중요
Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도하지 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 참가자 위험 관리를 사용하면 고객이 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.
Insider Risk Management의 데이터 위험 그래프는 자산 및 활동 데이터를 단일 보기로 결합하는 시각적 조사 환경을 제공합니다. Microsoft Sentinel 통합을 통해 지난 30일 동안 잠재적인 내부자의 경고 관련 활동을 요약하여 분석가가 숨겨진 컨텍스트 연결을 공개하여 경고를 심사할 수 있도록 지원합니다.
Microsoft Sentinel 통합에 대한 자세한 내용은 Microsoft Purview의 Microsoft Sentinel 대해 알아보기를 참조하세요.
중요
익명화된 사용자 이름 개인 정보 설정을 사용하도록 설정하면 이 기능을 사용할 수 없습니다. 익명화된 사용자 이름이 있는 경우 그래프가 로드되지 않습니다.
참고
관리 단위는 데이터 위험 그래프에서 지원되지 않습니다. 관리 단위로 범위를 지정하면 데이터가 데이터 위험 그래프에 표시되지 않습니다.
데이터 위험 그래프에서 지원되는 활동
데이터 위험 그래프는 현재 다음과 같은 반출 활동을 지원합니다.
- SharePoint 또는 OneDrive에서 만든 익명 링크
- SharePoint 또는 OneDrive를 통해 사용되는 익명 링크
- SharePoint 또는 OneDrive에서 만든 회사 링크
- SharePoint 및 OneDrive에서 파일 다운로드
- SharePoint 및 OneDrive에서 이름이 변경된 파일
반출 검색 지표에 대한 자세한 내용은 내부 위험 관리에서 정책 지표 구성을 참조하세요.
시작하기 전에
Insider Risk Management에서 데이터 위험 그래프를 사용하려면 다음 단계를 완료합니다.
- organization 대한 Microsoft Sentinel 종량제 청구에 대해 알아봅니다.
- Microsoft Sentinel 데이터 레이크 및 Microsoft Sentinel 그래프에 대한 필수 구성 요소 구성
- Microsoft Sentinel 데이터 레이크 및 Microsoft Sentinel 그래프에 온보딩할 때 변경된 내용을 검토합니다.
- 지원되는 데이터 반출 활동에 대해 하나 이상의 참가자 위험 관리 정책을 구성합니다.
데이터 위험 그래프 구성
중요
항상 하나의 데이터 레이크가 있습니다. 이미 다른 Microsoft 서비스를 사용하여 데이터 레이크에 온보딩한 경우 기존 데이터 레이크가 사용됩니다. 데이터 레이크에 온보딩하지 않은 경우 Insider Risk Management에서 온보딩하면 Defender 포털에서 데이터 레이크 및 그래프를 Microsoft Sentinel 수 있습니다.
필수 구성 요소를 완료하고 Microsoft Sentinel 데이터 레이크 및 그래프가 organization 변경한 내용을 이해한 후 다음 단계를 완료하여 Insider Risk Management에서 데이터 위험 그래프를 구성합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
전역 관리자 또는 보안 관리자 역할이 할당된 계정으로 Microsoft Purview 포털로 이동합니다.
참가자 위험 관리 솔루션 카드 선택한 다음, 왼쪽 탐색 창에서 권장 작업을 선택합니다.
포괄적인 보호 섹션에서 데이터 레이크 및 데이터 위험 그래프 설정을 선택합니다.
데이터 레이크를 설정할 수 있는 올바른 권한이 없는 경우 organization 전역 또는 청구 관리자에게 문의하라는 알림이 나타납니다.
데이터 레이크 & 위험 그래프 설정탭에서 다음 설정을 구성합니다.
- 구독: 사용하려는 Azure 구독을 입력합니다. 선택한 구독은 유효하고 액세스할 수 있어야 하며 구독 소유자여야 합니다.
- 리소스 그룹: 사용하려는 리소스 그룹을 입력합니다. 선택한 리소스 그룹은 유효하고 액세스할 수 있어야 합니다.
