다음을 통해 공유

데이터 보안 조사 자격 증명 검사 검토(미리 보기)

자격 증명 및 기타 자산 액세스 정보가 데이터 보안 인시던트와 어떻게 연결되는지 이해하는 것은 위험을 식별하고 완화하는 데 중요한 부분입니다.

예를 들어 데이터 보안 인시던트와 관련된 영향을 받은 데이터 내에서 자격 증명을 검색하는 경우 organization Microsoft Entra 관리자가 조사에 참여하고, 추출된 자격 증명을 안전하게 보고, 계정을 다시 설정하는 데 필요한 다음 단계를 수행할 수 있습니다. 조사 학습을 사용하여 기존 계정 관리 정책을 구체화하여 organization 보안 관행을 강화할 수도 있습니다.

자격 증명 및 자산 액세스 정보에 대한 데이터 분석

조사 scope 포함된 항목에서 자격 증명 및 자산 액세스 데이터를 식별하려면 다음 단계를 완료합니다.

중요

검사를 구성하기 전에 AI 분석을 위한 데이터를 준비 해야 합니다.

  1. Microsoft Purview 포털로 이동하여 데이터 보안 조사(미리 보기) 권한이 할당된 사용자 계정에 대한 자격 증명을 사용하여 로그인합니다.
  2. 데이터 보안 조사(미리 보기) 솔루션 카드 선택한 다음, 왼쪽 탐색 창에서 조사를 선택합니다.
  3. 조사를 선택한 다음 탐색 모음에서 분석을 선택합니다.
  4. 벡터 검색 또는 분류 도구를 사용하여 자격 증명 검사를 위한 데이터를 식별합니다.
  5. 하나 이상의 항목을 선택한 다음 명령 모음에서 검사를 선택합니다.
  6. AI로 검사 대화 상자의 작업 이름 필드에 검사 프로세스의 이름을 입력합니다.
  7. 작업 설명 필드에 시험 프로세스에 대한 설명을 입력합니다.
  8. 자격 증명 선택: 포커스 영역 선택 필드에서 선택한 항목에서 자격 증명 추출 및 자산에 액세스합니다.
  9. 검사를 선택하여 AI 분석을 시작합니다.

참고

프로세스 완료 예상 시간은 선택한 데이터의 양과 크기를 기준으로 합니다. 처리 시간을 줄이려면 조사에 적용할 수 없는 데이터를 필터링하고 제외합니다.

자격 증명 검사

선택한 데이터 항목에 대한 AI 처리가 완료되면 자격 증명 검사를 검토하여 각 항목에 대한 자격 증명 및 자산 액세스 세부 정보를 식별할 수 있습니다.

자격 증명 검사에는 각 항목에 대한 다음 정보가 포함됩니다.

  • 제목/제목: 데이터 항목의 제목 또는 제목입니다.
  • 추출된 자격 증명: 데이터 항목에 포함된 자격 증명 세부 정보입니다. 이 정보에는 사용자 이름, 암호 등이 포함됩니다.
  • 자격 증명 형식: 자격 증명 형식입니다. 사용자 자격 증명, API 토큰, MFA 백업 코드 등이 포함될 수 있습니다.
  • 주변 코드 조각: 자격 증명 세부 정보를 둘러싼 텍스트 또는 문자열 값입니다. 이 정보는 데이터 항목에서 자격 증명이 사용되는 컨텍스트를 결정하는 데 도움이 됩니다.
  • 사고 프로세스: 항목과 연결된 자격 증명이 중요한 이유에 대한 추론의 요약입니다.
  • 오류: AI 프로세스가 실행될 때 발생하는 처리 오류에 대한 요약입니다.

자격 증명 검사 예제

검사의 출력은 식별된 각 항목에 대한 요약 또는 주석일 수 있습니다. 검사는 중요한 내용의 문장 또는 데이터 조각을 강조 표시합니다.

예를 들어 검사 결과 파일 X에서 AI는 문서에서 10개의 사용자 암호와 5개의 API 키와 같은 모양을 발견 했습니다. 또는 전자 메일의 경우 Email Y에는 데이터베이스 자격 증명 공유에 대한 대화가 포함되어 있습니다. 이 요약은 각 항목에 대한 모든 줄을 수동으로 읽지 못하게 하고 위험한 콘텐츠를 매우 빠르게 심사하는 데 도움이 됩니다. 다음은 자격 증명 위험이 있는 항목에 대한 심층 검사 출력의 예입니다.

File String 유형 추출된 값 분석
EV-1.docx T9!vX3p@7qLz LoosePassword T9!vX3p@7qLz 문자열은 대문자, 소문자, 숫자 및 특수 문자를 포함하는 일반적인 암호 패턴과 일치합니다. 다른 지표는 없으므로 로 LoosePassword분류됩니다.

일반 텍스트 암호가 있는 항목은 시스템에서 로 Critical risk: Credentials exposed 태그를 지정할 수 있습니다. 이러한 검사는 중요하며, 인간 분석가가 심각하게 생각하는 것과 일치하며 설명도 포함합니다.

또한 다음 작업을 수행해야 합니다.

  • 중요한 세부 정보를 수동으로 확인: 검사 프로세스에서 무거운 작업을 수행하는 동안 가장 중요한 부분을 수동으로 확인해야 합니다. 문서에서 특정 암호가 식별되면 문서를 열어 컨텍스트를 확인합니다. 이 암호가 실제 활성 암호이고 해당 암호인지 확인해야 합니다. instance 경우 문자열 P@ssw0rd123 이 식별될 수 있으며 암호로 레이블이 지정됩니다. 그러나 파일을 열면 VPN 자격 증명 이라는 테이블이 있고 콘텐츠에서 예제 자리 표시자로만 표시되지 않는지 확인합니다. 이는 실행 가능한지 확인하고 조치를 취하는 데 필요한 정보를 제공합니다.
  • scope 확장: 경우에 따라 검사를 통해 더 많은 데이터를 끌어와야 하는 새로운 단서가 드러날 수 있습니다. 예를 들어 처음에 검색하지 않은 프로젝트 이름 또는 사용자 계정에 대한 참조를 검색합니다. 관련 항목이 있는지 확인하려면 프로젝트 또는 사용자 계정에 대한 다른 검색을 고려해야 합니다. 프로젝트 이름에 대한 벡터 검색은 암호를 명시적으로 멘션 않지만 보안 인시던트와 관련된 관련 파일을 찾을 수 있습니다.
  • Last updated on