데이터 손실 방지에서 Microsoft Purview 심사 에이전트 시작

다음 절차를 사용하여 DLP(데이터 손실 방지)에서 Microsoft Purview 심사 에이전트를 롤아웃합니다.

DLP 에이전트의 Purview 심사 에이전트는 Exchange, Teams, OneDrive, SharePoint 및 디바이스(엔드포인트) 위치로 범위가 지정된 정책의 경고만 심사합니다. 디바이스에서 경고를 심사하려면 디바이스의 파일 활동에 대한 Evidence 컬렉션을 사용하도록 설정해야 합니다.

시작하기 전에

Microsoft Purview에서 에이전트를 Microsoft Security Copilot 경우 이 문서를 읽어보세요.

• Microsoft Purview의 Security Copilot 에이전트 개요

SKU/구독 및 라이선스

이 에이전트에는 사용자 단위 표준 라이선스 모델과 종량제 청구 모델이 모두 필요합니다. organization 다음에 대한 라이선스가 있어야 합니다.

• Purview DLP 심사 에이전트를 사용하는 Microsoft Purview 데이터 손실 방지(Purview DLP)

에이전트는 작업을 수행할 때 SCU(보안 컴퓨팅 단위)를 사용합니다. 심사 에이전트가 작동하려면 SCU가 프로비전되어 있어야 합니다. 사용되는 SCU 수는 처리되는 경고의 수와 유형에 따라 달라집니다. SCU에 대한 자세한 내용은 SCU(보안 컴퓨팅 단위)를 참조하세요. 사용 모니터링 도구에서 SCU 사용량을 추적할 수 있습니다. Microsoft Security Copilot 온보딩에 대한 자세한 내용은 Microsoft Security Copilot 시작을 참조하세요.

E5의 Security Copilot 라이선스에 대한 자세한 내용은 Microsoft 365 E5 Security Copilot 대해 알아보세요.

라이선스에 대한 자세한 내용은

• Microsoft 365 Enterprise 계획
• Microsoft 365 서비스 설명

권한 및 역할

에이전트를 사용하여 다양한 기능을 수행하는 데 필요한 다양한 권한과 역할이 있습니다. 자세한 내용은 Microsoft Purview 포털의 권한 및 Microsoft Purview 포털의 역할 및 역할 그룹을 참조하세요.

DLP에서 심사 에이전트를 사용하거나 설정하기 위한 권한

에이전트 ID를 사용하여 에이전트를 설정할 때(권장) 사용자에게 다음 역할이 할당되어야 합니다.

• 역할 관리(역할 그룹: Purview 관리자 또는 조직 관리)

Microsoft Entra 에이전트 ID 설명서 | 참조 에이전트 ID에 대한 자세한 내용은 Microsoft Learn을 참조하세요. 경고에서 수동 실행을 시작하기 전에 역할 기반 액세스가 반영될 수 있도록 에이전트 ID가 있는 에이전트 설정 후 30분 동안 기다려 주세요.

사용자의 ID를 사용하여 에이전트를 설정하려면 계정에 다음 역할이 모두 할당되어 있는지 확인합니다.

• Information Protection 분석가 또는 Information Protection 조사자(역할 그룹: 준수 관리자 또는 규정 준수 데이터 관리자 또는 데이터 보안 관리 또는 Information Protection 또는 Information Protection 분석가 또는 Information Protection 조사자)

• Purview 콘텐츠 분석가(역할 그룹: Purview 에이전트 관리)

• 데이터 분류 콘텐츠 다운로드(역할 그룹: 데이터 보안 관리 또는 Information Protection 또는 Information Protection 조사자) - 엔드포인트/디바이스 DLP 경고에 필요

• Security Copilot 기여자(Security Copilot 관리) (선택 사항)

DLP에서 심사 에이전트를 사용자 지정하고 구성하기 위한 권한

DLP에서 심사 에이전트를 사용자 지정하고 구성하는 데 사용하는 계정에는 다음 역할이 모두 있어야 합니다.

