Microsoft Cloud App Security는 Microsoft CASB(Cloud Access Security Broker)이며 Microsoft Cloud Security 스택의 중요한 구성 요소입니다. 이는 조직이 클라우드 애플리케이션의 가능성을 최대한 활용하는 데 도움이 될 수 있지만 활동에 대한 향상된 가시성을 통해 제어할 수 있는 포괄적인 솔루션입니다.
또한 클라우드 애플리케이션(Microsoft 및 타사)에서 중요한 데이터의 보호를 강화하는 데 도움이 됩니다.
섀도우 IT를 발견하고, 위험을 평가하고, 정책을 시행하고, 활동을 조사하고, 위협을 차단하는 데 도움이 되는 도구를 사용하여 조직은 중요한 데이터에 대한 제어를 유지하면서 더 안전하게 클라우드로 이동할 수 있습니다.

Microsoft Cloud App Security: 최종 가이드(2022)

Microsoft Cloud App Security는 어떻게 작동합니까?

발견

클라우드 검색은 트래픽 로그를 사용하여 사용 중인 클라우드 앱을 검색하고 분석합니다. 방화벽 및 프록시에서 분석을 위해 로그 파일을 수동으로 업로드하거나 자동 업로드를 선택할 수 있습니다.

제재 및 비 제재

MS Cloud App Security를 사용하면 클라우드 앱 카탈로그를 사용하여 조직의 앱을 제재/차단할 수 있습니다.
클라우드 앱 카탈로그는 규제 인증, 산업 표준 및 모범 사례를 기반으로 클라우드 앱의 위험을 평가합니다.
그런 다음 조직의 필요에 따라 다양한 매개변수의 점수와 가중치를 사용자 정의할 수 있습니다.
이 점수를 기반으로 Microsoft Cloud App Security는 환경에 영향을 줄 수 있는 50가지 이상의 위험 요소에 따라 앱이 얼마나 위험한지 알려줍니다.

Microsoft Cloud App Security: 최종 가이드(2022)

앱 커넥터

앱 커넥터는 다양한 클라우드 앱 공급자가 제공하는 API를 활용하여 Microsoft Cloud App Security 클라우드가 다른 클라우드 앱과 통합되고 제어 및 보호를 확장할 수 있도록 합니다. 이를 통해 Microsoft 365 Cloud App Security는 분석을 위해 클라우드 앱에서 직접 정보를 가져올 수 있습니다.
앱을 연결하고 보호 기능을 확장하기 위해 앱 관리자는 MS Cloud App Security에 앱에 액세스할 수 있는 권한을 부여하고 Cloud App Security는 앱에 활동 로그를 쿼리하고 데이터, 계정 및 클라우드 콘텐츠를 검색합니다.
그러면 Microsoft 365 Cloud App Security에서 정책을 시행하고 위협을 감지하며 문제 해결을 위한 거버넌스 작업을 제공할 수 있습니다.

정책 설정

정책을 사용하면 사용자가 클라우드에서 행동하기를 원하는 방식을 정의할 수 있습니다. 이를 통해 클라우드 환경에서 위험한 행동, 위반 또는 의심스러운 데이터 포인트 및 활동을 감지하고 필요한 경우 완전한 위험 완화를 달성하기 위해 교정 프로세스를 통합할 수 있습니다.
클라우드 환경에 대해 수집하려는 다양한 유형의 정보 및 취하려는 수정 조치 유형과 상관관계가 있는 여러 유형의 정책이 있습니다.

Microsoft Cloud App Security는 무엇을 제공합니까?

