데이터 보안 조사 완화 작업 수행

데이터 보안 조사 organization 데이터 보안 인시던트의 영향을 신속하게 완화하는 데 도움이 되는 몇 가지 기능을 제공합니다.

완화 계획

완화 계획은 분석을 검사 도구 및 분석가 검토의 특정 완화 작업에 연결하는 데 도움이 됩니다. 할 일 목록과 같은 완화 계획을 사용하여 조사에서 데이터 위험 완화 작업을 관리하고 추적합니다. 이 계획은 분석가가 조사 및 데이터 보안 인시던트와 관련된 위험을 완화하기 위해 주의 또는 조치가 필요한 모든 항목을 중앙 집중화하는 데 도움이 됩니다.

완화 계획을 사용하여 다음 작업을 수행합니다.

  • 위험 수준별 우선 순위 지정: 문제를 해결하지 않으면 활성 보안 위반으로 이어질 수 있는 모든 항목을 즉시 해결합니다.

  • 추가 작업을 위해 항목 표시: 완화 계획을 사용하여 후속 작업을 추적합니다.

  • 관련 이해 관계자에게 문의하거나 참여: 계획이 다음 영역에 대한 책임을 해결하는지 확인합니다.

    • 자격 증명: 자격 증명을 재설정하는 사용자와 시기를 식별합니다.
    • 데이터 노출: 외부 공유 링크를 제거하거나 파일을 안전한 위치로 이동하는 사용자를 식별합니다.
    • 사용자 교육 또는 적용: 교육 또는 징계 조치를 따르는 사람을 식별합니다.
    • 추가 조사: organization 더 큰 보안 문제를 제안하는 항목에 대한 책임이 있는 사용자를 식별합니다.

완화 계획 dashboard

완화 계획에는 조사에서 완화 계획에 추가하는 모든 항목이 표시됩니다. 이 보기를 사용하면 조사에서 작업이 필요한 모든 항목, 각 항목에 대한 상태 및 계획의 각 항목에 대한 기타 중요한 정보를 빠르게 볼 수 있습니다.

  • 이름: 데이터 항목의 제목 또는 제목입니다.
  • 형식: 데이터 항목의 파일 형식입니다.
  • 설명: 데이터 항목에 대한 설명입니다.
  • 상태: 데이터 항목의 현재 상태. 값에는 진행 중 또는 완료가 포함 됩니다.
  • 마지막으로 수정한 대상: 데이터 항목에 대한 정보를 마지막으로 업데이트한 분석가 또는 조사자의 이름입니다.
  • 마지막 업데이트 날짜(UTC): 데이터 항목이 마지막으로 업데이트된 UTC(협정 세계시)의 날짜 및 시간입니다.

열 사용자 지정을 선택하여 표시된 열과 완화 계획의 열 순서를 사용자 지정합니다. 표시하거나 숨길 열을 선택합니다. 필터 추가를 선택하고 사용 가능한 필터를 선택하여 완화 계획에서 항목을 필터링합니다.

목록 다운로드를 선택하여 데이터 항목 목록과 완화 계획의 열 정보가 포함된 .csv 파일을 만듭니다.

항목 세부 보기

분석가는 검토 및 평가 프로세스의 일부로 완화 계획에 포함된 각 데이터 항목에 대한 세부 정보를 볼 수 있습니다. 데이터 항목을 선택하면 메타데이터, 원본 및 기타 정보를 볼 수 있는 항목 요약 및 뷰어 가 표시됩니다.

항목 상태 업데이트

데이터 항목을 검토하고 각 데이터 항목에 대한 위험을 완화하기 위해 작업할 때 각 항목에 대한 현재 상태 관리합니다. 개별 항목에 대한 상태 업데이트하거나 여러 데이터 항목에 대한 상태 대량 업데이트합니다.

데이터 항목에 대한 상태 업데이트하려면 다음 단계를 완료합니다.

