Microsoft Purview 데이터 손실 방지 Just-In-Time 보호 시작

정책 평가가 성공적으로 완료되기를 기다리는 동안 엔드포인트 DLP(데이터 손실 방지 ) JIT(Just-In-Time) 보호를 사용하여 모니터링되는 파일에서 송신 활동을 감지하고 차단할 수 있습니다.

JIT는 보호된 파일에서 이러한 사용자 활동을 감사하고 차단합니다.

• 이동식 미디어에 복사
• 네트워크 공유에 복사
• 인쇄
• RDP(원격 데스크톱 프로토콜)를 사용하여 복사 또는 이동
• 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동
• 클립보드에 복사: 기본적으로 JIT 감사
• 제한된 클라우드 서비스 도메인에 업로드

모든 사용자 활동이 감사되는 디바이스에 대해 JIT를 사용하도록 설정하면 정책의 scope 않은 사용자의 활동도 감사됩니다. 정책 scope 있는 사용자에 대해 송신 활동이 감사되고 차단됩니다.

용어

다음 용어를 숙지해야 합니다.

• JIT 후보 파일: 분류되지 않은 파일 또는 부실 정책으로 마지막으로 분류된 파일입니다.
• JIT 감사: JIT 후보 파일의 경우 엔드포인트 DLP는 활동 탐색기에서 JIT 트리거 가 true로 설정되고 적용 모드 가 감사로 설정된 이벤트를 생성합니다.

엔드포인트 DLP는 다음을 수행하지 않습니다.

• 사용자 활동 차단

• DLPRuleMatch 이벤트를 생성하지 않음

• 경고 생성

• JIT 블록: JIT 후보 파일의 경우 Endpoint DLP는 작업을 차단하고 JIT 트리거 가 true로 설정되고 적용 모드 가 차단으로 설정된 경우 활동 탐색기에서 이벤트를 생성 합니다. 엔드포인트 DLP이지만 DLPRuleMatch 이벤트를 생성하지 않으며 경고를 생성하지 않습니다.

• JIT 진행 중 알림: JIT에 대한 scope 사용자가 JIT 후보 파일에서 송신 작업을 시도할 때 Endpoint DLP는 송신 활동을 차단하고 알림 메시지를 표시할 수 있습니다. 이 알림은 진행 중인 JIT 알림이라고 합니다.
• JIT 평가 완료 알림: Endpoint DLP가 JIT 후보 파일에 대한 정책 평가를 완료하면 Endpoint DLP는 사용자에게 알리는 알림 메시지를 표시합니다. 이 알림을 JIT 평가 완료 알림이라고 합니다.

적용 대상

엔드포인트 DLP에 대한 JIT 보호는 기본적으로 다음 디바이스에서 지원됩니다.

• Windows 10
• Windows 11
• macOS(최신 버전 3개)

Just-In-Time 보호 배포 모범 사례

1단계: 환경 준비

Just-In-Time 보호를 배포하려면 먼저 맬웨어 방지 클라이언트 버전 4.18.23080 이상을 배포해야 합니다. Just-In-Time 보호 최종 사용자 환경 이 4.18.25080 이상에서 개선되었습니다.

1. 필요한 맬웨어 방지 클라이언트가 있는 디바이스를 확인하려면 보안 포털>조사 & 응답>고급 헌팅으로 이동하여 이 쿼리를 실행합니다.

DeviceRegistryEvents     | where InitiatingProcessVersionInfoInternalFileName == "MsMpEng.exe"         and Timestamp >= ago(60d)     | summarize arg_max(Timestamp, *) by DeviceId     | distinct DeviceName, DeviceId, vTimeStamp = Timestamp, AntiMalwareClientVersion = InitiatingProcessVersionInfoProductVersion     | extend Meet_Minimum_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.23080") // whether the device has required minimum JIT version         | extend Meet_Latest_JIT_Version = strcmp(AntiMalwareClientVersion, "4.18.25080") // whether the device has latest JIT improvement     | project DeviceId, Meet_Latest_JIT_Version, Meet_Minimum_JIT_Version, AntiMalwareClientVersion     | summarize dcount(DeviceId) by AntiMalwareClientVersion // distribution of AntiMalwareClientVersion    // | summarize dcount(DeviceId) by Meet_Minimum_JIT_Version //how many devices meet minimum JIT version    // | summarize dcount(DeviceId) by Meet_Latest_JIT_Version //how many devices meet latst JIT improvements     | order by dcount_DeviceId desc

다음은 쿼리 출력의 예입니다.

