데이터 손실 방지 경고 시작
정책의 조건이 일치할 때 경고를 생성하도록 DLP(Microsoft Purview 데이터 손실 방지) 정책을 구성할 수 있습니다.
경고에 대한 간략한 개요는 다음을 참조하세요.
이 문서에는 라이선스 및 권한 세부 정보 및 경고 작업을 수행할 때 필요한 기타 중요한 정보가 포함되어 있습니다.
DLP 경고는 Microsoft Defender XDR dashboard 및 Microsoft Purview 규정 준수 포털 조사 및 관리할 수 있습니다. Microsoft Defender XDR dashboard DLP 경고를 조사하고 관리하는 데 권장되는 위치입니다. Microsoft Purview 규정 준수 포털 DLP 정책을 만들고 편집하는 데 권장되는 위치입니다.
팁
보안용 Microsoft Copilot 시작하여 AI의 강력한 성능을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 보안 Microsoft Copilot 대해 자세히 알아보세요.
경고 유형
활동이 규칙과 일치할 때마다 경고를 보낼 수 있으며, 이는 시끄럽거나 설정된 기간 동안의 일치 항목 수 또는 항목 볼륨에 따라 집계될 수 있습니다. DLP 정책에서 구성할 수 있는 두 가지 유형의 경고가 있습니다.
단일 이벤트 경고는 일반적으로 10개 이상의 고객 크레딧 카드 번호가 organization 외부에서 전송되는 단일 전자 메일과 같이 낮은 볼륨에서 발생하는 매우 중요한 이벤트를 모니터링하는 정책에서 사용됩니다.
집계 이벤트 경고 는 일반적으로 일정 기간 동안 더 많은 볼륨에서 발생하는 이벤트를 모니터링하는 정책에서 사용됩니다. 예를 들어 고객 크레딧 카드 번호가 하나씩 있는 10개의 개별 이메일이 48시간 동안 조직 외부로 전송될 때 집계 경고가 트리거될 수 있습니다.
시작하기 전에
시작하기 전에 필요한 필수 구성 요소가 있는지 확인합니다.
경고 구성 옵션에 대한 라이선스
- 단일 이벤트 경고 구성: E1, F1 또는 G1 구독 또는 E3 또는 G3 구독이 있는 조직은 트리거 작업이 발생할 때마다 경고를 생성하도록 정책을 구성할 수 있습니다.
-
집계된 경고 구성: 임계값에 따라 집계 경고 정책을 구성하려면 다음 구성 중 하나가 있어야 합니다.
- A5 구독
- E5 또는 G5 구독
- E1, F1 또는 G1 구독 또는 다음 기능 중 하나를 포함하는 E3 또는 G3 구독:
- Office 365 Advanced Threat Protection Plan 2
- Microsoft 365 E5 Compliance
- Microsoft 365 eDiscovery 및 감사 추가 기능 라이선스
엔드포인트 DLP를 사용하고 Teams DLP에 적합한 고객은 DLP 경고 관리 dashboard 엔드포인트 DLP 정책 경고 및 Teams DLP 정책 경고를 볼 수 있습니다.
역할 및 역할 그룹
DLP 경고 관리 dashboard 보거나 DLP 정책에서 경고 구성 옵션을 편집하려면 다음 역할 그룹 중 하나의 구성원이어야 합니다.
- 규정 준수 관리자
- 규정 준수 데이터 관리자
- 보안 관리자
- 보안 운영자
- 보안 읽기 권한자
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
자세한 내용은 Microsoft Purview 규정 준수 포털 사용 권한을 참조하세요.
적용 가능한 역할 그룹의 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 사용 권한을 참조하세요.
- 정보 보호
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
DLP 경고 관리 dashboard 액세스하려면 경고 관리 역할과 다음 두 역할 중 하나가 필요합니다.
- DLP 규정 준수 관리
- DLP 규정 준수 관리 View-Only
콘텐츠 미리 보기 기능 및 일치하는 중요한 콘텐츠 및 컨텍스트 기능에 액세스하려면 데이터 분류 콘텐츠 뷰어 역할이 미리 할당된 콘텐츠 Explorer 콘텐츠 뷰어 역할 그룹의 구성원이어야 합니다.
팁
관리자가 경고에 액세스해야 하지만 상황에 맞는/중요한 정보가 아닌 경우 데이터 분류 콘텐츠 뷰어 권한을 포함하지 않는 사용자 지정 역할을 만들고 할당할 수 있습니다.
DLP 경고 구성
DLP 정책에서 경고를 구성하는 방법을 알아보려면 데이터 손실 방지 정책 만들기 및 배포를 참조하세요. 라이선스에 따라 다른 경고 구성 환경이 있습니다.
참고
DLP 정책에서 기존 경고를 구성하거나 수정한 후 경고를 생성하는 데 최대 3시간이 걸릴 수 있습니다.
이벤트 경고 구성 집계
집계된 경고 구성 옵션에 대한 라이선스가 있는 경우 DLP 정책을 만들거나 편집할 때 이러한 옵션이 표시됩니다.
이 구성을 사용하면 경고를 생성하는 정책을 설정할 수 있습니다.
- 활동이 정책 조건과 일치할 때마다
- 정의된 임계값이 충족되거나 초과된 경우
- 활동 수에 따라
- 유출된 데이터의 볼륨에 따라
알림 이메일의 홍수를 방지하기 위해 동일한 DLP 규칙 및 동일한 위치에 있는 1분 기간 내에 발생하는 모든 일치 항목이 동일한 경고에 함께 그룹화됩니다. 1분 집계 기간 기능은 다음에서 사용할 수 있습니다.
