DLP 정책 만들기, 테스트 및 조정

DLP(Microsoft Purview 데이터 손실 방지)를 사용하면 의도하지 않거나 실수로 중요한 정보를 공유하는 것을 방지할 수 있습니다.

DLP는 전자 메일 메시지 및 파일에서 신용 카드 번호와 같은 중요한 정보를 검사합니다. DLP를 사용하여 중요한 정보를 검색하고 다음과 같은 작업을 수행할 수 있습니다.

  • 감사 목적으로 이벤트 기록
  • 전자 메일을 보내거나 파일을 공유하는 최종 사용자에게 경고 표시
  • 전자 메일 또는 파일 공유가 진행되지 않도록 적극적으로 차단

E5 고객이 아닌 경우 Microsoft Purview의 모든 프리미엄 기능을 무료로 사용해 볼 수 있습니다. 90일 Purview 솔루션 평가판을 사용하여 강력한 Purview 기능이 조직에서 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 어떻게 도움이 되는지 살펴봅니다. 이제 Microsoft Purview 규정 준수 포털 평가판 허브에서 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

권한

DLP 정책을 만드는 규정 준수 팀 구성원에게는 준수 센터에 대한 사용 권한이 필요합니다. 기본적으로 테넌트 관리자는 규정 준수 책임자 및 다른 사용자에게 액세스 권한을 부여할 수 있습니다. 다음 단계를 따릅니다.

  1. Microsoft 365에서 그룹을 생성하고 규정 준수 책임자를 추가하세요.

  2. Microsoft Purview 규정 준수 포털 사용 권한 페이지에 역할 그룹을 만듭니다.

  3. 역할 그룹을 만드는 동안 역할 선택 섹션을 사용하여 역할 그룹에 다음 역할을 추가합니다. DLP 규정 준수 관리.

  4. 구성원 선택 섹션을 사용하여 이전에 만든 Microsoft 365 그룹을 역할 그룹에 추가합니다.

보기 전용 DLP 준수 관리 역할을 사용하여 DLP 정책 및 DLP 보고서에 대한 보기 전용 권한이 있는 역할 그룹을 만듭니다.

자세한 내용은 준수 역할 그룹에 사용자 추가를 참조하세요.

이러한 권한은 정책을 적용하지 않는 DLP 정책을 만들고 적용하는 데 필요합니다.

역할 및 역할 그룹

액세스 제어를 미세 조정하는 데 사용할 수 있는 역할 및 역할 그룹이 있습니다.

다음은 액세스 제어를 미세 조정하는 데 사용할 수 있는 적용 가능한 역할 목록입니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 사용 권한을 참조하세요.

  • Information Protection 관리자
  • Information Protection 분석가
  • Information Protection 조사자
  • Information Protection 읽기 권한자

다음은 사용할 수 있는 해당 역할 그룹의 목록입니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 권한을 참조하세요.

  • 정보 보호
  • Information Protection 관리자
  • Information Protection 분석가
  • Information Protection 조사자
  • Information Protection 읽기 권한자

DLP에서 중요한 정보를 검색하는 방법

DLP는 특정 키워드와 일치하는 패턴의 근접성 같은 다른 지표와 함께 정규식(RegEx) 패턴 일치를 통해 중요한 정보를 찾습니다. 예를 들어 VISA 신용 카드 번호는 16자리입니다. 그러나 이러한 숫자는 1111-1111-1111-1111, 1111 1111 1111 1111 또는 1111111111111111 같은 다양한 방법으로 작성할 수 있습니다.

16자리 문자열이 반드시 신용 카드 번호가 아니거나, 지원 센터 시스템의 티켓 번호 또는 하드웨어의 일련 번호일 수 있습니다. 신용 카드 번호와 무해한 16자리 문자열의 차이를 나타내기 위해 계산(체크섬)을 수행하여 숫자가 다양한 신용 카드 브랜드의 알려진 패턴과 일치하는지 확인합니다.

DLP가 신용 카드 만료 날짜일 수 있는 "VISA" 또는 "AMEX"와 같은 키워드를 찾는 경우 DLP는 해당 데이터를 사용하여 문자열이 신용 카드 번호인지 여부를 결정하는 데도 도움이 됩니다.

즉, DLP는 전자 메일에서 이러한 두 텍스트 문자열 간의 차이를 인식할 수 있을 만큼 똑똑합니다.

