Microsoft Defender 포털에서 내부자 위험 위협 조사

• 적용 대상:

  ✅ Microsoft Defender XDR, Microsoft's unified security operations platform

중요

이 문서의 일부 정보는 상업적으로 출시되기 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시되거나 묵시적 보증을 하지 않습니다.

Microsoft Defender 포털에서 Microsoft Purview 내부 위험 관리 경고는 organization 중요한 정보를 보호하고 보안을 유지하는 데 매우 중요합니다. Microsoft Purview 내부 위험 관리 이러한 경고와 인사이트는 직원 또는 계약자의 데이터 유출 및 지적 재산권 도용과 같은 내부 위협을 식별하고 완화하는 데 도움이 됩니다. 이러한 경고를 모니터링하면 조직에서 보안 인시던트 문제를 사전에 처리하여 중요한 데이터가 보호된 상태로 유지되고 규정 준수 요구 사항이 충족되도록 할 수 있습니다.

내부 위험 경고 모니터링의 주요 이점 중 하나는 사용자와 관련된 모든 경고의 통합 보기로, SOC(보안 운영 센터) 분석가가 Microsoft Purview 내부 위험 관리 경고를 다른 Microsoft 보안 솔루션과 상호 연결할 수 있도록 하는 것입니다. 또한 Microsoft Defender 포털에 이러한 경고를 사용하면 고급 헌팅 기능과 원활하게 통합되어 인시던트 조사 및 효과적으로 대응하는 기능이 향상됩니다.

또 다른 이점은 Microsoft Purview 와 Defender 포털 간의 경고 업데이트를 자동으로 동기화하여 실시간 가시성을 보장하고 감독 가능성을 줄이는 것입니다. 이 통합은 내부자 위협을 탐지, 조사 및 대응하는 organization 기능을 강화하여 전반적인 보안 태세를 강화합니다.

인시던트 & 경고로 이동하여 Microsoft Defender 포털에서 내부자 위험 관리 경고를 관리할 수 있습니다. 여기서 다음을 수행할 수 있습니다.

• Microsoft Defender 포털 인시던트 큐의 인시던트 아래에 그룹화된 모든 내부 위험 경고를 봅니다.
• 단일 인시던트에서 Microsoft Purview 데이터 손실 방지 및 Microsoft Entra ID 같은 다른 Microsoft 솔루션과 상관 관계가 있는 내부 위험 경고를 봅니다.
• 경고 큐에서 개별 내부 위험 경고를 봅니다.
• 인시던트 및 경고 큐에서 서비스 원본별로 필터링합니다.
• 참가자 위험 경고의 사용자와 관련된 모든 활동 및 모든 경고를 헌팅합니다.
• 사용자 엔터티 페이지에서 사용자의 내부 위험 활동 요약 및 위험 수준을 봅니다.

시작하기 전에 다음 사항에 유의합니다.

Microsoft Purview 및 내부 위험 관리를 접하는 경우 다음 문서를 읽어보세요.

• Microsoft Purview에 대해 알아보기
• Microsoft Purview 내부 위험 관리 대해 알아보기
• Microsoft Purview 데이터 보안 솔루션

필수 구성 요소

Microsoft Defender 포털에서 내부자 위험 관리 경고를 조사하려면 다음을 수행해야 합니다.

• Microsoft 365 구독이 내부자 위험 관리 액세스를 지원하는지 확인합니다. 구독 및 라이선스에 대해 자세히 알아보세요.
• Microsoft Defender XDR 대한 액세스를 확인합니다. Microsoft Defender XDR 라이선스 요구 사항을 참조하세요.

