다음을 통해 공유

Microsoft Purview의 Security Copilot 에이전트 개요(미리 보기)

Microsoft Security Copilot 에이전트는 특정 역할 기반 작업에 도움이 되도록 설계된 AI 기반 프로세스입니다. Microsoft Purview는 미리 보기의 Microsoft Purview 데이터 손실 방지(DLP) 심사 에이전트와 Microsoft Purview 내부 위험 관리 심사 에이전트를 제공합니다. 이러한 에이전트는 가장 높은 위험 활동을 식별하고 우선 순위를 지정하는 관리되는 경고 큐를 제공합니다. 에이전트는 organization 선택한 매개 변수 및 위험 허용 오차 수준에 따라 활동에 관련된 콘텐츠 및 잠재적 의도를 분석합니다. 에이전트는 분류 뒤에 있는 논리에 대한 포괄적인 설명을 제공합니다.

에이전트는 Microsoft Purview 임베디드 환경에서 사용할 수 있습니다. 자세한 내용은 포함된 환경을 참조하세요.

경고에 우선 순위를 심사하고 할당하는 것은 복잡하고 시간이 오래 걸릴 수 있습니다. 에이전트 심사가 있고 경고의 우선 순위를 지정하는 경우 설정한 매개 변수에 따라 작업을 완료하는 데 필요한 시간이 줄어듭니다. 에이전트를 사용하면 위험 수준이 낮은 경고의 노이즈에서 제거하여 가장 중요한 경고에 집중할 수 있습니다. 이렇게 하면 응답 시간이 향상되고 팀의 효율성과 효율성을 높일 수 있습니다.

에이전트 배포, 구성 및 사용에 대한 자세한 내용은 Microsoft Purview 에이전트 시작을 참조하세요.

시작하기 전에

Security Copilot 또는 에이전트를 Security Copilot 경우 다음 문서의 정보를 숙지해야 합니다.

에이전트 개념 Security Copilot

Microsoft Purview 심사 에이전트는 SCU(보안 컴퓨팅 단위)에서 실행됩니다. 에이전트가 실행되도록 organization 프로비전된 SCU가 있어야 합니다. 자세한 내용은 SKU/구독 라이선스를 참조하세요.

트리거

트리거는 에이전트가 지정된 경고를 심사하기 위해 값을 충족해야 하는 매개 변수의 그룹화입니다. 트리거에는 다음이 포함됩니다.

중요

에이전트는 관리 단위를 인식하지 않습니다. 그러나 에이전트가 관리 단위 제한 관리자의 컨텍스트에서 실행 중이고 해당 관리자로 범위가 지정된 관리 단위 정책이 있는 경우 에이전트는 관리 단위로 범위가 지정된 정책의 경고만 볼 수 있습니다.

자동으로 또는 수동으로 실행

에이전트를 배포하고 트리거를 편집할 때 에이전트가 설정된 일정에 따라 자동으로 실행될지 아니면 에이전트가 한 번에 하나의 경고에서 수동으로 실행되는지 선택할 수 있습니다. 설정된 일정에 따라 자동으로 실행을 선택하면 에이전트가 경고 기간 선택 설정에 포함된 경고를 심사합니다.

경고 기간 선택

에이전트를 배포하고 에이전트의 트리거를 편집할 때 에이전트가 scope 데 사용할 기간을 선택할 수 있습니다. 이 기간은 심사할 경고입니다. 다음과 같은 옵션이 있습니다.

  • 새 경고만 심사
  • 지난 24시간
  • 지난 48시간
  • 지난 72시간
  • 지난 7일간
  • 지난 14일
  • 지난 21일
  • 지난 30일

새 경고 심사만을 선택하면 에이전트는 에이전트가 배포된 후에 생성된 경고만 심사합니다. 에이전트는 에이전트가 배포되기 전에 생성된 경고를 심사하지 않습니다. 즉, 모든 마지막 # 시간 또는 일 옵션이 무시됩니다.

마지막 # 시간 또는 일 옵션을 선택하면 에이전트는 선택한 기간에서 생성된 경고를 심사합니다. 이렇게 하면 에이전트가 배포되기 전에 생성된 모든 항목을 심사할 수 있습니다. 새로 생성된 모든 경고도 심사됩니다.

중요

경고를 심사할 scope 시간 프레임은 에이전트를 성공적으로 사용하도록 설정하는 순간에 고정됩니다. 기본적으로 에이전트를 사용하도록 설정하면 시계가 똑딱거리기 시작합니다. 따라서 마지막 시간 또는 일 수는 에이전트 배포 이전의 기간을 나타냅니다. 이는 롤링 시간 프레임이 아닙니다.