데이터 손실 방지>진단 페이지로 이동하여 특정 디바이스가 JIT 필수 구성 요소를 충족했는지 여부를 검사 카드 작동하지 않는 엔드포인트 DLP를 선택할 수도 있습니다.

2단계: JIT 보호 배포

1. Microsoft Purview 포털에 로그인합니다.

2. 설정>데이터 손실 방지>Just-In-Time 보호를 선택합니다.

3. 모니터링할 위치 선택에서 디바이스 옆의 확인란을 선택합니다.

4. 오류가 발생한 경우 대체 작업에서사용자가 작업을 완료할 수 있도록 허용을 선택합니다. 이렇게 하면 분류가 실패할 경우 사용자 작업을 완료할 수 있습니다.

1. 오류가 발생한 경우 대체 작업에서사용자가 작업을 완료할 수 있도록 허용을 선택합니다. 이렇게 하면 분류가 실패하는 경우 사용자가 작업을 완료할 수 있습니다.

이벤트 수가 안정되고 다음 원격 분석 계산에 따라 적용 모드를 적용하려는 사용자 그룹의 가능한 크기를 잘 이해할 때까지 각 단계에서 설정의 유효성을 검사해야 합니다.

3단계: 배포에 대한 JIT 보호 이벤트 수 예측

활동 탐색기의 이벤트를 기반으로 다음 계산을 수행하여 JIT 보호 배포의 영향을 예측합니다.

• N = JIT 보호 이벤트를 발생 하는 고유 컴퓨터의 수입니다.
• S = 배포 scope 내의 총 컴퓨터 수입니다.

N/S 는 JIT 보호 "블록" 이벤트가 발생할 수 있는 컴퓨터의 비율을 생성합니다.

이 정보를 사용하면 scope 확장할 때 JIT 블록 모드를 구현하여 영향을 받는 컴퓨터의 수와 볼 수 있는 지원 티켓 수를 알아야 합니다. 그런 다음 scope 확장할지 여부를 결정할 수 있습니다.

4단계: 다른 추가 설정을 통해 JIT 보호 미세 조정

1단계에서 설명한 대로 오류 발생 시 대체 외에도 다음 설정을 사용하여 JIT 보호를 미세 조정할 수도 있습니다.

• 클립보드에 복사 제어: JIT 보호가 파일을 평가하는 동안 사용자가 클립보드에 콘텐츠를 복사하지 못하도록 하려면 이 기능을 켭니다.

• Windows용 앱 제외: 여기에 포함된 앱은 Windows 디바이스에서 JIT 보호를 통해 평가되지 않습니다.
• Mac용 앱 제외: 여기에 포함된 앱은 macOS 디바이스에서 JIT 보호를 통해 평가되지 않습니다.
• 파일 확장명 제외: 여기에 확장이 추가된 파일은 JIT 보호를 통해 평가되지 않습니다.
• Windows용 파일 경로 제외: 이러한 위치의 파일은 JIT 보호를 통해 평가되지 않습니다.
• Mac용 파일 경로 제외: 이러한 위치의 파일은 JIT 보호를 통해 평가되지 않습니다.

이러한 모든 설정을 튜닝한 후 JIT 보호의 scope 변경하려면 2단계로 돌아갈 수 있습니다.

여기서 파일 경로 제외 설정과 데이터 손실 방지>설정엔드포인트 설정>>Windows에 대한 파일 경로 제외 설정의 차이점은 다음과 같습니다.

• 여기서 파일 경로 제외 설정 은 JIT 보호에서 특정 파일 경로만 제외합니다. 다른 모든 경우에서 Microsoft Purview는 여전히 엔드포인트 DLP 분류 및 해당 폴더의 파일에 대한 보호를 적용합니다.
• 데이터 손실 방지>설정엔드포인트 설정>> Windows용 파일 경로 제외를 통해 발견된Windows용 파일 경로 제외 설정은 Purview가 지정된 폴더 아래의 파일에 대해 엔드포인트 DLP 분류 및 보호를 적용하지 못하도록 합니다.
• 파일 확장명 제외: 이러한 확장명 파일이 JIT 보호를 통해 평가되지 않습니다.

