정보 보호 정책

클라우드용 Defender 앱 파일 정책을 사용하면 광범위한 자동화된 프로세스를 적용할 수 있습니다. 정책을 설정하여 지속적인 규정 준수 검사, 법적 eDiscovery 작업 및 공개적으로 공유되는 중요한 콘텐츠에 대한 DLP를 비롯한 정보 보호를 제공할 수 있습니다.

클라우드용 Defender 앱은 20개 이상의 메타데이터 필터(예: 액세스 수준 및 파일 형식)를 기반으로 모든 파일 형식을 모니터링할 수 있습니다. 자세한 내용은 파일 정책을 참조 하세요.

중요한 데이터의 외부 공유 감지 및 방지

개인 식별 정보 또는 기타 중요한 데이터가 있는 파일이 클라우드 서비스에 저장되고 회사의 보안 정책을 위반하고 잠재적인 규정 준수 위반을 초래하는 조직 외부의 사용자와 공유하는 경우를 감지합니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. 필터 액세스 수준을 공용(인터넷) /공용/외부와 같게 설정합니다.

3. 검사 방법에서 DCS(데이터 분류 서비스)를 선택하고 선택 유형에서 DCS에서 검사할 중요한 정보의 유형을 선택합니다.

4. 경고가 트리거될 때 수행할 거버넌스 작업을 구성합니다. 예를 들어 Google Workspace에서 검색된 파일 위반에 대해 실행되는 거버넌스 작업을 만들 수 있습니다. 이 경우 외부 사용자를제거하고 공용 액세스를 제거하는 옵션을 선택할 수 있습니다.

5. 파일 정책을 만듭니다.

외부 공유 기밀 데이터 검색

기밀로 레이블이 지정되고 클라우드 서비스에 저장된 파일이 외부 사용자와 공유되어 회사 정책을 위반하는 경우를 검색합니다.

필수 조건

• 앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

• Microsoft Purview Information Protection 통합을 사용하도록 설정합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. 필터 민감도 레이블 을 Microsoft Purview Information Protection 으로 설정하면 기밀 레이블 또는 회사에 해당하는 레이블이 됩니다.

3. 필터 액세스 수준을 공용(인터넷) /공용/외부와 같게 설정합니다.

4. 선택 사항: 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다.

5. 파일 정책을 만듭니다.

중요한 미사용 데이터 검색 및 암호화

클라우드 앱에서 공유하는 개인 식별 정보 및 기타 중요한 데이터가 포함된 파일을 검색하고 민감도 레이블을 적용하여 회사의 직원만 액세스할 수 있도록 제한합니다.

필수 조건

• 앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

• Microsoft Purview Information Protection 통합을 사용하도록 설정합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. 검사 방법에서 DCS(데이터 분류 서비스)를 선택하고 선택 유형에서 DCS에서 검사할 중요한 정보의 유형을 선택합니다.

3. 거버넌스 작업에서 민감도 레이블을 적용하고 회사에서 회사 직원에 대한 액세스를 제한하는 데 사용하는 민감도 레이블을 검사.

4. 파일 정책을 만듭니다.

참고 항목

클라우드용 Defender 앱에서 직접 민감도 레이블을 적용하는 기능은 현재 Box, Google Workspace, SharePoint Online 및 비즈니스용 OneDrive 대해서만 지원됩니다.

부실 외부 공유 데이터 검색

사용되지 않고 오래된 파일, 최근에 업데이트되지 않은 파일, 직접 공개 링크, 웹 검색 또는 특정 외부 사용자를 통해 공개적으로 액세스할 수 있는 파일을 검색합니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. 정책 템플릿 부실 외부 공유 파일을 선택하고 적용합니다.

3. 조직의 정책과 일치하도록 마지막으로 수정한 필터를 사용자 지정합니다.

4. 선택 사항: 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 예시:

   • Google Workspace: 파일을 비공개로 설정하고 마지막 파일 편집기에게 알립니다.

   • 상자: 마지막 파일 편집기 알림

   • SharePoint Online: 파일을 비공개로 만들고 파일 소유자에게 정책 일치 다이제스트 보내기

5. 파일 정책을 만듭니다.

권한이 없는 위치에서 데이터 액세스 검색

조직의 공통 위치에 따라 권한이 없는 위치에서 파일에 액세스하는 경우를 감지하여 잠재적인 데이터 유출 또는 악의적인 액세스를 식별합니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

2. 필터 활동 유형을 보기, 다운로드, 액세스 및 수정과 같이 관심 있는 파일 및 폴더 활동으로 설정합니다.

3. 필터 위치가 같지 않음을 설정한 다음 조직에서 활동이 예상되는 국가/지역을 입력합니다.

   • 선택 사항: 반대 방법을 사용하고 조직에서 특정 국가/지역의 액세스를 차단하는 경우 필터 를 위치 로 설정할 수 있습니다.

4. 선택 사항: 사용자 일시 중단과 같이 검색된 위반에 적용할 거버넌스 작업을 만듭니다(가용성은 서비스마다 다름).

5. 활동 정책을 만듭니다.

