데이터 손실 방지 경고 조사에 대해 알아보기
이 문서에서는 경고 조사 흐름 및 DLP 경고를 조사하는 데 사용할 수 있는 도구를 소개합니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
시작하기 전에
Microsoft Purview DLP를 접하는 경우 데이터 손실 방지 사례를 구현할 때 알아야 할 핵심 문서 목록은 다음과 같습니다.
- 관리 단위
- Microsoft Purview 데이터 손실 방지에 대해 알아보기: 이 문서에서는 데이터 손실 방지 분야 및 Microsoft의 DLP 구현을 소개합니다.
- DLP(데이터 손실 방지) 계획: 이 문서를 통해 다음을 수행합니다.
- 데이터 손실 방지 정책 참조: 이 문서에서는 DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 소개합니다.
- DLP 정책 디자인: 이 문서에서는 정책 의도 문을 만들고 특정 정책 구성에 매핑하는 방법을 안내합니다.
- 데이터 손실 방지 정책 만들기 및 배포: 구성 옵션에 매핑하는 몇 가지 일반적인 정책 의도 시나리오를 제공합니다. 그런 다음 이러한 옵션을 구성하는 방법을 안내하고 정책 배포에 대한 지침을 제공합니다.
- 데이터 손실 방지 경고 조사에 대해 알아보기: 이 문서에서는 이제 최종 수정 및 정책 튜닝을 통해 생성에서 경고의 수명 주기를 소개합니다. 또한 경고를 조사하는 데 사용하는 도구도 소개합니다.
DLP 경고의 수명 주기
모든 경고 및 이러한 경고와의 상호 작용은 다음 6단계를 수행합니다.
트리거
정책에 정의된 조건이 일치하면 Microsoft Purview DLP(데이터 손실 방지) 경고의 수명이 시작됩니다. 정책 일치가 발생하면 정책에 정의된 작업이 트리거됩니다. 여기에는 정책이 구성된 경우 경고 생성이 포함될 수 있습니다.
DLP 정책은 일반적으로 다음과 같은 경우 경고를 모니터링하고 생성하도록 구성됩니다.
- 개인 식별 데이터 또는 지적 재산권과 같은 중요한 정보는 조직에서 유출됩니다.
- 중요한 정보는 조직 외부 또는 내부 사용자와 부적절하게 공유됩니다.
- 사용자는 중요한 정보를 이동식 미디어에 다운로드하는 등 위험한 활동에 참여합니다.
알림
경고가 생성되면 인시던트 및 DLP 경고 관리 대시보드로 Microsoft Defender 포털로 전송됩니다. DLP 정책은 이메일을 통해 사용자, 관리자 및 기타 관련자에게 알림을 보내도록 구성할 수 있습니다.
알림 단계에서 Microsoft Purview:
- DLP 정책 일치 및 사용자 재정의에 대한 보고서입니다.
- 활동 탐색기를 사용하여 DLP 관련 활동을 보고 보고서 생성을 위해 필터링할 수 있습니다.
보고용 활동 데이터를 내보내려면 Export-ActivityExplorerData(ExchangePowerShell) | O365 관리 활동 API 또는 인시던트 API를 사용하여 Microsoft Doc.
참고
Microsoft Defender 포털은 6개월 동안 인시던트가 유지됩니다. DLP 경고 관리 대시보드는 30일 동안 경고를 유지합니다.
심사
이 단계에서는 경고 및 연결된 로그를 분석하고 경고가 참 긍정인지 아니면 가양성인지 결정합니다. 참 긍정인 경우 문제의 심각도 및 조직에 미치는 영향에 따라 경고의 우선 순위를 설정하고 소유자를 할당합니다. 가양성인 경우 사용자를 차단 해제하고 다음 경고로 이동할 수 있습니다.
Defender 포털은 DLP 이벤트를 인시던트에 그룹화합니다. 인시던트 는 Defender가 수신하는 다른 모든 신호에 따라 함께 그룹화된 관련 경고의 컬렉션입니다. 예를 들어 SharePoint 사이트의 중요한 파일을 모니터링하고 경고하도록 구성된 DLP 정책이 있고 사용자가 SharePoint 사이트에서 파일을 다운로드한 다음 개인 OneDrive에 업로드한 다음 외부 사용자와 공유하는 경우 Defender는 이러한 모든 경고를 단일 인시던트에 그룹화합니다. 가장 중요한 경고에 먼저 집중할 수 있는 강력한 기능입니다.
