Data Loss Prevention Incident Response 분석가 워크플레이스

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기9분

    • Data Loss Prevention Incident Response (DLP IR) 분석가 작업 공간을 사용하여 DLP 인시던트를 확인합니다. 문제 해결 등을 위해 최종 사용자에게 인시던트를 할당합니다.

    DLP 작업 공간은 DLP 인시던트를 모니터링할 수 있는 대시보드, 목록 뷰 및 양식 뷰가 있는 홈페이지로 구성됩니다.

    그림 1. DLP 작업 공간 개요 페이지
    DLP 작업 공간 개요 페이지입니다.

    DLP 인시던트 검토 및 할당

    Data Loss Prevention Incident Response DLP 인시던트를 검토하고 할당하거나 해결할 수 있도록 (DLP IR) 분석가 작업 공간에 액세스합니다. 심각도별 인시던트 추세, 상위 공격자, 스캔 소스별 인시던트 및 정책별 인시던트를 추적할 수 있습니다.

    시작하기 전에

    필요한 역할:
    • sn_dlir.analyst - DLP 인시던트를 편집하고 봅니다.
    • sn_dlir.analyst_read 및 sn_dlir.read - DLP 인시던트를 봅니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 인시던트 관리 > DLP 분석가 워크플레이스레이블이 표시됩니다.
      DLP 작업 공간 내 인시던트 ops 목록 페이지가 새 탭에서 열립니다.
    2. DLP Workspace 홈 아이콘을 클릭하여 Workspace 홈페이지 뷰를 봅니다.
    3. 대시보드 위젯을 검토하여 심각도별 인시던트별 추세, 상위 공격자, 스캔 소스별 인시던트 및 정책별 인시던트를 식별합니다.
    4. 홈페이지에서 해당 필터를 클릭하여 다양한 범주별로 위젯을 봅니다.
      필터 설명
      미해결 인시던트 열려 있는 인시던트를 모두 확인합니다.
      지연된 중요 인시던트 위험 심각도 레이블이 있고 기한이 지난 인시던트를 봅니다.
      최종 사용자에게 할당된 인시던트 최종 사용자에게 할당된 인시던트를 봅니다.
    5. 다음 두 가지 방법을 사용하여 DLP 인시던트를 검토하고 할당할 수 있습니다.
      1. 첫 번째 방법은 검토할 DLP 인시던트를 하나 이상 찾아 선택하고 인시던트 옆에 있는 확인란을 클릭하는 것입니다.
      2. 적절한 옵션을 선택합니다.
        옵션 설명
        목록 새로 고침 업데이트할 때 DLP 인시던트 목록을 새로 고치는 옵션입니다.
        목록 작업 수행할 수 있는 작업 목록입니다. 선택 항목은 다음과 같습니다.
        • 다른 이름으로 저장
        • 열 편집
        • 너비 재설정
        주:
        작업 공간에 대해 구성된 내 목록 섹션에서 생성된 사용자 지정 목록이 있는 경우 아래의 추가 목록 작업도 수행할 수 있습니다.
        • 이름 바꾸기
        • 저장
        • 삭제
        모두의 URL 복사 모든 DLP 인시던트의 URL을 복사하는 옵션입니다.
        필터 패널 표시 필터 옵션을 사용하여 필요한 인시던트를 드릴다운하는 옵션입니다.
        1. 페이지 왼쪽 위에 있는 필터를 클릭하고 고급 보기를 선택합니다.
        2. 기존 필터를 사용하거나 필드, 연산자 및 값을 포함하는 조건을 추가하여 필터를 직접 빌드합니다.
        3. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다.
          • AND를 선택하면 모든 조건이 일치해야 합니다.
          • OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.
        4. 업데이트를 클릭합니다.
        인시던트 할당 DLP 인시던트를 할당할 대상을 결정하는 작업입니다. 선택 항목은 다음과 같습니다.
        • 인시던트 할당 대상: 분석가, 최종 사용자 또는 다른 사람에게 인시던트를 할당하는 옵션입니다.
        • 사용자: 인시던트를 할당할 사용자를 결정하는 옵션입니다.
        • 인시던트 상태 사전 사용자 응답: 사용자가 응답하기 전에 인시던트의 상태를 결정하는 옵션입니다. 사용자 지정 상태일 수도 있습니다.
        • 평가 첨부: 인시던트에 평가를 첨부할지 여부를 나타내는 옵션입니다. 사용하도록 설정하면 아래 옵션을 사용할 수 있습니다.
          • 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다.
          • 인시던트 상태 사후 사용자 응답 사용자가 응답한 후 DLP 인시던트의 상태를 선택하는 옵션입니다.
        응답 인시던트 응답 옵션을 선택하여 인시던트에 응답합니다. 예를 들어 사용자가 DLP 정책을 위반하는 파일을 삭제하는 경우 사용자는 삭제된 파일 옵션을 선택하여 파일이 삭제되었다는 수동 승인을 제출하고 설명을 제공할 수 있습니다.