비준수 SP 사이트에서 기밀 데이터 저장소 검색 및 보호

기밀로 레이블이 지정되고 비준수 SharePoint 사이트에 저장된 파일을 검색합니다.

필수 조건

민감도 레이블은 조직 내에서 구성되고 사용됩니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. 필터 민감도 레이블 을 Microsoft Purview Information Protection 으로 설정하면 기밀 레이블 또는 회사에 해당하는 레이블이 됩니다.

3. 부모 폴더 필터가 같지 않도록 설정한 다음, 폴더 선택에서 조직의 모든 호환 폴더를 선택합니다.

4. 경고에서 일치하는 각 파일에 대한 경고 만들기를 선택합니다.

5. 선택 사항: 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 예를 들어 파일 소유자에게 정책 일치 다이제스트를 보내도록 Box를 설정하고 관리자 격리에 넣습니다.

6. 파일 정책을 만듭니다.

외부 공유 소스 코드 검색

소스 코드일 수 있는 콘텐츠가 포함된 파일이 공개적으로 공유되거나 조직 외부의 사용자와 공유되는 경우를 검색합니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. 정책 템플릿 외부 공유 소스 코드 선택 및 적용

3. 선택 사항: 조직의 소스 코드 파일 확장명과 일치하도록 파일 확장명 목록을 사용자 지정합니다.

4. 선택 사항: 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 예를 들어 Box에서 파일 소유자에게 정책 일치 다이제스트를 보내고 관리자 격리에 넣습니다.

5. 정책 템플릿을 선택하고 적용합니다.

그룹 데이터에 대한 무단 액세스 검색

특정 사용자 그룹에 속한 특정 파일이 그룹에 속하지 않은 사용자가 과도하게 액세스하는 경우 잠재적인 내부자 위협이 될 수 있는 경우를 감지합니다.

필수 조건

앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 활동 정책을 만듭니다.

2. 작업에서 반복 작업을 선택하고 최소 반복 활동을 사용자 지정하고 조직의 정책을 준수하도록 기간을 설정합니다.

3. 필터 활동 유형을 보기, 다운로드, 액세스 및 수정과 같이 관심 있는 파일 및 폴더 활동으로 설정합니다.

4. 필터 사용자를From 그룹으로 설정한 다음 관련 사용자 그룹을 선택합니다.

   참고 항목

   지원되는 앱에서 사용자 그룹을 수동으로 가져올 수 있습니다.

5. 필터 파일 및 폴더를특정 파일 또는 폴더 로 설정한 다음 감사된 사용자 그룹에 속한 파일 및 폴더를 선택합니다.

6. 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 예를 들어 사용자를 일시 중단하도록 선택할 수 있습니다.

7. 파일 정책을 만듭니다.

공개적으로 액세스할 수 있는 S3 버킷 검색

AWS S3 버킷에서 잠재적인 데이터 누출을 감지하고 보호합니다.

필수 조건

앱 커넥터를 사용하여 연결된 AWS 인스턴스가 있어야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. AWS(공개적으로 액세스할 수 있는 S3 버킷) 정책 템플릿을 선택하고 적용합니다.

3. 위반이 감지되면 파일에 대해 수행할 거버넌스 작업을 설정합니다. 사용 가능한 거버넌스 작업은 서비스마다 다릅니다. 예를 들어 AWS를 비공개로 설정하여 S3 버킷을 비공개 로 만듭니다.

4. 파일 정책을 만듭니다.

파일 스토리지 앱에서 GDPR 관련 데이터 검색 및 보호

클라우드 스토리지 앱에서 공유되고 GDPR 규정 준수 정책에 의해 바인딩된 개인 식별 정보 및 기타 중요한 데이터를 포함하는 파일을 검색합니다. 그런 다음 민감도 레이블을 자동으로 적용하여 권한 있는 직원에게만 액세스를 제한합니다.

필수 조건

• 앱 커넥터를 사용하여 하나 이상의 앱이 연결되어 있어야 합니다.

• Microsoft Purview Information Protection 통합(AIP) 이 활성화되고 GDPR 레이블이 AIP에 구성됩니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 파일 정책을 만듭니다.

2. 검사 방법에서 DCS(데이터 분류 서비스)를 선택하고, 선택 유형에서 GDPR 규정 준수를 준수하는 하나 이상의 정보 유형(예: EU 직불 카드 번호, EU 운전 면허증 번호, EU 국가/지역 식별 번호, EU 여권 번호, EU SSN, SU 세금 식별 번호)을 선택합니다.

3. 지원되는 각 앱에 대해 민감도 레이블 적용을 선택하여 위반이 감지될 때 파일에 대해 수행할 거버넌스 작업을 설정합니다.

4. 파일 정책을 만듭니다.

참고 항목

현재 민감도 레이블 적용은 Box, Google Workspace, SharePoint Online 및 비즈니스용 OneDrive에서만 지원됩니다.

실시간으로 외부 사용자에 대한 다운로드 차단

클라우드용 Defender 앱 세션 컨트롤을 사용하여 파일 다운로드를 실시간으로 차단하여 외부 사용자가 회사 데이터를 유출하지 못하도록 방지합니다.

