다음을 통해 공유

데이터 보안 조사 결과 검색, 검토 및 구체화(미리 보기)

데이터 보안 조사 검색(미리 보기)을 사용하여 보안 인시던트와 관련된 organization 전자 메일, 문서 및 인스턴트 메시징 대화와 같은 Microsoft 365 콘텐츠를 검색할 수 있습니다. 검색을 사용하여 다음 클라우드 기반 Microsoft 365 데이터 원본에서 콘텐츠를 찾습니다.

데이터 원본 검색된 콘텐츠 형식 위험한 콘텐츠 예제
Exchange Online 사용자 사서함의 전자 메일 및 첨부 파일 전자 메일로 전송된 자격 증명 또는 비밀, 외부적으로 공유되는 중요한 파일.
Microsoft Copilot AI 프롬프트 및 응답 Copilot 또는 AI 프롬프트의 중요한 데이터입니다.
Microsoft Teams 채팅 메시지(1:1 및 그룹 채팅) 및 채널 게시물 채팅에 포함된 비밀, Teams 대화의 기밀 정보.
OneDrive 사용자 파일 보안 액세스 키가 있는 사용자 파일, 데이터베이스 내보내기 등
SharePoint 사이트의 문서 및 파일 암호, 고객 데이터 또는 기밀 계획이 포함된 문서입니다.

조사와 연결된 다양한 검색을 만들고 실행할 수 있습니다. 키워드, 파일 형식, 인시던트 등의 조건을 사용하여 조사와 가장 관련된 데이터를 사용하여 검색 결과를 반환하는 검색 쿼리를 작성합니다. 다음을 수행할 수도 있습니다.

  • 검색 쿼리를 구체화하여 결과를 좁히는 데 도움이 되는 검색 통계를 봅니다.
  • 검색 결과를 미리 보기하여 관련 데이터를 찾고 있는지 빠르게 확인합니다.
  • 쿼리를 수정하고 검색을 다시 실행하세요.

조사를 트리거한 활동을 고려합니다. 예를 들어 보고된 암호 공유 또는 누수, 의심스러운 파일, 외부 개발 팀과 작업 또는 데이터 반출 또는 관련될 수 있는 특정 개인 또는 팀에 대한 경고가 있습니다. 이 정보를 사용하여 초기 검색 쿼리를 개발할 수 있습니다. 예를 들어 관리자가 암호가 SharePoint에서 일반 텍스트로 저장될 수 있다고 보고한 경우 먼저 SharePoint 및 OneDrive 또는 엔지니어링 팀에서 관리하는 특정 SharePoint 사이트에서 알려진 암호 키워드 또는 파일 이름을 검색합니다.

검색 결과에 만족하고 결과를 검토하고 분석할 준비가 되면 조사 scope 추가합니다. 조사 scope 원본 데이터의 복사본을 추가하면 고급 분류, 검사 및 벡터 검색 도구를 제공하여 AI 분석 및 검토 프로세스를 용이하게 할 수 있습니다.

검색 도구 액세스

특정 조사 내의 페이지 맨 위에 있는 탐색 옵션에서 요약 을 선택하여 검색 도구에 액세스합니다.

검색 도구에는 데이터 원본 선택기, 쿼리 작성기 및 파일별 검색 옵션이 포함 됩니다. 조사 중에 언제든지 검색 쿼리 데이터 원본 및 조건을 구체화하고 조사 scope 결과를 추가할 수 있습니다.

데이터 원본

Microsoft 365에서 데이터는 Exchange, Teams 및 SharePoint의 세 가지 플랫폼에 저장됩니다. 이러한 플랫폼은 Microsoft 365 애플리케이션 내에서 데이터를 구성하고 관리하기 위한 백본 역할을 합니다.

중요

사이트 상태 잠금으로 설정하고 사이트를 NoAccess로 설정한 경우 데이터 보안 조사(미리 보기)는 검색 결과를 반환하지 않습니다. 사이트 잠금 상태 관리에 대한 자세한 내용은 사이트 잠금 및 잠금 해제를 참조하세요. 또한 콘텐츠 저장소에서 문서를 제한하는 경우 데이터 보안 조사 조사자는 데이터 보안 조사(미리 보기)에서 액세스하려면 사이트 관리자, 사이트 소유자 또는 제한된 문서의 소유자 또는 마지막 한정자여야 합니다. 제한된 콘텐츠에 대한 자세한 내용은 데이터 손실 방지 정책 참조를 참조하세요.

