데이터 보안 조사(미리 보기) 워크플로를 사용하면 보안 및 데이터 위반 인시던트와 관련된 데이터를 신속하게 식별, 조사 및 조치를 취할 수 있습니다. 이 워크플로는 선형 프로세스가 아닙니다. 여기에는 AI 및 활동을 사용하여 검색, 증거 수집, 분류 및 조사를 미세 조정하는 몇 가지 단계에 대한 중요한 반복 요구 사항이 포함됩니다.
데이터 및 액세스에 대한 식별 및 작업을 수행하면 다음 워크플로가 사용됩니다.
1단계: 인시던트 식별 및 에스컬레이션
데이터 보안 인시던트 식별
데이터 침해 및 기타 데이터 보안 인시던트에는 organization 잠재적인 위험을 식별하고 포함하기 위한 빠른 조치가 필요합니다. 이러한 인시던트를 신속하게 식별하고 통합 응답을 간소화하는 것이 중요합니다. 데이터 보안 인시던트 조사가 어려울 수 있습니다. 조사 규모가 커짐에 따라 여러 도구, 수동 작업 및 추가 복잡성에 걸쳐 비효율적인 워크플로가 포함될 수 있습니다. 영향을 받은 데이터와 비용 증가에 대한 노동 집약적인 검토에 직면할 수 있습니다.
데이터 보안 조사(미리 보기)는 데이터 보안 인시던트 조사 및 완화를 돕고 해결 시간을 가속화합니다. 데이터 보안 인시던트 식별 후 데이터 보안 팀이 인시던트 관련 데이터를 식별하고, 심층 콘텐츠 분석을 수행하고, 하나의 통합 솔루션 내에서 위험을 완화할 수 있도록 새 조사를 만듭니다.
Microsoft Defender XDR 데이터 보안 인시던트 에스컬레이션
이미 organization Microsoft Defender XDR 사용하고 있는 경우 데이터 보안 조사(미리 보기)와 통합하면 새 조사를 빠르고 원활하게 만들 수 있습니다. 조사에는 Defender XDR 인시던트 노드의 모든 인시던트 관련 데이터 항목이 자동으로 포함됩니다.
내부 위험 관리에서 데이터 보안 인시던트 에스컬레이션
organization 참가자 위험 관리를 이미 사용하고 있는 경우 데이터 보안 조사(미리 보기)와 통합하면 식별된 위험한 사용자 활동에 대한 새 조사를 신속하게 만들 수 있습니다.
데이터 보안 태세 관리 인사이트에서 에스컬레이션(미리 보기)
이미 organization 데이터 보안 태세 관리(미리 보기)를 사용하고 있는 경우 데이터 보안 조사(미리 보기)와 통합하면 잠재적인 데이터 반출 결과 및 인사이트에서 새 조사를 신속하게 만들 수 있습니다.
2단계: 조사 만들기 및 영향을 받은 데이터 찾기
데이터 보안 조사(미리 보기)에서 조사를 만드는 것은 빠르고 쉽습니다. 시나리오에 따라 다음에서 조사를 만들 수 있습니다.
- Microsoft Defender XDR 인시던트: Defender XDR 인시던트에서 조사를 만듭니다.
- Microsoft Purview 내부 위험 관리 사례: 내부 위험 관리에서 조사를 만듭니다.
- 전체 초안 모드를 사용하여 수동으로: 전체 초안 모드 옵션을 사용하여 특정 데이터 원본 및 검색 조건을 구성하여 조사를 만듭니다.
3단계: 검색, 결과 평가 및 검토
조사를 만든 후 데이터 원본을 검토하고 업데이트할 수 있습니다. 검색 도구를 사용하여 데이터 보안 인시던트 관련 항목을 식별합니다. 이 검토에는 다음 Microsoft 365 서비스의 항목이 포함됩니다.
| 데이터 원본 | 검색된 콘텐츠 형식 | 위험한 콘텐츠 예제 |
|---|---|---|
| Exchange Online | 사용자 사서함의 전자 메일 및 첨부 파일 | 전자 메일로 전송된 자격 증명 또는 비밀, 외부적으로 공유되는 중요한 파일. |
| Microsoft Copilot | AI 프롬프트 및 응답 | Copilot 또는 AI 프롬프트의 중요한 데이터입니다. |
| Microsoft Teams | 채팅 메시지(1:1 및 그룹 채팅) 및 채널 게시물 | 채팅에 포함된 비밀, Teams 대화의 기밀 정보. |
| OneDrive | 사용자 파일 | 보안 액세스 키가 있는 사용자 파일, 데이터베이스 내보내기 등 |
| SharePoint | 사이트의 문서 및 파일 | 암호, 고객 데이터 또는 기밀 계획이 포함된 문서입니다. |
조사와 연결된 다양한 검색 을 만들고 실행할 수 있습니다. 쿼리 작성기에서 조건(예: 키워드, 파일 형식, 인시던트 등)을 사용하여 데이터 보안 인시던트와 가장 관련이 있는 데이터로 결과를 반환하는 사용자 지정 검색 쿼리를 만듭니다.
4단계: 조사 scope 데이터 추가
검색 쿼리를 검토하고 구체화한 후 모든 관련 데이터 항목을 조사 scope 추가합니다. 이 단계에서는 특정 데이터 항목을 필터링하고 검토합니다. 또한 데이터 보안 조사(미리 보기)에서 AI 도구를 사용하여 검토하지 않으려는 항목을 식별합니다.
