데이터 손실 방지 정책 설계

정책을 구현하기 전에 시간을 내어 의도하지 않은 문제를 만들고 시행착오만으로 조정하는 것보다 더 적은 수의 의도하지 않은 문제로 원하는 결과를 더 빠르게 얻을 수 있습니다. 정책 디자인을 문서화하면 통신, 정책 검토, 문제 해결 및 추가 튜닝에도 도움이 됩니다.

Microsoft Purview DLP를 접하는 경우 정책 디자인을 시작하기 전에 다음 문서를 통해 작업하는 것이 좋습니다.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

시작하기 전에

Microsoft Purview DLP를 접하는 경우 DLP를 구현할 때 필요한 핵심 문서 목록은 다음과 같습니다.

1. 관리 단위
2. Microsoft Purview 데이터 손실 방지 대해 알아보기 - 이 문서에서는 데이터 손실 방지 분야 및 Microsoft의 DLP 구현을 소개합니다.
3. DLP(데이터 손실 방지) 계획 - 이 문서를 통해 다음을 수행합니다.
   1. 관련자 식별
   2. 보호할 중요한 정보의 범주 설명
   3. 목표 및 전략 설정
4. 데이터 손실 방지 정책 참조 - 이 문서에서는 DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 소개합니다.
5. DLP 정책 디자인 - 이 문서(지금 읽고 있는 문서)는 정책 의도 문을 만들고 특정 정책 구성에 매핑하는 방법을 안내합니다.
6. 데이터 손실 방지 정책 만들기 및 배포 - 이 문서에서는 구성 옵션에 매핑하는 몇 가지 일반적인 정책 의도 시나리오를 제시한 다음, 이러한 옵션을 구성하는 방법을 안내합니다.
7. 데이터 손실 방지 경고 조사에 대해 알아보기 - 이 문서에서는 최종 수정 및 정책 튜닝을 통해 생성되는 경고의 수명 주기를 소개합니다. 또한 경고를 조사하는 데 사용하는 도구도 소개합니다.

정책 디자인 개요

정책 디자인 은 주로 비즈니스 요구 사항을 명확하게 정의하고 정책 의도 문에 문서화한 다음 정책 구성에 대한 요구 사항을 매핑하는 것입니다. 계획 단계에서 내린 결정을 사용하여 정책 디자인 결정의 일부를 알립니다.

정책에 대한 의도 정의

단일 문에서 모든 정책에 대한 비즈니스 의도를 요약할 수 있어야 합니다. 이 문을 개발하면 organization 대화를 유도하고, 완전히 구체화되면 이 문은 정책을 비즈니스 목적에 직접 연결하고 정책 설계를 위한 로드맵을 제공합니다. DLP(데이터 손실 방지 계획) 문서의 단계를 통해 정책 의도 문을 시작할 수 있습니다.

DLP 정책 구성 개요에 설명된 대로 모든 DLP 정책에는 다음이 필요합니다.

• 모니터링할 항목 선택
• 정책 범위 지정(미리 보기) 선택
• 모니터링할 위치 선택
• 항목에 적용할 정책에 대해 일치해야 하는 조건을 선택합니다.
• 정책 조건이 충족될 때 수행할 작업 선택

예를 들어 다음은 네 가지 질문에 대한 답변을 제공하는 의도 문의 가상의 첫 번째 초안입니다.

"Microsoft는 미국 기반 organization OneDrive/SharePoint에 저장된 HIPPA에서 다루는 중요한 의료 정보가 포함된 Office 문서를 검색하고 Teams 채팅 및 채널 메시지에서 해당 정보를 공유하지 않도록 보호하고 모든 사람이 권한이 없는 제3자와 공유하지 못하도록 제한해야 합니다."

정책 디자인을 개발할 때 문을 수정하고 확장할 수 있습니다.

정책 구성에 비즈니스 요구 사항 매핑

예제 초안 문을 세분화하고 DLP 정책 구성 지점에 매핑해 보겠습니다. 이 예제에서는 무제한 DLP 관리자 계정을 사용하고 있으며 관리 단위가 구성되지 않은 것으로 가정합니다.

중요

시작하기 전에 관리 단위를 읽어 무제한 관리자와 관리 단위 제한 관리자 간의 차이점을 이해해야 합니다.

문	답변된 구성 질문 및 구성 매핑
"우리는 미국에 기반을 둔 organization HIPAA에서 다루는 중요한 건강 관리 정보가 포함된 Office 문서를 검색해야 합니다...	- 모니터링할 내용: Office 문서, 일치 항목에 대한 HIPAA(미국 건강 보험법) 템플릿 - 조건 사용: (미리 구성되었지만 편집 가능) - 항목에는 미국 SSN 및 DEA(마약 단속국) 번호, 국제 질병 분류(ICD-9-CM), 국제 질병 분류(ICD-10-CM), 콘텐츠가 organization 외부 사용자와 공유됩니다. - 신뢰 수준 및 instance 개수(누출 허용 오차라고 함)와 같은 검색에 대한 트리거 임계값을 명확히 하기 위해 대화를 유도합니다.
... OneDrive/SharePoint에 저장되고 Teams 채팅 및 채널 메시지에서 공유되는 정보로부터 보호하는...	- 모니터링할 위치: OneDrive 및 SharePoint 사이트 및 Teams 채팅/채널 계정 또는 메일 그룹을 포함하거나 제외하여 위치 범위 지정 정책 범위 지정 (미리 보기): 전체 디렉터리
... 모든 사람이 해당 항목을 무단 제3자와 공유하지 못하도록 제한합니다."	- 수행할 작업: Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화 추가 - 공유 제한, 알림 및 경고와 같은 인식 작업, 차단 작업의 사용자 재정의 허용과 같은 사용자 권한 부여 작업과 같은 보호 작업을 포함하여 정책이 트리거될 때 수행할 작업에 대한 대화를 유도합니다.