  • "당신은 나에게 새로운 노트북을 주문 할 수 있습니다. VISA 번호 1111-1111-1111-1111, 만료 11/22를 사용하고, 예상 배송 날짜를 보내주세요."
  • "노트북 일련 번호는 2222-2222-2222-2222이며 2010년 11일에 구입했습니다. 그런데, 내 여행 비자는 아직 승인되어 있습니까?"

각 정보 유형이 검색되는 방법을 설명하는 중요한 정보 형식 엔터티 정의를 참조하세요.

데이터 손실 방지로 시작해야 하는 위치

데이터 유출의 위험이 완전히 명확하지 않은 경우 DLP 구현부터 정확히 어디서부터 시작해야 하는지 파악하기가 어렵습니다. 다행히 DLP 정책은 "테스트 모드"에서 실행할 수 있으므로 켜기 전에 해당 효과와 정확도를 측정할 수 있습니다.

Exchange Online 대한 DLP 정책은 Exchange 관리 센터를 통해 관리할 수 있습니다. 하지만 Microsoft Purview 규정 준수 포털 통해 모든 워크로드에 대한 DLP 정책을 구성할 수 있으므로 이 문서에서 데모에 사용합니다. Microsoft Purview 규정 준수 포털 데이터 손실 방지> 정책에서 DLP정책을 찾을 수 있습니다. 시작할 정책 만들기 를 선택합니다.

Microsoft 365는 정책을 만드는 데 사용할 수 있는 다양한 DLP 정책 템플릿 을 제공합니다. 여러분이 호주 기업이라고 가정해 봅시다. 오스트레일리아에서 템플릿을 필터링하고 금융, 의료 및 건강 및 개인 정보를 선택할 수 있습니다.

국가 또는 지역을 선택하는 옵션입니다.

이 데모에서는 TFN(오스트레일리아 세금 파일 번호) 및 운전 면허증 번호의 정보 유형을 포함하는 호주 PII(개인 식별 정보) 데이터를 선택합니다.

정책 템플릿을 선택하는 옵션입니다.

새 DLP 정책에 이름을 지정합니다. 기본 이름은 DLP 정책 템플릿과 일치하지만 동일한 템플릿에서 여러 정책을 만들 수 있으므로 고유한 보다 설명적인 이름을 선택해야 합니다.

정책 이름을 지정하는 옵션입니다.

정책이 적용되는 위치를 선택합니다. DLP 정책은 Exchange Online, SharePoint Online 및 비즈니스용 OneDrive 적용할 수 있습니다. 모든 위치에 적용하도록 구성된 이 정책을 그대로 둡니다.

모든 위치를 선택하는 옵션입니다.

첫 번째 정책 설정 단계에서 지금은 기본값을 적용하기만 하면 됩니다. DLP 정책을 사용자 지정할 수 있지만 기본값은 시작하기에 좋은 위치입니다.

보호할 콘텐츠 형식을 사용자 지정하는 옵션입니다.

다음을 클릭하면 더 많은 사용자 지정 옵션이 있는 더 많은 정책 설정 페이지가 표시됩니다. 테스트하는 정책의 경우 다음과 같이 몇 가지 조정을 시작할 수 있습니다.

  • 지금은 정책 팁을 꺼놓았는데, 이는 단순히 테스트만 하고 아직 사용자에게 아무것도 표시하지 않으려는 경우 취할 수 있는 합리적인 단계입니다. 정책 팁은 DLP 정책을 위반하려는 사용자에게 경고를 표시합니다. 예를 들어 Outlook 사용자에게 첨부한 파일에 신용 카드 번호가 포함되어 있고 전자 메일이 거부된다는 경고가 표시됩니다. 정책 팁의 목표는 비준수 동작이 발생하기 전에 중지하는 것입니다.
  • 또한 인스턴스 수를 10개에서 1개로 줄였기 때문에 이 정책은 데이터의 대량 공유뿐만 아니라 호주 PII 데이터의 공유를 검색합니다.
  • 또한 인시던트 보고서 이메일에 다른 수신자를 추가했습니다.

추가 정책 설정.

마지막으로, 처음에는 테스트 모드에서 실행되도록 이 정책을 구성했습니다. 테스트 모드에서 정책 팁을 사용하지 않도록 설정하는 옵션도 있습니다. 이렇게 하면 정책에서 정책 팁을 유연하게 사용할 수 있지만 테스트 중에 정책 팁을 표시하거나 표시하지 않을지 여부를 결정할 수 있습니다.

