목차/08. Out of the Box — My Organization과 정책

08Out of the Box — My Organization과 정책Out of the Box — My Organization과 정책

DLP는 설치 첫날부터 쓸 만한 정책 으로 시작해 점차 다듬어 가는 제품입니다. 이 장은 그 출발점인 Out of the Box 환경에서 시작해, DLP 설정이 모여 있는 SmartDashboard의 DLP 탭, 내부와 외부를 가르는 My Organization 정의, 데이터를 보호하는 DLP 정책의 구조와 동작, 그리고 잡힌 사건을 살펴보는 인시던트 감사·분석 까지를 빠짐없이 정리합니다. 원문이 표와 절차 목록으로 나열한 내용을 그대로 담되, 왜 그렇게 쓰는지를 풀어 두어 처음 다루는 사람도 따라갈 수 있게 했습니다.

기본 환경 — 탐지부터 시작한다

DLP 환경의 첫 단계는 기본 제공(Out of the Box) Data Loss Prevention 정책 을 그대로 쓰는 것입니다. 설치하자마자 의미 있는 검사가 돌기 시작하지만, 사용자를 방해하지 않으면서 우리 조직의 실제 필요를 파악하는 데 초점을 둡니다. 이 단계의 성격은 세 가지로 요약됩니다.

  • 자동 검사가 곧바로 동작합니다. 데이터에 대한 자동 검사는 Check Point의 내장 전문가 휴리스틱(built-in expert heuristics) 과 각종 규제 준수(compliance) 기준에 기반합니다. 따로 규칙을 만들지 않아도 신용카드 번호, 개인정보, 규제 문서 같은 흔한 위반을 잡아냅니다.
  • 규칙은 모두 Detect로 둡니다. 조직 구성원은 일상 업무의 일부로 데이터를 주고받고, DLP는 정책 규칙에 맞는 전송을 인시던트(incident)로 잡습니다. 이 단계에서는 규칙의 동작을 Detect(탐지·기록) 로 설정합니다. 그러면 사용 양상을 관찰하고 우리 조직의 구체적인 필요를 이해 하면서도 사용자의 업무를 끊지 않습니다.
  • 경험에 기반해 데이터를 감사합니다. 경험에서 도출된 심각도 등급(severity rating)Logs & Events 추적을 활용해 핵심적인 데이터 유출을 찾아냅니다. 이해가 쌓이면 일부 규칙을 차단(Prevent)으로 옮겨 갈 수 있습니다.

SmartDashboard의 DLP

DLP의 상세 설정은 SmartConsole이 아니라 별도의 SmartDashboard 화면에 모여 있습니다. 여는 방법은 다음과 같습니다.

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택합니다.
  2. Open DLP Policy in SmartDashboard 를 클릭합니다.
  3. SmartDashboard가 열리고 DLP 탭 이 나타납니다.

DLP 탭의 주요 페이지

DLP 탭에는 다음 페이지들이 있습니다. 각 페이지가 무엇을 다루는지 알아 두면 설정 위치를 헤매지 않습니다.

페이지하는 일
PolicyData Loss Prevention 정책의 규칙 베이스(rule base)를 관리합니다.
Whitelist PolicyDLP 규칙 베이스가 절대 매칭하지 않을 파일 을 관리합니다.
Data Types보호할 데이터 자산의 표현(representation)을 정의합니다(데이터 타입).
Repositories지문(fingerprint) 저장소와 화이트리스트(whitelist) 저장소를 관리합니다. 지문 저장소에는 조직 밖으로 나가면 안 되는 문서 가, 화이트리스트 저장소에는 나가도 되는 문서 가 들어갑니다.
My Organization내부 환경 — 네트워크, 사용자, 이메일 주소, VPN 커뮤니티 — 을 정의합니다.
GatewaysCheck Point Security Gateway에서 Data Loss Prevention 소프트웨어 블레이드를 켭니다. DLP GatewayExchange Agent 를 정의할 수 있습니다. Exchange Agent는 Exchange Server에 Exchange Security Agent를 설치하면 Microsoft Exchange 클라이언트 사이의 내부 이메일까지 검사 하게 해 줍니다. 이 표에는 게이트웨이·Exchange Agent의 상태, 가동 시간, 검사 항목 수, 버전, CPU 사용률, 코멘트가 표시되며, SmartView Monitor에서 이를 그래프로도 볼 수 있습니다.
UserCheck규칙 베이스에서 쓰는 UserCheck 객체를 관리합니다. UserCheck는 보안에 위험할 수 있는 결정을 사용자가 잘 내리도록 돕고, 웹 애플리케이션·사이트에 대한 변화하는 인터넷 정책을 실시간으로 사용자와 공유 합니다(UserCheck).

