엔드포인트 DLP 진단 로그를 분석하여 일반적인 엔드포인트 DLP(데이터 손실 방지 ) 문제를 해결할 수 있습니다. 이 문서에서는 MDE 클라이언트 분석기 도구에서 수집한 엔드포인트 진단 로그를 분석하기 위한 단계별 지침을 제공합니다.
팁
엔드포인트 DLP 문제를 해결하기 위한 추가 리소스는 엔드포인트 디바이스에 대한 DLP 문제 해결 및 관리를 참조 하세요.
전제 조건
엔드포인트 DLP 진단 로그 수집의 단계에 따라 조사 중인 시나리오에 대한 진단 로그가 포함된 MDEClientAnalyzerResult_<ID> 폴더를 생성합니다.
진단 로그 분석
다음 단계를 수행합니다.
브라우저에서 MDEClientAnalyzerResult_<ID>\MDEClientAnalyzer.htm 파일을 엽니다. 파일은 다음 정보를 포함합니다.
- 일반 디바이스 세부 정보
- 디바이스 구성 세부 정보
- Microsoft Defender 바이러스 백신 구성 요소 세부 정보
- EDR(엔드포인트 검색 및 응답) 구성 요소 세부 정보
다음 스크린샷은 파일 내용의 발췌를 보여 줍니다.
MDEClientAnalyzer.htm 다음 정보를 검토합니다.
오래된 Windows 빌드를 확인합니다.
디바이스 정보 일반 디바이스 세부 정보>찾습니다.
짧은 빌드 번호를 생성하려면 OS 빌드 번호의 세 번째 및 다섯 번째 숫자 세그먼트를 추출합니다. 예를 들어 OS 빌드 번호
Microsoft Windows NT 10.0.22631.0.4249짧은 빌드 번호입니다22631.4249.Windows 10 릴리스 정보 또는 Windows 11 릴리스 정보에서 짧은 빌드 번호를 조회하여 빌드가 릴리스된 시기를 확인합니다. 빌드가 6개월 전에 릴리스된 경우 Windows를 업데이트합니다.
디바이스가 Exchange Online 테넌트에 조인되어 있는지 확인합니다. 이렇게 하려면 디바이스 정보>습니다. DLP가 작동하려면 Azure AD 조인 또는 Workplace Joined의 값이 있어야
YES합니다. 도메인 가입 값만 있는YES경우 사용자는 Exchange Online 테넌트에 조인되지 않으며 DLP가 작동할 수 없습니다.디바이스 정보 구성 관리 세부 정보>확인합니다. 값이 비어 있으면 MDE(엔드포인트용 Microsoft Defender)가 디바이스에 올바르게 설치되지 않으므로 MDE를 다시 설치해야 합니다.
자세한 결과 섹션에서 다른 오류 및 경고를 확인합니다. 오류 또는 경고가 발견되면 해당 섹션의 지침에 따라 각 문제를 해결합니다.
참고: DLP는
Stopped네트워크 보호를 사용하지 않으므로 Defender 네트워크 보호 서비스 및 Defender 네트워크 보호 드라이버의 값을 무시할 수 있습니다.
텍스트 편집기에서 MDEClientAnalyzerResult_ID<\DLP\FileEAs.txt>. FileEAs.txt 파일 분류 정보를 포함합니다. 다음 스크린샷은 파일 콘텐츠의 발췌를 보여줍니다.
FileEAs.txt PolicyRuleIds 적용 및 PolicyRuleIds 테스트 섹션을 확인합니다. 이 섹션에는 고객이 만든 정책 규칙이 나열되어 있습니다. 섹션은 다음 조건에 따라 존재합니다.
하나 이상의 고객이 만든 정책 규칙이 보호된 문서에 적용되고 해당 정책이 시뮬레이션 모드에 있는 경우 PolicyRuleIds 테스트 섹션이 존재합니다.
PolicyRuleIds 적용 섹션은 하나 이상의 고객이 만든 정책 규칙이 보호된 문서에 적용되고 해당 정책이 적용 모드(시뮬레이션 모드 아님)에 있는 경우 존재합니다.
보호된 문서에 고객이 만든 정책 규칙이 적용되지 않는 경우 PolicyRuleIds 및 테스트 PolicyRuleIds 적용 섹션은 포함되지 않습니다. 자세한 내용은 고객이 만든 정책 규칙이 적용되지 않음을 참조 하세요.