Defender 포털에서 즉시 인시던트 심사를 시작하고 태그, 메모 및 기타 기능을 사용하여 인시던트 관리를 구성할 수 있습니다. Microsoft Defender 포털의 인시던트 페이지를 활용하여 DLP 경고를 관리해야 합니다. 필터를 선택하고 서비스 원본: 데이터 손실 방지를 선택하여 인시던트 큐를 필터링하여 Microsoft Purview DLP 경고로 모든 인시던트 보기를 볼 수 있습니다.
Microsoft Defender XDR(미리 보기)과 내부자 위험 관리 데이터 공유를 사용하도록 설정한 경우 DLP 경고 페이지에서 사용자와 연결된 참가자 위험 관리 정책의 심각도 수준이 표시됩니다. 내부 위험 관리 심각도 수준은 낮음, 중간, 높음 및 없음입니다. 이 정보를 사용하여 조사 및 수정 작업의 우선 순위를 지정할 수 있습니다. 이 정보는 Microsoft 365 Defender 포털에서도 인시던트에 대한 세부 정보를 확인할 수 있습니다.
조사
조사 단계의 주요 목표는 할당된 소유자가 증거를 상호 연결하고, 경고의 원인과 전체 영향을 확인하고, 수정 계획을 결정하는 것입니다. 할당된 소유자는 경고에 대한 심층 조사 및 수정을 담당합니다. 기본 경고 조사 도구는 Microsoft Defender 포털 및 DLP 경고 관리 대시보드입니다. 활동 탐색기를 사용하여 경고를 조사할 수도 있습니다. 조직의 다른 사용자와 경고를 공유할 수도 있습니다.
다음과 같은 DLP 기능을 활용할 수 있습니다.
- 디바이스의 파일 활동에 대한 증거 수집 은 정책과 일치하는 이메일 및 문서와 같은 파일에 쉽게 액세스할 수 있도록 합니다.
- 콘텐츠 탐색기를 사용하여 인시던트 콘텐츠를 자세히 조사합니다.
Microsoft Defender 포털과 Purview 도구를 모두 사용하여 경고를 심사하고 조사할 수 있지만 Microsoft Defender 포털은 다음과 같은 경고 및 인시던트 관리를 위한 추가 기능을 제공합니다.
- Microsoft Defender XDR 인시던트 큐의 인시던트 아래에 그룹화된 모든 DLP 경고를 봅니다.
- 단일 인시던트에서 지능형 솔루션 간(DLP-MDE, DLP-MDO) 및 DLP-DLP(솔루션 내) 상호 관련된 경고를 봅니다.
- 고급 헌팅에서 보안과 함께 규정 준수 로그를 헌팅합니다.
- 사용자, 파일 및 디바이스에 대한 현재 위치 관리자 수정 작업입니다.
- 사용자 지정 태그를 DLP 인시던트에 연결하고 필터링합니다.
- 통합 인시던트 큐에서 DLP 정책 이름, 태그, 날짜, 서비스 원본, 인시던트 상태 및 사용자별로 필터링합니다.
Defender(미리 보기)와 내부자 위험 관리 데이터를 공유하는 경우 사용자가 지난 120일 동안 참여한 모든 반출 활동의 사용자 활동 요약을 볼 수 있습니다.
수정
수정 계획은 조직의 정책, 산업, 준수해야 하는 지정학적 규정 및 비즈니스 관행에 고유합니다. 조직에서 경고에 응답하도록 선택하는 방법은 경고의 정확도(참 긍정, 가양성, 거짓 부정), 문제의 심각도 및 조직에 미치는 영향을 중심으로 진행됩니다.
수정 작업에는 다음이 포함될 수 있습니다.
- 모니터 전용이며 추가 작업이 필요하지 않습니다.
- 정책에서 수행하는 작업이 위험을 충분히 완화했기 때문에 추가 조치가 필요하지 않습니다.
- 자동화된 정책 작업으로 위험을 완화하지만 사용자 교육이 필요합니다.
- 이 문제는 정책에 의해 완전히 완화되지 않았기 때문에 더 많은 사용자 교육과 함께 추가 정리 및 위험 완화가 필요합니다.
