클라우드용 Microsoft Defender 앱의 파일 필터

  • 아티클

데이터 보호를 제공하기 위해 클라우드용 Microsoft Defender 앱은 연결된 앱의 모든 파일에 대한 가시성을 제공합니다. 앱 커넥터 사용하여 앱에 클라우드용 Microsoft Defender 앱을 연결한 후 클라우드용 Microsoft Defender 앱은 OneDrive 및 Salesforce에 저장된 모든 파일과 같은 모든 파일을 검색합니다. 그런 다음, 클라우드용 Defender 앱은 수정될 때마다 각 파일을 다시 검사합니다. 수정은 콘텐츠, 메타데이터 또는 공유 권한일 수 있습니다. 검색 시간은 앱에 저장된 파일의 수에 따라 달라집니다. 또한 파일 페이지에서 파일을 필터링하여 어떤 종류의 데이터가 클라우드 앱에 저장되어 있는지 조사할 수도 있습니다.

참고 항목

설정 파일 모니터링을 사용하도록 설정해야 합니다. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다. Information Protection에서 파일을 선택합니다. 파일 모니터링 사용을 선택한 다음, 저장을 선택합니다.
활성 파일 정책이 없는 경우 마지막 파일 페이지 참여 시간 후 7일 후에 파일 모니터링이 비활성화됩니다.
활성 파일 정책이 없는 경우 마지막 파일 페이지 참여 시간 클라우드용 Defender 35일 후에 앱이 클라우드용 Defender 앱이 저장된 파일에 대해 기본 있는 데이터를 삭제하기 시작합니다. 2023년 8월 20일부터 필터 '마지막으로 수정된 날짜(일)는 더 이상 사용되지 않습니다. 대신 "파일 이전(날짜)을 사용하고 고정 날짜별로 조사를 계속하는 것이 좋습니다. "정책 페이지" 또는 "파일 페이지"에서 "이전에 수정됨(날짜)"으로 '수동' 조사를 사용할 수도 있습니다.

파일 필터 예제

예를 들어 파일 페이지를 사용하여 다음과 같이 기밀레이블이 지정된 외부 공유 파일을 보호합니다.

앱을 클라우드용 Defender 앱에 연결한 후 Microsoft Purview Information Protection과 통합합니다. 그런 다음 파일 페이지에서 기밀로 레이블이 지정된 파일을 필터링하고 협력자 필터에서 do기본 제외합니다. 조직 외부에서 공유되는 기밀 파일이 있는 경우 이를 검색하는 파일 정책을 만들 수 있습니다. 외부 협력자 제거파일 소유자에게 정책 일치 다이제스트 보내기와 같이 이러한 파일에 자동 거버런스 작업을 적용하여 조직의 데이터 손실을 방지할 수 있습니다.

파일 필터 기밀.

다음은 파일 페이지를 사용하는 방법에 대한 또 다른 예입니다. 지난 6개월 동안 수정되지 않은 파일을 공유적으로 또는 외부에서 공유하는 사람이 없는지 확인합니다.

앱을 커넥트 앱을 클라우드용 Defender 파일 페이지로 이동합니다. 액세스 수준이 외부 또는 공용인 파일을 필터링 최종 수정 날짜를 6개월 전으로 설정합니다. 검색에서 새 정책을 선택하여 이러한 부실 공용 파일을 검색하는 파일 정책을 만듭니다. 외부 사용자 제거와 같은 자동 거버런스 작업을 적용하여 조직에 대한 데이터 손실을 방지합니다.

파일 필터 부실 외부.

기본 필터는 파일 필터링을 시작하기에 좋은 도구를 제공합니다.

기본 파일 로그 필터입니다.

보다 구체적인 파일로 드릴다운하려면 고급 필터를 선택하여 기본 필터를 확장할 수 있습니다.

고급 파일 로그 필터입니다.

파일 필터

클라우드용 Defender 앱은 20개 이상의 메타데이터 필터(예: 액세스 수준, 파일 형식)를 기반으로 모든 파일 형식을 모니터링할 수 있습니다.

DLP 엔진에서 빌드된 클라우드용 Defender 앱은 일반적인 파일 형식에서 텍스트를 추출하여 콘텐츠 검사를 수행합니다. 포함된 파일 형식 중 일부는 PDF, Office 파일, RTF, HTML 및 코드 파일입니다.

다음은 적용할 수 있는 파일 필터 목록입니다. 정책 생성을 위한 강력한 도구를 제공하기 위해 대부분의 필터는 여러 값과 NOT을 지원합니다.

참고 항목

파일 정책 필터를 사용하는 경우 Contains는 검색할 쉼표, 점, 하이픈 또는 공백으로 구분된 전체 단어만 검색합니다.