PolicyRuleIds 적용 또는 PolicyRuleIds 테스트 섹션이 있는 경우 각 섹션에 나열된 DLP 정책 규칙에 대해 다음 검사를 수행합니다.
실행할 것으로 예상되는 모든 고객이 만든 DLP 정책 규칙이 나열되는지 확인합니다. 나열된 각 정책 규칙은 PolicyName, RuleName 및 Actions 값 집합으로 표시됩니다.
각 정책 규칙에 대한 JSON 형식 의 작업 값을 확인합니다. 다음 예제는 작업 값의 발췌입니다.
"CopyToClipboard": { "EnforcementMode": 0 }, "CopyToNetworkShare": { "EnforcementMode": 1 }, "CopyToRemovableMedia": { "EnforcementMode": 1, "EnforcementOverrides": [ { "EnforcementMode": 2, "GroupId": "b2e7d50c-69f9-447d-b669-d1199a2c2fc4" }, { "EnforcementMode": 3, "GroupId": "f94c6d6e-aa74-42f2-9ba1-e54cca015882" } ] }, "PasteToBrowser": { "EnforcementMode": 0 },다음 정보를 사용하여 작업 값을 해석합니다.
EnforcementMode의 숫자 값은 다음 표에 설명되어 있습니다.
모드 설명 0 끄기 사용자 작업은 감사되거나 차단되지 않습니다. 1 감사 사용자 작업은 감사만 합니다. 최종 사용자 활동은 영향을 받지 않습니다. 2 경고 사용자 동작이 감사되고 차단됩니다. 사용자는 블록을 재정의할 수 있는 경고 프롬프트를 받습니다. 3 차단 사용자 동작이 감사되고 차단됩니다. 4 허용 사용자 작업이 허용됩니다. 이 모드는 JIT(Just-In-Time) 보호를 사용하도록 설정하고 사용자가 Microsoft Purview에서 작업을 완료할 수 있도록 JIT 보호 설정을 사용하도록 설정한 경우에만 사용됩니다. EnforcementOverrides 섹션이 있는 작업 값의 사용자 작업의 경우 EnforcementMode 재정의의 영향을 받는 그룹의 ID가 해당 섹션에 나열됩니다. 그룹에 대한 자세한 내용은 다음 파일에서 GroupId 값을 검색합니다.
<MDEClientAnalyzerResult_ID>\DLP\dlpWebSitesPolicy.json: 이 파일은 모든 서비스 도메인 그룹을 정의합니다.
<MDEClientAnalyzerResult_ID>\DLP\dlpActionsOverridePolicy.json: 이 파일은 프린터, 네트워크 공유 또는 이동식 미디어 그룹을 정의합니다.
<MDEClientAnalyzerResult_ID>\DLP\dlpPolicy.json: 이 파일은 다른 그룹을 정의합니다.
보호된 문서에 여러 정책 규칙이 적용되는 경우 DLP는 해당 규칙에서 가장 제한적인 DLP 작업을 적용합니다.
실행할 것으로 예상되는 고객이 만든 DLP 정책 규칙이 PolicyRuleIds 또는 Test PolicyRuleIds 적용 섹션에 나열되지 않은 경우 FileEAs.txt 다음 값을 확인합니다.
RMS 상태: RMS 상태 값이면
0x1보호된 파일에 암호가 있거나 암호화되어 있습니다. DLP는 암호로 보호되거나 암호화된 파일을 평가할 수 없습니다.InfoTypes: JSON 형식 InfoTypes 값은 Microsoft Purview의 규칙을 기반으로 보호된 파일에서 DLP가 찾은 중요한 SIT(정보 유형)를 나열합니다. 각 SIT에는 다음과 같은 주요 매개 변수가 있습니다.
DN: SIT 이름입니다. 예를 들어 사용자 지정 SIT일 수 있습니다
Credit card numberDiseases.DI: SIT 식별자(GUID)입니다.
UC: DLP가 파일에서 찾은 SIT의 고유 인스턴스 수입니다.
CL: 신뢰 수준입니다.
