Microsoft 365에서 사용자 활동 감사 및 모니터링

Microsoft 365에서 사용자 활동 감사 및 모니터링

2024년 6월 8일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft 365에서 사용자 활동을 구성, 사용 및 모니터링하도록 안내하는 것을 목표로 합니다. 사용자 작업을 감사하고 모니터링하는 기능은 보안, 규정 준수, 사고 감지 및 대응에 매우 중요합니다. 이를 통해 조직은 의심스러운 활동을 식별하고, 위반을 조사하고, 환경에서 발생하는 상황에 대한 자세한 기록을 유지할 수 있습니다[1].

소개

여러 플랫폼과 장치에서 데이터에 액세스하고 공유되는 현대 직장에서는 사용자 활동에 대한 가시성이 그 어느 때보다 중요합니다. Microsoft 365는 Exchange Online, SharePoint Online, 비즈니스용 OneDrive, Microsoft Teams 및 Azure AD와 같은 서비스 전반에서 사용자와 관리자가 수행한 광범위한 작업을 기록하는 강력한 감사 기능 세트를 제공합니다. 이러한 감사 로그는 포렌식 조사, 규정 준수 확인 및 조직 내에서 데이터가 사용되는 방식을 이해하는 데 유용한 정보 소스입니다[2].

이 방법 가이드에서는 통합 감사 로깅 활성화, Microsoft Purview 규정 준수 포털에서 감사 로그 검색, 사용자 지정 경고 생성 및 지속적인 모니터링을 위한 모범 사례를 다룹니다. 독자가 효과적인 감사 및 모니터링 전략을 구현하고 Microsoft 365 환경에서 보안 상태를 강화하고 규정 준수를 보장할 수 있도록 단계별 지침, 예제 PowerShell 명령 및 설명이 제공됩니다.

Microsoft 365에서 감사 및 모니터링이 중요한 이유는 무엇인가요?

  • 위협 감지: 무단 액세스 시도, 부적절한 데이터 공유, 중요한 설정 변경 등 의심스러운 활동을 식별합니다.
  • 규정 준수: 불변의 작업 기록을 제공하여 다양한 규정(예: GDPR, LGPD, HIPAA, ISO 27001)의 감사 및 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.
  • 사고 조사: 보안 위반, 데이터 유출 또는 악의적인 활동을 조사하는 데 필요한 데이터를 제공하여 빠르고 효과적인 대응을 가능하게 합니다.
  • 운영 가시성: 관리자는 사용자가 Microsoft 365 서비스와 상호 작용하는 방식을 이해하여 사용량을 최적화하고 교육 요구 사항을 식별할 수 있습니다.

전제조건

  1. 라이선스: 대부분의 Microsoft 365 라이선스에서 기본 감사를 사용할 수 있습니다. 장기 보존 및 더 높은 가치의 이벤트(고급 감사)와 같은 기능을 위해서는 Microsoft 365 E5 라이선스 또는 규정 준수 추가 기능[3]이 필요합니다.
  2. 관리 액세스: Microsoft Purview 규정 준수 포털('https://compliance.microsoft.com')에서 '글로벌 관리자', '규정 준수 관리자' 또는 '감사 로그' 권한 역할을 가진 계정입니다.
  3. 감사 로깅 활성화: 통합 감사 로깅을 활성화해야 합니다.

단계별: 사용자 활동 구성 및 모니터링

1. 감사 로그 확인 및 활성화

기본적으로 감사는 대부분의 조직에서 이미 활성화되어 있습니다. 확인하려면:

  1. Microsoft Purview 규정 준수 포털: https://compliance.microsoft.com에 액세스합니다.
  2. 메뉴에서 감사를 선택합니다.
  3. 감사가 활성화되지 않은 경우 녹음을 시작하라는 배너가 표시됩니다. 그것을 클릭하세요.

2. 감사 로그 검색

감사 로그 검색 도구는 조사를 위한 주요 리소스입니다.

  1. Purview 포털의 감사 페이지에서 검색을 구성합니다.
    • 날짜 및 시간 범위(UTC): 조사 기간입니다.
    • 활동: 특정 작업(예: 액세스한 파일, 사용자 로그인)을 기준으로 필터링합니다.
    • 사용자: 한 명 이상의 사용자를 지정합니다.
    • 파일, 폴더 또는 웹사이트: 특정 리소스로 검색 범위를 좁힙니다.
  2. 검색을 클릭합니다. 분석을 위해 결과를 내보낼 수 있습니다.

