중요
Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도하지 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 참가자 위험 관리를 사용하면 고객이 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 기본적으로 개인 정보 보호로 구축된 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다.
Microsoft Purview 내부 위험 관리 보고서를 사용하여 내부 위험 프로그램의 환경을 파악합니다. 보고서는 잠재적 위험 영역에 대한 인사이트를 식별하는 데 도움이 되도록 Microsoft 서비스 전반의 적격 위험 활동에서 생성된 경고, 사례, 사용자 활동 및 분석을 포함하여 내부자 위험과 관련된 모든 영역에 대한 심층적인 인사이트와 요약 정보를 제공합니다.
다음 보고서는 Microsoft Purview 포털에서 참가자 위험 관리>보고서로 이동하여 사용할 수 있습니다.
- 경고(미리 보기): 생성된 경고의 추세 , 시간에 따른 경고에 대해 수행된 작업 및 정책별 경고를 봅니다.
- 분석: organization 검색된 익명화된 사용자 활동 요약을 봅니다.
- 사례(미리 보기): 생성된 사례의 추세, 시간에 따른 사례에 대해 수행된 작업 및 정책 및 지역별 사례 상태 확인합니다.
- 사용자 활동: 사용자가 정책 또는 경고에 포함되어 있는지 여부에 관계없이 최근 사용자 활동을 검토합니다.
- 종량제(미리 보기): 종량제 사용 현황 보고서를 검토하여 비용 절감 기회를 식별하고 정책 구성을 미세 조정합니다.
보고서 작업
참가자 위험 관리 보고서를 시작하고 보려면 해당 역할 또는 역할 그룹의 구성원이어야 합니다. 권한 요구 사항은 경고 및 사례에 대한 보고서 보기와 분석을 위한 보고서를 보는 데 필요한 권한에 따라 다릅니다. organization 관리 단위를 사용하는 경우 이러한 보고서에 대한 액세스 권한이 다를 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
차트 사용자 지정
각 보고서 영역에 대해 미리 정의된 보고서 필터 컨트롤과 날짜 선택기를 사용하면 특정 조건 또는 날짜 범위에 대한 인사이트를 신속하게 scope 수 있습니다. 각 영역의 페이지 맨 위에 있는 필터를 선택하여 해당 영역의 모든 보고서를 필터 설정으로 신속하게 scope. 보고 날짜의 경우 특정 월을 선택하거나 지난 3개월 을 선택하여 보고서 영역에 대한 모든 데이터를 봅니다.
각 보고서 영역에서 기본적으로 표시할 보고서를 선택하고 선택할 수도 있습니다. 각 영역에 표시된 보고서를 사용자 지정하려면 보기 사용자 지정을 선택합니다. 보기 플라이아웃 사용자 지정 창에서 표시할 보고서와 각 영역에 숨길 보고서를 선택할 수 있습니다.
차트 세부 정보
보고서의 결과를 탐색하려면 보고서의 세부 정보 보기를 선택합니다. 세부 정보 보기에서 정보를 필터링하고 날짜 또는 정책에 따라 보기를 변경할 수 있습니다. 보고서에서 데이터를 내보내려면 내보내 기를 선택하여 보고서 차트의 이미지 또는 보고서 값이 있는 .csv 파일을 다운로드합니다.
경고 보고서(미리 보기)
잠재적으로 위험한 사용자 활동을 조사하는 것은 organization 대한 내부자 위험을 최소화하는 중요한 단계입니다. 이러한 위험은 내부 위험 관리 정책에서 경고를 생성하는 활동일 수 있습니다. 경고 보고서는 경고 볼륨, 경고 관리 진행률, 일반적인 경고 원본 및 심사에 소요된 시간에 대한 인사이트를 제공합니다. 모든 경고, 확인된 경고 및 해제된경고로 모든경고 보고서를 빠르게 필터링할 수 있습니다.