Additional Settings 안의 페이지

DLP 탭의 Additional Settings 를 펼치면 다음 보조 설정이 나옵니다.

페이지하는 일
Protocols개별 DLP Gateway에서 검사할 프로토콜을 켭니다.
Mail Relay알림 이메일을 보내기 위한 DLP용 메일 서버를 설정합니다.
Email Addresses or DomainsDLP 규칙과 Data Type에서 쓸 이메일 주소 목록과 도메인을 관리합니다.
Watermarks이메일 첨부로 나가는 Microsoft Office 문서(Office 2007 이상의 Word·Excel·PowerPoint)에 보이는 워터마크 또는 보이지 않는 암호화 텍스트 를 넣어 추적하는 옵션을 설정합니다. 외부로 나가는 메일과 내부 메일 모두에 적용됩니다(워터마크와 미세 조정).

Advanced 페이지에서는 다음과 같은 세부 동작을 다룹니다.

  • Incident Tracking — 인시던트 비율을 계산하려고 모든 이메일을 로그로 남길지, 아니면 DLP 인시던트만 남길지 정합니다.
  • Email Notifications — 선택한 프로토콜에서 DLP 위반이 발생한 뒤 사용자에게 알릴지 정합니다.
  • Learn User Actions — DLP가 한 스레드(thread)의 모든 메시지에 대해 Ask User 답변을 학습할지, 아니면 메시지가 규칙을 위반할 때마다 매번 물을지 정합니다.
  • Extreme Conditions — 극단적 상황에서 DLP의 SMTP·FTP·HTTP 검사를 건너뛰고 연결성을 우선 할지 정합니다. 해당 상황은 CPU 부하가 high CPU load watermark 를 넘는 경우 와, 그 밖의 극단적 조건 — 내부 오류, 프로토콜 메시지 크기가 기본값 초과, 첨부 파일 크기가 기본값 초과, 아카이브 깊이(archive depth)가 기본값 초과 — 입니다. 필요하면 이 기본값들을 바꿀 수 있습니다(고급 구성).
  • Watermarks — DLP 규칙에 워터마크를 적용할지, 그리고 이미 워터마크가 있는 문서를 어떻게 처리할지 정합니다.

HTTPS Inspection (별도 탭)

마지막으로 HTTPS Inspection 은 별도 탭에 있으며, 기업 네트워크에서 외부 목적지로 나가는 HTTPS / SSL 트래픽 의 검사를 설정합니다(HTTPS 검사).

My Organization 정의 — 내부와 외부 가르기

DLP의 모든 판단은 무엇이 내부이고 무엇이 외부인지 에서 출발합니다. My Organization 페이지가 바로 그 경계를 정합니다. 이 페이지는 DLP가 데이터 유출이 문제되지 않는 내부 네트워크의 데이터 이동 으로 인식하는 것과, 전송을 감시해야 하는 외부 를 보여 줍니다.

기본적으로 My Organization은 DLP Gateway의 내부 인터페이스 뒤에 있는 모든 호스트와 네트워크 를 포함합니다. 또한 Security Management Server에 정의된 특정 사용자, 사용자 그룹, 그리고 LDAP 그룹의 모든 사용자 도 포함합니다.

기본적인 추가 절차는 다음과 같습니다.

  1. My Organization 을 클릭합니다.
  2. Email Addresses 영역에 도메인이나 특정 이메일 주소를 입력합니다.
  3. Add 를 클릭합니다.

이메일 주소와 도메인 추가하기

My Organization에 포함될 DLP 내부 도메인과 특정 이메일 주소 를 지정합니다. 원격 사무실·지사를 My Organization의 일부로 넣으려면 그 도메인을 추가하면 됩니다. 또한 일반적인 데이터 공유에 안전한 이메일 주소를 추가할 수 있습니다.

직원이나 관리자의 개인 이메일 주소는 추가하지 마세요 . 기밀 데이터를 집으로 가져가는 것은 나쁜 관행이므로 권장하지 말고 결국에는 차단해야 합니다.

도메인·주소를 추가할 때 알아 둘 점이 있습니다.