  1. Microsoft Purview 포털에서 데이터 보안 조사 이동하여 데이터 보안 조사 권한이 할당된 사용자 계정에 대한 자격 증명으로 로그인합니다.
  2. 데이터 보안 조사 솔루션 카드 선택한 다음, 왼쪽 탐색 영역에서 조사를 선택합니다.
  3. 조사를 선택한 다음 완화를 선택합니다.
  4. 완화 계획에서 하나 이상의 데이터 항목을 선택합니다.
  5. 업데이트 상태 선택한 다음 해당 상태 선택합니다.

항목 세부 정보 보기에서 데이터 항목의 상태 변경할 수도 있습니다. 항목에 대한 자세한 보기에서 완료를 선택하여 데이터 항목의 상태 변경합니다.

완화 계획 구현

완화 계획을 구현하려면 다음 완화 단계를 수행합니다.

  • 자격 증명을 즉시 해지 또는 변경: 노출된 각 암호 또는 비밀에 대해 책임 있는 소유자가 다시 설정해야 합니다. 이 작업에는 사용자 계정에 대한 암호 재설정 강제 적용, 액세스 키 삭제 또는 다시 생성 또는 서비스 계정 자격 증명 변경이 포함될 수 있습니다.

  • 데이터 노출 포함: 공개적으로 또는 너무 많은 사용자에게 파일에 액세스할 수 있는 경우 권한을 즉시 잠급니다. 중요한 파일이 공유된 경우 SharePoint 사이트에서 외부 게스트 액세스를 제거합니다. 비밀이 포함된 전자 메일이 외부로 전송된 경우 받는 사람에게 연락하여 삭제하거나(해당하는 경우) 가능한 경우 메시지 회수를 사용합니다.

  • 문서 수정: 특정 정보를 포함하지 않아야 하는 파일의 경우 삭제할지, 수정할지 또는 보호할지를 결정합니다. 소스에서 중요한 콘텐츠를 제거하는 것이 좋습니다(또는 암호화). 파일이 다시 공유되지 않도록 민감도 레이블 또는 데이터 손실 방지 정책을 적용하는 것이 좋습니다.

  • 활동 및 인사이트 추적: 항목에 대해 활동 타임라인 사용합니다. 이 정보는 관련 사용자 활동을 식별할 수 있습니다. 위험한 사용자 동작이 진행 중인지, 해당 사용자에 대한 추가 조사가 보장되는지 확인합니다.

  • 모든 작업 문서화: 활동 기록에서 모든 검색, 분석 및 완화 작업이 기록됩니다. 이 정보는 감사 및 인시던트 후 검토에 유용합니다. 로그에 모든 위험한 항목이 해결되었는지 확인합니다.

  • 인시던트 통신 및 resolve: 다음 정보에 대한 모든 관련자를 업데이트합니다.

    • 중요한 구멍(자격 증명, 공용 링크 및 기타 취약성)이 닫혀 있는지 확인합니다.
    • 필요한 경우 외부 알림을 준비합니다. 예를 들어 고객에게 데이터 위반을 알리고 해당 규제 기관에 알릴 수 있습니다.
    • 모든 관련자와 함께 디브리핑을 수행합니다. 학습된 인사이트와 교훈을 사용하여 정책을 개선하고 향후 인시던트를 방지할 수 있습니다.

제거

데이터 보안 조사 organization Exchange 사서함 및 Microsoft Teams 항목을 식별하고 제거하는 데 도움이 되는 제거 기능이 포함되어 있습니다. 여기에는 재무, 마케팅 또는 판매 프로젝트 또는 기타 소유 재산에 대한 기밀 정보 또는 중요한 정보와 관련된 항목을 식별하는 것이 포함될 수 있습니다. 조사에 기본 제공 검색 기능을 사용하면 새 검색 쿼리를 신속하게 만들고 필요할 때마다 검토하고 실행할 수 있는 제거 쿼리로 저장할 수 있습니다.