보안 컨텍스트

에이전트는 마지막으로 구성한 사용자의 보안 컨텍스트에서 실행됩니다. 보안 컨텍스트는 90일마다 갱신해야 합니다. 사용자가 테넌트에서 제거되거나 삭제되거나 사용자가 비활성화된 경우 에이전트가 실행을 중지합니다.

사용자 지정 지침

에이전트 구성 프로세스 중에 에이전트 사용자 지정 지침을 제공할 수 있습니다. Microsoft Purview 에이전트는 다음과 같은 자연어 지침을 사용하여 경고 심사를 향상시킵니다.

  • 입력을 구조적 분류 논리로 변환합니다.

  • 각 경고와 연결된 문서 콘텐츠에 대해 이 논리를 실행합니다.

  • 콘텐츠가 사용자 지정 명령과 일치하는 경우 경고의 우선 순위를 높입니다.

사용자 지정 지침의 경우 메타데이터 또는 동작 특성이 아닌 문서 콘텐츠만 분석합니다. 즉, 에이전트는 다음과 같은 콘텐츠 범주를 지원합니다.

  • 세금, 재무 또는 법률 정보
  • 신용 카드 번호, 사회 보장 번호 및 이름과 같은 명명된 엔터티
  • 5개 이상의 SSN과 같은 논리적 조건에 재무 문서가 포함되어 있습니다.

사용하려는 조건이 지원되는지 확실하지 않은 경우 콘텐츠 조건으로 표시되는지 검사. 이 경우 에이전트는 사용자 지정 지침에서 사용할 수 있습니다.

예를 들어 "세금 또는 재무 관련 콘텐츠와 5개 이상의 신용 카드 번호 또는 SSN을 포함하는 콘텐츠가 포함된 경고에 집중하려고 합니다." 에이전트는 이를 다음과 같이 해석합니다.

{
  "logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}

심사된 경고

에이전트는 트리거 구성에 따라 경고를 심사합니다. 에이전트는 선택한 기간 내에 생성되고 선택한 정책에서 생성된 경고를 심사합니다. 모든 경고가 심사되는 것은 아닙니다. 자세한 내용은 에이전트 설정을 참조하세요.

심사된 경고는 다음 네 가지 범주로 그룹화됩니다.

모두: 이 범주에는 에이전트가 심사한 모든 경고가 포함됩니다. 범주에 표시된 개수는 해당 보기로 이동하여 아래로 스크롤하여 모든 경고를 로드할 때까지 실제 경고 수를 정확하게 반영하지 못할 수 있습니다. 처음에 경고를 발생시킨 조건이 변경되었거나 경고가 아직 심사되지 않은 경우 경고를 선택한 다음 에이전트 실행을 선택하여 경고에서 에이전트를 수동으로 실행할 수 있습니다.

주의 필요: 에이전트가 추론하고 organization 가장 큰 위험을 초래한다고 판단한 경고입니다. 이러한 경고 중 하나를 선택하면 세부 정보 플라이아웃이 열리고 경고 및 기타 세부 정보에 대한 요약이 표시됩니다.

덜 긴급: 에이전트가 평가하고 organization 더 낮은 위험을 초래한다고 결정한 경고입니다. 이러한 경고 중 하나를 선택하면 세부 정보 플라이아웃이 열리고 경고 및 기타 세부 정보에 대한 요약이 표시됩니다.

분류되지 않음: 에이전트가 성공적으로 심사할 수 없다는 경고입니다. 이는 - 서버 오류 - 검토 중 - 기타 오류 - 에이전트가 지원하지 않는 활동을 포함하는 경고에 대해 지원되지 않는 오류 등 여러 가지 이유로 발생할 수 있습니다.

에이전트는 최대 2MB 크기의 파일을 심사합니다.

에이전트의 우선 순위 지정 방법

DLP 심사 에이전트는 다음 위험 요소를 기반으로 경고의 우선 순위를 지정합니다.

  • 콘텐츠 위험: 에이전트 심사 중에 사용되는 주요 위험 요소이며 Microsoft에서 제공하는 SIT, 학습 가능한 분류자 및 기본 민감도 레이블을 기반으로 하는 중요한 콘텐츠를 다룹니다. 자세한 내용은 기본 민감도 레이블을 참조하세요.
  • 반출 위험: 외부에서 공유되는 중요한 데이터의 반출입니다.
  • 정책 위험: 정책 모드 및 작업이 있는 규칙은 경고의 우선 순위 지정에 영향을 줍니다.
  • 콘텐츠 위험: 레이블이 제거되거나 다운그레이드되었습니다. 
  • 반출 위험: 중요한 데이터의 반출.

Insider Risk Management 경고 심사 에이전트는 다음을 기반으로 경고의 우선 순위를 지정합니다.

