랩: Microsoft Defender for Cloud Apps 살펴보기

이 랩에 해당하는 Learn 학습 내용은 다음과 같습니다.

• 학습 경로: Microsoft 보안 솔루션의 기능 설명
• 모듈: Microsoft 365의 위협 방지 기능 설명
• 단원: Microsoft Defender for Cloud Apps 설명

랩 시나리오

이 랩에서는 Microsoft Defender for Cloud Apps의 기능을 살펴봅니다. Cloud Discovery 대시보드, 클라우드 앱 카탈로그, 결과를 조사하는 데 사용할 수 있는 기능, 정책을 통해 조직에 미치는 영향을 제어하는 방법에 대한 정보를 알아보았습니다. 참고: 조직은 사용자 기반 구독 서비스인 Microsoft Defender for Cloud Apps를 사용할 수 있는 라이선스가 있어야 합니다.

예상 시간: 30분

작업 1 - Cloud Discovery 살펴보기

Cloud Discovery를 살펴봅니다.

1. Microsoft Edge를 엽니다. 주소 표시줄에 https://admin.microsoft.com 을 입력합니다.

2. Microsoft 365 테넌트의 관리자 자격 증명으로 로그인합니다.
   1. 로그인 창에 admin@WWLxZZZZZZ.onmicrosoft.com을 입력하고(여기서 ZZZZZZ는 랩 호스팅 공급자가 제공한 고유 테넌트 ID) 다음을 선택합니다.
   2. 랩 호스팅 공급자가 제공한 관리자 암호를 입력합니다. 로그인을 선택합니다.
   3. 랩 호스터에 따라 테넌트에 처음 로그인하는 경우 MFA 등록 프로세스를 완료하라는 메시지가 표시될 수 있습니다. , 화면의 프롬프트에 따라 MFA를 설정합니다.
   4. 로그인하면 Microsoft 365 관리 센터 페이지로 이동됩니다.

3. Microsoft 365 관리 센터의 왼쪽 탐색 창에서 모두 표시를 선택합니다.

4. 관리 센터 아래에서 보안을 선택합니다. 새 브라우저 페이지가 열리고 Microsoft 365 Defender 포털 시작 페이지가 표시됩니다.

5. Microsoft 365 Defender 포털을 처음 방문하는 경우 빠른 둘러보기를 진행하라는 팝업 창이 표시될 수 있습니다. 간단한 둘러보기를 선택하거나 창을 닫을 수 있습니다.

6. 왼쪽 탐색 패널에서 클라우드 앱을 선택하여 목록을 확장한 다음 Cloud Discovery를 선택합니다. 그러면 대시보드 보기로 이동합니다. 대시보드에서 사용할 수 있는 정보를 확인합니다. 대시보드 보기의 페이지 맨 위에서 다른 탭을 선택할 수 있습니다.

7. 검색된 앱을 선택합니다. 검색된 앱 창에서는 위험 점수, 트래픽, 사용자 수 등의 정보가 포함되어 있는 검색된 앱 관련 세부 보기가 제공됩니다.
   1. 목록 내 임의의 항목에서 작업의 테이블 열에 있는 줄임표(…)를 선택합니다. 그러면 앱에 사용 권한 또는 비사용 권한 태그를 지정하는 기능 등의 다양한 옵션이 제공됩니다. 작업 상자를 닫으려면 줄임표(…)를 다시 선택합니다.
   2. 특정 줄 항목을 선택하면 특정 앱의 세부 정보 페이지가 열립니다. 목록에서 항목을 선택하고 개요 페이지에서 사용할 수 있는 정보를 검토합니다. 선택한 항목의 클라우드 앱 사용량 탭을 선택하면 사용량, 사용자, IP, 주소, 인시던트 등 더 자세한 정보를 확인할 수 있습니다. 세부 정보 페이지를 모두 살펴본 후 페이지 위쪽 이동 경로에서 Cloud Discovery를 선택하여 검색된 앱 페이지로 돌아옵니다. 왼쪽 탐색 패널에서 Cloud Discovery를 선택하면 대시보드 보기가 다시 표시됩니다.
   3. 페이지 맨 위에서 IP 주소 탭을 선택합니다. 여기서는 IP 주소별 트랜잭션 수, 트래픽 양, 업로드 양을 포함한 데이터를 찾을 수 있습니다. 데이터를 특정 IP 주소별로 필터링하거나 추가 분석을 위해 내보낼 수도 있습니다.
   4. 페이지 맨 위에서 사용자를 선택합니다. 이는 IP 주소를 선택할 때 제공되는 것과 같은 유형의 정보이지만 대신 개별 사용자에 대해 나열됩니다. 여기서도 데이터를 특정 사용자별로 필터링하고 추가 분석을 위해 내보낼 수 있습니다.
8. Cloud Discovery 페이지 및 관련 탭에 제공된 정보는 방화벽 및 프록시에서 수동으로 업로드하는 트래픽 로그의 스냅샷 보고서 또는 Cloud App Security를 사용하여 네트워크에서 전달되는 모든 로그를 분석하는 연속 보고서를 기반으로 한다는 것입니다. 설정 위치를 확인하려면 페이지 오른쪽 위의 작업을 선택합니다.
   1. 첫 번째 옵션인 Cloud Discovery 스냅샷 보고서를 선택하고 다음을 선택합니다. 그러면 표시되는 화면에서 요청된 세부 정보를 입력한 후 트래픽 로그를 업로드하여 보고서를 생성 및 업로드합니다. 종료를 선택하고 계속하시겠어요?라는 메시지가 표시되면 종료를 다시 선택합니다. 랩 테넌트와 관련하여 표시되는 데이터는 스냅샷 보고서에서 가져온 것으로 Cloud Discovery 창의 맨 위에서 이 정보를 확인 수 있습니다.
   2. 연속 보고서용 옵션을 확인하려면 페이지 오른쪽 위의 작업을 선택하고 드롭다운에서 자동 업로드 구성을 선택합니다. 지금은 연결된 데이터 원본이 없습니다. 해당 탭에서 데이터 원본을 추가할 수 있습니다. 데이터 원본 추가를 선택한 다음 어플라이언스 선택 필드에서 드롭다운 화살표를 선택하여 데이터 원본으로 연결할 수 있는 어플라이언스 유형을 확인합니다. 취소를 선택하여 종료합니다.
   3. 왼쪽 탐색 패널에서 Cloud Discovery를 선택하여 Cloud Discovery 페이지로 돌아옵니다.