정책을 먼저 테스트하는 옵션입니다.

최종 검토 화면에서 만들기 를 클릭하여 정책 만들기를 완료합니다.

DLP 정책 테스트

앉아서 일반적인 사용자 활동에 의해 정책이 트리거될 때까지 기다리거나 직접 트리거할 수 있습니다. 이전에 DLP 일치를 트리거하는 방법에 대한 정보를 제공하는 중요한 정보 형식 엔터티 정의에 연결했습니다.

예를 들어 이 문서에 대해 만든 DLP 정책은 호주 세금 파일 번호(TFN)를 검색합니다. 설명서에 따르면 일치 항목은 다음 조건을 기반으로 합니다.

오스트레일리아 세금 파일 번호에 대한 설명서입니다.

TFN 검색을 다소 무딘 방식으로 보여주기 위해 "세금 파일 번호"라는 단어와 근접한 9자리 문자열이 있는 전자 메일은 문제 없이 탐색됩니다. DLP 정책을 트리거하지 않는 이유는 9자리 문자열이 무해한 숫자 문자열이 아니라 유효한 TFN임을 나타내는 체크섬을 전달해야 하기 때문입니다.

체크섬을 통과하지 않는 오스트레일리아 세금 파일 번호입니다.

이에 비해 "세금 파일 번호"라는 단어와 체크섬을 전달하는 유효한 TFN이 포함된 전자 메일이 정책을 트리거합니다. 여기에 있는 레코드의 경우 사용 중인 TFN은 유효하지만 정품이 아닌 TFN을 생성하는 웹 사이트에서 가져온 것입니다. 이러한 사이트는 DLP 정책을 테스트할 때 가장 일반적인 실수 중 하나는 유효하지 않고 체크섬을 통과하지 않는 가짜 번호를 사용하는 것이므로 유용합니다(따라서 정책을 트리거하지 않음).

체크섬을 통과하는 오스트레일리아 세금 파일 번호입니다.

인시던트 보고서 이메일에는 검색된 중요한 정보 유형, 검색된 인스턴스 수 및 검색의 신뢰도 수준이 포함됩니다.

감지된 세금 파일 번호를 보여 주는 인시던트 보고서입니다.

DLP 정책을 테스트 모드로 두고 인시던트 보고서 이메일을 분석하는 경우 DLP 정책의 정확도와 DLP 정책이 적용될 때 얼마나 효과적인지 파악할 수 있습니다. 인시던트 보고서 외에도 DLP 보고서를 사용하여 테넌트 전체에서 정책 일치 항목의 집계된 보기를 볼 수 있습니다.

DLP 정책 조정

정책 적중을 분석할 때 정책 동작 방식을 약간 조정할 수 있습니다. 간단한 예로, 전자 메일의 한 TFN이 문제가 아니라고 판단할 수 있지만(여전히 문제가 있다고 생각하지만 데모를 위해 함께 가자) 둘 이상의 인스턴스가 문제입니다. 여러 인스턴스는 직원이 HR 데이터베이스에서 외부 당사자(예: 외부 회계 서비스)로 CSV 내보내기를 이메일로 보낼 때와 같은 위험한 시나리오일 수 있습니다. 확실히 당신이 감지하고 차단하는 것을 선호합니다.

규정 준수 센터에서 기존 정책을 편집하여 동작을 조정할 수 있습니다.

정책을 편집하는 옵션입니다.

특정 워크로드 또는 특정 사이트 및 계정에만 정책이 적용되도록 위치 설정을 조정할 수 있습니다.

특정 위치를 선택하는 옵션입니다.

또한 정책 설정을 조정하고 필요에 맞게 규칙을 편집할 수도 있습니다.

규칙을 편집하는 옵션입니다.

DLP 정책 내에서 규칙을 편집할 때 다음을 변경할 수 있습니다.

  • 규칙을 트리거할 중요한 데이터의 인스턴스 유형 및 수를 포함하는 조건입니다.
  • 콘텐츠에 대한 액세스 제한과 같이 수행되는 작업입니다.
  • 사용자 알림- 전자 메일 클라이언트 또는 웹 브라우저에서 사용자에게 표시되는 정책 팁입니다.
  • 사용자 재정의는 사용자가 전자 메일 또는 파일 공유를 계속 진행할 수 있는지 여부를 결정합니다.
  • 관리자에게 알리기 위한 인시던트 보고서입니다.