  • 도메인을 추가할 때는 @ 기호를 쓰지 않습니다 . 올바른 예는 다음과 같습니다.
  
  • 도메인을 추가하면 하위 도메인(sub domain)까지 모두 포함 됩니다. 예를 들어 도메인이 example.com 이면 jsmith@uk.example.com 같은 주소도 My Organization의 일부로 간주됩니다.
  • SMTP 트래픽은 이메일의 도메인이 My Organization에 지정돼 있고, 보낸 사람의 IP 주소가 My Organization에 지정된 인터페이스/네트워크일 때 내부로 간주됩니다.

도메인과 이메일 주소를 추가하는 전체 절차는 다음과 같습니다.

  1. SmartConsole에서 Data Loss Prevention 탭을 엽니다.
  2. My Organization 을 클릭합니다.
  3. Email Addresses 영역에 도메인이나 특정 이메일 주소를 입력합니다.
  4. Add 를 클릭합니다.

사용자 관리

대부분의 조직은 사용자·사용자 그룹을 외부 LDAP 서버(예: Active Directory)로 관리합니다. 하지만 LDAP를 쓰지 않거나 LDAP에 없는 사용자를 다뤄야 할 때를 위해 DLP는 내부에서 직접 사용자를 정의하는 길을 열어 둡니다.

내부 사용자 정의하기

다음과 같은 경우에는 규칙 베이스의 출발지(Source)나 목적지(Destination)로 쓸 내부 사용자 계정 을 직접 정의합니다.

  • 조직이 LDAP 서버를 쓰지 않을 때.
  • LDAP 서버에 없는 사용자를 정의하고 싶을 때.

개별 사용자 계정은 SmartConsole의 Data Loss Prevention 탭에서 추가합니다.

  1. SmartConsole로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 섹션에서 Configure in SmartDashboard 를 클릭합니다.
  5. User 섹션 > Users 를 펼칩니다.
  6. User 를 마우스 오른쪽 버튼으로 클릭하고 New User 를 선택합니다. User Properties 창이 열립니다.
  7. 사용자 계정을 정의합니다. 여기서 가장 중요한 항목은 이메일 주소 입니다. 이 주소가 있어야 DLP가 이메일 검사에서 해당 사용자를 인식합니다.

이렇게 추가한 사용자는 SmartConsole이 관리하는 다른 소프트웨어 블레이드에도 함께 추가됩니다.

내부 사용자 그룹 정의하기

DLP는 LDAP 서버의 그룹과는 다른 사용자 그룹이 필요할 때가 있습니다. 예를 들어 신규 입사자 는 조직 지침에 익숙해질 시간을 주려고 규칙을 Prevent 대신 Ask User 로 두는 그룹으로 묶을 수 있고, 임시 직원이나 퇴사 예정자 는 더 엄격한 규칙을 적용하는 그룹으로 묶을 수 있습니다.

  1. User 섹션 > User Groups 를 펼칩니다.
  2. User Group 을 마우스 오른쪽 버튼으로 클릭하고 New Group 을 선택합니다. New User Group 창이 열립니다.
  3. 그룹 이름을 정합니다.
  4. 이 그룹에 넣을 사용자, 사용자 그룹, 또는 외부 사용자 프로필을 선택하고 Add 를 클릭합니다.
  5. OK 를 클릭합니다.

My Organization에서 사용자 제외하기

Users 영역의 기본 옵션(Users, user groups and LDAP groups defined in the Security Management Server)이 선택돼 있으면, 이 정의에 예외(exclusion) 를 둘 수 있습니다. 예를 들어 CEO를 제외 하면 CEO는 검사 없이 어떤 데이터든 보낼 수 있습니다.

  1. SmartConsole로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 섹션에서 Configure in SmartDashboard 를 클릭합니다.
  5. Data Loss Prevention > My Organization 을 엽니다.
  6. Users 영역에서 All users > Exclusions 를 클릭합니다. Networks and Hosts 창이 열립니다.
  7. My Organization에서 제외할 항목을 목록에서 선택합니다.
  8. Add 를 클릭합니다.
  9. OK 를 클릭합니다.

네트워크 관리

기본적으로 My Organization은 DLP Gateway의 내부 인터페이스 뒤에 있는 것으로 정의된 네트워크, 네트워크 그룹, 호스트를 포함합니다. 규모가 큰 사이트에서는 내부 환경을 하나하나 정의하기보다 내부 인터페이스에 대한 예외를 정의하는 편 이 더 효율적일 때가 많습니다.