9. 클라우드 앱을 더 잘 파악하고 제어할 수 있는 앱 커넥터를 설정하여 앱에 직접 연결할 수 있습니다. 화면 오른쪽 위에서 작업을 선택한 다음 Cloud Discovery 설정을 선택합니다. 화면 왼쪽의 연결된 앱 아래에서 앱 커넥터를 선택합니다.

   1. 연결된 앱 페이지의 목록에서 Office 365를 선택하여 사용 가능한 자세한 정보를 확인한 다음 화면 오른쪽에 있는 세로 줄임표(⋮)를 선택하고 앱 커넥터 설정 보기를 선택하여 앱 커넥터 페이지로 돌아갑니다. Office 365에 연결 오류가 표시되면 감사가 설정되어 있지 않기 때문일 가능성이 높습니다. 감사를 사용하도록 설정한 경우 품목의 오른쪽에 있는 세로 줄임표(⋮)로 이동하여 설정 편집을 선택합니다. 다시 연결하려면 페이지 아래쪽에서 Office 365 연결을 선택합니다. 이제 페이지에 Office 365가 연결된 것으로 표시됩니다. 완료를 선택합니다. 최근 상태가 없음을 나타내는 노란색 경고 기호로 상태가 표시됩니다. 소급 검사 기간이 앱마다 다르기 때문에 상태가 업데이트되는 데 시간이 다소 걸리고 랩 테넌트는 평소보다 더 오래 지연될 수 있습니다.

   2. 이제 새 앱 커넥터를 설정합니다. +앱 연결을 선택하고 드롭다운 목록에서 Microsoft Azure를 선택합니다. Microsoft Azure 팝업 창에서 Microsoft Azure 연결을 선택한 다음 완료를 선택합니다. 연결된 상태가 표시됩니다. 상태가 표시되지 않으면 브라우저를 새로 고칩니다. Microsoft Azure를 선택하여 사용자/데이터/활동 검사 관련 세부 정보를 확인합니다. 왼쪽 탐색 패널에서 Cloud Apps 아래의 Cloud Discovery를 선택하여 Cloud Discovery 대시보드로 돌아옵니다.

10. 다음 작업에서 사용할 수 있도록 이 페이지를 열어 두세요.

작업 2 - 클라우드 앱 카탈로그 살펴보기

Cloud Discovery는 31,000개가 넘는 클라우드 앱이 포함된 Microsoft Defender for Cloud Apps 클라우드 앱 카탈로그와 비교하여 트래픽 로그를 분석합니다. 이 앱은 80가지가 넘는 위험 요소를 기반으로 순위를 매기고 점수를 매겨 클라우드 사용, 섀도 IT, 위험 섀도 IT가 조직에 미치는 위험에 대해 지속적으로 파악할 수 있습니다. 이 작업에서는 클라우드 앱 카탈로그의 기능을 살펴봅니다.

1. 왼쪽 탐색 패널에서 클라우드 앱 카탈로그를 선택합니다.

