데이터 손실 방지에 대한 경고 구성 및 보기Configure and view alerts for data loss prevention polices

DLP(데이터 손실 방지) 경찰은 중요한 항목의 의도치 않은 공유를 방지하기 위해 보호 조치를 취할 수 있습니다.Data loss prevention (DLP) polices can take protective actions to prevent unintentional sharing of sensitive items. 중요한 항목에 대해 작업을 수행하면 DLP에 대한 알림을 구성하여 알림을 알 수 있습니다.When an action is taken on a sensitive item, you can be notified by configuring alerts for DLP. 이 문서에서는 DLP(데이터 손실 방지) 정책에 연결된 다양한 경고 정책을 정의하는 방법을 보여줍니다.This article shows you how to define rich alert policies that are linked to your data loss prevention (DLP) policies. Microsoft 365 준수 센터에서 새 DLP 경고 관리 대시보드를 사용하여 DLP 정책 위반에 대한 경고, 이벤트 및 관련 메타데이터를 보는 방법을 볼 수 있습니다.You'll see how to use the new DLP alert management dashboard in the Microsoft 365 compliance center to view alerts, events, and associated metadata for DLP policy violations.

기능Features

이 기능의 일부로는 다음과 같은 기능이 있습니다.The following features are part of this:

  • DLP 경고 관리 대시보드: Microsoft 365 준수 센터에서 이 대시보드에는 다음 워크로드에 적용된 DLP 정책에 대한 경고가 표시됩니다. DLP alert management dashboard: In the Microsoft 365 compliance center, this dashboard shows alerts for DLP policies that are enforced on the following workloads:

    • ExchangeExchange
    • SharePointSharePoint
    • OneDriveOneDrive
    • TeamsTeams
    • 디바이스Devices
  • 고급 경고 구성 옵션: 이러한 옵션은 DLP 정책 제작 흐름의 일부입니다.Advanced alert configuration options: These options are part of the DLP policy authoring flow. 다양한 경고 구성을 만드는 데 사용할 수 있습니다.Use them to create rich alert configurations. 이벤트 수 또는 유출된 데이터의 크기에 따라 단일 이벤트 경고 또는 집계된 경고를 만들 수 있습니다.You can create a single-event alert or an aggregated alert, based on the number of events or the size of the leaked data.

시작하기 전에Before you begin

시작하기 전에 다음 필수 필수가 있는지 확인하세요.Before you begin, make sure you have the necessary prerequisites:

  • DLP 경고 관리 대시보드에 대한 라이선스Licensing for the DLP alerts management dashboard
  • 경고 구성 옵션에 대한 라이선싱Licensing for alert configuration options
  • 역할Roles

DLP 경고 관리 대시보드에 대한 라이선스Licensing for the DLP alert management dashboard

DLP의 모든 적합한 Office 365 새 DLP 경고 관리 대시보드에 액세스할 수 있습니다.All eligible tenants for Office 365 DLP can access the new DLP alert management dashboard. 시작을 위해 Office 365, SharePoint Online 및 Exchange Online DLP를 비즈니스용 OneDrive.To get started, you should be eligible for Office 365 DLP for Exchange Online, SharePoint Online, and OneDrive for Business. Office 365 DLP의 라이선스 요구 사항에 대한 자세한 내용은 사용자에게 서비스를 혜택을 제공할 수 있는 권한을 제공하는 라이선스를 참조하세요.For more information about the licensing requirements for Office 365 DLP, see Which licenses provide the rights for a user to benefit from the service?.

Teams DLP를 사용할 수 있는 끝점 DLP를 사용하는 고객에게는 끝점 DLP 정책 경고 및 DLP Teams 관리 대시보드에서 DLP 정책 경고가 표시됩니다.Customers who use Endpoint DLP who are eligible for Teams DLP will see their endpoint DLP policy alerts and Teams DLP policy alerts in the DLP alert management dashboard.

경고 구성 옵션에 대한 라이선싱Licensing for alert configuration options

  • 단일 이벤트 경고 구성: E1, F1 또는 G1 구독이 있는 조직이나 E3 또는 G3 구독이 있는 조직은 활동이 발생할 때마다 경고가 트리거되는 경우만 경고 정책을 만들 수 있습니다.Single-event alert configuration: Organizations that have an E1, F1, or G1 subscription or an E3 or G3 subscription can create alert policies only where an alert is triggered every time an activity occurs.
  • 집계된 경고 구성: 임계값을 기준으로 집계 경고 정책을 구성하려면 다음 구성 중 하나를 설정해야 합니다.Aggregated alert configuration: To configure aggregate alert policies based on a threshold, you must have either of the following configurations:
    • E5 또는 G5 구독An E5 or G5 subscription
    • E1, F1 또는 G1 구독 또는 다음 기능 중 하나를 포함하는 E3 또는 G3 구독An E1, F1, or G1 subscription or an E3 or G3 subscription that includes one of the following features:
      • Office 365 Advanced Threat Protection Plan 2Office 365 Advanced Threat Protection Plan 2
      • Microsoft 365 E5 ComplianceMicrosoft 365 E5 Compliance
      • Microsoft 365 및 추가 기능 라이선스 감사Microsoft 365 eDiscovery and Audit add-on license

