데이터 보안 조사 워크플로를 사용하면 보안 및 데이터 위반 인시던트와 관련된 데이터를 신속하게 식별, 조사 및 조치를 취할 수 있습니다. 이 워크플로는 선형 프로세스가 아닙니다. 여기에는 AI 및 활동을 사용하여 검색, 증거 수집, 분류 및 조사를 미세 조정하는 몇 가지 단계에 대한 중요한 반복 요구 사항이 포함됩니다.
데이터 및 액세스에 대한 식별 및 작업을 수행하면 다음 워크플로가 사용됩니다.
1단계: 인시던트 식별 및 에스컬레이션
데이터 보안 인시던트 식별
데이터 침해 및 기타 데이터 보안 인시던트에는 organization 잠재적인 위험을 식별하고 포함하기 위한 빠른 조치가 필요합니다. 이러한 인시던트를 신속하게 식별하고 통합 응답을 간소화해야 합니다. 데이터 보안 인시던트 조사가 어려울 수 있습니다. 조사 규모가 커짐에 따라 여러 도구, 수동 작업 및 추가 복잡성에 걸쳐 비효율적인 워크플로가 포함될 수 있습니다. 영향을 받은 데이터와 비용 증가에 대한 노동 집약적인 검토에 직면할 수 있습니다.
데이터 보안 조사 데이터 보안 인시던트 조사 및 완화를 돕고 해결 시간을 가속화합니다. 데이터 보안 인시던트가 식별되면 데이터 보안 팀이 인시던트 관련 데이터를 식별하고, 심층 콘텐츠 분석을 수행하고, 하나의 통합 솔루션 내에서 위험을 완화할 수 있도록 새 조사를 만듭니다.
Microsoft Defender XDR 데이터 보안 인시던트 에스컬레이션
이미 organization Microsoft Defender XDR 사용하고 있는 경우 데이터 보안 조사 통합하면 새 조사를 빠르고 원활하게 만들 수 있습니다. 조사에는 Defender XDR 인시던트 노드의 모든 인시던트 관련 데이터 항목이 자동으로 포함됩니다.
내부 위험 관리에서 데이터 보안 인시던트 에스컬레이션
organization 참가자 위험 관리를 이미 사용하고 있는 경우 데이터 보안 조사 통합하면 식별된 위험한 사용자 활동에 대한 새 조사를 신속하게 만들 수 있습니다.
데이터 보안 태세 관리 인사이트에서 에스컬레이션
이미 organization 데이터 보안 태세 관리 사용하고 있는 경우 데이터 보안 조사 통합하면 잠재적인 데이터 반출 결과 및 인사이트에서 새 조사를 신속하게 만들 수 있습니다.
2단계: 조사 만들기 및 영향을 받은 데이터 찾기
데이터 보안 조사 조사를 만드는 것은 빠르고 쉽습니다. 시나리오에 따라 다음에서 조사를 만들 수 있습니다.
- Microsoft Defender XDR 인시던트: Defender XDR 인시던트에서 조사를 만듭니다.
- Microsoft Purview 내부 위험 관리 사례: 내부 위험 관리에서 조사를 만듭니다.
- 데이터 보안 태세 관리 인사이트: 데이터 보안 태세 관리 반출 결과에서 조사를 만들거나 조사를 자동으로 만드는 사전 AI 인사이트를 사용하도록 설정합니다.
- 전체 초안 모드를 사용하여 수동으로: 전체 초안 모드 옵션을 사용하여 특정 데이터 원본 및 검색 조건을 구성하여 조사를 만듭니다.
3단계: 검색, 결과 평가 및 검토
조사를 만든 후 데이터 원본을 검토하고 업데이트할 수 있습니다. 검색 도구를 사용하여 데이터 보안 인시던트 관련 항목을 식별합니다. 이 검토에는 다음 Microsoft 365 서비스의 항목이 포함됩니다.