• Purview 에이전트 분석(역할 그룹: Information Protection 분석가 또는 Information Protection 조사자 또는 Information Protection 또는 규정 준수 관리자 또는 데이터 보안 관리)

• 데이터 분류 콘텐츠 다운로드(역할 그룹: 데이터 보안 관리 또는 Information Protection 또는 Information Protection 조사자) - 엔드포인트/디바이스 DLP 경고에 필요

• Security Copilot 기여자(Security Copilot 관리)

심사된 Purview DLP 경고를 볼 수 있는 권한

심사 에이전트의 경고 활동을 보는 데 사용하는 계정은 아래 역할에 의해 부여되는 Purview DLP 경고에 액세스할 수 있어야 합니다.

• Purview 에이전트 분석(역할 그룹: Information Protection 분석가 또는 Information Protection 조사자 또는 Information Protection 또는 규정 준수 관리자 또는 데이터 보안 관리)

• 데이터 분류 콘텐츠 다운로드(역할 그룹: 데이터 보안 관리 또는 Information Protection 또는 Information Protection 조사자) - 엔드포인트/디바이스 DLP 경고에 필요

• 선택 사항 - Security Copilot 기여자(Security Copilot 관리)

배포 및 구성 로드맵

Microsoft Purview 에이전트 구현에는 다음과 같은 여러 단계가 포함됩니다.

1. 인프라 전제 조건
2. 에이전트 사용
3. 에이전트 설정
4. 에이전트 일시 중지
5. 에이전트 제거

인프라 전제 조건

DLP의 Microsoft Purview 심사 에이전트는 Microsoft Security Copilot 실행됩니다.

• 테넌트는 Microsoft Security Copilot 온보딩되어야 합니다. 온보딩하는 방법에 대한 자세한 내용은 Microsoft Security Copilot 시작을 참조하세요.
• Security Copilot Microsoft 365 데이터 공유를 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft 365 서비스에서 데이터 액세스를 참조하세요.
• Microsoft Security Copilot Microsoft Purview 플러그 인을 사용하도록 설정해야 합니다. 자세한 내용은 Microsoft Security Copilot Microsoft Purview 원본 사용을 참조하세요.

에이전트 사용

이 절차는 Microsoft Purview 에이전트를 사용하도록 설정하지 않았거나 에이전트를 제거한 조직에서 다시 사용하도록 설정하려는 조직을 위한 것입니다. 에이전트를 사용하도록 설정하면 Microsoft Purview에서 사용할 수 있습니다. 테넌트에서 각 에이전트의 instance 하나만 있을 수 있습니다. 이 절차는 Purview의 심사 에이전트에 대해 작동합니다.

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.

2. 왼쪽 탐색 창에서 에이전트를 선택합니다.

3. 에이전트 탐색을 선택합니다.

4. 사용하도록 설정할 에이전트를 선택하고 추가를 선택합니다. 그러면 에이전트를 사용하도록 설정하기 위한 요구 사항을 보여 주는 페이지가 열립니다.

5. 설치를 선택하면 에이전트 전역 구성 배포 페이지가 열립니다. 다음을 수행할 수 있습니다.

   1. 설정된 일정에 따라 자동으로 실행하도록 선택합니다. 이 옵션을 선택하지 않으면 에이전트를 한 번에 하나씩 수동으로 실행해야 합니다. 예약된 은 Microsoft에서 설정하며 조직에서 구성할 수 없습니다. 나중에 에이전트를 편집할 때 이 설정을 변경할 수 있습니다.
   2. 에이전트가 심사할 경고를 찾는 시간 범위인 경고 기간을 선택합니다. 분석가는 에이전트를 편집할 때 기간을 단축할 수 있지만 길어지지는 않습니다. 자세한 내용은 경고 기간 선택을 참조하세요.
   3. 에이전트 ID를 선택합니다. 이렇게 하면 데이터에 액세스하고 작업을 수행할 수 있습니다. 에이전트에는 자체 에이전트 ID가 있거나 사용자의 ID를 대신하여 배포할 수 있습니다.

