데이터 보안 조사(미리 보기)의 데이터 위험 그래프는 자산 및 활동 데이터를 단일 보기로 결합하는 시각적 조사 환경을 제공합니다. Microsoft Sentinel 통합을 통해 지원되며, 조사 범위가 지정된 파일에 대한 이전 30일간의 활동을 요약합니다. 관심 있는 콘텐츠와 상호 작용하는 위험한 사용자 계정을 식별하고 최근 인시던트에 이르는 일련의 이벤트를 분석하는 데 도움이 됩니다. 활동 인사이트를 사용하여 분석을 보강하면 데이터 위험 그래프를 통해 데이터 보안 인시던트를 더 빠르고 신뢰할 수 있게 resolve 수 있습니다.
Microsoft Sentinel 통합에 대한 자세한 내용은 Microsoft Purview의 Microsoft Sentinel 대해 알아보기를 참조하세요.
참고
관리 단위는 데이터 위험 그래프에서 지원되지 않습니다. 관리 단위로 범위를 지정하면 데이터가 데이터 위험 그래프에 표시되지 않습니다.
데이터 위험 그래프에서 지원되는 활동
데이터 위험 그래프는 현재 다음과 같은 반출 활동을 지원합니다.
- SharePoint 또는 OneDrive에서 만든 익명 링크
- SharePoint 또는 OneDrive를 통해 사용되는 익명 링크
- SharePoint 또는 OneDrive에서 만든 회사 링크
- SharePoint 및 OneDrive에서 파일 다운로드
- SharePoint 및 OneDrive에서 이름이 변경된 파일
시작하기 전에
데이터 보안 조사(미리 보기)에서 데이터 위험 그래프를 사용하기 전에 다음 단계를 완료합니다.
- organization 대한 Microsoft Sentinel 종량제 청구에 대해 알아봅니다.
- Microsoft Sentinel 데이터 레이크 및 Microsoft Sentinel 그래프에 대한 필수 구성 요소 구성
- Microsoft Sentinel 데이터 레이크 및 Microsoft Sentinel 그래프에 온보딩할 때 변경된 내용을 검토합니다.
- 데이터 보안 조사(미리 보기)에서 조사를 만듭니다.
데이터 위험 그래프 구성
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
필수 구성 요소를 완료한 후 다음 단계를 완료하여 데이터 보안 조사(미리 보기)에서 데이터 위험 그래프를 구성합니다.
전역 관리자 또는 보안 관리자 역할이 할당된 계정으로 Microsoft Purview 포털로 이동합니다.
데이터 보안 조사(미리 보기) 솔루션 카드 선택한 다음, 왼쪽 탐색 창에서 개요를 선택합니다.
작업 설정 섹션에서 데이터 레이크 및 데이터 위험 그래프 설정을 선택합니다.
데이터 레이크를 설정할 수 있는 올바른 권한이 없는 경우 organization 전역 또는 청구 관리자에게 문의하라는 알림이 나타납니다.
데이터 레이크 & 위험 그래프 설정(미리 보기)의 설정 탭에서 다음 설정을 구성합니다.
- 구독: 사용하려는 Azure 구독을 입력합니다. 선택한 구독은 유효하고 액세스할 수 있어야 합니다. 구독 소유자여야 합니다.
- 리소스 그룹: 사용하려는 리소스 그룹을 입력합니다. 선택한 리소스 그룹은 유효하고 액세스할 수 있어야 합니다.
중요
특정 Azure 구독 및 리소스 그룹에 대해 데이터 레이크를 프로비전한 후에는 다른 구독 또는 리소스 그룹으로 마이그레이션할 수 없습니다.
설정을 선택합니다.
중요
데이터 위험 그래프를 처음 만들 때 가장 최근 7일간의 데이터가 포함됩니다. 시간이 지남에 따라 데이터 위험 그래프가 새로 고쳐지면 조회 창이 최대 30일까지 확장됩니다. 데이터 위험 그래프가 전체 30일 기간에 도달하는 데 다소 시간이 걸릴 수 있으므로 초기 설정 후 점진적인 성장을 기대합니다.