규칙의 일부를 편집하는 옵션입니다.

이 데모에서는 정책에 사용자 알림을 추가하고(적절한 사용자 인식 교육 없이 이 작업을 수행하도록 주의) 사용자가 비즈니스 근거로 정책을 재정의하거나 가양성으로 플래그를 지정하여 정책을 재정의할 수 있도록 했습니다. 조직의 정책에 대한 추가 정보를 포함하려는 경우 이메일 및 정책 팁 텍스트를 사용자 지정하거나 질문이 있는 경우 지원팀에 문의하라는 메시지를 표시할 수도 있습니다.

사용자 알림 및 재정의에 대한 옵션입니다.

정책에는 대용량 및 낮은 볼륨을 처리하기 위한 두 가지 규칙이 포함되어 있으므로 원하는 작업으로 둘 다 편집해야 합니다. 이것은 그들의 특성에 따라 케이스를 다르게 취급하는 기회입니다. 예를 들어 볼륨이 낮은 위반에 대한 재정의를 허용하지만 대용량 위반에 대한 재정의는 허용하지 않을 수 있습니다.

대용량에 대한 하나의 규칙과 낮은 볼륨에 대한 하나의 규칙입니다.

또한 정책을 위반하는 콘텐츠에 대한 액세스를 실제로 차단하거나 제한하려면 규칙에 대한 작업을 구성해야 합니다.

콘텐츠에 대한 액세스를 제한하는 옵션입니다.

이러한 변경 내용을 정책 설정에 저장한 후 정책의 기본 설정 페이지로 돌아가서 정책이 테스트 모드인 동안 사용자에게 정책 팁을 표시하는 옵션을 사용하도록 설정해야 합니다. 이는 최종 사용자에게 DLP 정책을 도입하고 생산성에 영향을 주는 너무 많은 가양성 위험을 감수하지 않고 사용자 인식 교육을 수행하는 효과적인 방법입니다.

테스트 모드에서 정책 팁을 표시하는 옵션입니다.

서버 쪽(또는 원하는 경우 클라우드 쪽)에서는 다양한 처리 간격으로 인해 변경 내용이 즉시 적용되지 않을 수 있습니다. 사용자에게 새 정책 팁을 표시하는 DLP 정책을 변경하는 경우 24시간마다 정책 변경을 확인하는 Outlook 클라이언트에서 변경 내용이 즉시 적용되지 않을 수 있습니다. 테스트 속도를 향상하려면 이 레지스트리 수정을 사용하여 PolicyNudges 키에서 마지막 다운로드 타임스탬프를 지울 수 있습니다. Outlook은 다음에 다시 시작하고 전자 메일 메시지 작성을 시작할 때 최신 정책 정보를 다운로드합니다.

정책 팁을 사용하도록 설정한 경우 사용자는 Outlook에서 팁을 보기 시작하고 발생할 때 거짓 긍정을 보고할 수 있습니다.

가양성 보고 옵션이 있는 정책 팁입니다.

가양성 조사

DLP 정책 템플릿은 즉시 완벽하지 않습니다. 사용자 환경에서 몇 가지 가양성 발생을 발견할 가능성이 높기 때문에 DLP 배포를 쉽게 진행하는 것이 매우 중요하므로 정책을 적절하게 테스트하고 조정하는 데 시간이 소요됩니다.

다음은 가양성의 예입니다. 이 전자 메일은 무해합니다. 사용자가 자신의 휴대폰 번호를 다른 사람에게 제공하고 전자 메일 서명을 포함합니다.

가양성 정보를 표시하는 Email.

그러나 사용자는 이메일에 중요한 정보, 특히 호주 운전 면허증 번호가 포함되어 있음을 경고하는 정책 팁을 볼 수 있습니다.

정책 팁에서 가양성 보고 옵션입니다.

사용자는 가양성 보고할 수 있으며 관리자는 가양성 발생 이유를 확인할 수 있습니다. 인시던트 보고서 이메일에서 전자 메일은 가양성으로 플래그가 지정됩니다.

가양성으로 표시된 인시던트 보고서입니다.