  • 단어 사이의 공백 또는 하이픈은 OR과 같이 작동합니다. 예를 들어 맬웨어바이러스검색하면 이름에 맬웨어 또는 바이러스가 있는 모든 파일을 찾을 수 있으므로 malware-virus.exe 및 virus.exe 모두 찾을 수 있습니다.
  • 문자열을 검색하려면 단어를 따옴표로 묶습니다. 이 함수는 AND와 같습니다. 예를 들어 "malware""virus"검색하면 virus-malware-file.exe 찾을 수 있지만 malwarevirusfile.exe 찾을 수 없으며 malware.exe 찾을 수 없습니다. 그러나 정확한 문자열을 검색합니다. "맬웨어 바이러스"를 검색하는 경우 "바이러스" 또는 "바이러스-맬웨어"를 찾을 수 없습니다.

Equals 는 전체 문자열만 검색합니다. 예를 들어 malware.exe 검색하면 malware.exe 찾을 수 있지만 malware.exe.txt 않습니다.

  • 액세스 수준 – 공유 액세스 수준(공개, 외부, 내부 또는 전용)입니다.

    • 내부 - 일반 설정에서 설정한 내부 도메인 내의 모든 파일입니다.
    • 외부 - 설정한 내부 도메인에 속하지 않는 위치에 저장된 모든 파일입니다.
    • 공유 - 공유 수준이 전용보다 높은 파일입니다. 공유에는 다음이 포함됩니다.

      • 내부 공유 - 내부 도메인 내에서 공유되는 파일입니다.

      • 외부 공유 - 내부 도메인에 나열되지 않은 도메인에서 공유되는 파일입니다.

      • 링크가 있는 공개 - 링크를 통해 다른 사람과 공유할 수 있는 파일입니다.

      • 공개 - 인터넷을 검색하여 찾을 수 있는 파일입니다.

        참고 항목

        외부 사용자가 연결된 스토리지 앱에 공유하는 파일은 다음과 같이 클라우드용 Defender 앱으로 처리됩니다.

        • OneDrive: OneDrive는 외부 사용자가 OneDrive에 넣는 모든 파일의 소유자로 내부 사용자를 할당합니다. 이러한 파일은 조직 소유로 간주되므로 클라우드용 Defender 앱은 이러한 파일을 검색하고 OneDrive의 다른 파일과 마찬가지로 정책을 적용합니다.
        • Google 드라이브: Google Drive는 외부 사용자가 소유하고 있으며 조직에서 소유하지 않은 파일 및 데이터에 대한 법적 제한으로 인해 앱이 이러한 파일에 액세스할 수 클라우드용 Defender 고려합니다.
        • Box: Box에서는 외부에서 소유한 파일을 개인 정보로 간주하므로 Box 전역 관리자가 파일의 내용을 볼 수 없습니다. 이러한 이유로 클라우드용 Defender 앱은 이러한 파일에 액세스할 수 없습니다.
        • Dropbox: Dropbox에서는 외부에서 소유한 파일을 개인 정보로 간주하므로 Dropbox 전역 관리자가 파일의 내용을 볼 수 없습니다. 이러한 이유로 클라우드용 Defender 앱은 이러한 파일에 액세스할 수 없습니다.

  • – 해당 앱 내의 파일만 검색합니다.

  • 협력자 – 특정 협력자 또는 그룹을 포함/제외합니다.

    • 할 일기본 – 이 작업을 수행하는 사용자가 있는 경우기본 파일에 직접 액세스할 수 있습니다.

      참고 항목

      • 이 필터는 특정 사용자와만 그룹과 공유된 파일을 지원하지 않습니다.
      • SharePoint 및 OneDrive의 경우 필터는 공유 링크를 통해 특정 사용자와 공유된 파일을 지원하지 않습니다.

    • 전체 조직 – 전체 조직에서 파일에 액세스할 수 있는 경우

    • 그룹 – 특정 그룹이 파일에 액세스할 수 있는 경우입니다. Active Directory 또는 클라우드 앱에서 그룹을 가져오거나 서비스에서 수동으로 만들 수 있습니다.

    • 사용자 - 파일에 액세스할 수 있는 특정 사용자 집합입니다.

  • 만든 날짜 – 파일을 만든 시간입니다. 필터는 이전/이후 날짜와 날짜 범위를 지원합니다.

  • 확장명 - 특정 파일 확장명에 중점을 둡니다. 예를 들어 실행 파일인 모든 파일(*.exe)입니다.

    참고 항목

    • 이 필터는 대/소문자를 구분합니다.
    • OR 절을 사용하여 둘 이상의 대문자 변형에 필터를 적용합니다.