대부분의 Microsoft 365 앱은 다음 컨테이너 중 하나 이상에 데이터를 저장합니다.

  • 사용자: 메일, 1:1 Teams 메시지 및 OneDrive 파일과 같은 개별 사용자와 연결된 데이터입니다.
  • 그룹: organization 소유하거나 organization 내의 사용자 그룹이 소유한 데이터입니다. 이러한 그룹을 통합 그룹 또는 Teams라고도 합니다.

데이터 보안 조사(미리 보기)에서 데이터 원본의 개념은 Microsoft 365 플랫폼에서 데이터를 식별하고 관리하는 프로세스를 간소화합니다. 분석가는 사용자 또는 그룹을 선택하고 해당 데이터 원본에 대한 검색을 scope. 분석가는 특정 위치를 선택하거나 제외하여 scope 구체화할 수 있습니다.

분석가는 organization 전체 원본을 사용하여 organization 검색을 수행할 수도 있습니다. 조직 전체 원본은 다음과 같습니다.

  • 모든 사용자 및 그룹: organization 모든 사용자 및 모든 그룹을 포함합니다.
  • 모든 공용 폴더: Exchange 공용 폴더 사서함의 모든 콘텐츠를 포함합니다.

쿼리 작성기

검색의 쿼리 작성기 옵션은 데이터 보안 조사(미리 보기)에서 검색 쿼리를 빌드할 때 시각적 필터링 환경을 제공합니다. AI 분석 도구를 사용하여 검색에서 반환된 항목에서 해당 데이터를 신속하게 식별하므로 더 많은 데이터 원본을 포함하도록 검색 scope 확대하는 전략이 있습니다. 이렇게 하면 검토를 위해 관련 콘텐츠를 제외할 가능성이 줄어듭니다.

쿼리 작성기를 사용하여 AND, OR 및 조건 그룹화 등의 추가 기능을 사용하여 복잡한 쿼리를 생성합니다. 쿼리 작성기의 이러한 기능은 쿼리를 보다 효과적으로 빌드하고, 하위 쿼리를 그룹화하기 위한 시각적 인터페이스를 제공하고, 복잡한 키워드(keyword) 쿼리를 구성하고 검토할 수 있는 추가 공간을 제공하는 데 도움이 됩니다.

쿼리 작성기 사용

검색에 대한 쿼리 및 사용자 지정 필터링을 만들려면 다음 컨트롤을 사용합니다.

  • AND/OR: 이러한 조건부 논리 연산자는 특정 필터 및 필터 하위 그룹에 적용되는 쿼리 조건을 선택하는 데 도움이 됩니다. 이러한 연산자를 사용하여 쿼리의 단일 필터에 연결된 여러 필터 또는 하위 그룹을 포함합니다.
  • 필터 선택: 컬렉션에 대해 선택한 특정 데이터 원본 및 위치 콘텐츠에 대한 필터를 선택합니다.
  • 필터 추가: 쿼리에 여러 필터를 추가합니다. 이 옵션은 하나 이상의 쿼리 필터를 정의한 후에 사용할 수 있게 됩니다.
  • 연산자 선택: 선택한 필터에 따라 호환되는 연산자 중에서 선택할 수 있습니다. 예를 들어 날짜 필터를 선택하는 경우 이전, 이후사이 중에서 선택할 수 있습니다. 크기(바이트) 필터를 선택하는 경우 보다 큼, 크거나 같음, 작음, 작음 또는 같음, 사이같음 중에서 선택할 수 있습니다.
  • : 선택한 필터에 따라 호환되는 값을 입력합니다. 일부 필터는 여러 값을 지원하는 반면 다른 필터는 단일 특정 값을 지원합니다. 예를 들어 날짜 필터를 선택하는 경우 날짜 값을 입력합니다. 크기(바이트) 필터를 선택하는 경우 바이트 값을 입력합니다.
  • 하위 그룹 추가: 필터를 정의한 후 하위 그룹을 추가하여 필터에서 반환된 결과를 구체화합니다. 다중 계층 쿼리 구체화를 위해 하위 그룹에 하위 그룹을 추가할 수도 있습니다.
  • 필터 조건 제거: 개별 필터 또는 하위 그룹을 제거하려면 각 필터 줄 또는 하위 그룹의 오른쪽에 있는 제거 아이콘을 선택합니다.
  • 모두 지우기: 모든 필터 및 하위 그룹의 전체 쿼리를 지우려면 모두 지우기를 선택합니다.