역할Roles

DLP 경고 관리 대시보드를 보거나 DLP 정책에서 경고 구성 옵션을 편집하려면 다음 역할 그룹 중 하나의 구성원이 되어야 합니다.If you want to view the DLP alert management dashboard or to edit the alert configuration options in a DLP policy, you must be a member of one of these role groups:

  • 준수 관리자Compliance Administrator
  • 준수 데이터 관리자Compliance Data Administrator
  • 보안 관리자Security Administrator
  • 보안 운영자Security Operator
  • 보안 읽기 권한자Security Reader

DLP 경고 관리 대시보드에 액세스하려면 경고 관리 역할 및 다음 역할 중 하나가 필요합니다.To access the DLP alert management dashboard, you need the Manage alerts role and either of the following roles:

  • DLP 규정 준수 관리DLP Compliance Management
  • View-Only DLP 준수 관리View-Only DLP Compliance Management

경고 구성 환경Alert configuration experience

집계된 경고 구성 옵션을 사용할 수 있는 자격이 있는 경우 DLP 정책 작성 환경의 다음 옵션이 인라인으로 표시됩니다.If you're eligible for aggregated alert configuration options, then you see the following options inline in the DLP policy authoring experience.

집계된 경고 구성 옵션을 사용할 수 있는 사용자에 대한 문제 보고서 옵션을 보여 주는 스크린샷.

이러한 경고 구성 옵션을 사용하여 경고가 트리거되기 전에 DLP 규칙 일치가 발생할 수 있는 방법을 정의하는 설정을 구성할 수 있습니다.You can use these alert configuration options to configure a setting that defines how often a DLP rule match can occur before an alert is triggered. 이 구성을 사용하면 활동이 정책 조건과 일치하거나 활동 수 또는 유출된 데이터의 볼륨에 따라 특정 임계값을 초과할 때마다 경고를 생성하도록 정책을 설정할 수 있습니다.This configuration allows you to set up a policy to generate an alert every time an activity matches the policy conditions or when a certain threshold is exceeded, based on the number of activities or based on the volume of exfiltrated data.

단일 이벤트 경고 구성 옵션을 사용할 수 있는 경우 DLP 정책 작성 환경의 다음 경고 구성 옵션이 표시됩니다.If you're eligible for single-event alert configuration options, then you see the following alert configuration option in the DLP policy authoring experience. 이 옵션을 사용하여 사용자 활동으로 인하여 DLP 규칙 일치가 발생할 때마다 발생하는 경고를 만들 수 있습니다.Use this option to create an alert that's raised every time a DLP rule match happens because of a user activity.

단일 이벤트 경고 구성 옵션을 사용할 수 있는 사용자에 대한 문제 보고서 옵션을 보여 주는 스크린샷.

DLP 경고 관리 대시보드DLP alert management dashboard

DLP 경고 관리 대시보드에서 작업하는 경우:To work with the DLP alert management dashboard:

  1. Microsoft 365 센터에서데이터 손실 방지로 이동하십시오.In the Microsoft 365 compliance center, go to Data Loss Prevention.

  2. 경고 탭을 선택하여 DLP 경고 대시보드를 볼 수 있습니다.Select the Alerts tab to view the DLP alerts dashboard.

    • 필터를 선택하면 경고 목록을 구체화할 수 있습니다.Choose filters to refine the list of alerts. 사용자 지정을 선택하면 표시하려는 속성이 나열됩니다.Choose Customize columns to list the properties you want to see. 모든 열에서 경고를 오차 또는 내선 순서로 정렬할 수도 있습니다.You can also choose to sort the alerts in ascending or descending order in any column.

    • 경고를 선택하여 세부 정보를 봐야 합니다.Select an alert to see details:

      Screenshot showing alert details on the DLP alert management dashboard.

  3. 경고와 연결된 모든 이벤트를 표시하려면 이벤트 탭을 선택합니다.Select the Events tab to view all of the events associated with the alert. 특정 이벤트를 선택하면 세부 정보를 볼 수 있습니다.You can choose a particular event to view its details. 다음 표에는 일부 이벤트 세부 정보가 표시됩니다.The following table shows some of the event details.