필수 조건

• Microsoft Entra 앱에 대한 조건부 액세스 앱 제어를 배포합니다.

• 앱이 Single Sign-On에 Microsoft Entra ID를 활용하는 SAML 기반 앱인지 확인합니다. 지원되는 앱에 대한 자세한 내용은 지원되는 앱 및 클라이언트를 참조 하세요.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 세션 정책을 만듭니다.

2. 세션 제어 유형에서 컨트롤 파일 다운로드(검사 포함)를 선택합니다.

3. 활동 필터에서 사용자를 선택하고 [시작] 그룹으로 설정하면 외부 사용자와 같습니다.

   참고 항목

   이 정책을 모든 앱에 적용할 수 있도록 앱 필터를 설정할 필요가 없습니다.

4. 파일 필터를 사용하여 파일 형식을 사용자 지정할 수 있습니다. 이렇게 하면 세션 정책에서 제어하는 파일 형식을 보다 세부적으로 제어할 수 있습니다.

5. 작업에서 차단을 선택합니다. 차단 메시지 사용자 지정을 선택하여 사용자에게 보낼 사용자 지정 메시지를 설정하여 콘텐츠가 차단된 이유와 올바른 민감도 레이블을 적용하여 이를 사용하도록 설정하는 방법을 이해할 수 있습니다.

6. 만들기를 실행합니다.

외부 사용자에 대해 실시간으로 읽기 전용 모드 적용

클라우드용 Defender 앱 세션 컨트롤을 사용하여 인쇄 및 복사/붙여넣기 작업을 실시간으로 차단하여 외부 사용자가 회사 데이터를 유출하지 못하도록 방지합니다.

필수 조건

• Microsoft Entra 앱에 대한 조건부 액세스 앱 제어를 배포합니다.
• 앱이 Single Sign-On에 Microsoft Entra ID를 사용하는 SAML 기반 앱인지 확인합니다. 지원되는 앱에 대한 자세한 내용은 지원되는 앱 및 클라이언트를 참조 하세요.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 세션 정책을 만듭니다.

2. 세션 제어 유형에서 활동 차단을 선택합니다.

3. 활동 원본 필터에서 다음을 수행합니다.

   1. 사용자를 선택하고 그룹에서 외부 사용자로 설정합니다.

   2. 작업 유형을 선택하면 인쇄 및 잘라내기/복사 항목이 같습니다.

   참고 항목

   이 정책을 모든 앱에 적용할 수 있도록 앱 필터를 설정할 필요가 없습니다.

4. 선택 사항: 검사 방법에서 적용할 검사 유형을 선택하고 DLP 검사에 필요한 조건을 설정합니다.

5. 작업에서 차단을 선택합니다. 차단 메시지 사용자 지정을 선택하여 사용자에게 보낼 사용자 지정 메시지를 설정하여 콘텐츠가 차단된 이유와 올바른 민감도 레이블을 적용하여 이를 사용하도록 설정하는 방법을 이해할 수 있습니다.

6. 만들기를 실행합니다.

실시간으로 분류되지 않은 문서의 업로드 차단

사용자가 클라우드용 Defender 앱 세션 컨트롤을 사용하여 보호되지 않은 데이터를 클라우드에 업로드하지 못하도록 합니다.

필수 조건

• Microsoft Entra 앱에 대한 조건부 액세스 앱 제어를 배포합니다.

• 앱이 Single Sign-On에 Microsoft Entra ID를 사용하는 SAML 기반 앱인지 확인합니다. 지원되는 앱에 대한 자세한 내용은 지원되는 앱 및 클라이언트를 참조 하세요.

• Microsoft Purview Information Protection의 민감도 레이블은 조직 내에서 구성하고 사용해야 합니다.

단계

1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리로 이동합니다. 새 세션 정책을 만듭니다.

2. 세션 제어 유형에서 검사 시 파일 업로드 제어 또는 컨트롤 파일 다운로드(검사 포함)를 선택합니다.

   참고 항목

   이 정책이 모든 사용자 및 앱에 적용되도록 필터를 설정할 필요가 없습니다.

3. 파일 필터 민감도 레이블 이 같지 않음을 선택한 다음 회사에서 분류된 파일에 태그를 지정하는 데 사용하는 레이블을 선택합니다.

4. 선택 사항: 검사 방법에서 적용할 검사 유형을 선택하고 DLP 검사에 필요한 조건을 설정합니다.

5. 작업에서 차단을 선택합니다. 차단 메시지 사용자 지정을 선택하여 사용자에게 보낼 사용자 지정 메시지를 설정하여 콘텐츠가 차단된 이유와 올바른 민감도 레이블을 적용하여 이를 사용하도록 설정하는 방법을 이해할 수 있습니다.

6. 만들기를 선택합니다.

참고 항목

클라우드용 Defender 앱이 현재 Microsoft Purview Information Protection의 민감도 레이블을 지원하는 파일 형식 목록은 Microsoft Purview Information Protection 통합 필수 구성 요소를 참조하세요.

다음 단계

조직 보호를 위한 모범 사례

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.