        여기에서 고급 응답 옵션을 선택할 수도 있습니다. 예를 들어 격리에서 이메일 해제 요청입니다.
        에스컬레이션 인시던트를 에스컬레이션하는 작업입니다. 인시던트를 에스컬레이션할 대상 사용자를 선택하여 인시던트를 에스컬레이션할 수 있습니다. 의견 필드에서 추가 정보를 확인할 수도 있습니다.
        상태 업데이트 인시던트의 상태를 업데이트하는 작업입니다. 드롭다운 옵션에서 상태 중 하나를 선택하여 인시던트의 상태를 업데이트할 수 있습니다. 사용자 지정 상태일 수도 있습니다.
        닫기 인시던트를 종료하는 작업입니다. 인시던트를 종결하기 전에 의견을 추가할 수도 있습니다.
      3. 두 번째 방법은 특정 DLP 인시던트를 클릭하여 여는 것입니다.
        • 상세 정보 탭: 다음 섹션을 표시합니다.
          • 상세 정보: 인시던트 번호, 심각도, 파일 이름 등과 같은 DLP 인시던트의 상세 정보를 볼 수 있습니다. 또한 심각도, 상태, 최종 사용자 및 DLP 분석가 그룹 필드를 각각 수정하고 저장할 수 있는 기능도 제공됩니다.
          • 작성: 모든 사람이 볼 수 있는 DLP 인시던트에 대한 설명을 추가하려면 설명 탭에 설명을 입력합니다. 특정 사용자에게 표시되는 의견을 추가하려면 작업 메모(비공개) 탭에 의견을 입력합니다.
          • 활동: DLP 인시던트에 대한 다양한 활동의 세부 정보를 볼 수 있습니다.
          • 첨부 파일: DLP 인시던트와 관련된 첨부 파일이 있는 경우 찾아보기를 클릭하고 로컬 드라이브에서 첨부 파일을 선택합니다.
        • 추가 상세 정보 탭: 사용자 지정 필드를 포함하여 DLP 인시던트에 대한 모든 추가 정보를 표시합니다.
          중요사항:
          • DLP 인시던트에 대한 사용자 지정 필드는 San Diego 버전 이상에서만 지원됩니다.
          • 추가 상세 정보 탭을 사용하여 특정 DLP 인시던트에 대해 사용자 지정 필드가 만들어졌는지 여부를 확인할 수 있습니다.
        • 사용자 지정 특성 탭: DLP 인시던트와 관련된 사용자 지정 특성 목록을 표시합니다.
        • 최종 사용자의 기타 인시던트: 동일한 최종 사용자의 인시던트를 표시합니다. 이 관련 목록에서 하위 인시던트로 추가 작업을 수행하여 인시던트를 통합할 수 있습니다.
        • 검색된 중요한 정보 유형: 인시던트에서 검색된 중요한 정보를 표시합니다.
          주:
          이 관련 목록은 Microsoft 또는 Symantec 통합을 위해 생성된 DLP 인시던트에만 표시됩니다. Microsoft 또는 Symantec 인시던트 기록 내에서 사용자가 탐지된 중요한 정보 유형 기록에 액세스할 때마다 해당 통합과 관련하여 강조 표시된 일치 컨텐츠가 표시됩니다.
        • 하위 인시던트: '하위 인시던트로 추가' 작업을 수행하여 수동으로 생성된 하위 인시던트 또는 DLP 통합 규칙에서 생성된 하위 인시던트를 표시합니다. 이 관련 목록에서 '하위 인시던트 연결 해제'를 수행하여 하위 인시던트의 연결을 해제할 수 있습니다.
        • 복제된 인시던트: 상위 인시던트에서 복제된 인시던트를 표시합니다. 양식 뷰에서 인시던트 복제 작업을 클릭하면 복제된 새 인시던트를 만들 수 있습니다.
        • 평가 탭: DLP 인시던트에 할당된 평가 목록을 표시합니다.
      4. 적절한 옵션을 선택합니다.
        옵션 설명
        인시던트 할당 DLP 인시던트를 할당할 대상을 결정하는 작업입니다. 선택 항목은 다음과 같습니다.
        • 인시던트 할당 대상: 분석가, 최종 사용자 또는 다른 사람에게 인시던트를 할당하는 옵션입니다.
        • 사용자: 인시던트를 할당할 사용자를 선택하는 옵션입니다.
        • 인시던트 상태 사전 사용자 응답: 사용자가 응답하기 전에 인시던트가 있어야 하는 상태를 선택하는 옵션입니다. 사용자 지정 상태일 수도 있습니다.
        • 평가 첨부: 인시던트에 평가를 첨부할지 여부를 나타내는 옵션입니다. 사용하도록 설정하면 아래 옵션을 사용할 수 있습니다.
          • 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다.
          • 인시던트 상태 사후 사용자 응답: 사용자가 응답한 후 DLP 인시던트가 있어야 하는 상태를 선택하는 옵션입니다.
        승인 취소 승인 요청을 취소하는 작업입니다.

