[IRM] 내부자 위험 관리(Insider Risk Management) 정책 생성

사전 설정에 이어 IRM(Insider Risk Management) 정책 생성에 대한 포스팅입니다.

IRM 정책 구성 전 사전 설정에 대한 내용은 이전 포스팅을 참고해주세요.

[IRM] 내부자 위험 관리(Insider Risk Management) 시작

 

 

1. Microsoft Purview 내부 위험 관리 정책 만들기

• Microsoft Purview 포털 - 솔루션 - 내부 위험 관리(IRM)
• 정책 만들기 - 사용자 지정 정책 (기존 템플릿으로 생성해도 무방합니다.)

​

2. 정책 템플릿 선택

• 이 포스팅에서는 "데이터 유출" 템플릿으로 선택했습니다.
• 조건 중 선택 / 필수 가 있습니다. 필수인 항목은 사전에 충족되어야합니다.

​

3. 사용자, 그룹 및 적응형 범위 선택

• 정책을 적용할 조직 내의 사용자, 그룹 및 적응 범위를 선택합니다.
• 여기서 적응형 범위는 별도의 특성(사용자의 부서, 이름 또는 그룹의 별칭 등)으로 구분된 하나의 범위를 뜻합니다.

 

제외할 사용자 또는 그룹도 선택할 수 있습니다.

4. 콘텐츠의 우선 순위 결정

• 이 정책을 통해서 감지할 중요한 콘텐츠에 대해서 우선 순위를 결정할 수 있습니다. 이 우선 순위를 결정하고 이후 정책 구성 단계에서 우선 순위로 지정된 경고만 감지할 지 등의 설정을 적용할 수 있습니다.

이 포스팅에서는 "모든 활동에 대한 알림 받기"로 선택하였습니다.

​

5. 정책에 대한 이벤트 트리거 선택

• 검색하고 조사하려는 위험 활동의 유형을 정의합니다. IRM의 정책들은 정책 템플릿은 특정 트리거 및 위험 활동에 해당하는 특정 지표를 기반으로 합니다.
• 사용자가 내부자 위험 관리 정책에서 활성 상태인지 여부를 결정하는 이벤트입니다. 트리거 이벤트가 없는 내부 위험 관리 정책에 사용자가 포함되는 경우 사용자는 정책에 의해 잠재적 위험으로 평가되지 않습니다. 따라서 위험 경고를 생성하려는 경우 반드시 이벤트 트리거를 지정하는 것이 좋습니다.

​

6. 이벤트 트리거에 대한 임계값 선택

• 앞서 말했듯 정책을 적용받는 사용자에 대한 경고가 생성되려면 이벤트 트리거가 필요하고 이 이벤트 트리거에 해당되어야 합니다.
• 이 이벤트 트리거에 대한 임계값을 설정합니다. 이 포스팅에서는 테스트 목적으로 가장 낮게 설정하였습니다.

​

​

7. 정책 지표 선택 (기본 제공)

• 아래 화면에서 선택한 정책 지표에 따라 감지한 활동에 대한 경고를 생성합니다.
• 정책 지표는 글로벌 설정에서 정의된 지표에서 활성화되며 사용자에게 트리거 이벤트가 발생한 후에만 활성화됩니다.

​

​

8. 시퀀스 선택

• 시퀀스는 위험이 높음을 시사할 수 있는 두 개 이상의 잠재적으로 위험한 활동이 차례로 수행되는 그룹입니다.
• 시퀀스를 통해서 특정 지표와 발생 순서를 사용하여 위험 시퀀스의 각 단계를 감지

​

9. 정책 지표에 대한 임계값 유형 선택

• 지표에 대한 임계값 설정은 정책에서 중요 구성 과정 중 하나입니다.
• 이벤트 트리거에 의해 감지된 경고에 대해서 이 화면에서 설정되는 임계값으로 경고의 높음/낮음 수준을 결정합니다.

​

​

10. 설정 검토 및 완료

• IRM 정책에 대한 설정을 검토합니다. 정책에 의해 알림이 발생하기까지는 최대 24시간이 소요될 수 있습니다.

​

이상입니다.