대부분의 조사 기반 워크플로에 대한 기본 제거 방법으로 일시 제거를 사용합니다. 일시 제거를 사용하면 필요한 경우 항목을 복원하는 기능을 유지하면서 사용자의 보기에서 중요한 콘텐츠를 신속하게 제거할 수 있습니다. 영구 삭제가 필요하고 항목이 올바르게 식별된다는 확신이 높은 시나리오에 대해 하드 제거를 예약합니다.

데이터 보안 조사 다음 제거 옵션을 지원합니다.

  • 일시 제거: 항목이 복구 가능한 항목 폴더로 이동되고 보존 설정에 따라 유지됩니다. 일시 제거는 Exchange 사서함 항목에 대해서만 지원됩니다. Teams 메시지 및 OneDrive 및 SharePoint 파일은 일시 제거에 지원되지 않습니다.
  • 하드 제거: 항목은 데이터 원본에서 영구적으로 삭제됩니다. 이 작업은 실행 취소할 수 없으며 제거가 완료된 후에는 검색 쿼리를 편집할 수 없습니다.

경고

하드 제거는 복구 경로가 없는 항목을 영구적으로 삭제합니다. 항목이 올바르게 식별되고 영구 삭제가 명시적으로 필요한 경우에만 하드 제거를 사용합니다.

일시 제거는 조사 scope 변경되거나 추가 증거 검토를 위해 콘텐츠가 필요한 경우 항목을 복원하는 기능을 유지하면서 사용자의 보기에서 중요한 콘텐츠를 신속하게 제거해야 하는 사용자 종료 또는 활성 데이터 누수 포함과 같은 시나리오에 유용합니다.

소프트 제거 및 하드 제거 모두 소송 보유, eDiscovery 보유보존 정책을 존중합니다. 항목에 보존 또는 보존 정책이 적용되는 경우 제거된 항목은 복구 가능한 항목 폴더에 보존되며 보존이 제거되거나 보존 기간이 만료될 때까지 영구적으로 삭제할 수 없습니다. 자세한 내용은 보존 원칙 또는 우선 순위를 참조하세요.

중요

제거는 원래 원본 위치에서 항목을 제거하지만 데이터 보안 조사 조사 scope 항목을 제거하지 않습니다. 데이터 보안 조사 모든 항목을 제거하려면 조사를 삭제합니다.

검색 쿼리에서 발생하는 데이터 볼륨을 제거하는 데 필요한 처리 비용을 지불하고 새 데이터 보안 조사 컴퓨팅 단위를 사용합니다. 컴퓨팅 단위에 대한 자세한 내용은 데이터 보안 조사 청구를 참조하세요.

큐 dashboard 제거

제거 큐는 조사에 저장된 모든 제거 쿼리를 표시합니다. 이 보기를 사용하면 조사의 모든 제거 쿼리, 각 쿼리에 대한 상태 및 큐의 각 쿼리에 대한 기타 중요한 정보를 빠르게 볼 수 있습니다.

  • 이름: 제거 쿼리의 이름입니다.
  • 상태: 제거 쿼리의 현재 상태. 값에는 시작 안 됨, 진행 중, 실패 또는 완료 포함 됩니다.
  • 에 의해 추가됨: 제거 쿼리를 추가한 조사자의 이름입니다.
  • 추가된 날짜(UTC): 제거 쿼리가 제거 큐에 추가된 UTC(협정 세계시)의 날짜 및 시간입니다.

열 사용자 지정을 선택하여 표시되는 열과 제거 큐의 열 순서를 사용자 지정합니다. 표시하거나 숨길 열을 선택합니다. 필터 추가를 선택하고 사용 가능한 필터를 선택하여 제거 큐의 항목을 필터링합니다.

목록 다운로드를 선택하여 제거 큐의 데이터 항목 목록과 열 정보가 포함된 .csv 파일을 만듭니다.