| 데이터 원본 | 검색된 콘텐츠 형식 | 위험한 콘텐츠 예제 |
|---|---|---|
| 엔드포인트 DLP(데이터 손실 방지) | 엔드포인트 DLP 증거 수집에 의해 캡처된 Files | Files USB에 복사되거나, 인쇄되거나, 클라우드에 업로드되거나, 온보딩된 디바이스의 권한이 없는 앱에 의해 액세스됩니다. |
| Exchange Online | 사용자 사서함의 전자 메일 및 첨부 파일 | 전자 메일로 전송된 자격 증명 또는 비밀, 외부적으로 공유되는 중요한 파일. |
| Microsoft Copilot | AI 프롬프트 및 응답 | Copilot 또는 AI 프롬프트의 중요한 데이터입니다. |
| Microsoft Teams | 채팅 메시지(1:1 및 그룹 채팅) 및 채널 게시물 | 채팅에 포함된 비밀, Teams 대화의 기밀 정보. |
| OneDrive | 사용자 파일 | 보안 액세스 키가 있는 사용자 파일, 데이터베이스 내보내기 등 |
| SharePoint | 사이트의 문서 및 파일 | 암호, 고객 데이터 또는 기밀 계획이 포함된 문서입니다. |
조사와 연결된 다양한 검색 을 만들고 실행할 수 있습니다. 쿼리 작성기에서 키워드, 파일 형식, 인시던트 등의 조건을 사용하여 사용자 지정 검색 쿼리를 만듭니다. 이러한 쿼리는 데이터 보안 인시던트와 가장 관련이 있는 데이터로 결과를 반환합니다. 감사 검색을 사용하여 액세스한 파일, 다운로드 및 민감도 레이블 변경과 같은 통합 감사 로그에 기록된 사용자 활동을 기반으로 콘텐츠를 식별할 수도 있습니다. 또한 엔드포인트 DLP 증거 수집(미리 보기) 을 사용하여 온보딩된 디바이스에서 엔드포인트 DLP 정책에 의해 캡처된 데이터를 쿼리할 수 있습니다.
4단계: 조사 scope 데이터 추가
검색 쿼리를 검토하고 구체화한 후 모든 관련 데이터 항목을 조사 scope 추가합니다. 이 단계에서는 특정 데이터 항목을 필터링하고 검토합니다. 또한 데이터 보안 조사 AI 도구를 사용하여 검토하지 않으려는 항목을 식별합니다.
5단계(a): 항목 조사
조사 scope 데이터 항목을 추가한 후 데이터를 구체화하고 조사 관련 항목으로 범위를 좁히기 시작합니다. 항목을 가장 적은 양의 적용 가능한 데이터로 좁히면 속도를 높이고 AI 처리와 관련된 비용을 줄일 수 있습니다.
이 단계에서는 다음 작업을 수행합니다.
데이터 항목이 조사 scope 추가되면 시스템에서 모든 항목을 자동으로 준비합니다. 이 자동 벡터화를 사용하면 의미 체계 검색 및 데이터 분류가 가능합니다.
5단계(b): AI를 사용하여 조사
조사 중인 데이터 항목에 대한 scope 추가가 완료되면 AI 관련 도구를 사용하여 조사 포커스를 가장 영향력 있고 중요한 항목으로만 좁힐 수 있습니다.
검토에서 다음 도구와 작업을 사용하여 특정 데이터 항목에 대한 작업을 식별하고 수행합니다.
- 자연어 쿼리에 대한 벡터 검색 을 사용하여 검토할 항목을 식별합니다.
- 자연어 쿼리 및 키워드 와 함께 AI(미리 보기) 를 사용하여 검색 결과를 요약하여 검토할 수 있습니다.
- 콘텐츠에 대한 AI 기반 범주 를 정의하고 구성합니다.
- 선택한 항목에 대해 기본 제공 및 사용자 지정 검사 영역을 사용합니다.
- 완화 계획에 추가할 항목을 선택합니다.
중요
스토리지 및 AI 용량 비용 고려 사항은 데이터 보안 조사 각 AI 도구의 사용과 관련이 있습니다. 자세한 내용은 데이터 보안 조사 청구 모델 및 데이터 보안 조사AI 분석 사용을 참조하세요.
5단계(c): 데이터 위험 그래프로 조사(미리 보기)
AI 처리를 위한 데이터 항목을 준비하고 처리를 완료한 후 자산 및 활동 데이터를 단일 보기로 결합하는 시각적 조사 환경에 데이터 위험 그래프를 사용합니다. 이 보기를 사용하면 보안 인시던트와 관련된 사용자, 사이트 및 데이터 항목에 대한 노드 및 관계를 식별할 수 있습니다.
자세한 내용은 다음 항목을 참조하세요.
6단계: 완화를 위한 조치 수행
데이터 보안 인시던트와 관련된 가장 관련성이 크고 영향력 있는 항목을 식별한 후 위험을 완화하는 데 도움이 되는 특정 조치를 취합니다.
- 완화 권장 사항 검토: 검사할 항목을 선택하고 완화를 포커스 영역으로 선택하면 해결 방법이 완화 권장 사항을 만듭니다. 자동화된 AI 처리는 관련 위협을 식별하고 완화 단계를 권장합니다.
- 자격 증명 검사 검토: 검사 항목을 선택하고 자격 증명 을 포커스 영역으로 선택하면 솔루션은 자격 증명 및 기타 액세스 자산 검사를 식별합니다. AI 분석 처리는 자격 증명 세부 정보, 유형 및 특정 권장 사항을 자동으로 식별하고 생성합니다.
