08Out of the Box — My Organization과 정책Out of the Box — My Organization과 정책

DLP 환경의 첫 단계는 기본 제공 정책으로 자동 검사를 켜되, 규칙을 모두 Detect 로 두는 것입니다. Check Point 전문가 휴리스틱과 각종 규제 준수에 기반한 검사가 곧바로 돌지만, 사용자를 방해하지 않으면서 사용 양상을 관찰하고 우리 조직의 실제 필요를 파악 할 수 있습니다. 경험에 기반한 심각도 등급과 Logs & Events로 핵심 유출을 찾아내며, 이해가 쌓이면 차단(Prevent)으로 옮겨 갑니다(규칙 만들기).

DLP의 상세 설정은 Security Policies > Shared Policies > DLP 에서 Open DLP Policy in SmartDashboard 로 들어가는 DLP 탭에 모여 있습니다. 핵심 페이지는 Policy(규칙 베이스 관리), Whitelist Policy(절대 매칭하지 않을 파일), Data Types(보호 대상 데이터 정의), Repositories(지문·화이트리스트 저장소), My Organization(내부 환경 정의), Gateways(블레이드·Exchange Agent), UserCheck 입니다. 여기에 Additional Settings 의 Protocols·Mail Relay·Email Addresses·Watermarks·Advanced 와, 별도 탭의 HTTPS Inspection이 더해집니다.

기본적으로 My Organization은 DLP Gateway의 내부 인터페이스 뒤에 있는 모든 호스트·네트워크 와, Management Server에 정의된 특정 사용자·그룹·LDAP 그룹의 모든 사용자 를 포함합니다. 여기에 우리 이메일 도메인과 특정 주소 를 더하는데, 도메인을 넣을 때는 @ 없이 example.com 형태로 적고, 그러면 하위 도메인까지 자동 포함 됩니다(jsmith@uk.example.com 도 내부로 인정). SMTP는 도메인이 My Organization에 있고 보낸 IP도 내부 인터페이스/네트워크일 때 내부로 간주됩니다.

사용자·그룹은 보통 외부 LDAP(Active Directory)로 관리하지만, LDAP를 쓰지 않거나 LDAP에 없는 사용자를 정의해야 할 때는 DLP 탭에서 내부 사용자 계정을 직접 추가 할 수 있습니다.

정책이 잡은 사건은 Logs & Events > Logs > Queries > DLP 에서 봅니다. DLP 로그는 필터링하기 좋게 분류 돼 있고, DLP Log Details 창에서 사건을 읽기 쉬운 형태로 보며 Data Type이나 SmartConsole의 DLP 탭으로 바로 이동할 수 있습니다. 다듬고 싶거나 동작이 최선인지 의심스러운 사건·Data Type·규칙에는 Follow Up 플래그 를 달아 두면 나중에 모아 보기 편합니다. R80부터 SmartEvent의 분석 뷰가 Logs & Events에 통합돼, 필터·차트·통계 로 사건을 분석할 수 있습니다.