고객이 만든 예상 규칙에 SIT 조건이 있는 경우 SIT가 InfoTypes 값에 나열되어 있는지 확인합니다 . SIT가 나열되지 않은 경우 보호된 파일에서 SIT 테스트를 실행합니다. SIT 테스트의 결과에 따라 다음 옵션 중 하나를 선택합니다.
SIT 테스트가 예상 SIT 를 검색하지 못하는 경우 엔드포인트 DLP 문제를 해결하는 대신 SIT 문제를 해결합니다.
SIT 테스트에서 예상 SIT를 검색하는 경우 다음 목록 항목에 설명된 대로 고급 분류 값을 확인합니다.
고급 분류: 고급 분류 값이면 DLP는
FALSE고급 분류를 사용하지 않습니다. 따라서 다음 유형의 SIT를 검색할 수 없습니다.예상 고객 생성 규칙에 이러한 유형 중 하나인 SIT 조건이 있는 경우 Microsoft Purview 포털에서 고급 분류 검사 및 보호 엔드포인트 설정을 사용하도록 설정해야 합니다.
중요합니다
고급 분류는 .docx, .pptx, .xlsx 및 .pdf 파일에서만 작동합니다. 지원되는 파일 형식 및 크기 제한에 대한 자세한 내용은 고급 분류 검사 및 보호를 참조하세요.
레이블: JSON 형식 레이블 값은 Microsoft Purview의 규칙에 따라 DLP가 보호된 파일에서 찾은 민감도 레이블을 나열합니다. 고객이 만든 예상 규칙에 민감도 레이블 조건이 있는 경우 레이블이 레이블 값에 나열됩니다 . 다음 예제에서는 레이블 값을 보여 줍니다.
Labels: [ { "ActionId": "121e3902-61a1-47b6-9eb7-92b0f4796c4f", "Id": "0e8d6320-3c74-4ac7-80b2-e3c4602d117a", "Name": "Confidential", "SiteId": "f13af1ad-f604-40be-b63f-919c10918b35" }, { "ActionId": "fc03e59c-6586-4e0a-afc9-d6d67233020e", "Id": "6cd985b2-09ac-46ff-9b9a-790b2ac26274", "Name": "Confidential Anyone", "SiteId": "f13af1ad-f604-40be-b63f-919c10918b35" }, { "ActionId": "c358ef44-e58c-4a3b-9723-19d9505ffcb9", "Id": "7df4683d-45d4-4b3b-814b-bf379532ff4d", "Name": "Confidential Recipients Only", "SiteId": "06502b6a-8593-4b22-bee1-59e2eb260647" } ]ClassificationTime: ClassificationTime 값은 DLP가 보호된 파일을 로컬로 평가한 마지막 시간을 기록합니다. 최근에 DLP 정책을 업데이트하지 않은 경우 보호된 파일을 편집하여 분류 업데이트를 트리거합니다.
고객이 만든 정책 규칙이 적용되지 않음
보호된 문서에 고객이 만든 정책 규칙이 적용되지 않는 경우 DLP는 다음 기본 제공 정책 규칙 중 하나를 활성화합니다.
DefaultRule: 감사되는 파일 형식의 경우 DLP에서 이 규칙을 실행합니다. 작업
DefaultRule다음 조건에 따라 결정됩니다.디바이스 설정에 대한 항상 감사 파일 작업인
1PasteToBrowser 작업에 대한 EnforcementMode 값은 (Off)입니다0.Microsoft Purview에서 디바이스 설정에 대한 엔드포인트 설정 Always 감사 파일 작업을 사용하지 않도록 설정하면 모든 사용자 작업에 대한 EnforcementMode
0
NoMatchRule: 감사되지 않는 파일 형식의 경우 DLP는 이 규칙을 실행합니다.
CandidateRule: DLP는 Microsoft Purview에서 JIT 보호를 사용하는 경우 보호된 파일에 대한 사용자 작업 직후에 이 규칙을 실행합니다. 규칙은 JIT 보호가 보호된 파일을 평가하여 적용 가능한 DLP 정책을 결정할 때까지 사용자 작업을 차단합니다. 작업 값의
3
DLP가 기본 제공 정책 규칙을 활성화하는 경우 해당 규칙은 다음 스크린샷과 같이 FileEAs.txt 단일 정책 섹션에 나열됩니다.