  • 파일 ID – 특정 파일 ID를 검색합니다. 파일 ID는 소유자, 위치 또는 이름에 대한 종속성 없이 특정 고가용성 파일을 추적할 수 있는 고급 기능입니다.

  • 파일 이름 – 클라우드 앱에 정의된 이름의 파일 이름 또는 하위 문자열입니다. 예를 들어 이름에 암호가 있는 모든 파일입니다.

  • 민감도 레이블 - 특정 레이블이 설정된 파일을 검색합니다. 레이블은 다음 중 하나입니다.

    참고 항목

    이 필터가 파일 정책에 사용되는 경우 정책은 Microsoft Office 파일에만 적용되며 다른 파일 형식은 무시됩니다.

    • Microsoft Purview Information Protection - Microsoft Purview Information Protection과 통합해야 합니다.
    • 클라우드용 Defender 앱 - 검색하는 파일에 대한 더 많은 인사이트를 제공합니다. 클라우드용 Defender Apps DLP에서 검사한 각 파일에 대해 파일이 암호화되거나 손상되어 검사가 차단되었는지 알 수 있습니다. 예를 들어 외부에서 공유되는 암호로 보호된 파일을 경고하고 격리하는 정책을 설정할 수 있습니다.
      • Azure RMS로 암호화 – 파일에 Azure RMS 암호가 설정되어 있어 해당 콘텐츠가 검사되지 않은 파일입니다.
      • 암호로 암호화 – 파일이 사용자에 의해 암호로 보호되어 해당 콘텐츠가 검사되지 않은 파일입니다.
      • 손상 파일 – 파일 콘텐츠를 읽을 수 없어 해당 콘텐츠가 검사되지 않은 파일입니다.

  • 파일 형식 – 클라우드용 Defender 앱은 파일을 검색하여 실제 파일 형식이 서비스에서 받은 MIME 형식(표 참조)과 일치하는지 여부를 확인합니다. 이 검색은 데이터 검색과 관련된 파일(문서, 이미지, 프레젠테이션, 스프레드시트, 텍스트 및 zip/보관 파일)에 대해 수행됩니다. 필터는 파일/폴더 형식별로 작동합니다. 예를 들어 ... 또는 모든 스프레드시트 파일이 있는 모든 폴더

    MIME 형식 파일 형식
    - application/vnd.openxmlformats-officedocument.wordprocessingml.document
    - application/vnd.ms-word.document.macroEnabled.12
    - application/msword
    - application/vnd.oasis.opendocument.text
    - application/vnd.stardivision.writer
    - application/vnd.stardivision.writer-global
    - application/vnd.sun.xml.writer
    - application/vnd.stardivision.math
    - application/vnd.stardivision.chart
    - application/x-starwriter
    - application/x-stardraw
    - application/x-starmath
    - application/x-starchart
    - application/vnd.google-apps.document
    - application/vnd.google-apps.kix
    - application/pdf
    - application/x-pdf
    - application/vnd.box.webdoc
    - application/vnd.box.boxnote
    - application/vnd.jive.document
    - text/rtf
    - application/rtf    		 문서
    - application/vnd.oasis.opendocument.image
    - application/vnd.google-apps.photo
    - 시작 날짜: image/    		 이미지
    - application/vnd.openxmlformats-officedocument.presentationml.presentation
    - application/vnd.ms-powerpoint.template.macroEnabled.12
    - application/mspowerpoint
    - 애플리케이션/powerpoint
    - application/vnd.ms-powerpoint
    - application/x-mspowerpoint
    - application/mspowerpoint
    - application/vnd.ms-powerpoint
    - application/vnd.oasis.opendocument.presentation
    - application/vnd.sun.xml.impress
    - application/vnd.stardivision.impress
    - application/x-starimpress
    - application/vnd.google-apps.presentation    		 프레젠테이션
    - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
    - application/vnd.ms-excel.sheet.macroEnabled.12
    - application/excel
    - application/vnd.ms-excel
    - application/x-excel
    - application/x-msexcel
    - application/vnd.oasis.opendocument.spreadsheet
    - application/vnd.sun.xml.calc
    - application/vnd.stardivision.calc
    - application/x-starcalc
    - application/vnd.google-apps.spreadsheet    		 스프레드시트
    - starts with: text/ Text
    다른 모든 파일 MIME 형식 기타

    policy_file 필터 형식입니다.

  • 휴지통 – 휴지통 폴더의 파일을 제외/포함합니다. 이러한 파일도 여전히 공유될 수 있으며 위험을 발생시킵니다.

    policy_file 휴지통을 필터링합니다.