제거 방법 선택

다음 표를 사용하여 시나리오에 가장 적합한 제거 방법을 결정합니다.

고려 사항 일시 제거 하드 제거
작업 항목을 복구 가능한 항목 폴더로 이동 데이터 원본에서 항목을 영구적으로 삭제합니다.
복구 예, 보존 설정에 따라 다릅니다. 아니요, 작업을 실행 취소할 수 없습니다.
지원되는 데이터 원본 Exchange 사서함 항목만. 사서함 항목 및 Teams 메시지를 교환합니다.
위험 수준 낮은 위험 - 필요한 경우 항목을 복원할 수 있습니다. 높은 위험 - 되돌릴 수 없고 복구 경로가 없습니다.
권장 사용 대부분의 조사 기반 제거, 대량 또는 검색 기반 제거 및 쿼리 scope 광범위할 수 있는 시나리오에 대한 기본값입니다. 항목이 올바르게 식별되고 영구 삭제가 필요하다는 확신이 높은 경우에만 필요합니다.
예제 시나리오 증거를 유지하면서 중요한 콘텐츠를 제거하는 사용자 종료, 활성 데이터 누수 포함 규정 준수 보존 요구 사항이 없는 악성 콘텐츠, 금지된 자료가 확인되었습니다.

검색 쿼리를 사용하여 항목 제거

organization 특정 항목을 제거하려면 다음 단계를 완료합니다.

  1. Microsoft Purview 포털에서 데이터 보안 조사 이동하여 데이터 보안 조사 권한이 할당된 사용자 계정에 대한 자격 증명으로 로그인합니다.

  2. 왼쪽 탐색 영역에서 조사를 선택합니다.

  3. 조사를 선택하거나 조사 만들기 를 선택하여 새 조사를 만듭니다.

  4. 검색 탭에서 제거하려는 항목이 포함된 데이터 원본을 선택합니다.

    중요

    Exchange 사서함 및 Microsoft Teams의 항목만 현재 제거를 지원합니다. SharePoint 사이트 또는 OneDrive 계정을 선택하면 제거 작업이 비활성화됩니다. 일시 제거는 Exchange 사서함 항목에 대해서만 지원됩니다. 검색 쿼리에 Teams 메시지 또는 OneDrive 및 SharePoint 파일이 포함된 경우 일시 제거 옵션을 사용할 수 없습니다.

  5. 제거하려는 항목을 식별하는 검색을 만든 다음, 제거 검토를 선택합니다.

    중요

    FileID 는 검토 집합에 추가되지 않은 제거된 항목이나 내보낼 때 사용할 수 없습니다. 필요한 경우 ImmutableID 를 사용합니다.

  6. 제거 검토 페이지에서 예측에 반환된 항목이 제거하려는 항목과 일치하는지 확인합니다. 검색당 최대 1,000개 항목을 제거할 수 있습니다.

    검색을 편집해야 하는 경우 검색 을 선택하고 검색 조건을 업데이트합니다. 검색 일치 항목에 대한 세부 정보를 보려면 줄임표 및 샘플 보기를 선택하거나 scope 추가를 선택합니다.

    중요

    조사 scope 항목을 추가하면 항목의 복사본이 organization 데이터 보안 조사 연결된 Azure 스토리지 계정에 추가됩니다. 제거 큐에서 제거 쿼리를 실행하면 모든 현재 원본 위치에서 항목이 제거되지만 데이터 보안 조사 조사 scope 제거되지 않습니다. 데이터 보안 조사 모든 항목을 제거하려면 조사를 삭제합니다.

  7. 제거를 위해 저장을 선택하고 쿼리 이름 필드에 제거 쿼리의 고유한 이름을 입력합니다.

  8. 저장을 선택하여 쿼리를 저장하고 제거 큐에 쿼리를 추가합니다. 이 단계에서는 쿼리를 제거 쿼리로만 저장하고 항목을 제거하지 않습니다.

