다음을 통해 공유


디바이스의 파일 활동에 대한 증거 수집에 대해 알아보기

Microsoft Purview 데이터 손실 방지(DLP) 인시던트 또는 DLP 정책 문제를 해결하는 경우 참조할 정책과 일치하는 항목의 전체 복사본을 포함하는 것이 도움이 될 수 있습니다. DLP는 온보딩된 Windows 디바이스에서 Azure Storage 계정으로 DLP 정책과 일치하는 항목을 복사할 수 있습니다. Azure Storage Blob에 대한 적절한 권한이 부여된 DLP 인시던트 조사자 및 관리자는 파일에 액세스할 수 있습니다.

기능 구성 및 사용을 시작하려면 디바이스에서 데이터 손실 방지 정책과 일치하는 파일 수집 시작을 참조하세요.

Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.

Microsoft Purview DLP를 접하는 경우 DLP를 구현할 때 필요한 핵심 문서 목록은 다음과 같습니다.

  1. 관리 단위
  2. Microsoft Purview 데이터 손실 방지 대해 알아보기 - 이 문서에서는 데이터 손실 방지 분야 및 Microsoft의 DLP 구현을 소개합니다.
  3. DLP(데이터 손실 방지) 계획 - 이 문서를 통해 다음을 수행합니다.
    1. 관련자 식별
    2. 보호할 중요한 정보의 범주 설명
    3. 목표 및 전략 설정
  4. 데이터 손실 방지 정책 참조 - 이 문서에서는 DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 소개합니다.
  5. DLP 정책 디자인 - 이 문서에서는 정책 의도 문을 만들고 특정 정책 구성에 매핑하는 방법을 안내합니다.
  6. 데이터 손실 방지 정책 만들기 및 배포 - 이 문서에서는 구성 옵션에 매핑할 몇 가지 일반적인 정책 의도 시나리오를 제시한 다음, 이러한 옵션을 구성하는 방법을 안내합니다.

디바이스의 파일 활동에 대한 증거 수집이 Purview에 적합한 경우

엔드포인트 DLP는 더 큰 DLP 제품의 일부이며 Microsoft Purview에서 제공되는 광범위한 서비스의 일부입니다. 디바이스의 파일 활동에 대한 증거 수집이 더 큰 서비스 제품 집합에 어떻게 적합한지 이해해야 합니다.

디바이스 및 eDiscovery의 파일 활동에 대한 증거 수집

이 기능은 온보딩된 Windows 디바이스에서 DLP 정책과 일치하는 항목의 복사본을 만들고 해당 복사본을 Azure Storage 계정에 배치합니다. 이러한 사본은 변경없는 상태로 보관되지 않으며 용어의 법적 의미에서 증거가 아닙니다. 법적 목적으로 항목을 찾아 보관해야 하는 경우 Microsoft Purview eDiscovery 솔루션을 사용해야 합니다. 전자 검색 또는 eDiscovery는 법률 소송에서 증거로 사용할 수 있는 전자 정보를 식별하고 전달하는 프로세스입니다.

디바이스의 파일 활동 및 컨텍스트 요약에 대한 증거 수집

해당 항목에 대해 사용자가 사용하는 항목 및 활동이 DLP 정책에 정의된 조건과 일치하면 DLPRuleMatch 이벤트가 활동 탐색기에 표시됩니다. 이는 DLP가 지원하는 모든 위치에 해당합니다. DLPRuleMatch 이벤트에는 일치하는 콘텐츠를 둘러싸는 제한된 양의 텍스트가 포함됩니다. 이 제한된 양의 텍스트를 컨텍스트 요약이라고 합니다.

디바이스의 파일 활동에 대한 증거 수집과 컨텍스트 요약의 차이점을 이해하는 것이 중요합니다. 디바이스의 파일 활동에 대한 증거 수집은 온보딩된 Windows 디바이스에서만 사용할 수 있습니다. 정책과 일치하는 전체 항목의 복사본을 Azure Storage 계정에 저장합니다. 컨텍스트 요약은 모든 DLP 정책 규칙 일치에 대해 캡처되며 일치를 트리거한 대상 텍스트를 둘러싸는 제한된 양의 텍스트만 포함합니다.