- DLP가 내부 위험 관리와 통합되는 데이터 손실 방지(미리 보기)의 적응형 보호를 통해 추가 모니터링 및 작업을 위해 사용자에게 위험 수준을 할당할 수 있습니다.
Defender 포털을 사용하면 경고 및 인시던트에 대한 수정 작업을 즉시 수행할 수 있습니다. 예:
- 암호 다시 설정
- 계정 사용 안 함
- 사용자 활동 보기
- DLP 검색에 대한 작업
- 문서 제거
- 민감도 레이블 적용
- 공유 해제
- 전자 메일 다운로드
- 지능형 헌팅
- 디바이스 격리
- 디바이스에서 조사 팩 수집
- AV 검사 실행
- 파일 격리
- 사용자 사용 안 함
- pwd 다시 설정
- 전자 메일 삭제
- 메일을 다른 사서함 폴더로 이동
- 파일 다운로드
선율
정책의 정확도와 효과에 따라 정책의 효율성을 유지하도록 업데이트해야 할 수 있습니다. 정책 만들기 및 배포 프로세스 중에 이미 정책을 조정했지만 데이터 자산 및 비즈니스 요구 사항이 변경됨에 따라 정책을 계속 적용하려면 정책을 업데이트해야 합니다. 이러한 변경 내용은 정책 의도 문 및 정책 구성에서 가장 잘 추적됩니다.
튜닝하는 항목:
- 정책의 범위입니다.
- 정책 일치에 필요한 조건입니다.
- 정책 일치가 발생할 때 수행되는 작업입니다.
- 사용자 및 관리자에게 전송된 알림입니다.
정책 디자인 및 테스트 정책에 대한 매핑 비즈니스 요구 사항에 대한 자세한 내용은 다음을 참조하세요.
도구 집합
Microsoft Purview DLP(데이터 손실 방지) 경고를 조사하고 관리하는 데 사용할 수 있는 여러 도구가 있습니다. 다음과 같습니다.
- Microsoft Defender 포털
- Microsoft Purview 규정 준수 포털 경고 대시보드
- 활동 탐색기
- 콘텐츠 탐색기
- Purview의 보안용 Microsoft Copilot 포함 환경
- Purview 독립 실행형 환경의 보안용 Microsoft Copilot
Microsoft는 Microsoft Defender 포털에서 통합 인시던트 큐를 사용하여 DLP 경고를 관리하는 것이 좋습니다. 그러나 조직에는 Microsoft Defender 포털 외에도 DLP 경고 관리 대시보드를 사용하여 충족할 수 있는 요구 사항이 있을 수 있습니다.
Microsoft Defender 포털
- DLP 경고는 다른 이벤트 및 경고와 통합되어 인시던트에 대한 보다 완전한 그림을 제공하는 단일 인시던트 큐에 통합됩니다.
- 6개월의 인시던트 기록을 사용할 수 있습니다.
- 고급 헌팅 을 사용할 수 있습니다.
- Microsoft Defender XDR을 사용하여 데이터 손실 인시던트 조사 - Microsoft Defender 포털의 빠른 시작 시 인시던트 & 경고> 인시던트에서 발생한 보안 인시던트와 함께 DLP 인시던트도 관리할 수 있습니다.
- Microsoft Defender XDR의 첫 번째 인시던트에 응답
- Microsoft Defender XDR을 사용한 인시던트 대응
- Microsoft Defender XDR에서 인시던트 우선 순위 지정
- Microsoft Defender XDR에서 인시던트 관리
- Microsoft Defender XDR에서 인시던트 조사
- Microsoft Defender XDR에서 경고 조사
- Microsoft Defender XDR에서 고급 헌팅을 사용하여 위협을 사전에 헌팅
Microsoft Purview 규정 준수 포털
- 경고 대시보드, 활동 탐색기 및 콘텐츠 탐색기는 모두 Microsoft Purview 규정 준수 포털에서 사용할 수 있습니다. 보안용 Microsoft Copilot를 사용하여 DLP 경고 조사를 사용하여 경고를 요약할 수 있습니다.
- 경고 상태를 조사로 설정할 수 있습니다.
- 조직의 다른 사용자와 경고를 공유할 수 있습니다.
- OneDrive 및 SharePoint에서 파일 다운로드(이 작업에는 데이터 분류 콘텐츠 뷰어 역할이 필요)
DLP 경고 대시보드를 사용하는 경우 시작하는 데 도움이 되는 문서를 읽어야 합니다.