이 예제에서는 DLP 정책의 모든 구성 요소를 다루지 않습니다. 확장해야 합니다. 그러나 고유한 DLP 정책 의도 문을 개발할 때 올바른 방향으로 생각하게 됩니다.

중요

선택한 위치는 중요한 정보 유형, 민감도 레이블 및 보존 레이블을 사용할 수 있는지 여부에 영향을 줍니다. 선택한 위치도 사용 가능한 작업에 영향을 줍니다. 자세한 내용은 데이터 손실 방지 정책 참조 를 참조하세요.

복잡한 규칙 디자인

SharePoint 및 OneDrive의 위의 HIPPA 콘텐츠는 DLP 정책의 간단한 예입니다. DLP 규칙 작성기에서는 부울 논리(AND, OR, NOT) 및 중첩된 그룹을 지원합니다.

중요

• 모든 기존 예외는조건 내의 중첩된 그룹에서 NOT 조건으로 바뀝니다.
• 여러 연산자를 사용하려면 그룹을 만들어야 합니다.

중요

Office 데스크톱 클라이언트 앱(Word, Outlook, Excel 및 PowerPoint)의 작업이 복잡한 조건을 사용하는 정책과 일치하는 경우 콘텐츠에 중요한 정보 조건이 포함된 규칙에 대한 정책 팁만 표시됩니다.

• 예제 1 신용 카드 번호를 포함하는 모든 받는 사람에게 보내는 전자 메일을 차단해야 합니다. 또는 '매우 기밀' 민감도 레이블이 적용되어 있지만 재무 팀의 누군가가 보낸 전자 메일을 차단하지 마세요.adele.vance@contoso.com

• 예제 2 Contoso는 암호로 보호된 파일 또는 zip 문서 파일 확장명('zip' 또는 '7z')이 포함된 모든 전자 메일을 차단해야 하지만 받는 사람이 contoso.com 도메인 또는 fabrikam.com 도메인에 있거나 보낸 사람이 Contoso HR 그룹의 구성원인 경우 전자 메일을 차단하지 마세요.

중요

• 중첩된 그룹에서 NOT 조건을 사용하면 예외 기능이 대체 됩니다 .
• 여러 연산자를 사용하려면 그룹을 만들어야 합니다.

중요

Office 데스크톱 클라이언트 앱(Word, Outlook, Excel 및 PowerPoint)의 작업이 복잡한 조건을 사용하는 정책과 일치하는 경우 콘텐츠에 중요한 정보 조건이 포함된 규칙을 사용하는 규칙에 대한 정책 팁만 표시됩니다.

정책 디자인 프로세스

1. DLP(데이터 손실 방지 계획)의 단계를 완료합니다. 이 문서를 통해 다음을 수행합니다.

   1. 관련자 파악
   2. 보호할 중요한 정보의 범주 설명
   3. 목표 및 전략 설정
   4. 정책 배포 계획 정의

2. DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 이해할 수 있도록 데이터 손실 방지 정책 참조 를 숙지합니다.

3. DLP 정책 템플릿에 포함된 내용을 숙지합니다.

4. 주요 관련자와 함께 정책 의도 문을 개발합니다. 이 문서의 앞부분에 있는 예제를 참조하세요.

5. 이 정책이 전체 DLP 정책 전략에 어떻게 적합한지 결정합니다.

중요

정책을 만든 후에는 이름을 바꿀 수 없습니다. 정책 이름을 바꿔야 하는 경우 원하는 이름으로 새 정책을 만들고 이전 이름을 사용 중지해야 합니다. 따라서 처음부터 모든 정책에서 사용할 명명 구조를 결정합니다.

6. 정책 의도 문의 항목을 구성 옵션에 매핑합니다.

7. 시작할 정책 템플릿(미리 정의된 템플릿 또는 사용자 지정)을 결정합니다.

8. 템플릿을 살펴보고 정책을 만들기 전에 필요한 모든 정보를 어셈블합니다. 정책 의도 문에서 다루지 않는 몇 가지 구성 요소가 있을 수 있습니다. 괜찮아요. 이해 관계자에게 돌아가기 누락된 구성 요소에 대한 요구 사항을 다림질합니다.

9. 모든 정책 설정의 구성을 문서화하고 관련자와 검토합니다. 이제 완전히 구체화된 구성 지점에 대한 정책 의도 문 매핑을 다시 사용할 수 있습니다.

10. 초안 정책을 만들고정책 배포 계획을 다시 참조하세요.

참고 항목

• 데이터 손실 방지에 대해 알아보기
• DLP(데이터 손실 방지) 계획
• 데이터 손실 방지 정책 참조
• 데이터 손실 방지 정책 팁 참조
• 데이터 손실 방지 정책 만들기 및 배포