PowerShell을 사용하여 감사 로그 검색

자동화 및 복잡한 검색의 경우 PowerShell이 이상적입니다.

  1. Exchange Online PowerShell에 연결합니다. ``파워셸 Connect-ExchangeOnline ````
  2. 검색 cmdlet을 사용하세요.-UnifiedAuditLog. 지난 7일 동안 사용자의 파일 삭제 활동을 검색하는 예: ``파워셸 검색-UnifiedAuditLog -StartDate(Get-Date).AddDays(-7) -EndDate(Get-Date) -UserIds "[email protected]" -Operations FileDeleted -ResultSize 1000 | 형식-테이블 생성 날짜, UserIds, 작업, AuditData ````

3. 감사 활동에 대한 알림 생성

중요한 활동이 발생하면 사전에 알림을 받습니다.

  1. Microsoft Purview 규정 준수 포털에서 정책 > 경고 정책으로 이동합니다.
  2. 새 경고 정책을 클릭합니다.
  3. 정책 이름 지정: 설명이 포함된 이름을 지정합니다(예: '경고 - 대량 파일 삭제').
  4. 활동: 경고를 트리거해야 하는 활동을 선택합니다(예: 삭제된 파일).
  5. 조건: 단일 사용자에 대해 특정 기간 동안 발생 횟수와 같은 트리거를 정의합니다.
  6. 수신자: 이메일 알림을 받을 사람을 지정합니다.
  7. 정책을 검토하고 생성합니다.

고급 감사(Microsoft 365 E5)

엄격한 규정 준수 및 보안 요구 사항이 있는 조직을 위해 고급 감사는 다음과 같은 향상된 기능을 제공합니다.

  • 장기 보존: 기본적으로 최대 1년 동안 감사 로그를 보존하며 옵션으로 10년까지 연장할 수 있습니다. 장기간의 법의학 수사에 필수적입니다.
  • 고가치 이벤트: 'MailItemsAccessed'(이메일을 읽었을 때) 및 'SearchQueryInitiated'(사용자가 SharePoint 및 Exchange에서 검색하는 항목)와 같은 보다 자세한 이벤트에 액세스합니다. 이러한 이벤트는 데이터 위반 및 정찰 활동을 조사하는 데 중요합니다.
  • 더 높은 API 대역폭: Office 365 관리 활동 API를 통해 감사 로그에 더 빠르고 더 많은 볼륨으로 액세스하여 SIEM 시스템과의 통합을 촉진합니다.

감사 및 모니터링 모범 사례

  • 정기적으로 로그 검토: 사건이 발생할 때까지 기다리지 마십시오. 이상 징후를 식별하기 위해 주간 또는 월간 로그 검토 일정을 계획하세요.
  • 고위험 활동에 집중: 소유자가 아닌 사서함 액세스, 외부 파일 공유, 관리자 권한 변경 등의 모니터링 활동에 우선순위를 둡니다.
  • SIEM과 통합: 다른 데이터 소스와의 상관 관계 및 고급 감지를 위해 Microsoft Sentinel과 같은 SIEM 솔루션에 감사 로그를 보냅니다.
  • 최소 권한 원칙 사용: 변조를 방지하기 위해 감사 로그에 액세스할 수 있는 관리자 수를 제한합니다.
  • 전략 문서화: 모니터링되는 활동, 이유, 각 경고에 대한 대응 절차를 설명하는 문서를 보관하세요.

결론

Microsoft 365에서 사용자 활동을 감사하고 모니터링하는 것은 단순한 규정 준수 형식이 아니라 조직 방어의 적극적이고 필수적인 구성 요소입니다. Microsoft Purview 규정 준수 포털에서 사용할 수 있는 도구를 활용하고, PowerShell로 검색을 자동화하고, 사전 경고를 구성함으로써 관리자는 귀중한 회사 데이터를 보호하는 동시에 위협을 효과적으로 감지, 조사 및 대응하는 데 필요한 가시성을 확보할 수 있습니다.

참고자료

[1] 마이크로소프트. (2023). Microsoft Purview 감사 개요. [2] 마이크로소프트. (2023). 컴플라이언스 포털에서 감사 로그를 검색하세요. [3] 마이크로소프트. (2023). Microsoft Purview 고급 감사.