Microsoft Purview 내부 위험 관리 데이터 공유 설정에서 다른 보안 솔루션과의 데이터 공유를 설정해야 합니다. Microsoft Purview 포털에서 다른 보안 솔루션과 사용자 위험 세부 정보 공유를 켜면 올바른 권한이 있는 사용자가 Microsoft Defender 포털의 사용자 엔터티 페이지에서 사용자 위험 세부 정보를 검토할 수 있습니다. 자세한 내용은 다른 Microsoft 보안 솔루션과 경고 심각도 수준 공유를 참조하세요 .

사용 권한 및 역할

Microsoft Defender XDR 역할

다음 권한은 Microsoft Defender 포털에서 내부자 위험 관리 경고에 액세스하는 데 필수적입니다.

• 보안 운영자
• 보안 읽기 권한자

Microsoft Defender XDR 역할에 대한 자세한 내용은 Microsoft Entra 전역 역할을 사용하여 Microsoft Defender XDR 대한 액세스 관리를 참조하세요.

Microsoft Purview 내부 위험 관리 역할

또한 Microsoft Defender 포털에서 내부자 위험 관리 경고를 보고 관리하려면 다음 내부자 위험 관리 역할 그룹 중 하나의 구성원이어야 합니다.

• 내부자 위험 관리
• 내부자 위험 관리 분석가
• 내부자 위험 관리 조사자

이러한 역할 그룹에 대한 자세한 내용은 내부 위험 관리에 대한 권한 사용을 참조하세요.

Microsoft Defender 포털의 조사 환경

인시던트

사용자와 관련된 내부 위험 관리 경고는 인시던트 대응에 대한 전체적인 접근 방식을 보장하기 위해 단일 인시던트에 상관 관계가 있습니다. 이 상관 관계를 통해 SOC 분석가는 Microsoft Purview 내부 위험 관리 및 다양한 Defender 제품에서 들어오는 사용자에 대한 모든 경고에 대한 통합 보기를 가질 수 있습니다. 또한 모든 경고를 통합하면 SOC 분석가가 경고와 관련된 디바이스의 세부 정보를 볼 수 있습니다.

서비스 원본에서 Microsoft Purview 내부 위험 관리 선택하여 인시던트 필터링을 수행할 수 있습니다.

경고

모든 내부 위험 관리 경고는 Microsoft Defender 포털의 경고 큐에도 표시됩니다. 서비스 원본에서 Microsoft Purview 내부 위험 관리 선택하여 이러한 경고를 필터링합니다.

다음은 Microsoft Defender 포털의 내부자 위험 관리 경고의 예입니다.

Microsoft Purview 또는 Microsoft Defender 포털의 내부자 위험 관리 경고에 대한 모든 업데이트는 두 포털에 자동으로 반영됩니다. 이러한 업데이트에는 다음이 포함될 수 있습니다.

• 경고 상태
• 심각도
• 경고를 생성한 활동
• 트리거 정보
• 분류

업데이트는 경고 생성 또는 업데이트 후 30분 이내에 두 포털에 모두 반영됩니다.

고급 헌팅

고급 헌팅을 사용하여 내부자 위험 이벤트 및 동작을 추가로 조사합니다. 고급 헌팅에서 사용할 수 있는 내부 위험 관리 데이터의 요약은 아래 표를 참조하세요.

테이블 이름	설명
AlertInfo	내부 위험 관리 경고는 다양한 Microsoft 보안 솔루션의 경고에 대한 정보를 포함하는 AlertInfo 테이블의 일부로 사용할 수 있습니다.
AlertEvidence	내부 위험 관리 경고는 다양한 Microsoft 보안 솔루션의 경고와 연결된 엔터티에 대한 정보를 포함하는 AlertEvidence 테이블의 일부로 제공됩니다.
DataSecurityBehaviors	이 표에는 Microsoft Purview의 기본 또는 고객 정의 정책을 위반하는 잠재적으로 의심스러운 사용자 동작에 대한 인사이트가 포함되어 있습니다.
DataSecurityEvents	이 표에는 Microsoft Purview의 기본 또는 고객 정의 정책을 위반하는 사용자 활동에 대한 보강 이벤트가 포함되어 있습니다.

