디바이스에서 데이터 손실 방지 정책과 일치하는 파일 수집 시작

아티클
04/01/2024

이 문서에서는 디바이스의 파일 활동에 대한 증거 수집에 대한 필수 구성 요소 및 구성 단계를 안내하고 복사 및 저장되는 항목을 보는 방법을 소개합니다.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

다음은 디바이스의 파일 활동에 대한 증거 수집을 구성하고 사용하기 위한 개략적인 단계입니다.

디바이스 온보딩
요구 사항 이해 관리형 Azure Storage 계정 만들기
계정에 Azure Storage Blob 추가
Microsoft에서 관리하는 스토리지 계정에서 증거 수집 사용 및 구성(미리 보기)
DLP 정책 구성
증거 미리 보기

시작하기 전에

이러한 절차를 시작하기 전에 디바이스의 파일 활동에 대한 증거 수집에 대해 알아보기를 검토해야 합니다.

라이선스 및 구독

DLP 정책 사용을 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인합니다.

라이선스에 대한 자세한 내용은 Microsoft 365, Office 365, Enterprise Mobility + Security 및 엔터프라이즈용 Windows 11 구독을 참조하세요.

사용자 지정 RBAC(역할 기반 액세스 제어)를 만드는 데 필요한 Microsoft Entra ID P1 또는 P2에 대한 필수 구성 요소 라이선스 요구 사항을 참조하세요.

권한

표준 Microsoft Purview DLP(데이터 손실 방지) 권한이 필요합니다. 자세한 내용은 사용 권한을 참조하세요.

온보딩 장치

일치하는 항목 복사를 사용하려면 Windows 10/11 디바이스를 Purview에 온보딩해야 합니다. Windows 디바이스를 Microsoft 365에 온보딩 개요를 참조하세요.

요구 사항 이해

중요

각 컨테이너는 스토리지 계정의 사용 권한을 상속합니다. 컨테이너당 다른 권한을 설정할 수 없습니다. 다른 지역에 대해 다른 권한을 구성해야 하는 경우 여러 컨테이너가 아닌 여러 스토리지 계정을 만들어야 합니다.

Azure Storage를 설정하고 기능 범위를 사용자에게 지정하기 전에 다음 질문에 대한 답변이 있어야 합니다.

항목을 구획화하고 역할 또는 부서 라인을 따라 액세스해야 합니까?

예를 들어 조직에서 고위 경영진의 저장된 파일을 볼 수 있는 관리자 또는 DLP 이벤트 조사자 세트와 인사에서 저장된 항목에 대해 관리자 또는 DLP 이벤트 조사자 집합을 확인하려는 경우 조직의 고위 경영진을 위한 Azure Storage 계정 하나와 인사부에 대한 Azure Storage 계정 하나를 만들어야 합니다. 이렇게 하면 Azure Storage 관리자 또는 DLP 이벤트 조사자가 해당 그룹의 DLP 정책과 일치하는 항목만 볼 수 있습니다.

컨테이너를 사용하여 저장된 항목을 구성하시겠습니까?

저장된 파일을 정렬하기 위해 동일한 스토리지 계정 내에 여러 증거 컨테이너를 만들 수 있습니다. 예를 들어 HR 부서에서 저장된 파일에 대한 파일과 IT 부서의 파일에 대한 파일입니다.

저장된 항목 삭제 또는 수정으로부터 보호하기 위한 전략은 무엇인가요?

Azure Storage에서 데이터 보호는 스토리지 계정과 해당 내의 데이터를 삭제 또는 수정하지 못하도록 보호하고 삭제 또는 수정된 후 데이터를 복원하기 위한 전략을 모두 의미합니다. 또한 Azure Storage는 하드웨어 문제 또는 자연 재해로 인한 서비스 중단으로부터 데이터를 보호하기 위해 여러 수준의 중복성을 포함하여 재해 복구 옵션을 제공합니다. 주 지역의 데이터 센터를 사용할 수 없게 되면 고객 관리 장애 조치(failover)를 사용하여 데이터를 보호할 수도 있습니다. 자세한 내용은 데이터 보호 개요를 참조하세요.

저장된 항목을 덮어쓰거나 삭제하지 않도록 보호하는 Blob 데이터에 대한 불변성 정책을 구성할 수도 있습니다. 자세한 내용은 변경할 수 없는 스토리지를 사용하여 중요 비즈니스용 Blob 데이터 저장을 참조하세요.

증거 저장 및 미리 보기에 지원되는 파일 형식

저장할 수 있습니다.	미리 보기 가능
엔드포인트 DLP에서 모니터링하는 모든 파일 형식	OneDrive, SharePoint 및 Teams에서 파일을 미리 보기 위해 지원되는 모든 파일 형식

일치하는 항목을 원하는 스토리지에 저장

데이터 손실 방지 정책이 적용될 때 Microsoft Purview가 감지하는 증거를 저장하려면 스토리지를 설정해야 합니다. 이 작업을 수행하는 방법은 다음 두 가지입니다.