  • 마지막으로 수정한 날짜 - 파일 수정 시간입니다. 필터는 이전 및 이후 날짜, 날짜 범위 및 상대 시간 식을 지원합니다. 예를 들어 지난 6개월 동안 수정 되지 않은 모든 파일입니다.

  • 일치 정책 - 활성 클라우드용 Defender 앱 정책과 일치하는 파일입니다.

  • MIME 형식 – 파일 MIME 형식 검사. 무료 텍스트를 허용합니다.

  • 소유자 - 특정 파일 소유자를 포함/제외합니다. 예를 들어 rogue_employee_#100에서 공유하는 모든 파일을 추적합니다.

  • 소유자 OU – 특정 조직 구성 단위에 속하는 파일 소유자를 포함하거나 제외합니다. 예를 들어 EMEA_marketing 공유한 파일을 제외한 모든 공용 파일입니다. Google Drive에 저장된 파일에만 적용됩니다.

  • 부모 폴더 – 특정 폴더를 포함하거나 제외합니다(하위 폴더에는 적용되지 않음). 예를 들어 이 폴더의 파일을 제외한 공개적으로 공유된 모든 파일입니다.

    참고 항목

    클라우드용 Defender 앱은 일부 파일 작업이 수행된 후에만 새 SharePoint 및 OneDrive 폴더를 검색합니다.

  • 격리됨 – 서비스에서 격리된 파일인 경우 예를 들어 격리된 모든 파일을 표시합니다.

정책을 만들 때 필터에 적용을 설정하여 특정 파일에서 실행되도록 설정할 수도 있습니다. 모든 파일, 선택한 폴더(하위 폴더 포함) 또는 선택한 폴더를 제외한 모든 파일로 필터링합니다. 그런 다음, 관련된 파일이나 폴더를 선택합니다.

필터에 적용합니다.

파일 권한 부여

클라우드용 Defender 앱이 맬웨어 또는 DLP 위험을 초래하는 것으로 파일을 식별한 후에는 파일을 조사하는 것이 좋습니다. 파일이 안전하다고 판단되면 권한을 부여할 수 있습니다. 파일에 권한을 부여하면 맬웨어 검색 보고서에서 파일이 제거되고 이 파일의 향후 일치 항목이 표시되지 않습니다.

파일에 권한을 부여하려면

  1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리를 선택합니다. 정보 보호 탭을 선택합니다.

  2. 정책 목록에서 조사를 트리거한 정책이 표시되는 행의 개수 열에서 일치 링크를 선택합니다.

    유형별로 정책 목록을 필터링할 수 있습니다. 다음 표에서는 사용할 필터 형식을 위험 유형별로 나열합니다.

    위험 유형 필터 형식
    DLP 파일 정책
    맬웨어 맬웨어 탐지 정책

  3. 일치하는 파일 목록에서 조사 중인 파일이 표시되는 행에서 권한 부여할 ✓를 선택합니다.

파일 서랍 사용

파일 로그에서 파일 자체를 선택하여 각 파일에 대한 자세한 정보를 볼 수 있습니다. 이 옵션을 선택하면 파일에 대해 수행할 수 있는 다음과 같은 추가 작업을 제공하는 파일 서랍이 열립니다.

  • URL - 파일 위치로 이동합니다.
  • 파일 식별자 - 파일 ID 및 암호화 키를 사용할 수 있는 경우 파일에 대한 원시 데이터 세부 정보가 포함된 팝업을 엽니다.
  • 소유자 - 이 파일의 소유자에 대한 사용자 페이지를 봅니다.
  • 일치된 정책 - 파일이 일치하는 정책 목록을 확인합니다.
  • 민감도 레이블 - 이 파일에 있는 Microsoft Purview Information Protection의 민감도 레이블 목록을 봅니다. 그런 다음 이 레이블과 일치하는 모든 파일을 기준으로 필터링할 수 있습니다.

파일 서랍의 필드는 추가 파일에 대한 상황별 링크 및 서랍에서 직접 수행할 수 있는 드릴다운을 제공합니다. 예를 들어 소유자 필드 옆에 커서를 이동하는 경우 "필터에 추가" 아이콘 필터에 추가합니다. 을 사용하여 현재 페이지의 필터에 소유자를 즉시 추가할 수 있습니다. 민감도 레이블과 같은 필드 중 하나의 구성을 수정하는 데 필요한 설정 페이지에 직접 도착하기 위해 팝업되는 설정 톱자 아이콘 설정 아이콘 을 사용할 수도 있습니다.

파일 서랍.

사용할 수 있는 거버넌스 작업 목록은 파일 거버넌스 작업을 참조하세요.

다음 단계

조직 보호를 위한 모범 사례

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.