설정 프로세스가 시작되고 온보딩을 완료하는 데 최대 60분이 걸릴 수 있습니다. 프로세스가 실행되는 동안 설치 패널을 닫을 수 있습니다. 온보딩 프로세스가 완료되면 데이터 레이크 설정 & 위험 그래프(미리 보기)에서 완료가 표시됩니다. 데이터 위험 그래프는 Microsoft Sentinel 데이터 레이크를 만들거나 온보딩한 후 발생하는 이벤트를 보여 줍니다.
조사를 위한 데이터 및 데이터 위험 그래프 가용성의 초기 처리에는 24~48시간이 걸릴 수 있습니다.
중요
항상 하나의 데이터 레이크가 있습니다. 이미 다른 Microsoft 서비스를 사용하여 데이터 레이크에 온보딩한 경우 기존 데이터 레이크가 사용됩니다. 데이터 레이크에 온보딩하지 않은 경우 데이터 보안 조사 온보딩(미리 보기)을 사용하면 Defender 포털에서 데이터 레이크 및 그래프를 Microsoft Sentinel 수 있습니다.
데이터 위험 그래프 사용
데이터 보안 조사(미리 보기)의 데이터 위험 그래프는 영향을 받은 데이터, 사용자 및 해당 활동 간의 상관 관계를 고유하게 시각화합니다. 완화 및 다음 단계를 안내하는 중요한 컨텍스트를 제공합니다. 예를 들어 매우 중요한 문서를 발견할 때 데이터 위험 그래프를 통해 다운로드한 사용자 또는 위험한 IP 주소에서 해당 문서에 액세스했는지 여부를 확인할 수 있습니다. 이 가시성을 통해 추가 사용자 또는 조사가 필요한 새 콘텐츠와 같은 데이터 보안 인시던트에 대한 새 노드를 발견할 수 있습니다.
조사를 위해 데이터 위험 그래프를 보려면 하나 이상의 기본 제공 데이터 보안 조사(미리 보기) 역할 그룹에 할당되어야 합니다.
- 데이터 보안 조사 관리자
- 데이터 보안 조사 조사자
- 데이터 보안 조사 검토자
역할 그룹에 대한 자세한 내용은 데이터 보안 조사 권한 할당을 참조하세요.
데이터 보안 조사(미리 보기)에서 데이터 위험 그래프를 사용하려면 다음 단계를 완료합니다.
데이터 보안 조사(미리 보기) 역할 그룹에 할당된 계정이 있는 Microsoft Purview 포털로 이동합니다.
데이터 보안 조사(미리 보기) 솔루션 카드 선택한 다음, 왼쪽 탐색 창에서 사례를 선택합니다.
검토할 조사를 선택한 다음, 다음 옵션 중 하나를 선택합니다.
- 요약에서 조사scope 카드 scope 관리를 선택합니다.
- 분석 탭을 선택하여 조사 scope 포함된 항목을 나열합니다.
scope 포함된 항목(최대 100개)을 선택한 다음, 인사이트 탐색을 선택합니다.
참고
Microsoft Sentinel 데이터 레이크 및 그래프에 대한 데이터 보안 조사(미리 보기)를 구성하지 않으면 인사이트 탐색을 사용할 수 없습니다.
해당하는 시간을 필터링하고 심사 중에 각 연결에 대한 자세한 내용을 보려면 개별 데이터 위험 그래프 노드를 선택합니다.
사용자 또는 자산에서 + 아이콘을 선택하여 그래프에서 관계를 확장합니다.
데이터 위험 그래프에는 여러 노드가 포함됩니다. 노드를 선택하면 노드에 대한 세부 정보가 표시됩니다.
- 사용자 세부 정보: 조사와 관련된 사용자에 대한 정보를 표시합니다. 이 정보에는 UPN(사용자 계정 이름), 레이블, 위치, 직함 등을 포함하여 각 사용자에 대한 organization 정보가 포함됩니다.
- 관계: 노드 간의 연결 시작 및 종료에 대한 정보를 표시합니다. 이 정보에는 시작 및 마지막 연결 날짜, 관계 유형 등이 포함됩니다.
- IP 주소: 각 IP 주소 노드에 대한 정보를 표시합니다.
- 데이터 세부 정보: 파일 및 사이트에 대한 정보를 표시합니다. 이 정보에는 개체 위치, 형식, 레이블 등이 포함됩니다.
지난 30일간의 활동을 기반으로 사용자에 대한 데이터 위험 그래프 정보를 볼 수 있습니다. 이 기간은 고정되어 있으며 연장할 수 없습니다.