6. 배포를 선택합니다. 에이전트가 성공적으로 배포되면 솔루션>의 <심사 에이전트가 배포됨 메시지가 표시됩니다.

에이전트 설정

에이전트를 사용하도록 설정하면 기본 트리거를 사용하여 경고 심사를 시작합니다. 에이전트에 대한 특정 트리거를 편집하고 설정할 수 있습니다. 트리거는 에이전트 심사 경고를 결정하는 데 사용됩니다. 에이전트 페이지에서 또는 솔루션에 대한 경고 페이지의 첫 번째 실행 환경에서 이 작업을 수행할 수 있습니다 . 이 절차에서는 첫 번째 실행 환경 경고 페이지 메서드 를 사용합니다. 이 절차에서는 이전 절차의 에이전트 탐색 페이지에 Microsoft Purview 포털이 열려 있다고 가정합니다.

1. 솔루션>에서 열기를 <선택합니다. 그러면 솔루션에 대한 경고 페이지가 열립니다.
2. 첫 번째 실행 환경에 있으므로 사용자 지정 단추를 사용하여 경고 심사 에이전트 사용자 지정 플라이아웃을 여는 대화 상자가 표시됩니다.
3. 여기서 경고 기간 선택에 대한 기본 전역 설정을 적용하거나 에이전트 배포 중에 구성된 것보다 짧게 변경하도록 선택합니다.
4. 에이전트 에 대한 사용자 지정 지침을 입력합니다 . 에이전트는 자연어 입력을 해석하고 이를 사용하여 가장 중요한 경고 유형을 더 잘 식별합니다.
5. 정책 범위 지정을 열고 편집을 선택합니다. 에이전트에서 심사할 정책을 선택합니다. 정책을 선택하지 않으면 에이전트는 모든 활성 정책의 경고를 심사합니다.

1. 검토를 선택합니다.
2. 저장을 선택합니다.

에이전트가 이 초기 설정에서 in scope 경고 및 사용하도록 설정된 수동 실행의 심사를 완료하는 데 최대 2시간을 허용합니다. 에이전트 탐색 섹션을 살펴보고 에이전트 에 대한 트리거 를 선택하거나 DLP 경고 페이지의 오른쪽 위에 있는 에이전트 세부 정보 단추를 선택하여 이러한 설정을 방문할 수도 있습니다.

정책 범위 포함 고려 사항 지정

DLP 정책은 정책 범위 지정 목록에 표시되고 포함 심사를 받을 수 있도록 특정 조건을 충족해야 합니다.

전체 자격

DLP 경고 심사 에이전트가 정책의 모든 조건을 지원하는 경우 정책을 포함할 수 있습니다. 적격 정책의 모든 경고는 심사됩니다.

제한된 자격

정책에 제한된 자격이라는 상태인 DLP의 심사 에이전트에서 지원하지 않는 일부 조건이 있는 경우 에이전트는 해당 정책의 모든 경고를 심사하지 못할 수 있습니다. 제한된 자격은 나열된 기준에 따라 심사되지 않는 정책의 일부 경고가 있을 수 있으며 심사될 몇 가지 경고가 있을 수 있음을 의미합니다. 정책 범위 지정 선택기에서 제한된 상태를 선택하여 제한 됨 으로 표시되는 정책 의 이유를 확인할 수 있습니다.

정책이 제한된 자격 상태에 있을 수 있는 몇 가지 이유는 다음과 같습니다.

• 디바이스에서 데이터 손실 방지 정책과 일치하는 파일 수집을 시작할 수 없거나 연결된 스토리지가 Microsoft 스토리지가 아닙니다. 또한 정책 규칙의 파일 컬렉션 설정은 엔드포인트 또는 디바이스 워크로드를 대상으로 하는 정책에 대해 꺼져 있습니다.
• 정책에는 콘텐츠에 조건이 포함된 규칙이 있어야 합니다.
• 정책은 SharePoint, OneDrive, Exchange, Teams 및 디바이스(엔드포인트)를 제외한 이러한 워크로드 중 하나를 대상으로 해야 합니다.

