문서 지문
문서 지문은 표준 양식을 DLP 정책 규칙에 사용할 수 있는 SIT(중요한 정보 유형)로 변환하는 DLP(Microsoft Purview 데이터 손실 방지) 기능입니다.
문서 지문을 사용하면 organization 전체에서 사용되는 표준 양식을 식별하여 중요한 정보를 더 쉽게 보호할 수 있습니다. 이 문서에서는 문서 지문의 개념과 사용자 인터페이스를 사용하거나 PowerShell을 사용하여 문서 지문을 만드는 방법을 설명합니다.
문서 지문에는 다음과 같은 이점이 포함됩니다.
- DLP는 Exchange, SharePoint, OneDrive, Teams 및 디바이스에서 문서 지문을 검색 방법으로 사용할 수 있습니다.
- 문서 지문 기능은 Microsoft Purview 사용자 인터페이스를 통해 관리할 수 있습니다.
- 부분 일치 가 지원됩니다.
- 정확한 일치 가 지원됩니다.
- 향상된 검색 정확도
- 중국어, 일본어 및 한국어와 같은 이중 바이트 언어를 포함하여 여러 언어로 검색을 지원합니다.
중요
E5 고객인 경우 전체 문서 지문 기능 집합을 활용하도록 기존 지문을 업데이트하는 것이 좋습니다. E3 고객인 경우 E5 라이선스로 업그레이드하는 것이 좋습니다. 사용하지 않도록 선택하면 2023년 4월 이후에 기존 지문을 수정하거나 새 지문을 만들 수 없습니다.
문서 지문에 대한 기본 시나리오
언급했듯이 문서 지문 기능은 표준 형태의 정보를 DLP 정책 규칙에 사용할 수 있는 SIT(중요한 정보 유형)로 변환합니다. 예를 들어 빈 특허 서식 파일을 기반으로 문서 지문을 만든 다음 중요한 콘텐츠가 채워진 모든 발신 특허 템플릿을 감지하고 차단하는 DLP 정책을 만들 수 있습니다. 필요에 따라 보낸 사람이 중요한 정보를 보낼 수 있음을 알리고, 보낸 사람이 특허를 받을 자격이 있는지 확인해야 한다는 정책 팁을 설정할 수 있습니다. 이 프로세스는 organization 사용되는 모든 텍스트 기반 양식에서 작동합니다. 업로드할 수 있는 양식의 다른 예는 다음과 같습니다.
- 정부 양식
- HIPAA(Health Insurance Portability and Accountability Act) 준수 양식
- 인사 부서의 직원 정보 양식
- 조직용으로 특수 작성된 사용자 지정 양식
조직에서 특정 양식을 사용하여 중요한 정보를 전송하는 업무 관행을 이미 설정한 상태인 것이 가장 좋습니다. 검색을 사용하려면 문서 지문으로 변환할 빈 양식을 업로드합니다. 다음으로, 해당 정책을 설정합니다. 이러한 단계를 완료하면 DLP는 해당 지문과 일치하는 아웃바운드 메일의 모든 문서를 검색합니다.
문서 지문 작동 방식
문서에 실제 지문이 없다는 것을 알고 있을 수 있지만 이름은 이 기능을 설명하는 데 도움이 됩니다. 사람의 지문에 고유한 패턴이 있는 것과 마찬가지로 문서에는 고유한 단어 패턴이 있습니다. 파일을 업로드할 때 DLP는 문서에서 고유한 단어 패턴을 식별하고, 해당 패턴에 따라 문서 지문을 만들고, 해당 문서 지문을 사용하여 동일한 패턴이 포함된 아웃바운드 문서를 검색합니다. 따라서 양식 또는 서식 파일을 업로드하면 가장 효과적인 유형의 문서 지문이 만들어집니다. 양식을 작성하는 모든 사용자는 동일한 원래 단어 집합을 사용한 다음 문서에 자신의 단어를 추가합니다. 아웃바운드 문서가 암호로 보호되지 않고 원래 양식의 모든 텍스트가 포함된 경우 DLP는 문서가 문서 지문과 일치하는지 여부를 확인할 수 있습니다.
특허 템플릿에는 빈 필드 특허 제목, 인벤토리 및 설명과 이러한 각 필드에 대한 설명이 포함되어 있습니다. 즉, 단어 패턴입니다. 원래 특허 템플릿을 업로드하면 지원되는 파일 형식 중 하나와 일반 텍스트로 표시됩니다. DLP는 이 단어 패턴을 문서 지문으로 변환합니다. 이 파일은 원본 텍스트를 나타내는 고유한 해시 값을 포함하는 작은 유니코드 XML 파일입니다. 지문은 Active Directory에서 데이터 분류로 저장됩니다. (보안 조치로서 원본 문서 자체는 서비스에 저장되지 않고 해시 값만 저장됩니다. 원래 문서는 해시 값에서 재구성할 수 없습니다.) 그러면 특허 지문은 DLP 정책과 연결할 수 있는 SIT가 됩니다. 지문을 DLP 정책과 연결한 후 DLP는 특허 지문과 일치하는 콘텐츠가 포함된 아웃바운드 이메일을 검색하고 organization 정책에 따라 처리합니다.