Microsoft Cloud App Security: 최종 가이드(2022)

발견

조직 전체에서 사용 중인 애플리케이션을 찾는 것은 중요한 기업 데이터를 보호하기 위한 첫 번째 단계일 뿐입니다. 사용 사례를 이해하고, 최상위 사용자를 식별하고, 각 애플리케이션과 관련된 위험을 결정하는 것은 모두 조직의 전반적인 위험 상태를 이해하는 데 중요한 구성 요소입니다. Microsoft Cloud App Security는 사용자, 사용 패턴, 업로드/다운로드 트래픽 및 트랜잭션에 대한 지속적인 위험 감지, 분석 및 강력한 보고 기능을 제공하므로 이상을 즉시 식별할 수 있습니다.

새 검색 보고서를 만드는 방법은 무엇입니까?

" 클라우드 앱용 Microsoft Defender" 포털 에 액세스
왼쪽에서 Discover 및 Cloud Discovery 대시보드를 선택합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

그런 다음 " 새 보고서 만들기 " 를 선택하십시오.

Microsoft Cloud App Security: 최종 가이드(2022)

그런 다음 원하는 세부 정보를 입력하고 " 만들기 " 를 선택합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

참고 : 보고서 생성 분석은 처리에 최대 24시간이 소요됩니다.

데이터 제어

클라우드 앱 검색 정책을 만들어 위험하거나 규정을 준수하지 않거나 유행하는 새 앱이 검색될 때 알림을 받을 수 있는 기능을 제공합니다. 기본 제공 템플릿을 사용 하여 위험하고 볼륨이 큰 앱에 대한 앱 검색 정책을 만드는 것부터 시작하세요. 필요한 경우 구성을 조정할 수 있습니다.

새로운 대용량 앱 – 일일 총 트래픽이 500MB를 초과하는 새로운 앱이 발견되면 알림
위험한 앱 – 위험 점수가 6 미만이고 사용자가 50명 이상이고 일일 총 사용량이 50MB 이상인 새 앱이 발견되면 경고합니다.

정책이 생성되면 대용량 및 고위험 애플리케이션이 발견되면 알림을 받게 됩니다. 이를 통해 네트워크의 애플리케이션을 효율적이고 지속적으로 모니터링할 수 있습니다.

앱 검색 정책 만들기

" Cloud App Security 포털 " 로 이동합니다.
" 제어" 를 클릭 한 다음 "정책 " 을 클릭합니다.
"정책" 을 만들고 "앱 검색 정책 " 을 선택 합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

새로운 대용량 앱용 템플릿 선택

Microsoft Cloud App Security: 최종 가이드(2022)

아래로 스크롤하여 "만들기 " 를 클릭합니다.

파일 정책 생성

파일 정책은 예를 들어 사용자가 클라우드에서 민감한 정보, 신용 카드 번호 및 타사 ICAP 파일을 저장하는 위치를 찾는 것과 같이 정보 보호 정책에 대한 위협을 찾는 데 유용한 도구입니다.
Cloud App Security를 사용하면 클라우드에 저장되어 취약한 상태가 되는 이러한 원치 않는 파일을 감지할 수 있을 뿐만 아니라 즉각적인 조치를 취하여 해당 파일의 경로를 차단하고 위협이 되는 파일을 잠글 수 있습니다.
관리 검역소를 사용하면 클라우드에서 파일을 보호하고 문제를 해결할 뿐만 아니라 향후 누출이 발생하지 않도록 방지할 수 있습니다.
파일 정책을 사용하여 정보 공유를 감지하고 클라우드 애플리케이션에서 기밀 정보를 검색합니다.

조직 내에서 정보가 사용되는 방식에 대한 가시성을 얻으려면 다음 파일 정책을 만드십시오.

클라우드에서 감지된 PII가 포함된 파일(내장 DLP 엔진) – 승인된 클라우드 앱의 내장 데이터 손실 방지(DLP) 엔진이 개인 식별 정보(PII)가 포함된 파일을 감지하면 경고합니다.
승인되지 않은 도메인과 공유된 파일 – 파일이 승인되지 않은 도메인(예: 경쟁업체)과 공유되면 경고합니다.
개인 이메일 주소와 공유된 파일 – 파일이 사용자의 개인 이메일 주소와 공유되면 경고합니다.