    CategoryCategory 속성 이름Property name 설명Description 적용 가능한 이벤트 유형Applicable event types
    이벤트 세부 정보Event details
    IdId 이벤트와 연결된 고유 IDUnique ID associated with the event 모든 이벤트All events
    위치Location 이벤트가 검색된 워크로드Workload where the event was detected 모든 이벤트All events
    활동 시간Time of activity DLP 위반을 일으운 사용자 활동 시간Time of the user activity that caused the DLP violation 모든 이벤트All events
    영향을 미치는 엔터티Impacted entities
    사용자User DLP 위반을 유발한 사용자User who caused the DLP violation 모든 이벤트All events
    Hostname(호스트 이름)Hostname DLP 위반이 검색된 컴퓨터의 호스트 이름입니다.Host name of the machine where the DLP violation was detected 장치 이벤트Devices events
    IP 주소IP address 컴퓨터의 IP 주소IP address of the machine 장치 이벤트Devices events
    파일 경로File path 위반과 관련된 파일의 절대 경로Absolute path of the file involved in the violation SharePoint, OneDrive 및 장치 이벤트SharePoint, OneDrive, and Devices events
    전자 메일 받는 사람Email recipients DLP 정책을 위반한 전자 메일의 받는 사람Recipients of the email that violated the DLP policy Exchange 이벤트Exchange events
    전자 메일 제목Email subject DLP 정책을 위반한 전자 메일의 제목Subject of the email that violated the DLP policy Exchange 이벤트Exchange events
    전자 메일 첨부 파일Email attachments DLP 정책을 위반한 전자 메일의 첨부 파일 이름Names of the attachments in the email that violated the DLP policy Exchange 이벤트Exchange events
    사이트 소유자Site owner 사이트 소유자의 이름Name of the site owner SharePoint 및 OneDrive 이벤트SharePoint and OneDrive events
    사이트 URLSite URL 사이트 또는 SharePoint 사이트의 OneDrive URL입니다.Full URL of the SharePoint or OneDrive site SharePoint 및 OneDrive 이벤트SharePoint and OneDrive events
    파일을 만들었음File created 파일 만들기 시간Time of file creation SharePoint 및 OneDrive 이벤트SharePoint and OneDrive events
    마지막으로 수정한 파일File last modified 파일을 마지막으로 수정한 시간Time of the last modification of the file SharePoint 및 OneDrive 이벤트SharePoint and OneDrive events
    파일 크기File size 파일 크기Size of the file SharePoint 및 OneDrive 이벤트SharePoint and OneDrive events
    파일 소유자File owner 파일의 소유자Owner of the file SharePoint 및 OneDrive 이벤트SharePoint and OneDrive events
    정책 세부 정보Policy details
    일치하는 DLP 정책DLP policy matched 일치하는 DLP 정책의 이름Name of the DLP policy that was matched 모든 이벤트All events
    일치하는 규칙Rule matched 일치하는 DLP 정책의 DLP 규칙 이름Name of the DLP rule in the DLP policy that was matched 모든 이벤트All events
    검색된 중요한 정보 유형Sensitive info types detected DLP 정책의 일부로 검색된 중요한 정보 유형Sensitive information types that were detected as a part of the DLP policy 모든 이벤트All events
    수행한 작업Actions taken 일치하는 DLP 정책의 일부로 수행된 작업Actions taken as a part of the matched DLP policy 모든 이벤트All events
    사용자 과도 정책User overrode policy 사용자가 정책 팁을 통해 정책을 오버로이드할지 여부Whether the user overrode the policy through the policy tip 모든 이벤트All events
    정당성 텍스트에 대한 의구성Override justification text 정책 팁을 오버라이드하기 위해 제공된 사당성Justification provided to override the policy tip 모든 이벤트All events
  4. 중요한 정보 유형 탭을 선택하여 콘텐츠에서 검색된 중요한 정보 유형에 대한 세부 정보를 볼 수 있습니다.Select the Sensitive Info Types tab to view details about the sensitive information types detected in the content. 세부 정보에는 신뢰도 및 개수가 포함됩니다.Details include confidence and count.

  5. 경고를 조사한 후 경고 관리를 선택하고 상태(활성, 조사 중, 해지 또는 해결)를 변경합니다.After you investigate the alert, choose Manage alert to change the status (Active, Investigating, Dismissed, or Resolved). 조직의 다른 사용자에게 설명을 추가하고 알림을 할당할 수도 있습니다.You can also add comments and assign the alert to someone in your organization.

    • 워크플로 관리 기록을 확인하려면 관리 로그 를 선택하세요.To see the history of workflow management, choose Management log.
    • 경고에 대해 필요한 작업을 수행한 후 경고 상태를 해결된 으로 설정하십시오.After you take the required action for the alert, set the status of the alert to Resolved.