예를 들어 일반 직원이 특허가 포함된 발신 메시지를 보내지 못하도록 하는 DLP 정책을 설정한 경우 DLP는 특허 지문을 사용하여 특허를 검색하고 해당 이메일을 차단합니다. 또는 비즈니스 요구 사항이 있으므로 법률 부서가 다른 조직에 특허를 보낼 수 있도록 할 수 있습니다. 특정 부서가 중요한 정보를 보낼 수 있도록 하려면 DLP 정책에서 해당 부서에 대한 예외를 만듭니다. 또는 비즈니스 근거를 사용하여 정책 팁을 재정의하도록 허용할 수 있습니다.
중요
포함된 문서의 텍스트는 지문 생성에 고려되지 않습니다. 포함된 문서가 없는 샘플 템플릿 파일을 제공해야 합니다.
지원되는 파일 형식
문서 지문은 메일 흐름 규칙(전송 규칙이라고도 함)에서 지원되는 것과 동일한 파일 형식을 지원합니다. 지원되는 파일 형식 목록은 메일 흐름 규칙 콘텐츠 검사에서 지원되는 파일 형식을 참조하세요. 파일 형식에 대한 한 가지 빠른 참고 사항: 메일 흐름 규칙이나 문서 지문은 Microsoft Word 템플릿 파일인 .dotx 파일 형식을 지원하지 않습니다. 이 문서와 다른 문서 지문 문서에 "template"이라는 단어가 표시되면 템플릿 파일 형식이 아닌 표준 양식으로 설정한 문서를 참조합니다.
문서 지문의 제한
문서 지문은 다음과 같은 경우 중요한 정보를 검색하지 않습니다.
- 암호로 보호된 파일
- 이미지만 포함된 파일
- 문서 지문을 만드는 데 사용된 원본 양식의 모든 텍스트가 포함되지 않는 문서
- 4MB보다 큰 파일
참고
디바이스에서 문서 지문을 사용하려면 고급 분류 검사 및 보호를 켜야 합니다.
지문은 별도의 규칙 팩에 저장됩니다. 이 규칙 팩의 최대 크기 제한은 150KB입니다. 이 제한을 감안할 때 테넌트당 약 50개의 지문을 만들 수 있습니다.
참고
지문을 만드는 데 사용되는 템플릿에는 4,096자 이상이 있어야 합니다. 지문 템플릿에 대해 지원되는 추출된 텍스트 길이는 4,096자에서 204,800자 사이여야 합니다.
다음 예제에서는 특허 템플릿을 기반으로 문서 지문을 만들면 어떻게 되는지 보여 줍니다. 그러나 문서 지문을 만들기 위한 기준으로 폼을 사용할 수 있습니다.
예: 특허 서식 파일의 문서 지문과 일치하는 특허 문서 만들기
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
특허 서식 파일의 문서 지문과 일치하는 특허 문서의 PowerShell 예제
>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))
>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"
부분 일치
문서 지문의 부분 일치를 구성하려면 신뢰도 수준을 구성할 때 낮음, 중간 또는 높음 을 선택하고 파일의 텍스트가 30%~90% 사이의 백분율로 지문과 일치해야 하는 양을 지정합니다.
신뢰 수준이 높을수록 가양성이 가장 적지만 더 많은 거짓 부정이 발생할 수 있습니다. 낮거나 중간 신뢰도 수준은 더 많은 가양성만 반환하지만 거짓 부정은 거의 없습니다.
- 신뢰도가 낮음: 일치하는 항목에는 가음성 값이 가장 적지만 가양성 항목이 가장 적습니다. 신뢰도가 낮을수록 모든 낮음, 중간 및 높은 신뢰도 일치 항목이 반환됩니다.
- 중간 신뢰도: 일치하는 항목에는 평균 가양성 및 가음성 수가 포함됩니다. 중간 신뢰도는 모든 중간 및 높은 신뢰도 일치를 반환합니다.
- 높은 신뢰도: 일치하는 항목에는 가양성이 가장 적지만 가장 거짓 부정이 포함됩니다.
정확한 일치
문서 지문의 정확한 일치를 구성하려면 높은 신뢰도 수준의 값으로 정확 도를 선택합니다. 높은 신뢰도 수준을 Exact로 설정하면 지문과 정확히 동일한 텍스트가 있는 파일만 검색됩니다. 파일에 지문과 작은 편차가 있는 경우 검색되지 않습니다.