| 보고서 유형 | 보고서 | 설명 |
|---|---|---|
| 요약 | 생성된 경고 | 지정된 날짜 범위 동안 생성된 낮음, 중간 및 높은 심각도 경고의 수를 표시합니다. |
| 경고가 작동됨 | 지정된 날짜 범위 동안 사례에 확인되거나 해제된 경고 수를 표시합니다. | |
| 해고 이유 | 보여 줍니다... | |
| 인구 통계 | 경고가 있는 상위 국가/지역 | 사용자가 있는 국가 또는 지역에 따라 사용자에 대해 생성된 경고 수를 표시합니다. 지정되지 않음은 해당 국가 또는 지역이 Microsoft Entra ID 지정되지 않음을 의미합니다. |
| 부서에서 생성한 경고 | 사용자가 있는 부서에 따라 사용자에 대해 생성된 경고 수를 표시합니다. 지정되지 않음은 해당 부서가 Microsoft Entra ID 지정되지 않음을 의미합니다. | |
| 인사이트 | 상위 트리거 이벤트별 경고 | 지정된 날짜 범위 동안 검색된 상위 트리거 이벤트를 기반으로 하는 경고 수를 표시합니다. |
| 경고를 생성한 상위 활동별 경고 | 지정된 날짜 범위 동안 검색된 상위 활동을 기반으로 하는 경고 수를 표시합니다. | |
| 생산성 | 할당별 경고 상태 | 특정 관리자에게 할당된 경고 수를 경고 상태 세분화하여 표시합니다. |
| 평균 일수 경고는 요구 사항 검토에 있습니다. | 지정된 날짜 범위 동안 경고가 요구 사항 검토 상태 남아 있는 평균 일 수를 표시합니다. |
분석 보고서
organization 대한 첫 번째 분석 검사가 완료되면 참가자 위험 관리 관리자 역할 그룹의 구성원이 자동으로 이메일 알림을 받습니다. 사용자가 잠재적으로 위험한 활동에 대한 초기 인사이트 및 권장 사항을 볼 수 있습니다. organization 대한 분석을 해제하지 않는 한 매일 검사가 계속됩니다. 관리자는 organization 잠재적으로 위험한 활동의 첫 번째 instance 후 분석(데이터 유출, 도난 및 반출)에 대한 세 가지 scope 범주 각각에 대한 메일 알림 받습니다. 관리자는 일일 검사로 인한 후속 위험 관리 활동 검색에 대한 메일 알림 받지 않습니다.
참고
분석 설정을 사용하지 않도록 설정한 다음 다시 사용하도록 설정하면 자동 메일 알림 다시 설정됩니다. 참가자 위험 관리 관리자 역할 그룹의 구성원은 새 검사 인사이트에 대한 메일 알림 받습니다.
organization 대한 잠재적 위험을 보려면 내부 위험 관리>보고서> 분석으로 이동하세요.
참고
organization 대한 검사가 완료되지 않은 경우 검사가 여전히 활성 상태라는 메시지가 표시됩니다.
완료된 분석을 위해 organization 발견된 잠재적 위험과 이러한 위험을 해결하기 위한 인사이트 및 권장 사항을 확인할 수 있습니다. 보고서에는 식별된 위험 및 지역별로 그룹화된 특정 인사이트, 식별된 위험이 있는 총 사용자 수(사용자, 게스트, 시스템 등 모든 유형의 Microsoft Entra 계정), 잠재적으로 위험한 활동이 있는 사용자의 비율 및 이러한 위험을 완화하는 데 도움이 되는 권장 내부자 위험 정책이 포함됩니다. 보고서에는 다음이 포함됩니다.
- 데이터 누수 인사이트: 악의적인 의도를 가진 사용자가 organization 외부의 정보를 실수로 과도하게 공유하거나 데이터 누출을 포함할 수 있는 모든 사용자에 대해
- 데이터 도난 인사이트: organization 외부의 위험한 정보 공유 또는 악의적인 의도를 가진 사용자에 의한 데이터 도난을 포함할 수 있는 삭제된 Microsoft Entra 계정이 있는 출발 사용자 또는 사용자.
