학습
인증
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 배포를 보호하기 위한 데이터 보안, 수명 주기 관리, 정보 보안 및 준수의 기본 사항을 보여 줍니다.
이 문서에서는 경고 조사 흐름 및 DLP 경고를 조사하는 데 사용할 수 있는 도구를 소개합니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
Microsoft Purview DLP를 접하는 경우 데이터 손실 방지 사례를 구현할 때 알아야 할 핵심 문서 목록은 다음과 같습니다.
모든 경고 및 이러한 경고와의 상호 작용은 다음 6단계를 수행합니다.
정책에 정의된 조건이 일치하면 Microsoft Purview 데이터 손실 방지(DLP) 경고의 수명이 시작됩니다. 정책 일치가 발생하면 정책에 정의된 작업이 트리거됩니다. 여기에는 정책이 구성된 경우 경고 생성이 포함될 수 있습니다.
DLP 정책은 일반적으로 다음과 같은 경우 경고를 모니터링하고 생성하도록 구성됩니다.
경고가 생성되면 Microsoft Defender 포털에 인시던트로 전송되고 DLP 경고 관리 dashboard. DLP 정책은 이메일을 통해 사용자, 관리자 및 기타 관련자에게 알림을 보내도록 구성할 수 있습니다.
알림 단계에서 Microsoft Purview:
보고용 활동 데이터를 내보내려면 Export-ActivityExplorerData(ExchangePowerShell) | O365 관리 활동 API 또는 인시던트 API를 사용하여 Microsoft Doc.
참고
Microsoft Defender 포털은 6개월 동안 인시던트가 유지됩니다. DLP 경고 관리 dashboard 30일 동안 경고를 유지합니다.
이 단계에서는 경고 및 연결된 로그를 분석하고 경고가 참 긍정인지 아니면 가양성인지 결정합니다. 참 긍정인 경우 문제의 심각도 및 organization 미치는 영향에 따라 경고의 우선 순위를 설정하고 소유자를 할당합니다. 가양성인 경우 사용자를 차단 해제하고 다음 경고로 이동할 수 있습니다.
Defender 포털은 DLP 이벤트를 인시던트에 그룹화합니다. 인시던트 는 Defender가 수신하는 다른 모든 신호에 따라 함께 그룹화된 관련 경고의 컬렉션입니다. 예를 들어 SharePoint 사이트의 중요한 파일을 모니터링하고 경고하도록 구성된 DLP 정책이 있고 사용자가 SharePoint 사이트에서 파일을 다운로드한 다음 개인 OneDrive에 업로드한 다음 외부 사용자와 공유하는 경우 Defender는 이러한 모든 경고를 단일 인시던트에 그룹화합니다. 가장 중요한 경고에 먼저 집중할 수 있는 강력한 기능입니다.
Defender 포털에서 즉시 인시던트 심사를 시작하고 태그, 메모 및 기타 기능을 사용하여 인시던트 관리를 구성할 수 있습니다. Microsoft Defender 포털의 인시던트 페이지를 활용하여 DLP 경고를 관리해야 합니다. 필터를 선택하고 서비스 원본: 데이터 손실 방지를 선택하여 인시던트 큐를 필터링하여 Microsoft Purview DLP 경고로 모든 인시던트 보기를 볼 수 있습니다.
Microsoft Defender XDR(미리 보기)와 내부자 위험 관리 데이터 공유를 사용하도록 설정한 경우 DLP 경고 페이지에서 사용자와 연결된 참가자 위험 관리 정책의 심각도 수준이 표시됩니다. 내부 위험 관리 심각도 수준은 낮음, 중간, 높음 및 없음입니다. 이 정보를 사용하여 조사 및 수정 작업의 우선 순위를 지정할 수 있습니다. 이 정보는 Microsoft 365 Defender 포털에서도 인시던트에 대한 세부 정보를 확인할 수 있습니다.
Microsoft Security Copilot 경고를 심사하는 데 사용할 수 있는 또 다른 도구입니다. Security Copilot 보안 및 규정 준수 전문가가 organization 데이터를 보호하는 데 도움을 줄 수 있는 클라우드 기반 AI 플랫폼입니다. DLP 경고 dashboard 및 데이터 보안 태세 관리(미리 보기)에서 사용할 수 있습니다.
조사 단계의 기본 목표는 할당된 소유자가 증거를 상호 연결하고, 경고의 원인과 전체 영향을 확인하고, 수정 계획을 결정하는 것입니다. 할당된 소유자는 경고에 대한 심층 조사 및 수정을 담당합니다. 기본 경고 조사 도구는 Microsoft Defender 포털 및 DLP 경고 관리 dashboard. 활동 탐색기를 사용하여 경고를 조사할 수도 있습니다. organization 다른 사용자와 경고 이벤트를 공유할 수도 있습니다.
다음과 같은 DLP 기능을 활용할 수 있습니다.
Microsoft Defender 포털 및 Purview 도구를 모두 사용하여 경고를 심사하고 조사할 수 있지만 Microsoft Defender 포털은 다음과 같은 경고 및 인시던트 관리를 위한 더 많은 기능을 제공합니다.
Defender(미리 보기)와 내부자 위험 관리 데이터를 공유하는 경우 사용자가 지난 120일 동안 참여한 모든 반출 활동의 사용자 활동 요약을 볼 수 있습니다.
수정 계획은 organization 정책, 업계, 준수해야 하는 지정학적 규정 및 비즈니스 관행에 고유합니다. organization 경고에 응답하도록 선택하는 방법은 경고의 정확도(참 긍정, 가양성, 거짓 부정), 문제의 심각도 및 organization 미치는 영향을 중심으로 진행됩니다.
수정 작업에는 다음이 포함될 수 있습니다.
Defender 포털을 사용하면 경고 및 인시던트에 대한 수정 작업을 즉시 수행할 수 있습니다. 예시:
정책의 정확도와 효과에 따라 정책의 효율성을 유지하도록 업데이트해야 할 수 있습니다. 정책 만들기 및 배포 프로세스 중에 이미 정책을 조정했지만 데이터 자산 및 비즈니스 요구 사항이 변경됨에 따라 정책을 계속 적용하려면 정책을 업데이트해야 합니다. 이러한 변경 내용은 정책 의도 문 및 정책 구성에서 가장 잘 추적됩니다.
튜닝하는 항목:
정책 디자인 및 테스트 정책에 대한 매핑 비즈니스 요구 사항에 대한 자세한 내용은 다음을 참조하세요.
DLP(Microsoft Purview 데이터 손실 방지) 경고를 조사하고 관리하는 데 사용할 수 있는 여러 도구가 있습니다. 다음과 같습니다.
Microsoft는 Microsoft Defender 포털에서 통합 인시던트 큐를 사용하여 DLP 경고를 관리하는 것이 좋습니다. 그러나 organization Microsoft Defender 포털 외에도 DLP 경고 관리 dashboard 사용하여 충족할 수 있는 요구 사항이 있을 수 있습니다.
DLP 경고 dashboard 사용하는 경우 시작하는 데 도움이 되는 문서를 읽어야 합니다.
학습
인증
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
Microsoft 365 배포를 보호하기 위한 데이터 보안, 수명 주기 관리, 정보 보안 및 준수의 기본 사항을 보여 줍니다.