        이 작업은 DLP 인시던트가 승인 보류 중 상태인 경우에만 양식 뷰의 분석가에게 표시됩니다. 사용 가능한 옵션은 다음과 같습니다.

        • 인시던트 할당 대상: 인시던트를 아무에게도 할당하지 않거나 분석가 또는 다른 사람에게 할당하지 않는 옵션입니다.
        • 사용자: 인시던트를 할당할 사용자를 선택하는 옵션입니다.
        • 취소 후 인시던트 상태: 요청을 취소한 후 인시던트의 상태를 선택하는 옵션입니다.
        • 설명: 취소에 대한 추가 상세 정보를 제공합니다.
        평가 할당 인시던트를 할당하는 동안 평가를 첨부하는 작업입니다. 선택 항목은 다음과 같습니다.
        • 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다.
        • 인시던트 상태 사후 사용자 응답: 사용자가 응답한 후 DLP 인시던트가 있어야 하는 상태를 선택하는 옵션입니다.
        파일 다운로드 위반 컨텐츠가 있는 파일 또는 이메일을 다운로드하는 작업입니다. 이 작업은 Microsoft OneDrive, SharePoint Online 또는 Exchange Online용으로 생성된 인시던트에 대해 수행할 수 있습니다.
        저장 변경 내용을 저장하는 작업입니다. DLP 인시던트의 심각도, 상태 및 최종 사용자 필드를 수정하고 저장할 수 있는 옵션이 있습니다.
        응답 인시던트 응답 옵션을 선택하여 인시던트에 응답합니다. 예를 들어 사용자가 DLP 정책을 위반하는 파일을 삭제하는 경우 사용자는 삭제된 파일 옵션을 선택하여 파일이 삭제되었다는 수동 승인을 제출하고 설명을 제공할 수 있습니다.

        여기에서 고급 응답 옵션을 선택할 수도 있습니다. 예: 격리에서 이메일 해제를 요청합니다.
        에스컬레이션 인시던트를 에스컬레이션하는 작업입니다. 인시던트를 에스컬레이션할 대상 사용자를 선택하여 인시던트를 에스컬레이션할 수 있습니다. 의견 필드에서 추가 정보를 확인할 수도 있습니다.
        클론 인시던트 인시던트 기록이 여러 사용자에게 영향을 주는 경우 클론 인시던트를 생성하는 작업입니다. 법무/IT 등 여러 이해 관계자에게 복제된 인시던트를 할당할 수 있습니다.

