데이터 손실 방지 경고 시작

정책의 조건이 일치할 때 경고를 생성하도록 DLP(Microsoft Purview 데이터 손실 방지) 정책을 구성할 수 있습니다.

경고에 대한 간략한 개요는 다음을 참조하세요.

이 문서에는 라이선스 및 권한 세부 정보 및 경고 작업을 수행할 때 필요한 기타 중요한 정보가 포함되어 있습니다.

DLP 경고는 Microsoft Defender XDR dashboard 및 Microsoft Purview 규정 준수 포털 조사 및 관리할 수 있습니다. Microsoft Defender XDR dashboard DLP 경고를 조사하고 관리하는 데 권장되는 위치입니다. Microsoft Purview 규정 준수 포털 DLP 정책을 만들고 편집하는 데 권장되는 위치입니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

경고 유형

활동이 규칙과 일치할 때마다 경고를 보낼 수 있으며, 이는 시끄럽거나 설정된 기간 동안의 일치 항목 수 또는 항목 볼륨에 따라 집계될 수 있습니다. DLP 정책에서 구성할 수 있는 두 가지 유형의 경고가 있습니다.

단일 이벤트 경고는 일반적으로 10개 이상의 고객 크레딧 카드 번호가 organization 외부에서 전송되는 단일 전자 메일과 같이 낮은 볼륨에서 발생하는 매우 중요한 이벤트를 모니터링하는 정책에서 사용됩니다.

집계 이벤트 경고 는 일반적으로 일정 기간 동안 더 많은 볼륨에서 발생하는 이벤트를 모니터링하는 정책에서 사용됩니다. 예를 들어 고객 크레딧 카드 번호가 하나씩 있는 10개의 개별 이메일이 48시간 동안 조직 외부로 전송될 때 집계 경고가 트리거될 수 있습니다.

시작하기 전에

시작하기 전에 필요한 필수 구성 요소가 있는지 확인합니다.

경고 구성 옵션에 대한 라이선스

  • 단일 이벤트 경고 구성: E1, F1 또는 G1 구독 또는 E3 또는 G3 구독이 있는 조직은 트리거 작업이 발생할 때마다 경고를 생성하도록 정책을 구성할 수 있습니다.
  • 집계된 경고 구성: 임계값에 따라 집계 경고 정책을 구성하려면 다음 구성 중 하나가 있어야 합니다.
    • A5 구독
    • E5 또는 G5 구독
    • E1, F1 또는 G1 구독 또는 다음 기능 중 하나를 포함하는 E3 또는 G3 구독:
      • Office 365 Advanced Threat Protection Plan 2
      • Microsoft 365 E5 Compliance
      • Microsoft 365 eDiscovery 및 감사 추가 기능 라이선스

엔드포인트 DLP를 사용하고 Teams DLP에 적합한 고객은 DLP 경고 관리 dashboard 엔드포인트 DLP 정책 경고 및 Teams DLP 정책 경고를 볼 수 있습니다.

역할 및 역할 그룹

DLP 경고 관리 dashboard 보거나 DLP 정책에서 경고 구성 옵션을 편집하려면 다음 역할 그룹 중 하나의 구성원이어야 합니다.

  • 규정 준수 관리자
  • 규정 준수 데이터 관리자
  • 보안 관리자
  • 보안 운영자
  • 보안 읽기 권한자
  • Information Protection 관리자
  • Information Protection 분석가
  • Information Protection 조사자
  • Information Protection 읽기 권한자

자세한 내용은 Microsoft Purview 규정 준수 포털 사용 권한을 참조하세요.

적용 가능한 역할 그룹의 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 사용 권한을 참조하세요.

  • 정보 보호
  • Information Protection 관리자
  • Information Protection 분석가
  • Information Protection 조사자
  • Information Protection 읽기 권한자

DLP 경고 관리 dashboard 액세스하려면 경고 관리 역할과 다음 두 역할 중 하나가 필요합니다.

  • DLP 규정 준수 관리
  • DLP 규정 준수 관리 View-Only

콘텐츠 미리 보기 기능 및 일치하는 중요한 콘텐츠 및 컨텍스트 기능에 액세스하려면 데이터 분류 콘텐츠 뷰어 역할이 미리 할당된 콘텐츠 Explorer 콘텐츠 뷰어 역할 그룹의 구성원이어야 합니다.

관리자가 경고에 액세스해야 하지만 상황에 맞는/중요한 정보가 아닌 경우 데이터 분류 콘텐츠 뷰어 권한을 포함하지 않는 사용자 지정 역할을 만들고 할당할 수 있습니다.

DLP 경고 구성

DLP 정책에서 경고를 구성하는 방법을 알아보려면 데이터 손실 방지 정책 만들기 및 배포를 참조하세요. 라이선스에 따라 다른 경고 구성 환경이 있습니다.

이벤트 경고 구성 집계

집계된 경고 구성 옵션에 대한 라이선스가 있는 경우 DLP 정책을 만들거나 편집할 때 이러한 옵션이 표시됩니다.

집계된 경고 구성 옵션을 사용할 수 있는 사용자의 인시던트 보고서에 대한 옵션을 보여 주는 스크린샷

이 구성을 사용하면 경고를 생성하는 정책을 설정할 수 있습니다.

