[IRM] 내부자 위험 관리(Insider Risk Management) 경고/알림 확인 및 적응형 보호 알아보기

 

이번 포스팅에서는 IRM 정책 생성 후 발생되는 경고/조사 및 알림 등에 대해서 알아보겠습니다.

Purview IRM 정책 생성은 이전 포스팅을 참고해주세요.

[IRM] 내부자 위험 관리(Insider Risk Management) 정책 생성

 

참고할 부분은 정책 생성한 이후 이벤트 트리거에 걸려 각 활동 지표에서 경고를 받기까지는 약 24시간 이후가 될 수 있습니다. 실제 경험 상으로는 48시간 이후에 경고가 나타나는 것을 볼 수 있었습니다.

​

​

경고

이렇게 검색된 경고들은 [경고] 탭에서 확인할 수가 있습니다.

한 개의 계정으로만 위험 활동을 시도했기 때문에 하나의 항목만 나타나지만 실제 운영 환경에서는 여러 항목이 나타날 수 있습니다.

경고 탭에서는 경고 ID, 사용자 이름(개인 정보 설정을 익명으로 유지하면 특정 ID로 표시됨), 정책 이름, 상태, 경고 심각도 등의 열을 확인할 수 있습니다.

​

위 경고 항목을 클릭해보면 다음과 같이 세부 사항(위험 요소, 검색된 콘텐츠 등)들을 대시보드 형태로도 확인 가능합니다.

각 경고 항목들에 대해서 "할당" 옵션을 통해 위험 관리를 명시적으로 관리할 담당자를 지정할 수도 있습니다.

또한 경고 항목의 각 탭(모든 위험 요소 / 활동 탐색기 / 사용자 활동)을 통해서 위험 요소의 세부 항목을 볼 수 있습니다.

특정 경고 항목 뿐만아니라, 사용자의 모든 위험 활동을 필터링해서 조사하고자 하는 활동만 구분 가능합니다.

 

​

산점도를 통해서 해당 사용자에 대한 기간 별 위험 활동 및 시퀀스를 파악합니다.

각 위험 요소는 색깔 별로 구분되어 표시되고 점 또는 아이콘을 클릭하게 되면 세부 내용이나 순서를 한눈에 확인할 수 있습니다.

​

사용자

내부 위험 관리의 사용자 메뉴에서는 경고가 발생되어 IRM에 등록된 사용자의 프로필이 나타납니다.

사용자 이름은 개인 정보 설정을 익명으로 유지하면 특정 ID로 표시되니 참고해주세요.

여러 사용자가 등록되면 내보내기 기능을 통해서 위험 심각도가 높은 사용자, 활성 경고가 많은 사용자, 적용된 정책 이름 등을 빠르게 필터링 할 수 있습니다.

​

보고서

다음은 보고서 메뉴입니다. 보고서 메뉴에는 경고, 분석, 사례, 사용자 활동이 있습니다.

아래와 같은 형태로 보고서를 확인하고 내보낼 수 있습니다.

보고서 > 분석

 

보고서 > 사용자 활동 보고서

​

감사 로그

Purview IRM에서 발생하는 관리자 활동의 로그를 검토하여 내부 위험 기능에 대해 취한 조치에 대해 지속적으로 파악할 수 있습니다.

하나 이상의 내부 위험 관리 역할에 할당된 사용자가 수행한 작업(설정, 정책, 경고, 사례 등)과 관련된 로그를 필터링할 수 있습니다.

​

경고 알림 메일

Purview IRM의 경고 알림 메일은 mirm365@microsoft.com 주소로부터 수신받게 됩니다.

이 알림을 받을 수신자는 내부 위험 관리 설정에서 지정할 수 있습니다. 일반적으로 역할(IRM 관리자, 분석, 조사자)을 통해 구분됩니다.

 

 

​

​

적응형 보호

경고 알림을 받고 조사 및 검토가 완료되었으면 이후 조치는 적응형 보호 기능을 통해 직접적인 보호를 적용할 수 있겠습니다.

적응형 보호 화면에서 정책에 대한 내부 위험 수준 조건을 지정할 수도 있습니다.

​

조건부 액세스

사용자 동작, 기록 패턴, 이상 탐지와 같은 조건을 통해 관리자는 CA 정책을 사용하여 정책 적용 대상자의 서비스 액세스를 차단하거나, 강력한 인증 방법을 요구하거나, 사용 약관 수락을 요구하는 등의 작업을 수행할 수 있습니다.

​Purview DLP

현재 내부 위험 관리 적응형 보호의 Exchange 전자 메일, Teams 채팅 및 채널 메시지, 디바이스에만 적용됩니다.

다른 위치를 선택하면 조건을 사용할 수 없습니다.

​Purview 데이터 수명 주기 관리 (보존 정책)

테넌트에서 Adaptive Protection을 사용하도록 설정하면 높은 위험으로 식별된 사용자가 삭제한 경우 레이블이 지정되지 않은 콘텐츠에 보존 레이블이 자동으로 적용됩니다. 이러한 사용자가 SharePoint, OneDrive 또는 Exchange에서 콘텐츠를 삭제하면 보존 레이블이 해당 콘텐츠에 자동으로 적용되어 120일 동안 보존됩니다. 따라서 해당 콘텐츠는 워크로드에서 사용되는 보안 위치에서 검색 및 eDiscovery에 계속 액세스할 수 있습니다.

​

여기까지 Microsoft Purview IRM(Insider Risk Management) - 내부 위험 관리에 대해 알아보았습니다.​

이상입니다.