- 상위 반출 인사이트: organization 외부에서 데이터 공유를 포함할 수 있는 모든 사용자에 대한 정보입니다.
인사이트에 대한 자세한 정보를 표시하려면 세부 정보 보기를 선택하여 인사이트에 대한 세부 정보 창을 표시합니다. 세부 정보 창에는 전체 인사이트 결과, 내부 위험 정책 권장 사항 및 권장 정책을 빠르게 만드는 데 도움이 되는 정책 만들기 가 포함됩니다. 정책 만들기를 선택하면 정책 워크플로로 이동하고 인사이트와 관련된 권장 정책 템플릿을 자동으로 선택합니다. 예를 들어 데이터 도난 활동에 대한 분석 인사이트인 경우 데이터 도난 정책 템플릿은 정책 워크플로에서 미리 선택됩니다.
사례 보고서(미리 보기)
사례는 정책에 정의된 위험 지표에 의해 생성된 문제를 조사하고 조치를 수행하는 데 도움이 됩니다. 사용자에 대한 규정 준수 관련 문제를 해결하기 위해 추가 조치를 취해야 하는 경우 경고에서 사례를 수동으로 만듭니다. 사례 보고서는 사례 유형, 현재 사례 상태, 지역 또는 할당별 사례 등을 추적하는 데 도움이 되는 추세 정보를 제공합니다. 모든 사례, 확인된 사례 및 양성 사례별로 모든 사례 보고서를 빠르게 필터링할 수 있습니다.
| 보고서 유형 | 보고서 | 설명 |
|---|---|---|
| 요약 | 생성된 사례 | 지정된 날짜 범위 동안 생성된 사례 수를 보여 줍니다. |
| 실행된 사례 | 지정된 날짜 범위 동안 활동이 있는 사례 수를 표시합니다. | |
| 인구 통계 | 사례가 있는 상위 국가/지역 | 해당 국가 또는 지역에 따라 사용자에 대해 만들어진 사례 수를 표시합니다. 지정되지 않음은 해당 국가 또는 지역이 Microsoft Entra ID 지정되지 않음을 의미합니다. |
| 사례가 있는 상위 부서 | 부서를 기준으로 사용자를 위해 만들어진 사례 수를 보여 줍니다. 지정되지 않음은 해당 국가 또는 지역이 Microsoft Entra ID 지정되지 않음을 의미합니다. | |
| 생산성 | 대/소문자 상태 | 경고 상태 세분화하여 특정 관리자에게 할당된 사례 수를 보여 줍니다. |
| 활성 상태 있는 평균 일수 | 지정된 날짜 범위 동안 사례가 활성 상태 유지된 평균 일 수를 표시합니다. |
종량제 사용 현황 보고서(미리 보기)
종량제 사용 현황 보고서는 투명성을 제공하고 보다 정확한 예산 계획 및 정책 튜닝을 가능하게 합니다. 보고서를 통해 시간이 지남에 따라 다양한 데이터 원본 범주 및 활동 지표에서 청구된 처리 사용량에 대한 세분화된 분석을 살펴볼 수 있습니다. 사용량 및 추세를 보고 활동 패턴을 이해합니다. 이 정보를 통해 비용 절감 기회를 식별하고 정책 구성을 미세 조정할 수 있습니다.
이 보고서는 기본적으로 보고서 페이지에서 사용할 수 있습니다. 추가 정보 및 필수 구성 요소는 종량제 청구 모델을 참조하세요.
사용자 활동 보고서
사용자 활동 보고서를 사용하면 이러한 활동을 참가자 위험 관리 정책에 임시 또는 명시적으로 할당하지 않고 정의된 기간 동안 특정 사용자에 대해 잠재적으로 위험한 활동을 검토할 수 있습니다. 대부분의 내부 위험 관리 시나리오에서는 정책에서 사용자를 명시적으로 정의합니다. 이러한 사용자에게는 정책 경고(트리거 이벤트에 따라 다름) 및 활동과 관련된 위험 점수가 있을 수 있습니다. 그러나 일부 시나리오에서는 정책에서 명시적으로 정의하지 않은 사용자의 활동을 검사할 수 있습니다. 이러한 활동은 사용자 및 잠재적으로 위험한 활동에 대한 팁을 받은 사용자 또는 일반적으로 참가자 위험 관리 정책에 할당할 필요가 없는 사용자를 위한 것일 수 있습니다.