내부 네트워크 지정하기

특정 네트워크나 호스트에 이름을 지정해 My Organization을 정의하면, 이름을 지정하지 않은 내부 네트워크·호스트도 DLP가 내부로 간주 합니다.

  1. SmartConsole로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 섹션에서 Configure in SmartDashboard 를 클릭합니다.
  5. SmartConsole에서 Data Loss Prevention 탭을 엽니다.
  6. My Organization 을 클릭합니다.
  7. Networks 섹션에서 Select specific networks and host 옵션을 선택합니다.
  8. Edit 를 클릭합니다.
  9. Networks and Hosts 창에서 정의된 네트워크·호스트 목록 중 항목을 선택하고 Add 를 클릭합니다.
  10. My Organization을 정의하는 데 필요한 만큼 항목을 추가합니다.
  11. OK 를 클릭합니다.

My Organization에서 네트워크 제외하기

My Organization에서 기본 옵션(Anything behind the internal interfaces of my Security Gateways)이 선택돼 있으면, 내부 네트워크에 대한 예외를 정의할 수 있습니다. DLP는 예외로 지정한 네트워크·네트워크 그룹·호스트를 모두 Outside My Org(외부) 로 인식합니다. 따라서 이렇게 제외한 네트워크에서 보내는 데이터를 검사하려면, 규칙의 기본 출발지(Source)를 My Org에서 해당 네트워크 객체로 바꿔야 합니다.

  1. SmartConsole로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 섹션에서 Configure in SmartDashboard 를 클릭합니다.
  5. My Organization 을 클릭합니다.
  6. Networks 섹션에서 Anything behind the internal interfaces of my DLP Gateways 를 선택하고 Exclusions 를 클릭합니다. Networks and Hosts 창이 열립니다.
  7. My Organization에서 제외할 항목을 목록에서 선택합니다.
  8. Add 를 클릭합니다.
  9. OK 를 클릭합니다.

VPN 관리

My Organization의 VPN에서 Remote Access 커뮤니티Office Mode에서만 지원 됩니다. 내부 VPN을 정의해 My Organization에 포함하거나 제외할 수 있습니다.

Remote Access 커뮤니티 지원을 위한 Office Mode 설정

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. Security Gateway 창이 열리며 General Properties 페이지가 나타납니다.
  2. 탐색 트리에서 VPN Clients > Office Mode 를 클릭합니다.
  3. Perform Anti spoofing on Office Mode addresses 를 선택합니다.
  4. Additional IP Addresses for Anti-Spoofing 에서 해당 네트워크 객체를 선택합니다.
  5. OK 를 클릭합니다.
  6. SmartConsole 세션을 Publish 합니다.

VPN 트래픽을 My Organization에 포함하기

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭이 나타납니다.
  2. 탐색 트리에서 My Organization 을 클릭합니다.
  3. VPN 섹션에서 All VPN traffic 이 선택돼 있는지 확인합니다.
  4. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  5. SmartConsole에서 Install Policy 를 클릭합니다.

DLP가 인식하는 VPN 확인하기

  1. SmartConsole에서 Gateways & Servers 를 클릭하고, DLP Gateway를 보호하는 VPN Security Gateway를 찾습니다. 통합형(integrated) DLP 구성 에서는 이것이 DLP Gateway 자신입니다. 보호하는 VPN Security Gateway는 자신의 암호화 도메인(encryption domain)에 DLP Gateway의 IP 주소를 포함합니다.
  2. 그 VPN Security Gateway를 더블 클릭합니다. Security Gateway 창이 열리며 General Properties 페이지가 나타납니다.
  3. 탐색 트리에서 IPSec VPN 을 클릭합니다. 이 페이지에 표시되는 VPN 커뮤니티들이 DLP Gateway가 인식하는 VPN 입니다.

My Organization에서 VPN 제외하기

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭이 나타납니다.
  2. 왼쪽 트리에서 My Organization 을 클릭합니다.
  3. VPN 섹션에서 Exclusions 를 클릭합니다. VPN Communities 창이 열립니다.
  4. My Organization에서 제외할 VPN을 선택하고 Add 를 클릭합니다. 보호하는 VPN Security Gateway와 무관한 VPN은 무시 하세요 — 기본적으로 이미 제외돼 있습니다.
  5. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  6. SmartConsole에서 Install Policy 를 클릭합니다.

