[MDCA] Microsoft Defender for Cloud Apps - 활동 정책 (5)

이번 글에서는 MDCA의 활동 정책(Activity Policy)을 다룹니다.

이 정책은 클라우드 앱에서 발생하는 사용자 활동을 감시하고, 위험한 패턴을 탐지해 자동으로 조치할 수 있게 하는 기능입니다.

예를 들어, “관리자가 대량의 파일을 외부로 다운로드”하거나 “비인가된 위치에서 로그인” 같은 패턴을 즉시 감지하고 자동으로 알림을 발송하거나 조치를 취할 수 있습니다.

​

실무 적용 시나리오

1. 정상 패턴 식별 후 정책 설계

• • 처음엔 모든 활동을 알림 모드로 관찰하여 조직별 정상/비정상 행동을 내부적으로 정의합니다.

2. 점진적 차단 전략

• • 오탐 줄이기 위해 알림 > 경고 > 차단 단계로 확장합니다.

3. 업무별 정책 분리

• • 각 부서/팀 (예: 영업팀, 연구팀, 관리부서 등) 역할에 따라 정책을 세분화합니다.

4. Sentinel 연동

• • MDCA 정책 이벤트를 Sentinel과 통합해 SIEM 기반 분석이 가능합니다.

5. 정기 검토 프로세스

• • 월 단위로 탐지 결과를 리뷰하고 조건 및 임계값을 조정합니다.

​

1. Microsoft Defender 포털 > 클라우드 앱 > 정책 > 정책 관리 > 정책 만들기 > "활동"을 클릭합니다.

​

2. 다른 정책들과 동일하게 기본적으로 제공되는 템플릿이 있습니다. 활동 정책은 템플릿을 사용하겠습니다.

​

3. 정책의 심각도를 설정합니다.

​

4. 필터(임계치)를 만들고, 정책 적용 대상 조건을 설정합니다.

템플릿을 선택하면 자동으로 조건이 추가되는데, 여기서 조직 요구에 맞게 수정할 수 있습니다.

​

​

​

5. 경고를 설정합니다.

​

​

6. 필요 시 거버넌스 작업을 추가 후 정책을 생성합니다.

​

정책 생성이 완료된 후 모니터링 합니다.

위와 같이 활동 정책은 MDCA의 탐지(경고 알림) + 조치 사이클을 자동화하는 기능이라고 보면 되겠습니다.

​

이상입니다.