        클론 인시던트 기록을 생성하면 상위 DLP 인시던트 아래에 새 클론된 인시던 트 탭이 생성되고 모든 클론된 인시던트가 이 보기에 나열됩니다.

        주:
        • 상위 DLP 인시던트 기록이 종결되면 복제된 모든 인시던트 기록이 자동으로 종결됩니다.
        • DLP 인시던트 기록에 복제된 인시던트가 포함된 경우 최종 사용자에게 할당할 수 없습니다. 상위 DLP 인시던트 기록은 분석가 역할이 있는 사용자만 관리할 수 있습니다.
        • 기본 구성 모듈에서 복제된 인시던트의 상태에 따라 상위 상태를 자동으로 업데이트하는 옵션도 있습니다. 예를 들어, 복제된 모든 인시던트가 에스컬레이션됨 상태로 이동하면 상위 인시던트도 에스컬레이션됨 상태로 이동합니다.
        닫기 인시던트를 종료하는 작업입니다. 인시던트를 종결하기 전에 의견을 추가할 수도 있습니다.
        긍정 오류로 종결 인시던트를 긍정 오류로 종결하는 작업입니다. 인시던트를 종결하기 전에 코멘트를 추가할 수도 있습니다.
        그림 2. DLP 분석가 워크플레이스
        DLP 분석가 작업 공간의 상세 정보 보기
    6. 홈페이지의 왼쪽 상단으로 이동하여 목록 탭을 클릭하면 홈페이지에서 목록 뷰를 볼 수 있습니다.
      목록 범주는 DLP 인시던트에 대한 기본 및 사용자 지정 목록 페이지로 구성됩니다.
      • 목록: DLP 인시던트에 대한 기본 목록입니다. 다음은 기본 목록입니다.
        • 모두
        • 오픈
        • 내 인시던트
        • 내 그룹에 할당
        • 에스컬레이션됨
        • 지연
        • 보류 중인 평가
        • 사용자 작업 보류 중
        • 클론된 인시던트
        • 보관된 인시던트
      • 내 목록: 이름을 바꾼 목록과 사용자가 만든 모든 목록을 표시합니다.
      다음 예제에서는 목록 보기 범주가 있는 DLP 작업 영역을 보여 줍니다. 모든 목록 뷰 옵션이 선택됩니다.
      그림 3. DLP 분석가 작업 공간 목록 뷰
      DLP 분석가 작업 공간 목록 뷰

    보관된 DLP 인시던트 보기

    DLP 분석가 작업 영역을 사용하여 보관된 DLP 인시던트 보기

    시작하기 전에

    필요한 역할:
    • sn_dlir.analyst - DLP 인시던트를 편집하고 봅니다.
    • sn_dlir.analyst_read 및 sn_dlir.read - DLP 인시던트를 봅니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 인시던트 관리 > DLP 분석가 워크플레이스레이블이 표시됩니다.
      기본적으로 내 인시던트 섹션이 표시됩니다.
    2. 보관된 인시던트를 클릭합니다.
      보관된 DLP 인시던트 목록이 표시됩니다.
    3. 인시던트 수 표시 버튼을 클릭하여 보관된 인시던트 수를 확인합니다.
      주:
      • 기본적으로 보관된 인시던트 수는 목록 로드 시간을 개선하기 위해 숨겨져 있습니다. 인시던트 수를 보려면 인 시던트 수 표시 버튼을 클릭해야 합니다. 또한 인시던트 수를 보여주는 정보 메시지가 표시됩니다.
      • 시스템 속성 glide.ui.list.seismic.omit.count는 보관된 인시던트에 대해 기본 시스템에서 활성화되어 인시던트 목록 카운트를 숨깁니다.
    4. 보려는 DLP 인시던트를 하나 이상 선택합니다.
      DLP 인시던트에 인시던트 세부 정보 섹션이 표시됩니다.
      주:
      • 최종 사용자의 기타 인시던트 탭에도 보관된 인시던트가 포함됩니다.
      • 컨텐츠 일치 는 보관된 모든 인시던트(모든 통합에서도 지원됨)에 대해 지원되지만 파일 다운로드 는 Microsoft 통합에 대해서만 지원됩니다.