2. 클라우드 앱 카탈로그를 사용하면 조직의 보안 요구 사항에 맞는 앱을 선택할 수 있습니다. 관리자는 페이지 맨 위에 표시된 대로 앱의 기본 필터링을 수행할 수 있습니다. 여기에는 앱이 승인되었는지, 승인되지 않았는지 또는 태그, 위험 점수, 규정 준수 위험 요소, 보안 위험 요소가 없는지 여부가 포함됩니다. 예를 들어 규정 준수 위험 요소별로 필터링하면 앱이 준수할 수 있는 특정 표준, 인증, 규정 준수를 검색할 수 있습니다. 예로는 HIPAA, ISO 27001, SOC 2 및 PCI-DSS가 있습니다. 규정 준수 위험 요소를 선택하여 사용 가능한 옵션을 확인합니다. 페이지 맨 위에 있는 위험 점수에서 슬라이더를 이동하여 위험 점수를 기준으로 추가로 필터링할 수 있습니다. 슬라이드를 이동한 경우 범위가 0에서 10으로 설정되도록 합니다.

3. 관리자는 범주별로 앱을 검색할 수도 있습니다. 예를 들어 범주 검색 필드 검색에서 소셜 네트워크를 입력한 다음 소셜 네트워크를 선택합니다. 목록에서 항목을 선택하면 자세한 보기가 표시됩니다. 특정 범주의 토픽 위에 마우스를 놓으면 정보 아이콘이 표시됩니다. 정보 아이콘을 선택하면 해당 토픽과 관련된 자세한 내용을 확인할 수 있습니다.

4. 다음 작업에서 사용할 수 있도록 이 페이지를 열어 두세요.

작업 3 - 활동 로그 및 파일 살펴보기

활동 로그 및 파일을 사용하여 기록된 활동을 조사할 수 있는 방법을 살펴봅니다.

1. 왼쪽 탐색 패널에서 활동 로그를 선택합니다. 그러면 연결된 앱에서 수행한 모든 활동을 확인할 수 있습니다. 감사가 활성화되면 소급 검사를 수행하는 데 몇 시간이 걸릴 수 있으며 랩 테넌트에서 평소보다 지연이 길어질 수 있으므로 나열된 데이터가 표시되지 않을 수 있습니다. 사용 가능한 필터 옵션과 검색에서 새 정책을 만드는 옵션을 확인합니다.

2. Microsoft Defender for Cloud Apps에서는 데이터 보호를 위해 연결된 앱의 모든 파일(예: SharePoint와 Salesforce에 저장된 모든 파일)을 확인할 수 있습니다. 왼쪽 탐색 패널에서 파일 옵션을 선택한 후에 해당 설정을 살펴봅니다.
   1. 파일 검사 기능은 Microsoft 365 클라우드 앱의 정보 보호 설정을 지정할 때 사용하도록 설정해야 합니다. 파일 모니터링 사용을 선택하고 파일 모니터링 사용 옆의 확인란을 선택한 후에 저장을 선택합니다.
   2. 왼쪽 탐색 패널에서 클라우드 앱 아래의 파일을 선택하여 파일로 돌아옵니다. 앞에서 설명한 것처럼 파일 모니터링을 사용하도록 설정한 후 파일이 표시되려면 며칠이 걸릴 수도 있습니다. 목록에 파일이 표시되면 앱/소유자/액세스 수준/파일 형식/일치하는 정책을 기준으로 데이터를 필터링할 수 있습니다. 데이터 검색 및 내보내기 결과에 따라 새 정책을 만들 수도 있습니다.
3. 다음 작업에서 사용할 수 있도록 이 페이지를 열어 두세요.

작업 4 - 정책 살펴보기

이 작업에서는 Microsoft Defender for Cloud Apps의 정책을 살펴봅니다.

1. 왼쪽 탐색 패널에서 정책을 선택한 다음 정책 관리를 선택합니다. 그러면 나열되는 정책에서는 정책을 통해 생성된 경고 수, 심각도 등의 정보가 제공됩니다. 줄 항목을 선택하면 정책 관련 세부 정보가 제공됩니다.
   1. 정책을 만들 수도 있습니다. + 정책 만들기를 선택하여 만들 수 있는 정책 유형을 확인합니다. 활동 정책을 선택하여 정책을 만드는 데 사용할 수 있는 다양한 옵션을 확인합니다. 취소를 선택하여 구성 창을 종료합니다.
   2. 정책 정보를 내보내는 옵션도 사용할 수 있습니다.

2. 왼쪽 탐색 패널에서 정책 템플릿을 선택합니다. 사용 가능한 템플릿 중 하나에서 정책을 만들려면 템플릿 품목의 오른쪽에 있는 + 을 선택합니다. 정책의 다양한 구성 옵션을 확인합니다. 취소를 선택하여 페이지를 종료합니다.

3. 브라우저 창을 닫습니다.

검토

이 랩에서는 Microsoft Defender for Cloud Apps의 기능을 살펴보았습니다. Cloud Discovery 대시보드, 클라우드 앱 카탈로그, 결과를 조사하는 데 사용할 수 있는 기능, 정책을 통해 조직에 미치는 영향을 제어하는 방법에 대한 정보를 알아보았습니다.