- E5 또는 G5 구독
- E1, F1 또는 G1 구독 또는 다음 기능 중 하나를 포함하는 E3 또는 G3 구독:
- Office 365 Advanced Threat Protection Plan 2
- Microsoft 365 E5 Compliance
- Microsoft 365 eDiscovery 및 감사 추가 기능 라이선스
E1, F1 또는 G1 구독 또는 E3 또는 G3 구독이 있는 조직의 경우 집계 기간은 15분입니다.
단일 이벤트 경고 구성
단일 이벤트 경고 구성 옵션에 대한 라이선스가 있는 경우 DLP 정책을 만들거나 편집할 때 이러한 옵션이 표시됩니다. 이 옵션을 사용하여 DLP 규칙 일치가 발생할 때마다 발생하는 경고를 만듭니다.
이벤트 유형
다음은 경고와 관련된 몇 가지 이벤트입니다. 경고 dashboard 특정 이벤트를 선택하여 세부 정보를 볼 수 있습니다.
이벤트 세부 정보
속성 이름 | 설명 | 이벤트 유형 |
---|---|---|
ID | 이벤트와 연결된 고유 ID | 모든 이벤트 |
위치 | 이벤트가 검색된 워크로드 | 모든 이벤트 |
활동 시간 | DLP 정책의 조건과 일치하는 사용자 활동의 시간 |
영향을 받는 엔터티
속성 이름 | 설명 | 이벤트 유형 |
---|---|---|
사용자 | 정책 일치를 발생시킨 작업을 수행한 사용자 | 모든 이벤트 |
hostname | DLP 정책이 일치하는 컴퓨터의 호스트 이름 | 디바이스 이벤트 |
IP 주소 | DLP 정책이 일치하는 컴퓨터의 IP 주소 | 디바이스 이벤트 |
sha1 | 파일의 SHA-1 해시 | 디바이스 이벤트 |
sha256 | 파일의 SHA-256 해시 | 디바이스 이벤트 |
MDATP 디바이스 ID | 엔드포인트 디바이스 MDATP ID | |
파일 크기 | 파일의 크기 | SharePoint, OneDrive 및 디바이스 이벤트 |
파일 경로 | DLP 정책 일치와 관련된 항목의 절대 경로 | SharePoint, OneDrive 및 디바이스 이벤트 |
전자 메일 받는 사람 | 전자 메일이 DLP 정책과 일치하는 중요한 항목인 경우 이 필드에는 해당 전자 메일의 받는 사람이 포함됩니다. | Exchange 이벤트 |
전자 메일 제목 | DLP 정책과 일치하는 전자 메일의 제목 | Exchange 이벤트 |
전자 메일 첨부 파일 | DLP 정책과 일치하는 전자 메일의 첨부 파일 이름 | Exchange 이벤트 |
사이트 소유자 | 사이트 소유자의 이름 | SharePoint 및 OneDrive 이벤트 |
사이트 URL | DLP 정책 일치가 발생한 SharePoint 또는 OneDrive 사이트의 URL 전체 | SharePoint 및 OneDrive 이벤트 |
만든 파일 | DLP 정책과 일치하는 파일을 만드는 시간 | SharePoint 및 OneDrive 이벤트 |
마지막으로 수정한 파일 | DLP 정책과 일치하는 파일이 마지막으로 변경된 시간 | SharePoint 및 OneDrive 이벤트 |
파일 크기 | DLP 정책과 일치하는 파일의 크기 | SharePoint 및 OneDrive 이벤트 |
파일 소유자 | DLP 정책과 일치하는 파일의 소유자 | SharePoint 및 OneDrive 이벤트 |
정책 세부 정보
속성 이름 | 설명 | 이벤트 유형 |
---|---|---|
DLP 정책이 일치됨 | 일치하는 DLP 정책의 이름 | 모든 이벤트 |
일치하는 규칙 | 일치하는 DLP 정책 규칙의 이름 | 모든 이벤트 |
SIT(중요한 정보 유형)가 검색됨 | DLP 정책 일치의 일부로 검색된 SIT | 모든 이벤트 |
수행한 작업 | DLP 정책 일치를 발생시킨 작업을 수행했습니다. | 모든 이벤트 |
위반 작업 | DLP 경고를 발생시킨 엔드포인트 디바이스에 대한 작업 | 디바이스 이벤트 |
사용자 오버로드 정책 | 사용자가 정책 팁을 통해 정책을 재정의했나요? | 모든 이벤트 |
재정의 근거 사용 | 재정의를 위해 사용자가 제공한 이유의 텍스트 | 모든 이벤트 |
중요
organization 감사 로그 보존 정책 구성은 경고가 콘솔에 표시되는 기간을 제어합니다. 자세한 내용은 감사 로그 보존 정책 관리를 참조하십시오.
참고 항목
- DLP 정책의 경고: DLP 정책의 컨텍스트에서 경고를 설명합니다.
- 데이터 손실 방지 경고 시작: DLP 경고 및 경고 참조 세부 정보에 필요한 liscensing, 권한 및 필수 구성 요소를 다룹니다.
- 데이터 손실 방지 정책 만들기 및 배포: DLP 정책을 만드는 컨텍스트에서 경고 구성에 대한 지침을 포함합니다.
- 데이터 손실 방지 경고 조사에 대해 알아보기: DLP 경고를 조사하는 다양한 방법을 다룹니다.
- Microsoft Defender XDR 사용하여 데이터 손실 인시던트 조사: Microsoft Defender 포털에서 DLP 경고를 조사하는 방법입니다.