고객 관리형 스토리지 만들기
Microsoft 관리형 스토리지 만들기(미리 보기)

이러한 두 유형의 스토리지에 대한 자세한 내용과 비교는 중요한 정보가 검색될 때 증거 저장(미리 보기)을 참조하세요.

고객 관리형 스토리지 만들기

Azure Storage 계정, 컨테이너 및 Blob을 설정하는 절차는 Azure 문서 집합에 설명되어 있습니다. 시작에 도움이 되도록 참조할 수 있는 관련 문서에 대한 링크는 다음과 같습니다.

Azure Blob 컨테이너의 이름과 URL을 저장해야 합니다. URL을 보려면 Azure Storage 포털 >Home>Storage 계정>컨테이너>속성을 엽니다.

Azure Blob 컨테이너 URL의 형식은 다음과https://storageAccountName.blob.core.windows.net/containerName 같습니다.

계정에 Azure Storage Blob 추가

계정에 Azure Storage Blob을 추가할 수 있는 방법에는 여러 가지가 있습니다. 아래 방법 중 하나를 선택했습니다.

사용 중인 포털에 적합한 탭을 선택합니다. Microsoft Purview 포털에 대한 자세한 내용은 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.

Microsoft Purview 포털을 사용하여 Azure Blob Storage를 추가하려면 다음을 수행합니다.

Microsoft Purview 포털에 로그인하고 메뉴 모음에서 설정 기어를 선택합니다.
데이터 손실 방지를 선택합니다.
엔드포인트 DLP 설정을 선택합니다.
디바이스의 파일 활동에 대한 증거 수집 설정을 확장합니다.
토글을 끄 기에서 켜기로 변경 합니다.
디바이스에 대한 증거 캐시 설정 필드에서 디바이스가 오프라인 상태일 때 증명 정보를 로컬로 저장해야 하는 시간을 선택합니다. 7일, 30일 또는 60일을 선택할 수 있습니다.
스토리지 유형(고객 관리 저장소 또는 Microsoft 관리 저장소(미리 보기))을 선택한 다음 + 스토리지 추가를 선택합니다.
1. 고객 관리형 스토리지의 경우:
  1. 고객 관리 저장소를 선택한 다음 , + 스토리지 추가를 선택합니다.
  2. 계정에 이름을 지정하고 스토리지 Blob의 URL 을 입력합니다.
  3. 저장을 선택합니다.
2. Microsoft 관리형 스토리지의 경우:
  1. Microsoft 관리 저장소 선택(미리 보기)

Azure Blob Storage에 대한 권한 설정

Microsoft Entra 권한 부여를 사용하여 Blob에 대해 두 가지 권한 집합(역할 그룹)을 구성해야 합니다.

관리자와 조사관이 증거를 보고 관리할 수 있도록 합니다.
디바이스에서 Azure에 항목을 업로드해야 하는 사용자용 1개

모범 사례는 역할에 관계없이 모든 사용자에게 최소 권한을 적용하는 것입니다. 최소 권한을 적용하면 사용자 권한이 해당 역할에 필요한 권한으로만 제한됩니다. 사용자 권한을 구성하려면 Office 365 및 Microsoft Purview용 Microsoft Defender에서 역할 및 역할 그룹을 만듭니다.

관리자 및 조사자를 위한 Azure Blob에 대한 권한

DLP 인시던트 조사자에 대한 역할 그룹을 만든 후에는 다음에 나오는 조사자 작업 및 조사자 데이터 작업 섹션에 설명된 권한을 구성해야 합니다.

Blob 액세스 구성에 대한 자세한 내용은 다음 문서를 참조하세요.

조사자 작업

조사자 역할에 대해 다음 개체 및 작업 권한을 구성합니다.

개체	권한
Microsoft.Storage/storageAccounts/blobServices	읽기: Blob 서비스 나열
Microsoft.Storage/storageAccounts/blobServices	읽기: Blob 서비스 속성 또는 통계 가져오기
Microsoft.Storage/storageAccounts/blobServices/containers	읽기: Blob 컨테이너 가져오기
Microsoft.Storage/storageAccounts/blobServices/containers	읽기: Blob 컨테이너 목록
Microsoft.Storage/storageAccounts/blobServices/containers/blob	읽기: Blob 읽기
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action	기타: 사용자 위임 키 생성

조사자 데이터 작업

개체	권한
Microsoft.Storage/storageAccounts/blobServices/containers/blob	읽기: Blob 읽기

조사자 역할 그룹의 JSON은 다음과 같습니다.

"permissions": [
            {

                "actions": [

                    "Microsoft.Storage/storageAccounts/blobServices/read",

                    "Microsoft.Storage/storageAccounts/blobServices/containers/read",

                 "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"

                ],

                "notActions": [],

                "dataActions": [

                    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"

                ],

                "notDataActions": []

            }

        ]

사용자에 대한 Azure Blob에 대한 권한

사용자 역할에 대해 다음 개체 및 작업 권한을 Azure Blob에 할당합니다.