적용된 사용자 활동

사용자가 일치하는 항목에서 이러한 활동 중 하나를 수행하려고 할 때 일치하는 항목의 복사본을 Azure Storage 계정에 저장하도록 디바이스의 파일 활동에 대한 증거 수집을 구성할 수 있습니다.

  • 이동식 USB에 복사
  • 네트워크 공유에 복사
  • 인쇄
  • 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동
  • RDP를 통해 복사 또는 이동
  • 클라우드 서비스 도메인에 업로드하거나 허용되지 않는 브라우저에서 액세스
  • 지원되는 브라우저에 붙여넣기

이러한 활동 검색은 DLP 정책에서 구성됩니다. DLP 정책을 만드는 방법에 대한 자세한 내용은 데이터 손실 방지 정책 만들기 및 배포 및엔드포인트 데이터 손실 방지 사용을 참조하세요.

적용된 작업

엔드포인트 DLP 설정의 디바이스에서 파일 활동에 대한 증거 수집을 사용하도록 설정하고 이 기능을 사용하도록 DLP 정책을 구성하면 다음 작업에 대해 일치하는 항목의 복사본이 저장됩니다.

  • 감사만
  • 재정의와 함께 차단
  • 차단

이러한 작업은 DLP 정책에서 구성됩니다. DLP 정책을 만드는 방법에 대한 자세한 내용은 데이터 손실 방지 정책 만들기 및 배포 및엔드포인트 데이터 손실 방지 사용을 참조하세요.

디자인 고려 사항

Azure Storage 계정의 지역

규정 요구 사항을 준수하려면 사용하는 Azure Storage 계정이 복사되는 디바이스와 동일한 지정학적 또는 규제 경계에 있는지 확인합니다. 또한 DLP 조사자가 저장되면 중요한 항목에 액세스할 지정학적 위치를 알고 있어야 합니다. 관리 단위를 사용하여 각 DLP 정책에 맞게 사용자 및 디바이스의 관리를 적절하게 scope 것이 좋습니다. 데이터 손실 방지를 사용하여 데이터 개인 정보 보호 규정을 준수하는 방법을 알아보려면 Microsoft Purview를 사용하여 데이터 개인 정보 보호에 대한 정보 보호 배포를 참조하세요. 디바이스의 파일 활동에 대한 증거 수집은 최대 10개의 Azure Storage 계정을 지원합니다.

데이터 손실 방지를 사용하여 데이터 개인 정보 보호 규정을 준수하는 방법을 알아보려면 Microsoft Purview를 사용하여 데이터 개인 정보 보호에 대한 정보 보호 배포를 참조하세요.

로컬 스토리지 및 대역폭

기본적으로 일치하는 항목의 복사본은 기존 네트워크 연결을 통해 구성된 Azure Storage 계정에 비동기적으로 저장됩니다. 디바이스에 연결되지 않은 경우 일치하는 항목은 최대 500MB 제한까지 로컬로 저장됩니다. 최대 60일 동안 항목을 로컬로 저장할 수 있습니다.

디바이스가 Azure Storage 계정 URL에 연결되어 있지만 대역폭 사용에는 제한이 없습니다. 디바이스의 파일 활동에 대한 증거 수집이 사용하는 대역폭은 고급 분류 검사 및 보호에 대한 기본 또는 구성된 대역폭 제한에 영향을 주지 않습니다.

Azure Storage 계정

고객은 자신의 Azure Storage 계정을 만들고 관리할 책임이 있습니다. Azure Storage를 접하는 경우 다음을 참조하세요.

정책과 일치하는 항목은 로그인한 사용자의 보안 컨텍스트에서 사용자의 디바이스에서 Azure Storage 계정 Blob으로 복사됩니다. 따라서 정책에 대한 scope 있는 모든 사용자는 Blob Storage에 대한 읽기 및 쓰기 권한이 있어야 합니다. 자세한 내용은 디바이스에서 데이터 손실 방지 정책과 일치하는 파일 수집 시작을 참조하세요.

마찬가지로 저장된 항목을 검토하는 모든 관리자는 Azure Storage 계정 Blob에 대한 권한이 있어야 합니다 read . 자세한 내용은 디바이스에서 데이터 손실 방지 정책과 일치하는 파일 수집 시작을 참조하세요.