내부 위험 관리 설정 페이지에서 지표를 구성한 후 솔루션은 선택한 지표와 관련된 잠재적으로 위험한 활동에 대한 사용자 활동을 검색합니다. 이 구성은 트리거 이벤트가 있거나 경고를 만드는지 여부에 관계없이 사용자가 검색한 모든 활동을 검토할 수 있도록 합니다. 보고서는 사용자별로 생성되며 사용자 지정 90일 동안의 모든 활동을 포함할 수 있습니다. 솔루션은 동일한 사용자에 대한 여러 보고서를 지원하지 않습니다.
잠재적으로 위험한 활동을 조사한 후 조사자는 개별 사용자의 활동을 무해한 것으로 기각할 수 있습니다. 또한 보고서 링크를 다른 조사자에게 공유하거나 메일로 보내거나 사용자를 내부 위험 관리 정책에 (일시적으로 또는 명시적으로) 할당하도록 선택할 수도 있습니다. 사용자 활동 보고서 페이지를 보려면 참가자 위험 관리 조사자 역할 그룹에 사용자를 할당해야 합니다.
사용자 활동 보고서 만들기
사용자 활동 보고서를 만들려면 다음 단계를 완료합니다.
- 내부 위험 관리>보고서>사용자 활동으로 이동합니다.
- 사용자 활동 보고서 만들기를 선택합니다.
- 시작 날짜의 날짜를 선택합니다.
- 종료 날짜의 날짜를 선택합니다.
- 사용자 필드에서 이름 또는 사용자 계정 이름으로 하나 이상의 사용자를 검색합니다.
- 보고서 만들기를 선택합니다.
사용자 활동 데이터는 활동이 발생한 후 약 48시간 후에 보고할 수 있게 됩니다. 예를 들어 12월 1일에 대한 사용자 활동 데이터를 검토하려면 보고서를 만들기 전에 최소 48시간을 기다려야 합니다(가장 이른 12월 3일에 보고서를 만들 수 있습니다).
새 보고서는 일반적으로 검토할 준비가 되기까지 최대 10시간이 걸립니다. 보고서가 준비되면 보고서 준비 상태가 사용자 활동 보고서 페이지의 상태 열에 표시됩니다.
사용자 활동 보고서 보기
사용자를 선택하여 자세한 보고서를 봅니다.
선택한 사용자의 사용자 활동 보고서에 는 사용자 활동, 활동 탐색기 및 포렌식 증명 정보 탭이 포함됩니다.
- 사용자 활동: 이 차트 보기를 사용하여 잠재적으로 위험한 활동을 조사하고 시퀀스에서 발생할 수 있는 관련 활동을 볼 수 있습니다. 이 탭은 모든 활동의 기록 타임라인, 활동 세부 정보, 사례의 사용자에 대한 현재 위험 점수, 위험 이벤트 시퀀스 및 조사 작업에 도움이 되는 컨트롤 필터링을 포함하여 사례를 빠르게 검토할 수 있도록 구성됩니다. 자세한 내용은 사용자 활동을 참조하세요.
- 활동 탐색기: 이 탭은 위험에 대한 자세한 정보를 제공하는 포괄적인 분석 도구를 위험 조사자에게 제공합니다. 활동 탐색기를 사용하여 검토자는 검색된 위험한 활동의 타임라인 신속하게 검토하고 경고와 관련된 잠재적으로 위험한 모든 활동을 식별하고 필터링할 수 있습니다. 자세한 내용은 활동 탐색기를 참조하세요.
- 법의학 증거: 이 탭을 사용하면 위험 조사자가 법의학 증거 감지의 사례에 포함된 위험 활동과 관련된 시각적 캡처를 검토할 수 있습니다.