이 운전 면허증 케이스는 자세히 알아보는 좋은 예입니다. 이 가양성 발생 이유는 키워드 "Sydney nsw"(대/소문자 구분 안 함)에 근접한 300자 이내의 9자리 문자열(10자리 문자열의 일부인 문자열)에 의해 "오스트레일리아 운전 면허증" 유형이 트리거되기 때문입니다. 따라서 사용자가 시드니에 있기 때문에 전화 번호와 이메일 서명에 의해 트리거됩니다.

한 가지 옵션은 정책에서 호주 운전 면허증 정보 유형을 제거하는 것입니다. DLP 정책 템플릿의 일부이기 때문에 거기에 있지만 강제로 사용하지는 않습니다. 운전 면허증이 아닌 세금 파일 번호에만 관심이 있는 경우 제거할 수 있습니다. 예를 들어 정책의 낮은 볼륨 규칙에서 제거할 수 있지만 여러 드라이버 라이선스 목록이 여전히 검색되도록 대용량 규칙에 그대로 둘 수 있습니다.

또 다른 옵션은 여러 인스턴스가 있을 때만 낮은 양의 운전 면허증이 검색되도록 인스턴스 수를 늘리는 것입니다.

인스턴스 수를 편집하는 옵션입니다.

인스턴스 수를 변경하는 것 외에도 일치 정확도(또는 신뢰도 수준)를 조정할 수도 있습니다. 중요한 정보 유형에 여러 패턴이 있는 경우 규칙에서 일치 정확도를 조정하여 규칙이 특정 패턴과만 일치되도록 할 수 있습니다. 예를 들어 가양성을 줄이기 위해 규칙의 일치 정확도를 설정하여 신뢰도가 가장 높은 패턴만 일치하도록 할 수 있습니다. 신뢰 수준에 대한 자세한 내용은 신뢰 수준을 사용하여 규칙을 조정하는 방법을 참조하세요.

마지막으로, 좀 더 고급화하려는 경우 중요한 정보 유형을 사용자 지정할 수 있습니다. 예를 들어 호주 운전 면허 번호의 키워드 목록에서 "시드니 NSW"를 제거하여 위에서 트리거된 가양성 을 제거할 수 있습니다. XML 및 PowerShell을 사용하여 이 작업을 수행하는 방법을 알아보려면 기본 제공 중요한 정보 유형 사용자 지정을 참조하세요.

DLP 정책 켜기

DLP 정책이 중요한 정보 유형을 정확하고 효과적으로 검색하고 최종 사용자가 적용 중인 정책을 처리할 준비가 되었다는 사실에 만족하는 경우 정책을 사용하도록 설정할 수 있습니다.

정책을 켜는 옵션입니다.

정책이 적용되는 시기를 기다리는 경우 보안 & 준수 PowerShell에 연결 하고 Get-DlpCompliancePolicy cmdlet 을 실행하여 DistributionStatus를 확인합니다.

Get-DlpCompliancePolicy "Testing -Australia PII" -DistributionDetail | Select distributionstatus

DLP 정책을 켜면 예상된 정책 작업이 발생하는지 확인하기 위해 자신의 최종 테스트를 실행해야 합니다. 신용 카드 데이터와 같은 항목을 테스트하려는 경우 체크섬을 전달하고 정책을 트리거하는 샘플 신용 카드 또는 기타 개인 정보를 생성하는 방법에 대한 정보가 포함된 웹 사이트가 온라인에 있습니다.

사용자 재정의를 허용하는 정책은 정책 팁의 일부로 사용자에게 해당 옵션을 제공합니다.

사용자가 재정의할 수 있는 정책 팁입니다.

콘텐츠를 제한하는 정책은 정책 팁의 일부로 사용자에게 경고를 표시하고 전자 메일을 보내지 못하게 합니다.

콘텐츠가 제한된다는 정책 팁입니다.

요약

데이터 손실 방지 정책은 모든 유형의 조직에 유용합니다. 일부 DLP 정책 테스트는 정책 팁, 최종 사용자 재정의 및 인시던트 보고서와 같은 항목에 대한 제어로 인해 위험 수준이 낮은 연습입니다. 일부 DLP 정책을 조용히 테스트하여 조직에서 이미 발생한 위반 유형을 확인하고, 가양성 비율이 낮은 정책을 만들고, 허용 및 허용되지 않는 사항에 대해 사용자에게 교육한 다음, DLP 정책을 조직에 배포할 수 있습니다.