 임계값을 설정할 수 있습니다. 정책과 일치하는 데 필요한 반복 작업 수를 지정합니다. 예를 들어 사용자가 2분 동안 10번의 로그인 시도가 실패할 때 경고하도록 정책을 설정합니다. 기본적으로 활동 일치 매개 변수 는 모든 활동 필터를 충족하는 모든 단일 활동에 대해 일치를 발생합니다.

    • 반복된 활동을 사용하여 반복된 활동 수, 활동이 계산되는 시간 프레임의 기간을 설정할 수 있습니다. 동일한 사용자와 동일한 클라우드 앱에서 모든 활동을 수행해야 한다고 지정할 수도 있습니다.

  • 작업 – 정책은 위반이 감지될 때 자동으로 적용할 수 있는 거버넌스 작업 집합을 제공합니다.

다음 단계

데이터 보호 정책

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.