    경고

    제거를 위해 검토하는 동안 표시되는 항목 수는 검토 시 검색 결과를 기반으로 한 추정치 입니다. 제거 쿼리를 즉시 실행하지 않으면 시간이 지남에 따라 쿼리와 일치하는 항목이 크게 변경됩니다. 나중에 저장된 제거 쿼리를 실행하면 삭제할 의도가 없는 항목을 포함하여 원래 예상보다 훨씬 많은 항목이 제거될 수 있습니다. 의도하지 않은 데이터 손실을 방지하려면 제거 쿼리를 실행하기 직전에 항상 다시 제거를 검토합니다.

  9. 조사를 위한 완화 탭에서 자동으로 제거 큐 dashboard 이동합니다.

  10. 실행할 제거 쿼리를 선택합니다.

  11. 쿼리 세부 정보 제거 페이지에서 쿼리 세부 정보를 검토하고 실행을 선택합니다.

  12. 제거 확인 대화 상자에서 쿼리에 대한 제거 방법을 선택합니다.

    • 일시 제거: 항목을 복구 가능한 항목 폴더로 이동하고 보존 설정에 따라 유지합니다. 이 옵션은 Teams 메시지 및 OneDrive 및 SharePoint 파일에 대해 지원되지 않습니다. 검색 쿼리에 지원되지 않는 항목이 포함된 경우 일시 제거 옵션을 사용할 수 없습니다.
    • 하드 제거: 데이터 원본에서 항목을 영구적으로 삭제합니다. 이 작업은 실행 취소할 수 없습니다.

    참고

    항목이 소송 보존, eDiscovery 보존 또는 보존 정책에 속하는 경우 제거 프로세스는 항목을 보존하며 보존이 제거되거나 보존 기간이 만료될 때까지 영구적으로 삭제할 수 없습니다.

  13. 제거 확인을 선택합니다.

  14. 제거 쿼리의 상태 보려면 활동 탭을 선택합니다.

제거가 완료되면 제거된 항목에 대한 항목, 위치, 설정 및 요약 정보를 포함하는 .zip 파일로 보고서를 다운로드할 수 있습니다.

단일 항목 제거

조사에서 단일 항목을 제거하려면 다음 단계를 완료합니다.

  1. Microsoft Purview 포털에서 데이터 보안 조사 이동하여 데이터 보안 조사 권한이 할당된 사용자 계정에 대한 자격 증명으로 로그인합니다.

  2. 왼쪽 탐색 영역에서 조사를 선택합니다.

  3. 조사를 선택한 다음 분석을 선택하여 조사 scope 액세스합니다.

  4. 조사 scope 제거할 항목을 선택합니다.

  5. 완화에 추가를 선택한 다음 완화를 선택하여 완화 목록을 확인합니다.

  6. 완화 목록에서 항목을 선택합니다.

  7. 추가를 선택하여 큐를 제거한 다음, 제거 큐를 선택하여 제거 큐를 봅니다.

  8. 제거 큐에서 항목을 선택한 다음 제거를 선택합니다.

  9. 항목에 대한 제거 방법을 선택합니다.

    • 일시 제거: 항목을 복구 가능한 항목 폴더로 이동하고 보존 설정에 따라 유지합니다. 이 옵션은 Exchange 사서함 항목에만 사용할 수 있습니다.
    • 하드 제거: 해당 데이터 원본에서 항목을 영구적으로 삭제합니다. 이 작업은 실행 취소할 수 없습니다.

    참고

    항목이 소송 보존, eDiscovery 보존 또는 보존 정책에 속하는 경우 제거 프로세스는 항목을 보존하며 보존이 제거되거나 보존 기간이 만료될 때까지 영구적으로 삭제할 수 없습니다.

  10. 제거 확인을 선택합니다.

  11. 제거의 상태 보려면 활동 탭을 선택합니다.

  • Last updated on