  • 활동 위험: 에이전트는 반출 위험이 가장 높은 활동을 식별하고 기록 경고 인사이트를 보고합니다.
  • 파일 위험: 에이전트는 유출될 위험이 있는 파일의 콘텐츠를 분석하고 각 파일에 대한 문서 요약 및 위험한 분석을 제공합니다.
  • 사용자 위험: 우선 순위 사용자 그룹 구성 또는 현재 활성 사례 수와 같은 경고의 우선 순위 지정에 영향을 미칠 수 있는 사용자의 특성입니다.

경고 심사 세부 정보

중요

DLP 심사 에이전트는 활성 모드에 있는 정책의 경고만 지원합니다. DLP 경고 심사 에이전트는 시뮬레이션 모드에서 실행되는 DLP 정책의 경고를 심사하지 않습니다.

에이전트는 테넌트에서 충분한 SCU가 있는 경우 에이전트를 사용하도록 설정하기 최대 30일 전에 생성된 경고를 검토할 수 있습니다. 에이전트를 사용하도록 설정하기 30일 전에 생성된 경고는 scope 않습니다.

DLP 심사 에이전트는 Exchange, SharePoint, OneDrive, Teams에서 경고를 심사합니다.

DLP에서 에이전트는 SIT(사용자 지정 중요한 정보 유형) 및 사용자 지정 학습 가능한 분류자 조건에 의해서만 트리거되는 경고를 심사하지 않습니다. SIT가 아닌/학습할 수 없는 분류자 정책 조건(예: Email subject match )에 의해 트리거되는 경고는 심사되지 않습니다.

에이전트에서 완전히 평가할 수 없는 경고에 대해 수동 분석을 수행해야 합니다.

부분적으로 심사된 경고

다음은 경고가 부분적으로 심사될 수 있는 상황의 몇 가지 예입니다.

  • DLP 규칙에는 다음과 같이 지원되지 않는 몇 가지 조건이 포함되어 있습니다. The user accessed a sensitive site from Edge
  • DLP 규칙에는 특정 조건이 포함되지만 시스템에서 이메일 또는 파일(예: Document couldn't be scanned)의 해당 속성을 검색할 수 없습니다.
  • 미리 보기 중에 내부자 위험 관리 에이전트는 SharePoint 파일 콘텐츠만 분석합니다. 첨부 파일이 포함된 전자 메일 및 디바이스 활동은 분석하지 않습니다. 경고에 이메일 또는 디바이스 활동만 포함된 경우 분석되지 않습니다.
  • 참가자 위험 관리에 대한 엔드포인트 또는 이메일 활동만 보고 정책에서 생성된 경고입니다.

콘텐츠 분석

콘텐츠 분석이 제한될 수 있는 경우도 있습니다.

경고의 콘텐츠 위험 우선 순위는 Microsoft에서 제공하는 SID, 학습 가능한 분류자 및 콘텐츠의 민감도 레이블을 기반으로 합니다. 에이전트는 콘텐츠 위험을 평가할 때 정책에 정의된 Microsoft 제공 SIT 및 학습 가능한 분류자만 찾습니다.

DLP 경고가 10개 미만의 파일에 연결되면 모든 파일이 에이전트에서 검사되고 콘텐츠 요약에 사용됩니다. 경고에 10개 이상의 파일이 있는 경우 잠재적으로 상위 10개 파일이 파일 위험 요약을 생성하는 데 사용됩니다. DLP에서 심사 에이전트는 정책 분류자 적중 횟수, 파일 크기 및 파일에 마지막으로 액세스한 시간을 기준으로 상위 10개의 위험한 파일을 선택합니다. 이 경우 에이전트는 경고의 모든 파일이 콘텐츠 요약에 포함되지 않았다는 메모를 제공합니다.

내부 위험 관리에서 잠재적으로 상위 10개 위험 파일 기준은 다음을 기반으로 합니다.

  • 파일 이름, 경로, 확장명
  • Microsoft는 SIT, 학습 가능한 분류자 및 민감도 레이블을 제공했습니다.
  • 파일이 IRM 정책 구성의 우선 순위 콘텐츠로 간주되는 경우
  • 파일과 연결된 활동의 위험 점수입니다.
  • 파일 메타데이터 예를 들어 는 숨겨진 콘텐츠이거나 보호된 레이블이 있나요?
  • 사용자 지정 지침(있는 경우)

참가자 위험 관리에서 에이전트는 콘텐츠 분석을 위해 SharePoint 및 OneDrive 파일만 지원합니다. 이는 파일 위험 섹션, 활동 및 사용자 위험 섹션에만 영향을 미치며 이 지원 제한의 영향을 받지 않습니다.