사전 설정 템플릿을 사용하여 일치하는 정책 탭에서 파일을 시작하고 검토합니다. 단일 SharePoint/OneDrive 사이트로 정책 범위를 지정하여 애플리케이션이나 사이트를 추가하기 전에 정책이 어떻게 작동하는지 이해합니다.

파일 정책을 만드는 방법은 무엇입니까?

" Microsoft Cloud App Security 포털 " 로 이동합니다.
" 제어 "를 클릭 한 다음 "정책 " 을 클릭하십시오.
" 정책 을 만들고 " 파일 정책 " 을 선택 하십시오.

Microsoft Cloud App Security: 최종 가이드(2022)

클라우드에서 감지된 PII가 포함된 파일에 대한 템플릿 선택(내장 DLP 엔진)
SharePoint 및 OneDrive 및 폴더로 범위를 좁힙니다.

Microsoft Cloud App Security: 최종 가이드(2022)

만들기 클릭

동일한 단계를 수행하고 위에서 언급한 템플릿을 사용합니다.

파일 정책에 대한 추가 정보는 이 링크 를 참조하십시오 .

위협 방지

권한 : 글로벌 관리자, 보안 관리자 또는 사용자 그룹 관리자

활동 정책을 만들면 최종 사용자 또는 권한 있는 계정의 악의적인 사용 또는 손상된 세션의 표시를 감지하는 데 도움이 될 수 있습니다.

활동 정책 생성

이 링크 를 따라 활동 정책에 대해 자세히 알아보세요.

단일 사용자에 의한 대량 다운로드 – 이 정책은 가능한 데이터 유출에 대한 가시성을 제공합니다. 기본적으로 이 정책은 OneDrive 클라이언트 동기화에 대해서도 경고합니다.
앱에 대한 여러 번 실패한 사용자 로그온 시도 – 무차별 대입 공격 또는 계정 손상 가능성.
위험한 IP 주소에서 로그인 – 계정이 손상되었을 수 있습니다.
잠재적인 랜섬웨어 활동 – 사용자가 랜섬웨어에 감염되었을 수 있는 파일을 클라우드에 업로드할 때 경고합니다.

맬웨어 감지

이 탐지는 Microsoft 앱이든 타사 앱이든 상관없이 클라우드 저장소의 악성 파일을 식별합니다.
Microsoft Cloud App Security는 Microsoft의 위협 인텔리전스를 사용하여 특정 파일이 알려진 맬웨어 공격과 연관되어 있고 잠재적으로 악성인지 여부를 인식합니다.
이 기본 제공 정책은 기본적으로 비활성화되어 있습니다.
모든 파일이 검사되는 것은 아니지만 잠재적으로 위험한 파일을 찾는 데 휴리스틱이 사용됩니다. 파일이 감지되면 감염된 파일 목록을 볼 수 있습니다.
파일 서랍에서 맬웨어 파일 이름을 클릭하여 파일이 감염된 해당 유형의 맬웨어에 대한 정보를 제공하는 맬웨어 보고서를 엽니다.

참고 : 맬웨어 감지는 기본적으로 비활성화되어 있습니다. 감염 가능성이 있는 파일에 대해 경고를 받으려면 활성화해야 합니다.

경고 조사 및 수정

경고와 관련된 위반의 특성을 조사하고 결정 합니다. 사용자에게 심각하고 의심스러운 위반 또는 비정상적인 행동인지 이해하려고 노력하십시오. 경고에 대한 설명과 트리거된 내용과 유사한 활동을 살펴봄으로써 더 자세히 조사하십시오.

경고를 무시하는 경우 경고가 중요하지 않은 이유 또는 오탐지 여부를 이해하는 것이 중요합니다. 노이즈가 너무 많이 들어오는 경우 경고를 트리거하는 정책을 검토하고 조정해야 합니다.