- 위험 검사 검토: 검사 항목을 선택하고 위험 영역을 포커스 영역으로 선택하면 솔루션이 자동으로 보안 위험 점수 및 검사를 만듭니다. 위험 점수를 사용하면 가장 영향력 있고 위험한 데이터 항목에 대한 완화 작업의 우선 순위를 지정할 수 있습니다.
- 개인 데이터 검사 검토: 검사할 항목을 선택하고 개인 데이터를 포커스 영역으로 선택하면 솔루션은 선택한 항목에서 개인 데이터를 식별하고 추출합니다. AI 분석 처리는 PII 유형을 자동으로 식별하고, 값을 추출하고, 주변 컨텍스트를 제공합니다.
- 완화 계획 사용: 검사 및 권장 사항을 검토한 후 조사 scope 특정 데이터 항목을 완화 계획에 추가합니다. 이 계획은 각 데이터 항목에 대한 완화 상태 관리하고 추적하는 데 도움이 됩니다.
- 필요한 경우 항목 제거: 검색 쿼리를 만들고 제거 쿼리로 저장하여 organization 항목을 식별하고 제거하는 데 도움이 됩니다. 항목을 일시 제거하여 복구 가능한 항목 폴더 또는 영구 삭제 항목으로 이동할 수 있습니다.
모범 사례
- AI 분석을 현명하게 반복하고 사용: 조사는 한 단계에서 거의 완료되는 경우가 거의 없습니다. 분류 및 벡터 검색에서 AI 제안을 사용하여 숨겨진 문제를 파악합니다. 항상 인간의 판단을 사용하여 중요한 발견의 유효성을 검사합니다. 조사관의 판단은 중요한 의사 결정의 핵심입니다.
- 조사 scope 집중 유지: 더 많은 데이터를 발견하면 압도되기 쉽습니다. 분류를 사용하여 관련 없는 정보를 제외하고 주로 위험한 항목에 집중합니다.
- organization 적합한 팀을 조기에 Engage: 데이터 보안 인시던트가 여러 영역에 걸쳐 있는 경우가 많습니다. 이러한 영역에는 organization 보안, IT 및 규정 준수가 포함될 수 있습니다. 작업이 필요한 영역을 식별하는 즉시 파트너 팀과 공유하세요.
- 통합 Microsoft 서비스 사용: 데이터 보안 조사 광범위한 Microsoft Purview 및 Defender 에코시스템의 일부입니다. 조사에 내부자 위험이 있는 경우 내부 위험 관리 사례를 엽니다. Microsoft Defender XDR 경고에서 시작된 경우 해당 인시던트 결과를 업데이트합니다. 목표는 organization 인시던트에 대한 종단 간 보기입니다.
Email 및 포털 알림
데이터 보안 조사 조사자에게 설정 상태 알리고 조사 진행 상황을 업데이트하도록 알림을 보냅니다. 알림은 Microsoft Purview 알림 센터(Microsoft Purview 포털의 종 아이콘) 및 이메일을 통해 모두 전달됩니다. Email 알림에는 조사 이름을 헤더로 사용하고 Microsoft Purview 포털의 관련 페이지에 직접 연결되는 단추가 포함됩니다.
다음 표에서는 설정 및 온보딩과 관련된 알림을 설명합니다.
| 알림 | 트리거 | 받는 사람 | 설명 |
|---|---|---|---|
| 설치 완료 | 초기 설정이 완료되었습니다. | 데이터 보안 조사 역할이 있는 모든 사용자 | 할당된 모든 사용자에게 데이터 보안 조사 구성되고 사용할 준비가 되었다는 것을 알 수 있습니다. |
| 통합 조사 준비 | 초기 설정이 완료되고 사용자가 이전에 Microsoft Defender XDR, 참가자 위험 관리 또는 데이터 보안 태세 관리 조사를 만들었습니다. | 설치가 완료되기 전에 조사를 만든 사용자 | 사용자가 기존 조사로 돌아가 AI 분석을 시작하도록 지시합니다. |
| 미리 알림 설정 | 사용자가 조사를 만들었지만 7일 후에 초기 설정이 완료되지 않음 | 조사를 만든 사용자 | 조사를 진행할 수 있도록 사용자 또는 관리자에게 설정을 완료하도록 미리 알려 줍니다. |
| 권한 프로비전 완료 | 최종 온보딩 단계가 완료되지 않은 경우 권한 할당 후 1시간 | 온보딩을 완료하는 사용자 | 권한이 프로비전된 후 최종 온보딩 단계를 완료하도록 사용자에게 알려 줍니다. |
참고
알림 기본 설정은 현재 사용할 수 없습니다. 데이터 보안 조사 역할이 있는 모든 사용자는 이 섹션에 나열된 시나리오에 대한 알림을 받습니다.