이미 지문 SID를 사용하고 있나요?
이러한 지문에 대한 기존 지문 및 정책/규칙은 계속 작동해야 합니다. 최신 지문 기능을 사용하지 않으려면 아무 것도 할 필요가 없습니다.
E5 라이선스가 있고 최신 지문 기능을 사용하려는 경우 다음 두 가지 옵션이 있습니다.
- 새 지문을 만듭니다.
- 정책을 최신 버전으로 마이그레이션합니다.
참고
지문이 이미 있는 템플릿을 사용하여 새 지문을 만드는 것은 지원되지 않습니다.
Microsoft Purview를 사용하여 지문 SIT를 사용하여 새 정책 만들기
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 규정 준수 포털 데이터 손실 방지>정책으로 이동하고 + 정책 만들기를 선택합니다.
- 범주에서 사용자 지정을 선택하고 규정에 대해사용자 지정 정책을 선택합니다.
- 다음을 선택합니다.
- 정책 이름을 지정하고 다음 설명을 > 제공합니다.
- 관리 단위 할당 페이지에서 다음을 선택합니다.
- 정책을 적용할 위치를 선택한 다음 , 다음을 선택합니다.
- 정책 설정 정의 페이지에서 고급 DLP 규칙 만들기 또는 사용자 지정을 선택하고 다음을 선택합니다.
- + 규칙 만들기를 선택합니다.
- 규칙에 이름과 설명을 지정합니다.
- 조건에서콘텐츠 포함조건> 추가를 선택합니다.
- 새 DLP 규칙 집합에 그룹 이름>중요한 정보 유형추가>를 지정합니다.
- 지문 SIT >추가의 이름을 검색하여 선택합니다.
- 규칙 만들기 도구의 나머지 부분을 통해 규칙을 구성합니다.
- 저장을 선택합니다.
- 다음을 선택합니다.
- 시뮬레이션 모드에서 정책 실행을 선택한 다음, 다음을 선택합니다.
- 제출을 선택한 다음 완료를 선택합니다.
PowerShell을 사용하여 문서 지문을 기반으로 사용자 지정 중요한 정보 유형 만들기
현재 보안 & 준수 PowerShell에서만 문서 지문을 만들 수 있습니다.
DLP는 SIT(중요한 정보 유형)를 사용하여 중요한 콘텐츠를 검색합니다. 문서 지문을 기반으로 사용자 지정 SIT를 만들려면 New-DlpSensitiveInformationType cmdlet을 사용합니다. 다음 예제에서는 C:\My Documents\Contoso Customer Form.docx 파일을 기반으로 "Contoso 고객 기밀"이라는 새 문서 지문을 만듭니다.
$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))
New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."
마지막으로 Microsoft Purview 규정 준수 포털 DLP 정책에 "Contoso 고객 기밀" 중요한 정보 유형을 추가합니다. 다음은 "ConfidentialPolicy"라는 기존 DLP 정책에 규칙을 추가하는 예제입니다.
New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True
다음 예제와 같이 Exchange의 메일 흐름 규칙에서 지문 SIT를 사용할 수도 있습니다. 이 명령을 실행하려면 먼저 Exchange PowerShell에 연결해야 합니다. 또한 SIT가 Exchange 관리 센터와 동기화되는 데 시간이 걸립니다.
New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}
이제 DLP는 Contoso Customer Form.docx 문서 지문과 일치하는 문서를 검색합니다.
구문 및 매개 변수 정보는 다음을 참조하세요.
- New-DlpFingerprint
- New-DlpSensitiveInformationType
- Remove-DlpSensitiveInformationType
- Set-DlpSensitiveInformationType
- Get-DlpSensitiveInformationType
문서 지문 편집, 테스트 또는 삭제
사용자 인터페이스를 통해 이 작업을 수행하려면 편집, 테스트 또는 삭제하려는 지문 SIT를 열고 적절한 아이콘을 선택합니다.
PowerShell을 통해 이 작업을 수행하려면 다음 명령을 실행합니다.
문서 지문 편집
>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"
문서 지문 테스트
>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults
문서 지문 삭제
>> Remove-DlpSensitiveInformationType "Fingerprint SIT"
사용자 인터페이스를 통해 지문 SIT를 사용하여 새 정책 마이그레이션
- 데이터 분류>자중요한 정보 유형으로> 이동합니다.
- 마이그레이션하려는 지문이 포함된 SIT를 엽니다.
- 편집을 선택합니다.
- 동일한 지문 파일을 다시 업로드합니다.
- 지문 설정 > 완료를 검토합니다.
PowerShell을 사용하여 지문 마이그레이션
다음 명령을 입력합니다.
Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"