  • 활동이 정책 조건과 일치할 때마다
  • 정의된 임계값이 충족되거나 초과된 경우
  • 활동 수에 따라
  • 유출된 데이터의 볼륨에 따라

알림 이메일의 홍수를 방지하기 위해 동일한 DLP 규칙 및 동일한 위치에 있는 1분 기간 내에 발생하는 모든 일치 항목이 동일한 경고에 함께 그룹화됩니다. 1분 집계 기간 기능은 다음에서 사용할 수 있습니다.

  • E5 또는 G5 구독
  • E1, F1 또는 G1 구독 또는 다음 기능 중 하나를 포함하는 E3 또는 G3 구독:
    • Office 365 Advanced Threat Protection Plan 2
    • Microsoft 365 E5 Compliance
    • Microsoft 365 eDiscovery 및 감사 추가 기능 라이선스

E1, F1 또는 G1 구독 또는 E3 또는 G3 구독이 있는 조직의 경우 집계 기간은 15분입니다.

단일 이벤트 경고 구성

단일 이벤트 경고 구성 옵션에 대한 라이선스가 있는 경우 DLP 정책을 만들거나 편집할 때 이러한 옵션이 표시됩니다. 이 옵션을 사용하여 DLP 규칙 일치가 발생할 때마다 발생하는 경고를 만듭니다.

단일 이벤트 경고 구성 옵션을 사용할 수 있는 사용자의 인시던트 보고서에 대한 옵션을 보여 주는 스크린샷

이벤트 유형

다음은 경고와 관련된 몇 가지 이벤트입니다. 경고 dashboard 특정 이벤트를 선택하여 세부 정보를 볼 수 있습니다.

이벤트 세부 정보

속성 이름 설명 이벤트 유형
ID 이벤트와 연결된 고유 ID 모든 이벤트
위치 이벤트가 검색된 워크로드 모든 이벤트
활동 시간 DLP 정책의 조건과 일치하는 사용자 활동의 시간

영향을 받는 엔터티

속성 이름 설명 이벤트 유형
사용자 정책 일치를 발생시킨 작업을 수행한 사용자 모든 이벤트
호스트 DLP 정책이 일치하는 컴퓨터의 호스트 이름 디바이스 이벤트
IP 주소 DLP 정책이 일치하는 컴퓨터의 IP 주소 디바이스 이벤트
sha1 파일의 SHA-1 해시 디바이스 이벤트
sha256 파일의 SHA-256 해시 디바이스 이벤트
MDATP 디바이스 ID 엔드포인트 디바이스 MDATP ID
파일 크기 파일의 크기 SharePoint, OneDrive 및 디바이스 이벤트
파일 경로 DLP 정책 일치와 관련된 항목의 절대 경로 SharePoint, OneDrive 및 디바이스 이벤트
전자 메일 받는 사람 전자 메일이 DLP 정책과 일치하는 중요한 항목인 경우 이 필드에는 해당 전자 메일의 받는 사람이 포함됩니다. Exchange 이벤트
전자 메일 제목 DLP 정책과 일치하는 전자 메일의 제목 Exchange 이벤트
전자 메일 첨부 파일 DLP 정책과 일치하는 전자 메일의 첨부 파일 이름 Exchange 이벤트
사이트 소유자 사이트 소유자의 이름 SharePoint 및 OneDrive 이벤트
사이트 URL DLP 정책 일치가 발생한 SharePoint 또는 OneDrive 사이트의 URL 전체 SharePoint 및 OneDrive 이벤트
만든 파일 DLP 정책과 일치하는 파일을 만드는 시간 SharePoint 및 OneDrive 이벤트
마지막으로 수정한 파일 DLP 정책과 일치하는 파일이 마지막으로 변경된 시간 SharePoint 및 OneDrive 이벤트
파일 크기 DLP 정책과 일치하는 파일의 크기 SharePoint 및 OneDrive 이벤트
파일 소유자 DLP 정책과 일치하는 파일의 소유자 SharePoint 및 OneDrive 이벤트

정책 세부 정보

속성 이름 설명 이벤트 유형
DLP 정책이 일치됨 일치하는 DLP 정책의 이름 모든 이벤트
일치하는 규칙 일치하는 DLP 정책 규칙의 이름 모든 이벤트
SIT(중요한 정보 유형)가 검색됨 DLP 정책 일치의 일부로 검색된 SIT 모든 이벤트
수행한 작업 DLP 정책 일치를 발생시킨 작업을 수행했습니다. 모든 이벤트
위반 작업 DLP 경고를 발생시킨 엔드포인트 디바이스에 대한 작업 디바이스 이벤트
사용자 오버로드 정책 사용자가 정책 팁을 통해 정책을 재정의했나요? 모든 이벤트
재정의 근거 사용 재정의를 위해 사용자가 제공한 이유의 텍스트 모든 이벤트

중요

organization 감사 로그 보존 정책 구성은 경고가 콘솔에 표시되는 기간을 제어합니다. 자세한 내용은 감사 로그 보존 정책 관리를 참조하세요.

참고 항목