5단계(a): 항목 조사
조사 scope 데이터 항목을 추가한 후 데이터를 구체화하고 조사 관련 항목으로 범위를 좁히기 시작합니다. 항목을 가장 적은 양의 적용 가능한 데이터로 좁히면 속도를 높이고 AI 처리와 관련된 비용을 줄일 수 있습니다.
이 단계에서는 다음 작업을 수행합니다.
- 해당하는 경우 완화 계획에 직접 추가할 특정 항목을 선택합니다.
- AI 처리에서 특정 항목을 식별하거나 제외합니다.
- AI 처리를 위해 데이터를 준비합니다. 의미 체계 검색 및 데이터 분류를 사용하도록 제외되지 않은 모든 항목을 벡터화합니다.
5단계(b): AI를 사용하여 조사
AI 처리를 위한 데이터 항목을 준비하고 처리를 완료한 후 AI 관련 도구를 사용하여 조사 포커스를 가장 영향력 있고 중요한 항목으로만 좁히기 시작합니다.
검토에서 다음 도구와 작업을 사용하여 특정 데이터 항목에 대한 작업을 식별하고 수행합니다.
- 자연어 쿼리에 대한 벡터 검색 을 사용하여 검토할 항목을 식별합니다.
- 자연어 쿼리 및 키워드 와 함께 AI(미리 보기) 를 사용하여 검색 결과를 요약하여 검토할 수 있습니다.
- 콘텐츠에 대한 AI 기반 범주 를 정의하고 구성합니다.
- 선택한 항목에 대해 기본 제공 검사 영역을 사용합니다.
- 완화 계획에 추가할 항목을 선택합니다.
중요
스토리지 및 AI 용량 비용 고려 사항은 데이터 보안 조사(미리 보기)의 각 AI 도구 사용과 관련이 있습니다. 자세한 내용은 데이터 보안 조사 청구 모델(미리 보기) 및 데이터 보안 조사 AI 분석 사용(미리 보기)을 참조하세요.
5단계(c): 데이터 위험 그래프로 조사(미리 보기)
AI 처리를 위한 데이터 항목을 준비하고 처리를 완료한 후 자산 및 활동 데이터를 단일 보기로 결합하는 시각적 조사 환경에 데이터 위험 그래프를 사용합니다. 이 보기를 사용하면 보안 인시던트와 관련된 사용자, 사이트 및 데이터 항목에 대한 노드 및 관계를 식별할 수 있습니다.
자세한 내용은 다음 항목을 참조하세요.
Microsoft Purview(미리 보기)데이터 보안 조사데이터 위험 그래프의 Microsoft Sentinel 대해 알아보기(미리 보기)
6단계: 완화를 위한 조치 수행
데이터 보안 인시던트와 관련된 가장 관련성이 크고 영향력 있는 항목을 식별한 후 위험을 완화하는 데 도움이 되는 특정 조치를 취합니다.
- 완화 권장 사항 검토: 검사할 항목을 선택하고 완화를 포커스 영역으로 선택하면 해결 방법이 완화 권장 사항을 만듭니다. 자동화된 AI 처리는 관련 위협을 식별하고 완화 단계를 권장합니다.
- 자격 증명 검사 검토: 검사 항목을 선택하고 자격 증명 을 포커스 영역으로 선택하면 솔루션은 자격 증명 및 기타 액세스 자산 검사를 식별합니다. AI 분석 처리는 자격 증명 세부 정보, 유형 및 특정 권장 사항을 자동으로 식별하고 생성합니다.
- 위험 검사 검토: 검사 항목을 선택하고 위험 영역을 포커스 영역으로 선택하면 솔루션이 자동으로 보안 위험 점수 및 검사를 만듭니다. 위험 점수를 사용하면 가장 영향력 있고 위험한 데이터 항목에 대한 완화 작업의 우선 순위를 지정할 수 있습니다.
- 완화 계획 사용: 검사 및 권장 사항을 검토한 후 조사 scope 특정 데이터 항목을 완화 계획에 추가합니다. 이 계획은 각 데이터 항목에 대한 완화 상태 관리하고 추적하는 데 도움이 됩니다.
모범 사례
- AI 분석을 현명하게 반복하고 사용: 조사는 한 단계에서 거의 완료되는 경우가 거의 없습니다. 분류 및 벡터 검색에서 AI 제안을 사용하여 숨겨진 문제를 파악합니다. 항상 인간의 눈으로 중요한 발견의 유효성을 검사합니다. 조사관의 판단은 중요한 의사 결정의 핵심입니다.
- 조사 scope 집중 유지: 더 많은 데이터를 발견하면 압도되기 쉽습니다. 분류를 사용하여 관련 없는 정보를 제외하고 주로 위험한 항목에 집중합니다.
- organization 적합한 팀을 조기에 Engage: 데이터 보안 인시던트가 여러 영역에 걸쳐 있는 경우가 많습니다. 이러한 영역에는 organization 보안, IT 및 규정 준수가 포함될 수 있습니다. 작업이 필요한 영역을 식별하는 즉시 파트너 팀과 공유하세요.
- 통합 Microsoft 서비스 사용: 데이터 보안 조사(미리 보기)는 광범위한 Microsoft Purview 및 Defender 에코시스템의 일부입니다. 조사에 내부자 위험이 있는 경우 내부 위험 관리 사례를 엽니다. Microsoft Defender XDR 경고에서 시작된 경우 해당 인시던트 결과를 업데이트합니다. 목표는 organization 인시던트에 대한 종단 간 보기입니다.