시나리오 예제

데이터 보안 조사(미리 보기) 분석가는 2025년 1월 1일부터 2025년 3월 16일 사이에 사용된 키워드(keyword) 기밀을 포함하는 모든 항목에 대한 쿼리를 만들어야 합니다. 이 예제에서 분석가는 쿼리 작성기를 사용하여 다음 쿼리를 만듭니다.

  1. 첫 번째 필터에서 분석가는 키워드를 선택한 다음 등가 연산자를 선택한 다음 컨트롤에 기밀을 입력합니다.
  2. 다음으로 분석가는 하위 그룹 추가AND 연산자를 선택한 다음 필터 추가를 선택합니다.
  3. 분석가는 Date 필터, Between 연산자 및 의 시작 및 종료 날짜를 선택합니다.
  4. 분석가는 저장을 선택하여 쿼리를 저장한 다음, scope 검토하여 검색 쿼리를 실행합니다.

쿼리 작성기 예제입니다.

Microsoft Security Copilot 사용하여 검색 쿼리 만들기

검색에서 Copilot로 쿼리 옵션을 사용하면 자연어 및 Microsoft Security Copilot 사용하여 쿼리 작성기에서 사용자 지정 쿼리를 신속하게 생성할 수 있습니다. 이 옵션을 사용하여 자연어 프롬프트를 사용하는 동안 AND, OR 및 조건 그룹화를 비롯한 추가 기능을 사용하여 복잡한 쿼리를 생성합니다.

또한 이 기능을 사용하면 일반적인 시나리오에 대해 미리 정의된 프롬프트를 사용하여 쿼리를 보다 쉽게 빌드할 수 있습니다. 또한 보다 정확한 검색 쿼리를 위해 사용자 지정 프롬프트를 구체화하고 개선하는 데 도움이 됩니다. 프롬프트 제안을 시작점으로 사용하여 일반적인 또는 사용자 지정 검색 시나리오에 대한 키워드 쿼리 언어(KeyQL) 쿼리를 만들고 구체화할 수도 있습니다.

Copilot를 사용하여 검색 쿼리를 만들려면 다음 단계를 완료합니다.

  1. 쿼리에 대한 데이터 원본을 선택한 다음 , Copilot를 사용하여 쿼리를 선택합니다.
    • 찾을 항목 설명 필드에 검색 쿼리 질문을 입력합니다. 해당하는 경우 사용자, 데이터 원본 및 기타 콘텐츠 세부 정보를 포함할 수 있습니다.
    • 프롬프트 보기를 선택하여 다음 프롬프트 제안 중 하나를 선택합니다.
      • 예산 및 재무 단어가 포함된 모든 전자 메일을 찾고 첨부 파일이 있습니다.
      • 기밀 및 예산이라는 단어가 포함된 .docx 형식의 파일을 검색합니다.
  2. scope 검토를 선택하여 검색에 대한 예측 및 통계를 확인하거나 조사 scope 직접 결과를 추가합니다. 정의한 쿼리 매개 변수를 저장하고 나중에 쿼리를 실행하려면 저장을 선택합니다.

파일에서 찾기

파일에서 옵션을 사용하면 하나 이상의 파일을 업로드하여 특정 조사를 위한 관련 콘텐츠를 찾을 수 있습니다. 감사 활동 .csv 파일을 사용하여 특정 시간 프레임 내에서 특정 사용자에 대한 관련 메시지 및 파일을 찾습니다. 각 파일은 최대 파일 크기가 10MB로 제한되며 파일을 .csv 수 있습니다. 파일로 검색할 때 쿼리 작성기가 사용하지 않도록 설정됩니다.

데이터 보안 조사(미리 보기)는 파일별로 검색할 때 특정 감사 작업 유형만 지원합니다. 업로드된 감사 로그 파일에 지원되는 다음 작업 유형이 없는 경우 검색은 빈 쿼리를 사용하며 일치하는 항목을 반환하지 않습니다.

  • FileAccessed
  • FileDownloaded
  • FileUploaded
  • MessageRead
  • MessageSent
  • SearchQueryInitiatedExchange
  • 보내기
  • SubscribedToMessages
  • ThreadViewed
  • TranscriptsExported

범위 dashboard

검색 탭에는 검색 쿼리에 포함된 데이터 결과에 대한 통계 및 메트릭이 표시됩니다. 이 보기를 통해 검색 쿼리 결과가 조사 scope 추가할 준비가 되었는지 또는 더 광범위하거나 좁은 결과를 위해 쿼리를 구체화해야 하는지 여부를 확인할 수 있습니다.