5단계: '오류 발생 시 대체 작업' 설정에 대한 '사용자가 작업을 완료하지 못하도록 차단'에서 JIT 보호 배포

이 구성은 분류가 실패할 때 DLP가 적용하는 적용 모드를 제어합니다. JIT 후보 파일, JIT 블록 또는 JIT 감사에 대한 JIT 블록 또는 JIT 감사는 scope 제어하지 않습니다. 여기에서 어떤 값을 선택하든 관련 원격 분석은 활동 탐색기에 표시됩니다.

Just-In-Time 보호의 사용자 환경

이는 맬웨어 방지 클라이언트 버전 4.18.25080 이상에 대한 사용자 환경입니다.

각 활동에 대한 지원 다시 시작

정책 평가가 3초 이내에 완료되면 엔드포인트 DLP가 이러한 작업을 자동으로 다시 시작합니다.

• 이동식 미디어에 복사
• 네트워크 공유에 복사

정책 평가가 3초보다 오래 걸리는 경우 JIT 정책 평가 완료 알림이 표시되면 사용자가 작업을 반복해야 합니다.

엔드포인트 DLP가 정책 평가를 완료하면 사용자는 다음 작업을 반복해야 합니다.

• 인쇄
• RDP(원격 데스크톱 프로토콜)를 사용하여 복사 또는 이동
• 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동
• 클립보드에 복사: 기본적으로 JIT 감사

엔드포인트 DLP가 정책 평가를 완료한 후 사용자는 다음 작업을 반복해야 합니다.

• 인쇄
• RDP(원격 데스크톱 프로토콜)를 사용하여 복사 또는 이동
• 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동
• 클립보드에 복사: 기본적으로 JIT 감사

단일 파일에서 작업 수행

사용자가 단일 파일에서 작업을 수행하는 경우 엔드포인트 DLP는 다음과 같은 경우 JIT 감사 작업을 수행합니다.

• 사용자가 JIT 범위 설정에 없습니다.
• 활동에 대한 재정의가 있는 차단 또는 차단이 없습니다.
• 이 작업은 허용되는 프린터 또는 허용되는 이동식 미디어 또는 허용된 네트워크 공유 또는 허용된 웹 사이트에 대한 것입니다.
• 파일에 대한 정책 평가는 Endpoint DLP가 JIT 다시 시작을 지원하는 작업에 대해 5초 이내에 완료됩니다. 또는 Endpoint DLP가 JIT 다시 시작을 지원하지 않는 활동에 대해 2초 이내에 파일 평가가 완료되는 경우

엔드포인트 DLP는 알림(여전히 경고 없음)으로 활동을 차단하고 정책 평가가 5초 이상 걸리는 경우에만 JIT 블록을 적용합니다.

여러 파일에서 작업 수행

사용자가 여러 파일에서 동시에 작업을 수행하는 경우 엔드포인트 DLP는 다음과 같은 경우 JIT 감사 작업을 수행합니다.

• 사용자가 JIT 범위 설정에 없습니다.
• 수행된 작업에 대한 재정의가 있는 차단 또는 차단이 없습니다.
• 작업은 허용되는 프린터 또는 허용되는 이동식 미디어 또는 허용된 네트워크 공유에 대한 것입니다.

JIT 후보 파일의 경우 Endpoint DLP는 정책 평가를 트리거하고 다시 시작을 지원하는 활동에 대해 5초 이내에 정책 평가를 완료하는 파일에 대한 모든 알림을 통합하고 Endpoint DLP는 자동으로 활동을 다시 시작합니다. 활동이 다시 시작을 지원하지 않는 경우 Endpoint DLP는 정책 평가를 트리거하고 2초 이내에 정책 평가를 완료하는 파일에 대한 모든 알림을 통합합니다. 두 경우 모두 엔드포인트 DLP는 진행 중인 JIT 알림을 발생시키지 않으며 통합 알림에 최종 정책 평결만 표시합니다.