" Microsoft Cloud App Security Portal "에서 "경고 " 로 이동합니다 .

Microsoft Cloud App Security: 최종 가이드(2022)

조사하려는 경고를 클릭합니다. 이 예에서 우리는 무차별 대입 및 도용된 ID의 징후일 수 있는 로그인 시도에 여러 번 실패한 단일 사용자를 조사하고 있습니다.
경고에 대한 설명을 읽고 제공된 세부 정보를 살펴보고 의심스러운 항목이 있는지 확인합니다.
이 사용자는 관리자이고 12번 이상의 로그인 실패를 경험했습니다. 공격자가 이 계정을 손상시키려고 할 가능성이 있습니다.

Microsoft Cloud App Security: 최종 가이드(2022)

조사 프로세스에 대한 추가 정보를 보려면 이 사용자의 활동을 보려면 ' 모든 사용자 활동 보기 '를 클릭하십시오 .

Microsoft Cloud App Security: 최종 가이드(2022)

캡처한 이미지를 보면 계정이 도용된 관리자임을 알 수 있습니다. 우리는 그가 TOR IP 주소에서 로그인에 여러 번 실패했고 대량 다운로드 경고로 데이터 유출을 시도했다는 것을 보고 그 결론을 내릴 수 있습니다.
이제 경고가 사실임을 추론할 수 있는 충분한 정보가 있습니다. 사용 가능한 옵션으로 경고를 해결할 수 있습니다. 이 경우 가장 좋은 방법은 계정이 도용되었기 때문에 사용자를 일시 중지하는 것입니다.

Microsoft Cloud App Security: 최종 가이드(2022)

해결을 클릭하고 경고를 해결한 방법을 작성하십시오.

Microsoft Cloud App Security: 최종 가이드(2022)

가양성 감소

이상 탐지 정책은 환경의 사용자가 수행하는 비정상적인 동작일 때 트리거됩니다. Microsoft Cloud App Security에는 엔터티 행동 분석과 기계 학습을 사용하여 사용자의 " 정상적인 " 행동 을 이해하는 학습 기간이 있습니다. 민감도 슬라이더를 사용하여 지정된 그룹에 대해서만 특정 정책의 범위를 지정하는 것 외에도 해당 정책의 민감도를 결정합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

예를 들어, 여행 불가능 경고 내에서 오탐지 수를 줄이기 위해 민감도 슬라이더를 낮게 설정할 수 있습니다. 조직에 출장이 잦은 사용자가 있는 경우 사용자 그룹에 추가하고 정책 범위에서 해당 그룹을 선택할 수 있습니다.

회사 IP 주소와 VPN 범위 를 추가하면 여행이 불가능하고 자주 방문하지 않는 국가와 관련하여 더 적은 알림이 표시됩니다.

설정을 클릭한 다음 IP 주소 범위를 클릭하십시오. 범위
이름을 지정
하십시오. IP 주소 범위를 입력
하십시오. 범주를 선택
하십시오. 태그를 추가하여 이 범위의 특정 활동에 태그를 지정하십시오

OAuth 애플리케이션

조직의 비즈니스 사용자가 Microsoft 365, G Suite 및 Salesforce와 같은 다른 클라우드 앱에서 사용자 정보 및 데이터에 액세스하고 사용자를 대신하여 로그인할 수 있는 권한을 요청하는 애플리케이션입니다. 사용자는 이러한 앱을 설치할 때 앱에 대한 권한 부여를 포함하여 프롬프트의 세부 정보를 자세히 검토하지 않고 수락을 클릭하는 경우가 많습니다.

이러한 앱에 대한 액세스를 차단하고 취소할 수 있습니다.

