Office 365 클라우드 App 보안에 특이 탐지 정책

참고:  사용자 언어로 가능한 한 빨리 가장 최신의 도움말 콘텐츠를 제공하고자 합니다. 이 페이지는 자동화를 통해 번역되었으며 문법 오류나 부정확한 설명을 포함할 수 있습니다. 이 목적은 콘텐츠가 사용자에게 유용하다는 것입니다. 이 페이지 하단의 정보가 도움이 되었다면 알려주세요. 쉽게 참조할 수 있는 영어 문서 가 여기 있습니다.

이제 Office 365 고급 보안 관리Office 365 Cloud App Security 됩니다.

평가    >

계획    >

배포    >

사용률   

평가 시작

계획 시작

현재 위치!

다음 단계

활용 하 여 시작

Microsoft 클라우드 App 보안 릴리스 116부터는 Office 365 Cloud App Security 몇 가지 미리 정의 된 특이 탐지 정책 ("부재 중 상자") 사용자와 엔터티 동작 분석 (UEBA) 및 컴퓨터 학습 (ML)를 포함 하는 포함 되어 있습니다.

선택 컨트롤 특이 탐지 정책을 보려면 > 정책입니다.

이러한 특이 탐지 정책 사용자 컴퓨터, 네트워크에 연결 된 장치에서 다양 한 동작 예외를 대상으로 즉시 감지를 제공 하 여 즉시 결과 제공 합니다. 또한, 새 정책을 조사 프로세스 속도 진행 중인 위협 포함 될 수 있도록 클라우드에 App 보안 검색 엔진에서 더 많은 데이터를 제공 합니다.

전역 관리자 또는 보안 관리자를검토 하 고, 수 있으며 필요한 경우 Office 365 Cloud App Security 을 사용할 수 있는 기본 정책을 수정할 수 있습니다.

이 문서의 내용:

중요: 7 일 동안 비정상적인 동작 알림 발생 하지는 초기 학습 기간이 있습니다. 특이 검색 알고리즘은 false 양수 알림 수 줄이기 위해 최적화 됩니다.

시작하기 전에

사항을 확인해 보세요.

특이 탐지 정책 보기

  1. 전역 관리자 또는 보안 관리자로 https://protection.office.com 로 이동 하 고 작업을 사용 하 여 로그인 또는 학교 계정.

  2. 보안 및 규정 준수 센터알림 을 선택 > 고급 알림을 관리 합니다.

  3. Office 365 클라우드 App 보안을 선택 합니다.

    이렇게 Office 365 Cloud App Security 정책 페이지로 이동합니다.

  4. 형식 목록에서 특이 검색 정책 을 선택 합니다.

    조직의 기본 (또는 기존) 특이 검색 정책이 표시 됩니다.

    Office 365 클라우드 App 보안에 기본적으로 사용할 수 있는 몇 가지 예외 탐지 정책

  5. 검토 하거나 해당 설정을 편집 하려면 정책을 선택 합니다.

  6. 업데이트를 선택하여 변경 내용을 저장합니다.

특이 탐지 정책에 대 한 자세한 정보

특이 탐지 정책 자동으로 활성화 됩니다. 그러나 Office 365 Cloud App Security 감지 경고 항상 그렇지는 특이 하는 동안 발생 하는 7 일의 초기 학습 기간을 있습니다. 이렇게 하면 각 세션 활동, 사용자가 활성화 된 경우, IP 주소, 장치, 지난 달 및 다음이 활동의 위험 점수 위에 발견 등을 비교 합니다. 이러한 탐지는 프로필의 환경 및 조직의 활동에 알게 된 초기 계획 관련 된 경고를 발생 하는 자가 특이 검색 엔진의 일부입니다. 또한 이러한 탐지 프로필 사용자 및 로그인 패턴 판정 줄일 수 있도록 기계 학습 알고리즘을 활용 합니다.

예외는 사용자 활동을 검색 하 여 검색 됩니다. 위험 위험한 IP 주소, 로그인 실패, 관리 활동, 비활성 계정, 위치, 불가능 한 여행, 장치 및 사용자 에이전트 활동 속도 등 여러 위험 요소도 그룹화 된 30 개 다른 위험 표시기를 확인 하 여 계산 됩니다.

정책 결과에 따라 보안 경고를 표시 트리거 됩니다. Office 365의 모든 사용자 세션 Office 365 Cloud App Security 찾은 문제가 발생 한 경우 해당 사용자의 일반 작업 또는 조직의 초기 계획에서 다른 때마다 경고를 표시 합니다.

다음 표에서 기본 특이 감지 정책, 실행 하는 기능, 작동 방식에 대해 설명 합니다.

예외 감지 정책 이름

방법

불가능 한 여행

두 개의 사용자 활동을 식별 (단일 또는 여러 세션은)에서 가져온 지리적으로 먼 곳 시간 보다 짧은 기간 내에서 소요 있음을 나타내는 두 번째 첫 번째 위치에서 이동 하는 사용자는 다른 동일한 자격 증명을 사용 합니다. 이 감지 명백한 "판정" 불가능 한 여행 조건 Vpn 등 조직에서 다른 사용자가 정기적으로 사용 되는 위치에 기여 하지 않는 알고리즘 학습 기기를 활용 합니다. 검색에 새 사용자의 활동 패턴 알아서 학습 하는 동안 7 일의 초기 학습 기간이 있습니다.