동일한 자격 상태 DLP 정책 목록 페이지에 표시됩니다. 자격 열은 DLP 심사 에이전트를 사용하도록 설정하고 설정할 때 나타납니다. 정책이 에이전트 scope 포함되면 범위가 지정된 정책에 대한 향후 경고만 확인됩니다. 이미 심사되었거나 이미 생성된 기존 경고는 영향을 받지 않습니다.

에이전트 일시 중지

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 일시 중지하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 개요 페이지의 오른쪽 위 모서리에서 에이전트 편집 단추 옆에 있는 타원(점 3개)을 선택합니다.
6. 에이전트 비활성화를 선택합니다. 에이전트를 일시 중지하면 에이전트가 경고를 심사하지 못하게 됩니다. 에이전트를 제거하지 않으며 경고 시간 범위 선택 참조 시점을 다시 설정하지 않습니다.

에이전트 제거

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 일시 중지하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 개요 페이지의 오른쪽 위 모서리에서 에이전트 편집 단추 옆에 있는 타원(점 3개)을 선택합니다.
6. 에이전트 제거를 선택합니다. 에이전트를 제거하면 Microsoft Purview에서 삭제됩니다. 다시 사용하려면 에이전트 사용 및 에이전트설정 절차를 다시 수행해야 합니다. 에이전트를 제거하면 경고 시간 범위 참조 지점 선택 시간이 다시 설정됩니다.

에이전트 편집

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 편집하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 편집을 선택합니다. 그러면 에이전트 편집 페이지가 열립니다.
6. 트리거를 선택합니다.
7. 여기서는 에이전트가 실행될 때 에이전트가 한 번에 하나의 경고에서 수동으로 실행 되거나 에이전트가 설정된 일정에 따라 자동으로 실행될 때 변경할 수 있습니다.
8. 편집을 선택하여 경고 기간 선택 값과 에이전트가 경고를 심사할 정책을 변경합니다.
9. 에이전트가 한 번에 하나의 경고에서 수동으로 실행되도록 선택하는 경우 솔루션에 대한 경고 페이지에서 단일 경고를 선택할 수 있습니다. 토글을 경고 심사 에이전트 미리 보기 로 설정하고 에이전트 실행을 선택합니다.
10. 원하는 경우 사용자 지정 명령을 변경할 수도 있습니다.
11. 필요에 따라 정책 범위를 변경할 수도 있습니다.

SCU 사용 모니터링

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 왼쪽 탐색 창에서 에이전트를 선택합니다.
3. 에이전트 탐색을 선택합니다.
4. 편집하려는 에이전트에 대한 에이전트 보기를 선택합니다. 그러면 에이전트 개요 페이지가 열립니다.
5. 에이전트 편집을 선택합니다. 그러면 에이전트 편집 페이지가 열립니다.
6. 사용량 모니터링을 선택합니다.
7. 사용 모니터링 도구에서 SCU 사용량을 추적할 수 있습니다.

경고 페이지 개요

1. 필요한 권한이 있는 계정으로 Microsoft Purview 포털에 로그인합니다.
2. 심사된 경고를 보려는 솔루션을 엽니다.
3. 솔루션에 대한 경고 페이지를 엽니다.
4. 페이지의 오른쪽 위 영역에는 경고 페이지의 Standard 보기와 경고 페이지의 심사 에이전트 보기 중에서 선택할 수 있는 새로운 토글이 있습니다. 토글을 심사 에이전트 보기로 설정합니다. 이 보기는 에이전트에서 심사한 경고를 보여 줍니다. 경고는 에이전트별로 다음 네 가지 범주로 그룹화됩니다.

• 모두
• 주의 필요
• 덜 긴급
• 분류되지 않음

심사된 경고에 대한 피드백

중요한 정보 유형 또는 에이전트가 향후 평가에서 성능 향상에 사용해야 하는 파일 경로 와 같은 속성을 추가할 수도 있습니다. 이러한 속성은 미리 보기에서 지원됩니다.