많은 사용자가 OAuth 응용 프로그램에 액세스하려고 할 때 Microsoft 365, G-Suite 및 Salesforce 기업 계정에 대한 액세스 권한을 부여합니다. 문제는 IT가 일반적으로 이러한 애플리케이션이나 관련된 위험 수준에 대한 가시성을 갖고 있지 않다는 것입니다. Cloud App Security는 사용자가 설치한 OAuth 애플리케이션과 로그인에 사용하는 회사 계정을 검색하는 기능을 제공합니다. 어떤 계정에서 어떤 OAuth 앱을 사용하고 있는지 발견하면 포털에서 바로 액세스를 허용하거나 금지할 수 있습니다.

OAuth 앱 관리

OAuth 페이지에는 사용자가 회사 Microsoft 365, Salesforce 및 G-Suite 자격 증명을 사용하여 액세스 권한을 부여하는 애플리케이션에 대한 정보가 포함되어 있습니다.

차단 또는 승인하고 앱:

" Microsoft Cloud App Security Portal "로 이동 -> " 조사 " 클릭 -> "OAuth 앱 " 클릭
" 앱 서랍" 을 클릭하면 각 애플리케이션 및 부여된 권한에 대한 추가 정보를 볼 수 있습니다.
승인 또는 차단 아이콘을 클릭하여 앱을 차단하거나 승인할 수 있습니다.

Microsoft Cloud App Security: 최종 가이드(2022)

참고 : 앱을 차단하기로 결정한 경우 사용자에게 자신이 설치하고 권한을 제공한 앱이 차단되었음을 알리고 사용자 지정 알림 메시지를 추가할 수 있습니다.

앱 취소

이 기능은 G-Suite 및 Salesforce 연결 응용 프로그램에서만 사용할 수 있습니다.

OAuth 앱 페이지에서 -> 앱 행의 맨 오른쪽에 있는 세 개의 점을 클릭합니다.
앱 취소를 클릭합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

OAuth 정책

OAuth 정책은 특정 기준을 충족하는 OAuth 앱이 발견되면 알려줍니다.

OAuth 앱 정책을 만드는 방법은 이 링크 를 따르세요 .

클라우드 플랫폼용 CASB

권한 : 글로벌 관리자

참고 : Azure AD 전역 역할은 권한 있는 사용자에게 Azure 구독에 대한 액세스 권한을 자동으로 제공하지 않습니다.

Azure 구독을 추가하려면 권한이 있는 사용자에게 권한을 승격하세요. 구독을 추가한 후에는 승격을 비활성화해야 합니다.

클라우드 보안 태세를 개선하려면 Azure 구독을 Cloud App Security에 추가하십시오. Azure Security Center와의 통합은 누락된 구성 및 보안 제어가 있는 경우 알려줍니다. 환경의 이상을 식별하고 Azure Security Portal로 피벗하여 이러한 권장 사항을 적용하고 취약성을 해결할 수 있습니다.

Azure Security Center와의 통합에 대해 자세히 알아보려면 여기를 클릭하십시오 .

실시간 모니터링 및 제어

권한 : 보안 관리자 또는 전역 관리자

Microsoft Cloud App Security: 최종 가이드(2022)

조건부 액세스 앱 제어는 역방향 프록시 아키텍처를 활용하며 Azure AD의 조건부 액세스(CA)와 고유하게 통합됩니다.
Azure AD 조건부 액세스를 사용하면 특정 조건에 따라 조직의 앱에 대한 액세스 제어를 적용할 수 있습니다.
조건은 조건부 액세스 정책이 적용되는 '누가'(예: 사용자 또는 사용자 그룹), '무엇'(어떤 클라우드 앱) 및 '어디'(어느 위치 및 네트워크)에 적용되는지를 정의합니다.
조건을 결정한 후 액세스 및 세션 제어를 적용하여 조건부 액세스 앱 제어로 데이터를 보호할 수 있는 MS Cloud App Security로 사용자를 라우팅할 수 있습니다.
조건부 액세스 앱 제어 를 통해 액세스 및 세션 정책을 기반으로 사용자 앱 액세스 및 세션을 실시간으로 모니터링하고 제어할 수 있습니다.
액세스 정책 은 PC 및 모바일 장치에 사용되며 세션 정책 은 브라우저 세션에 사용됩니다.