범위 dashboard 대한 검색 결과는 다음 섹션에 포함되어 있습니다.

  • 요약: 검색 적중 횟수, 위치, 데이터 원본 및 부분적으로 인덱싱된 항목의 총 파일 크기를 보여 줍니다.

    • 총 일치 항목: 검색된 위치의 쿼리 조건과 일치하는 모든 항목의 총 검색 적중 횟수 및 볼륨을 표시합니다.
    • 위치: 검색된 모든 위치에서 적중이 있는 위치의 비율을 표시합니다. 숫자화는 적중이 있는 위치를 표시하고 분모는 검색된 위치 수를 표시합니다. 오류가 있는 위치가 빨간색으로 표시됩니다. 모든 위치 및 관련 적중 및 오류에 대한 전체 세부 정보를 보려면 보고서 다운로드 를 선택하여 전체 .csv 보고서를 다운로드합니다.
    • 데이터 원본: 검색된 모든 데이터 원본 중 적중이 있는 데이터 원본의 비율을 표시합니다. 숫자화는 적중이 있는 데이터 원본을 표시하고 분모는 검색에 포함된 데이터 원본 수를 표시합니다. 이 데이터 원본은 검색 디자인 흐름의 데이터 원본과 일치하며 검색에 포함된 사용자 또는 그룹 수와 일치해야 합니다. 모든 사용자 및 모든 그룹의 테넌트 전체 데이터 원본은 단일 데이터 원본으로 계산됩니다.
    • 부분적으로 인덱싱된 항목 또는 "고급 인덱싱된 항목 적중": 검색의 일부로 반환된 부분 및 인덱싱되지 않은 항목의 수와 볼륨을 표시합니다. 인덱싱된 고급 적중 횟수는 부분적으로 인덱싱된 항목에 대한 통계 샘플에서 비롯되며, 실제 적중 횟수는 더 많을 수 있으며 검토 집합에 추가 및 검색 결과 내보내기 작업을 사용하여 확인할 수 있습니다.
    • 상위 데이터 원본: 쿼리와 일치하는 가장 많은 검색 적중을 구성하는 상위 5개 데이터 원본을 표시합니다. 이러한 데이터 원본의 이름(사용자, 그룹 또는 organization 전체 위치의 이름)은 적중 횟수와 함께 나열됩니다. 이러한 데이터 원본은 검색 쿼리를 빌드할 때 데이터 원본 워크플로에서 선택한 것과 일치해야 합니다.
    • 인덱싱 상태: 인덱싱되지 않은(부분 인덱싱 포함) 및 완전히 인덱싱된 데이터 항목의 분석입니다.
    • 상위 위치 유형: 위치 유형별 적중 횟수(사서함 및 사이트)입니다.

뷰 다시 생성을 선택하여 쿼리를 다시 실행하고 최신 결과를 검토합니다. 보고서 다운로드를 선택하여 모든 범위 결과를 단일 .csv 파일로 결합합니다. 추세 영역에 대한 상위 100개 결과를 볼 때 선택한 적중 추세의 상위 100개 결과의 .csv 파일에 대한 보고서 다운로드 를 선택합니다.

샘플 dashboard

샘플을 사용하면 개별 항목의 대표 하위 집합과 검색을 위해 반환된 각 항목에 대한 세부 정보를 검사할 수 있습니다. 위치당 샘플 수와 검색에 정의된 샘플 위치 수에 따라 샘플 항목의 샘플 항목 수와 위치 표현이 결정됩니다.

샘플 dashboard 열에 대한 검색 결과에는 각 항목에 대한 다음 정보가 포함됩니다.

  • 제목/제목: 샘플에 포함된 항목의 제목 또는 제목입니다.
  • 날짜: 항목을 만들거나 보낸 날짜입니다.
  • 보낸 사람/작성자: 항목의 보낸 사람 또는 작성자입니다.

항목의 원본 정보를 보려면 샘플 항목을 선택합니다. 항목에 사용할 수 있는 경우 이 보기는 선택한 항목의 풍부한 보기를 표시하므로 정의된 검색 데이터 원본 및 조건과 관련된 항목의 관련성을 평가할 수 있습니다.

보고서 다운로드를 선택하여 모든 샘플 결과를 단일 .csv 파일로 결합합니다. 보기 설정을 선택하여 샘플 보기 생성에 적용된 설정을 봅니다.

  • Last updated on