중요한 정보가 검색될 때 증거 저장(미리 보기)

지원되는 파일 형식

지원되는 파일 형식에 대한 자세한 내용은 증거 저장 및 미리 보기를 위해 지원되는 파일 형식을 참조하세요.

지원되는 스토리지 유형

콘텐츠에서 중요한 정보를 검색할 때 Purview가 수집하는 증거를 저장하기 위한 두 가지 옵션이 있습니다. 고객 관리형 데이터 저장소 또는 Microsoft 관리형 데이터 저장소(미리 보기)를 사용할 수 있습니다. 사용해야 하는 옵션은 요구 사항 및 사용 사례에 따라 달라집니다. 결정하는 데 도움이 되도록 다음 비교 테이블을 검토합니다.

스토리지 유형 비교

일치하는 파일은 RBAC(역할 기반 액세스 제어) 권한이 그대로 유지되는 한 스토리지 유형을 변경한 후에도 경고 결과에 계속 포함됩니다. 고객 관리형 스토리지는 고객이 소유하므로 DLP 관리자는 파일별로 스토리지에서 직접 파일을 계속 다운로드할 수 있습니다.

다음 표에서는 콘텐츠에서 검색된 중요한 정보의 증거를 수집하기 위해 고객 관리형 스토리지와 Microsoft 관리 스토리지 간의 차이점을 식별합니다.

Feature 요소 고객 관리형 Microsoft Managed(미리 보기)
파일 보존 필요한/원하는 만큼 파일을 유지할 수 있습니다. 파일은 최대 120일 동안 보존됩니다.
엔드포인트 설정 엔드포인트 설정에 Blob Storage(컨테이너 URL)를 추가한 다음 Microsoft Entra 관리 센터 사용하여 scope 사용자에 대한 Blob에 대한 명시적 사용자 권한을 구성해야 합니다. 모든 구성 및 권한은 엔드포인트 설정을 구성할 때 한 번의 클릭으로 처리됩니다.
정책 및 위치 구성 정책이 적용되는 각 위치에 대해 정책별로 스토리지 Blob을 추가하고 구성해야 합니다. 특정 정책 위치에 스토리지를 선택할 필요가 없습니다.
데이터 저장소 위치/지역 고객이 선택한 항목 Microsoft Purview 테넌트와 동일한 지역입니다.
요금 저장소 비용은 Entra 구독 비용 외에 청구됩니다. 현재 스토리지 비용은 E5에 포함되어 있습니다. 그러나 Microsoft는 스토리지 사용량을 모니터링하며 과도한 사용량에 따라 추가 요금이 부과될 수 있습니다. 비즈니스 모델이 변경될 경우 고객에게 별도로 전달됩니다.
네트워크 구성 스토리지 Blob에 대한 컨테이너 URL이 네트워크 방화벽을 통과하도록 허용해야 합니다. 네트워크 방화벽을 통과할 수 있도록 "허용" 목록에 compliancedrive.microsoft.com 포함해야 합니다.

스토리지 유형 변경

고객은 언제든지 스토리지 유형 간에 전환할 수 있습니다. 그러나 장기적으로 필요한 스토리지 유형을 신중하게 계획하고 사용 사례에 적합한 옵션을 선택하는 것이 가장 좋습니다. 두 유형의 스토리지 간의 차이점에 대한 자세한 내용은 스토리지 유형 비교 테이블을 참조하세요.

참고

스토리지 유형을 전환할 때 정책을 새로 고쳐 새 데이터 저장소의 파일에 적용해야 합니다.

스토리지 유형 변경이 증거 파일에 미치는 영향

RBAC(역할 기반 액세스 제어) 권한이 변경되지 않는 경우 스토리지 관리 유형을 변경한 후에도 일치하는 파일은 경고 결과에 계속 포함됩니다.

고객 관리형 스토리지 솔루션을 소유하고 있으므로 DLP 관리자는 Microsoft 관리형 스토리지 솔루션으로 이동한 후 파일별로 직접 파일을 계속 다운로드할 수 있습니다.

다음 단계

다음 단계는 디바이스의 파일 활동에 대한 증거 수집을 구성하는 것입니다.

자세한 내용은 디바이스에서 데이터 손실 방지 정책과 일치하는 파일 수집 시작을 참조하세요.