• User email address: 경고를 트리거한 활동을 수행한 사용자
• External recipient email address: 외부 받는 사람과의 Exchange 전자 메일 또는 Teams 상호 작용에 의해 트리거되는 경고를 추적하려면
• Sensitive information type: 테넌트 내의 모든 SIT를 표시하며 경고를 트리거하는 정책 규칙에 관련된 SIT가 미리 선택됩니다.
• Trainable classifier: 모든 학습 가능한 분류자를 표시합니다. 경고를 트리거하는 정책 규칙에 관련된 학습 가능한 분류자가 미리 선택됩니다.
• Sensitivity label: 테넌트에서 표시되는 레이블
• File path: 경고가 파일과 관련이 있고 파일 경로를 사용할 수 있는 경우 엔드포인트 DLP(디바이스) 경고에 대해 파일 경로가 사용하도록 설정되지 않았지만 경고 심사 시 전체 파일 증거가 사용하도록 설정되지 않았습니다.
• Target domain: 대상 도메인이 있는 디바이스(엔드포인트) DLP 경고의 경우

1. 주의 필요 또는 덜 긴급한 경고를 선택합니다. 그러면 에이전트가 제공한 요약 및 기타 설정이 포함된 플라이아웃이 열립니다.
2. 에이전트 피드백을 선택합니다.
3. 수정 항목 필드에는 재분류 값이 표시됩니다.
4. + 속성 추가를 선택하고 하나 이상의 속성을 추가합니다. 추가된 속성은 심사 성능을 향상시키는 데 사용됩니다.
5. 모든 정책에 피드백을 적용하려면 해당 옵션을 선택합니다. 그렇지 않으면 경고가 트리거된 정책에만 피드백이 적용됩니다.
6. 검토를 선택하여 변경 내용의 요약을 확인합니다.
7. 제출을 선택하여 피드백을 저장합니다.
8. 현재 경고는 즉시 변경되지 않습니다. 관리 제공된 피드백에 따라 분류를 변경하려면 경고에 대한 심사 패스를 수동으로 실행해야 합니다.

피드백 관리

피드백 내보내기, 편집 및 삭제를 포함하여 심사된 경고에 대해 지정된 모든 피드백을 보고 관리할 수 있습니다.

1. 경고에 대한 솔루션에서 경고 페이지를 엽니다.
2. 주의 필요 또는 덜 긴급한 범주를 선택합니다.
3. 피드백을 관리하려는 경고를 선택합니다.
4. 에이전트 피드백을 선택합니다.
5. 모든 피드백 보기를 선택합니다.
6. 관리하려는 경고 및 피드백 항목을 선택합니다.
7. 필요에 따라 피드백을 편집, 삭제 또는 내보냅니다.

피드백 충돌 해결

피드백 충돌은 여러 관리자가 서로 다른 경고에서 동일한 사용자 및 정책 조합에 대해 충돌하는 피드백을 제공할 때 발생할 수 있습니다. 피드백 충돌로 오류가 발생합니다.

예시:

• 관리 1은 사용자 A 및 정책 P에 대한 경고인 경우 모든 경고의 분류를 덜 긴급으로 변경하는 피드백을 제공합니다.
• 관리 2는 경고가 사용자 A 및 정책 P에 대한 경고인 경우 경고의 분류를 주의 필요로 변경하는 피드백을 제공합니다.

피드백 충돌을 resolve 피드백 충돌 해결을 참조하세요.

기타 고려 사항

• 경고 수의 경우 일치하는 단일 instance 사용하도록 설정된 경고만 계산됩니다. 임계값 시나리오(예: 지난 24시간 동안 10개의 일치 항목이 있는 경우 경고 생성)에 대해 경고가 생성되는 경우 이러한 경고는 계산되지 않습니다.

다음 단계

심사된 경고를 검토하는 방법에 대한 자세한 내용은 솔루션 관련 문서를 참조하세요.

• 데이터 손실 방지 경고 조사에 대해 알아보기

• 데이터 손실 방지 경고 dashboard 시작

• 경고 심사 에이전트 dashboard(미리 보기)

• 참가자 위험 관리를 위한 지표 및 경고 심사 에이전트