아래 예제에서는 DataSecurityEvents 테이블을 사용하여 잠재적으로 의심스러운 사용자 동작을 조사합니다. 이 경우 사용자가 Google 드라이브에 파일을 업로드했는데, 회사에서 Google 드라이브에 파일 업로드를 지원하지 않는 경우 의심스러운 동작으로 볼 수 있습니다.

Graph API 통해 내부자 위험 관리 데이터 통합

Microsoft 보안 Graph API 사용하여 내부자 위험 관리 경고, 인사이트 및 지표를 다른 SIEM 도구, 데이터 레이크, 티켓 시스템 등과 통합할 수 있습니다.

특정 API에서 내부 위험 관리 데이터를 찾으려면 아래 표를 참조하세요.

테이블 이름	설명	모드
인시던트	Defender XDR 통합 인시던트 큐의 모든 내부 위험 인시던트 포함	읽기/쓰기
경고	Defender XDR 통합 경고 큐와 공유되는 모든 내부 위험 경고 포함	읽기/쓰기
지능형 헌팅	경고, 동작 및 이벤트를 포함하여 고급 헌팅에 모든 내부 위험 관리 데이터를 포함합니다.	읽기

참고

내부 위험 경고 정보는 경고 및 고급 헌팅 그래프 네임스페이스 모두에서 액세스할 수 있습니다. 고급 헌팅의 내부 위험 동작 및 이벤트는 API에서 KQL 쿼리를 전달하여 Graph API 액세스할 수 있습니다.

Office 365 관리 활동 API를 사용하는 고객의 경우 IRM 데이터에 대한 보다 풍부한 메타데이터 및 양방향 지원을 보장하기 위해 Microsoft 보안 Graph API 마이그레이션하는 것이 좋습니다.

Microsoft Sentinel 사용자에게 미치는 영향

내부자 위험 경고 데이터를 통합하기 위해 Microsoft Purview 내부 위험 관리 경고 정보를 내보내는 Microsoft Sentinel 고객은 Microsoft Defender XDR-Microsoft Sentinel 커넥터로 마이그레이션하는 것이 좋습니다.

Defender XDR-Microsoft Sentinel 커넥터가 켜져 있으면 내부 위험 관리 경고가 자동으로 Microsoft Sentinel 통합됩니다. 경고에 대한 스키마는 Graph API 노출되는 스키마와 동일합니다. Defender XDR-Microsoft Sentinel 커넥터를 통해 노출되는 경고 스키마는 내보낸 모든 기존 필드를 다루며 내부자 위험 관리 경고에 대한 추가 메타데이터를 제공합니다.

참고

Defender XDR-Microsoft Sentinel 커넥터가 켜져 있으면 역할 기반 액세스 제어 설정에 관계없이 Microsoft Sentinel Microsoft Purview 내부 위험 관리 데이터에 액세스할 수 있습니다.

동작 및 이벤트와 같은 추가 내부 위험 관리 데이터를 Microsoft Sentinel 통합하려면 Microsoft Defender Microsoft Sentinel 온보딩하여 전체 보안 운영 센터의 통합 보기를 가져오는 것이 좋습니다. 온보딩을 사용하면 내부 위험 관리 경고 및 기타 데이터를 Microsoft Sentinel Microsoft Defender 가져와 테이블 간 헌팅 및 기타 강력한 워크플로를 허용하는 데 도움이 됩니다. 온보딩하려면 Microsoft Defender Microsoft Sentinel 연결을 참조하세요.

다음 단계

내부 위험 인시던트 또는 경고를 조사한 후 다음 중 하나라도 수행할 수 있습니다.

• Microsoft Purview 포털에서 경고에 계속 응답합니다.
• 고급 헌팅을 사용하여 Microsoft Defender 포털에서 다른 내부자 위험 관리 이벤트를 조사합니다.