개체	권한
Microsoft.Storage/storageAccounts/blobServices	읽기: Blob 서비스 나열
Microsoft.Storage/storageAccounts/blobServices/containers	읽기: Blob 컨테이너 가져오기
Microsoft.Storage/storageAccounts/blobServices/containers	쓰기: Blob 컨테이너 배치

사용자 데이터 작업

개체	권한
Microsoft.Storage/storageAccounts/blobServices/containers/blob	쓰기: Blob 쓰기
Microsoft.Storage/storageAccounts/blobServices/containers/blob	기타: Blob 콘텐츠 추가

사용자 역할 그룹에 대한 JSON은 다음과 같습니다.

"permissions": [
  {
     "actions": [
       "Microsoft.Storage/storageAccounts/blobServices/containers/read",
       "Microsoft.Storage/storageAccounts/blobServices/containers/write",
       "Microsoft.Storage/storageAccounts/blobServices/read"
     ],
     "notActions": [],
     "dataActions": [
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
         "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
     ],
     "notDataActions": []
    }
 ]

Microsoft에서 관리하는 스토리지 계정에서 증거 수집 사용 및 구성(미리 보기)

Microsoft Purview 포털
규정 준수 포털

Microsoft Purview 포털 내에서 Microsoft에서 관리하는 스토리지 계정에서 증거 수집을 사용하도록 설정하고 구성하려면 다음을 수행합니다.

메뉴 모음에서 Microsoft Purview 포털>설정 기어에 로그인합니다.
데이터 손실 방지를 선택합니다.
엔드포인트 DLP 설정을 선택합니다.
디바이스의 파일 활동에 대한 증명 정보 수집 설정을 확장하고 토글을 켜기로 설정합니다.
스토리지 유형 선택에서 Microsoft 관리형 스토리지를 선택합니다.

DLP 정책 구성

평소처럼 DLP 정책을 만듭니다. 정책 구성 예제는 데이터 손실 방지 정책 만들기 및 배포를 참조하세요.

다음 설정을 사용하여 정책을 구성합니다.

디바이스가 선택된 유일한 위치인지 확인 합니다 .
인시던트 보고서에서규칙 일치가 발생하면 관리자에게 경고 보내기를켜기로 전환합니다.
인시던트 보고서에서엔드포인트에서 선택한 모든 파일 활동에 대한 증거로 원본 파일 수집을 선택합니다.
원하는 스토리지 계정을 선택합니다.
다음과 같이 일치하는 항목을 Azure Storage에 복사하려는 활동을 선택합니다.
- 이동식 USB 디바이스에 복사
- 네트워크 공유에 복사
- 인쇄
- 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동
- RDP를 사용하여 복사 또는 이동

증거 미리 보기

선택한 스토리지 유형에 따라 증거를 미리 보는 방법에는 여러 가지가 있습니다.

스토리지 유형	미리 보기 옵션
고객 관리형	- 활동 탐색기 사용 - 규정 준수 포털 사용
Microsoft Managed(미리 보기)	- 활동 탐색기 사용

Microsoft Purview 포털>데이터 손실 방지>활동 탐색기에 로그인합니다.
날짜 드롭다운을 사용하여 관심 있는 기간에 대한 시작 및 종료 날짜를 선택합니다.
결과 목록에서 조사하려는 활동의 줄 항목을 두 번 클릭합니다.
플라이아웃 창에서 증거가 저장된 Azure Blob에 대한 링크가 증거 파일 아래에 표시됩니다.
일치하는 파일을 표시하려면 Azure Blob Storage 링크를 선택합니다.

규정 준수 포털 경고 페이지를 통해 증거 미리 보기

Microsoft Purview 포털
규정 준수 포털

Microsoft Purview 포털>데이터 손실 방지>경고에 로그인합니다.
날짜 드롭다운을 사용하여 관심 있는 기간에 대한 시작 및 종료 날짜를 선택합니다.
결과 목록에서 조사하려는 활동의 줄 항목을 두 번 클릭합니다.
플라이아웃 창에서 세부 정보 보기를 선택합니다.
이벤트 탭을 선택합니다.
세부 정보 창에서 원본 탭을 선택합니다. 일치하는 파일이 표시됩니다.

참고

일치하는 파일이 Azure Storage Blob에 이미 있는 경우 파일을 변경하고 사용자가 작업을 수행할 때까지 다시 업로드되지 않습니다.

알려진 동작

시스템이 충돌하거나 다시 시작되는 경우 디바이스 캐시에 저장된 파일은 유지되지 않습니다.
디바이스에서 업로드할 수 있는 파일의 최대 크기는 500MB입니다.
Just-In-Time 보호가 검사된 파일에서 트리거되거나 파일이 네트워크 공유에 저장된 경우 증거 파일이 수집되지 않습니다.
동일한 프로세스(비사무소 앱)에서 여러 파일이 열리고 정책과 일치하는 파일 중 하나가 송신되면 모든 파일에 대해 DLP 이벤트가 트리거됩니다. 증거가 캡처되지 않습니다.
단일 파일에서 여러 정책 규칙이 검색되면 가장 제한적인 정책 규칙이 증거를 수집하도록 구성된 경우에만 증거 파일이 저장됩니다.

다음을 통해 공유