중요
특정 Azure 구독 및 리소스 그룹에 대해 데이터 레이크를 프로비전한 후에는 다른 구독 또는 리소스 그룹으로 마이그레이션할 수 없습니다.
설정을 선택합니다.
설정 프로세스가 시작되고 온보딩을 완료하는 데 최대 60분이 걸릴 수 있습니다. 프로세스가 실행되는 동안 설치 패널을 닫을 수 있습니다. 온보딩 프로세스가 완료되면 데이터 레이크 설정 & 위험 그래프에 완료가 표시됩니다. 데이터 위험 그래프는 Microsoft Sentinel 데이터 레이크를 만들거나 온보딩한 후 발생하는 이벤트를 보여 줍니다.
조사를 위한 데이터 및 데이터 위험 그래프 가용성의 초기 처리에는 24-48시간이 걸릴 수 있습니다.
중요
데이터 위험 그래프를 처음 만들 때 가장 최근 7일간의 데이터가 포함됩니다. 시간이 지남에 따라 데이터 위험 그래프가 새로 고쳐지면 조회 창이 최대 30일까지 확장됩니다. 데이터 위험 그래프가 전체 30일 기간에 도달하는 데 다소 시간이 걸릴 수 있으므로 초기 설정 후 점진적인 성장을 기대합니다.
데이터 위험 그래프 사용
Insider Risk Management의 데이터 위험 그래프는 영향을 받은 데이터, 사용자 및 해당 활동 간의 상관 관계를 고유하게 시각화합니다. 완화 및 다음 단계를 안내하는 중요한 컨텍스트를 제공합니다. 예를 들어 매우 중요한 문서와 관련된 경고를 발견하면 데이터 위험 그래프를 통해 다운로드한 사용자 또는 위험한 IP 주소에서 액세스했는지를 확인할 수 있습니다. 이 가시성을 통해 추가 사용자 또는 경고와 관련된 새 콘텐츠와 같은 데이터 보안 인시던트에 대한 새 노드를 발견할 수 있습니다.
경고에 대한 데이터 위험 그래프를 보려면 참가자 위험 관리 그래프 읽기 권한자 역할이 할당되어야 합니다. 이 역할은 기본적으로 여러 참가자 위험 관리 기본 제공 역할 그룹에 포함됩니다. 자세한 내용은 Insider Risk Management에서 권한 할당을 참조하세요.
중요
참가자 위험 관리 개인 정보 설정에서 가명을 사용하도록 설정한 경우에도 모든 사용자 이름은 데이터 위험 그래프에 표시됩니다.
Insider Risk Management에서 데이터 위험 그래프를 사용하려면 다음 단계를 완료합니다.
- 참가자 위험 관리 그래프 읽기 권한자 역할이 할당된 계정을 사용하여 Microsoft Purview 포털로 이동합니다.
- 내부 위험 관리 솔루션 카드 선택한 다음, 왼쪽 탐색 창에서 경고를 선택합니다.
- 검토할 경고를 선택한 다음 데이터 위험 그래프 탭을 선택합니다.
- 해당하는 시간을 필터링하고 심사 중에 각 연결에 대한 자세한 내용을 보려면 개별 데이터 위험 그래프 노드를 선택합니다.
- 사용자 또는 자산에서 + 아이콘을 선택하여 그래프에서 관계를 확장합니다.
데이터 위험 그래프에는 여러 노드가 포함됩니다. 노드를 선택하면 노드에 대한 세부 정보가 표시됩니다.
- 사용자 세부 정보: 경고와 연결된 사용자에 대한 정보를 표시합니다. 이 정보에는 UPN(사용자 계정 이름), 레이블, 위치, 직함 등을 포함하여 각 사용자에 대한 organization 정보가 포함됩니다.
- 데이터 세부 정보: 파일 및 사이트에 대한 정보를 표시합니다. 이 정보에는 개체 위치, 형식, 레이블 등이 포함됩니다.
지난 30일간의 활동을 기반으로 사용자에 대한 데이터 위험 그래프 정보를 볼 수 있습니다. 이 고정 기간은 확장할 수 없습니다.