액세스 및 세션 정책은 다음 기능을 제공합니다.

다운로드 시 차단
다운로드 시 보호
문서 복사/인쇄 방지
낮은 신뢰 세션 모니터링
접근 차단
읽기 전용 모드 만들기
기업이 아닌 네트워크에서 사용자 세션 제한
업로드 차단

Azure 포털 – Azure Active Directory

" 보호" 에서 "AAD( Azure Active Directory )" 로 이동하여 " 조건부 액세스 " 를 클릭합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

조건부 앱을 활성화하기 위해 AAD 내에서 정책 생성
테스트 사용자 그룹을 할당하고 테스트 중에 시작할 하나의 클라우드 앱(SharePoint 또는 SSO가 구성된 타사 앱)을 할당합니다.
세션을 클릭하고 " 조건부 액세스 앱 제어 사용 " 을 클릭하십시오.
Microsoft Cloud App Security Portal을 통해 세션을 라우팅할 " 사용자 지정 정책 사용 "을 선택 합니다.

정책을 만든 후에는 구성된 각 앱에서 로그아웃했다가 다시 로그인해야 합니다.
CAS 포털에 다시 로그인하고 설정으로 이동하여 조건부 액세스 앱 제어를 클릭합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

구성된 애플리케이션은 포털에 조건부 액세스 앱 제어 앱으로 표시되어야 합니다.

Microsoft Cloud App Security: 최종 가이드(2022)

세션 정책 생성

시작하기 위해 모든 활동을 모니터링하는 템플릿을 사용하여 세션 정책을 만들 것입니다.

사전 설정 템플릿을 사용하여 추가 정책을 생성하여 사용 가능한 다양한 컨트롤을 테스트합니다.

" Cloud App Security 포털 " 로 이동합니다.
" 제어" 를 클릭 한 다음 "정책 " 을 클릭합니다.
"정책 "을 만들고 " 세션 정책 " 을 선택 하십시오 .

Microsoft Cloud App Security: 최종 가이드(2022)

모든 활동을 모니터링할 템플릿 선택

Microsoft Cloud App Security: 최종 가이드(2022)

만들기 클릭

Microsoft Cloud App Security: 최종 가이드(2022)

Microsoft 클라우드 앱 보안 라이선스

Microsoft Cloud App Security의 상용 라이선스 가격은 프로그램, 지역 및 계약 유형에 따라 다릅니다. 직접 채널에는 ERP 독립형 정가가 있습니다. 가격 구성에 대한 자세한 내용은 여기 를 참조하십시오 . 또한 고객이 Microsoft Cloud App Security의 조건부 액세스 앱 제어 기능을 사용하려는 경우 이 기능을 사용하도록 설정하려는 모든 사용자에 대해 최소한 Azure AAD P1(Active Directory Premium P1) 라이선스도 있어야 합니다.

Microsoft Cloud App Security를 포함하는 미국 정부 고객이 사용할 수 있는 라이선스 계획은 아래 라이선스 표에 설명되어 있습니다. 추가 세부 정보는 라이선스 및 가격 설명에서 확인할 수 있습니다.

이 과정이 끝나면 Microsoft 365 Cloud App Security의 정보 보호, 실시간 모니터링 및 위협 방지 기능에 대해 이해해야 합니다.

이제 귀하의 의견을 듣고 싶습니다.

오늘 포스팅에서 어떤 전략을 먼저 시도할까요? 아니면 내가 가장 좋아하는 클라우드 앱 보안 팁 중 하나를 언급하지 않았을 수도 있습니다.

어느 쪽이든, 지금 아래에 댓글을 남겨 알려주세요.

생산성 향상을 위해 Exchange Online 환경을 개선하고 싶으십니까? 여기에 언급된 팁과 요령을 확인 하십시오 .