자주 사용 하지 않는 국가에서 활동

새로 추가 되거나 자주 사용 하지 않는 위치를 확인 하려면 지난 활동 위치 고려 합니다. 특이 검색 엔진 사용 하는 조직에서 사용자가 이전 위치에 대 한 정보를 저장 합니다. 알림은 활동은 최근에 또는 적이 없는 방문 하지는 사용자 또는 조직의 모든 사용자가 위치에서 발생할 때 발생 합니다.

익명 IP 주소에서 활동

사용자가 익명 프록시 IP 주소로 식별 된 IP 주소를 통한 활성화 된 식별 합니다. 이러한 프록시를 숨기려면 해당 장치 IP 주소 및 악의적인 의도에 사용할 수 있는 사용자가 사용 됩니다. 이 감지 "거짓 긍정", 조직의 사용자에에서 의해 널리 사용 되는 잘못 태그가 지정 된 IP 주소와 같은 감소 알고리즘 학습 기기를 활용 합니다.

의심 스러운 IP 주소에서 활동

사용자가 Microsoft 위협 인텔리전스도 위험한로 식별 된 IP 주소를 통한 활성화 된 식별 합니다. 이러한 IP 주소 봇 C / C, 같은 악성 활동에 포함 되어 있으며 손상 된 계정을 나타낼 수 있습니다. 이 감지 "거짓 긍정", 조직의 사용자에에서 의해 널리 사용 되는 잘못 태그가 지정 된 IP 주소와 같은 감소 알고리즘 학습 기기를 활용 합니다.

(사용자)에 의해 특이 한 활동

와 같은 특이 한 작업을 수행 하는 사용자를 식별 합니다.

  • 여러 파일 다운로드

  • 활동 공유 파일

  • 파일 삭제 작업

  • 가장 활동

  • 관리 작업

이러한 정책을 찾습니다 활동 배웠습니다, 초기 계획 관련 된 단일 세션 내에서 위반 시도에서 알 수 있습니다. 이러한 탐지 활용 하는 컴퓨터의 사용자 프로필 패턴 로그온 알고리즘 학습 및 판정 줄일 수 있습니다. 이러한 탐지는 프로필의 환경 및 조직의 활동에 알게 된 초기 계획 관련 된 경고를 발생 하는 자가 특이 검색 엔진의 일부입니다.

여러 실패 한 로그인 시도

단일 세션에서 여러 로그인 시도 실패 하는 사용자를 식별 위반 시도에서 나타낼 수 있는 학습 초기 계획을 기준으로 합니다.

분류 특이 감지 경고

알림 형태로으로 이러한 경고를 신속 하 게 분류 수 있으며 먼저 처리 항목과 확인할 수 있습니다. 경고에 대 한 상황에 맞는 하는 데 큰 그림을 참조 하 고 악의적인 내용을 그날 맞는지의 여부를 결정할 수 있습니다. 알림을 탐색 시작 하려면 다음 절차를 따르십시오.

  1. 전역 관리자 또는 보안 관리자로 https://protection.office.com 로 이동 하 고 작업을 사용 하 여 로그인 또는 학교 계정.

  2. 보안 및 규정 준수 센터알림 을 선택 > 고급 알림을 관리 합니다.

  3. Office 365 클라우드 App 보안을 선택 합니다.

  4. 알림을 보려면 알림 을 선택 합니다.

  5. 경고에 대 한 상황에 맞는 하려면 다음이 단계를 따릅니다.

    1. 조사 선택 > 활동 로그 합니다.

    2. 사용자 또는 IP 주소와 같은 항목을 선택 합니다. 관련 통찰력 서랍을 열립니다.

      활동 로그에 IP 주소를 조사할 수 있습니다.

    3. 관련 통찰력 서랍 비슷한 표시 섹션에서 아이콘 등 사용할 수 있는 명령를 클릭 합니다.

      관련 통찰력 서랍에서 선택한 활동의 48 시간 안에 수행 된 작업을 보려면 시계 아이콘을 클릭 수 있습니다.

    4. 선택한 항목에 대 한 통찰력 계속 해당 항목에 대 한 세부 정보를 탐색 하 여 얻을 수 있습니다.

여러 실패 한 로그인에 알림 의심 스러운 될 맞는지 및 잠재적인 무작위 공격을 나타낼 수 있습니다. 그러나 이러한 알림의 알림을 유해 true 판정으로 인해 전자 응용 프로그램 잘못 될 수도 있습니다. 의심 스러운 활동 추가 된 여러 실패 로그인 알림이 표시 되 면 다음 있기 손상 된 계정이 높은 확률입니다. 예를 들어 손상의 강력한 모두 표시기에 IP 주소 및 불가능 한 여행 활동에서 다중 실패 로그인 경고 작업에 의해 뒤 됩니다. 동일한 사용자는 자주 수행 하는 데이터의 exfiltration 침입자가 표시기 대량 다운로드 활동을 수행 하는 표시 될 수 있습니다. 보기 및 경고, 분류를 Office 365 Cloud App Security 탐색 및 작업을 수행할 수 있는 등의 필요한 위치입니다.

다음 단계

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×