DLP 정책

DLP 정책은 전송되지 않도록 보호할 데이터 를 정의합니다. 보호 대상에는 이메일 본문, 이메일 수신자, (압축돼 있더라도) 이메일 첨부, FTP 업로드, 웹 게시(web post), 웹 메일 등이 들어갑니다. 정책은 전송이 잡혔을 때 DLP가 취할 동작 까지 결정합니다. 규칙은 Data Loss Prevention > Policy 페이지에서 관리합니다.

지원하는 아카이브 형식

DLP 블레이드는 다음 압축 아카이브를 풀어서 안의 내용까지 검사합니다.

  • zip
  • zip-exe
  • rar
  • 7z
  • gzip
  • tar
  • jar

DLP 규칙의 구성 요소

하나의 Data Loss Prevention 규칙은 다음 요소들로 이루어집니다.

  • Flag — 처리할 규칙을 표시하는 내 표식입니다. No Flag, Follow Up, Improve Accuracy 중에서 골라 Policy에서 검사할 규칙이나 Overview 페이지에서 접근할 규칙을 표시합니다.
  • 보호할 Data Type — 어떤 Data Type은 복잡하고, 어떤 것은 단어 하나처럼 단순 합니다. 규칙 베이스는 필요한 만큼 길게 만들 수 있습니다.
  • 전송 출발지(Source) — 기본값은 조직 내부 전체 입니다(정책이 조직의 모든 사용자가 보내는, 정의된 Data Type을 담은 모든 전송을 검사). 특정 사용자, 그룹, 세그먼트, 네트워크로 좁힐 수도 있습니다.
  • 목적지(Destination) — 기본값은 조직 내부 바깥의 모든 것 입니다. SmartConsole에 정의된 네트워크 객체를 목적지로 지정해 조직 안 사용자 그룹 사이의 데이터 이동을 보호할 수도 있고, 개인 메일용으로 Gmail이나 Hotmail 같은 특정 도메인을 목적지로 둘 수도 있습니다.
  • 프로토콜(Protocol) — 기본값은 Any 이지만, 규칙을 HTTP 게시에만 또는 FTP 업로드에만 적용하도록 고를 수 있습니다. Protocol 열을 보려면 정책의 머리글 줄을 마우스 오른쪽 버튼으로 클릭하고 Protocol 을 선택 합니다.
  • 예외(Exceptions) — 특정 트래픽을 허용하려고 이 규칙에 예외를 추가한 경우입니다. 본 규칙에서 유효한 값은 예외에서도 유효합니다. 주의하세요! 예외가 먼저 매칭 됩니다. 전송이 정책의 예외와 일치하면 절차가 거기서 멈춥니다.
  • 취할 동작(Action) — 전송이 규칙의 다른 조건과 모두 일치할 때 DLP의 대응입니다. 탐지·기록(detect and log), 보낸 사람이나 Data Owner에게 통보, 사용자가 결정할 때까지 지연, 또는 전송 차단(prevent) 중에서 정합니다.
  • 추적 옵션(Tracking) — 전송이 규칙에 매칭되면 기본적으로 Logs & Events 뷰에 인시던트로 기록됩니다. 여기에 이메일 알림 등 다른 추적 방법을 더할 수 있습니다.
  • 심각도(Severity) — 정책 규칙의 심각도를 설정해 Logs & Events에서 인시던트를 감사할 때 필터링·보고에 활용합니다. High·Critical 규칙을 가장 먼저 감사 해야 하며, 그 심각도를 유지하기로 했다면 사용자가 기대 사항을 이해하는 즉시 Detect에서 Ask로 옮기는 것이 좋습니다.
  • Install On — Data Loss Prevention이 켜진 Security Gateway입니다. 기본값은 모든 DLP Security Gateway 입니다.
  • Time range — DLP 규칙이 적용되는 기간입니다.
  • Category — 규칙 유형에 붙이는 레이블입니다. 내장 규칙에는 기본 카테고리가 있습니다. 새 규칙의 카테고리를 바꾸려면 마우스 오른쪽 버튼으로 클릭해 목록에서 고릅니다.
  • Comment — 규칙에 대한 선택적 메모입니다.

DLP 규칙 베이스는 Check Point 방화벽 규칙 베이스를 다뤄 본 사람에게 익숙해 보이겠지만, 다음과 같은 차이가 있습니다.

  • DLP 규칙은 Data Type 을 기준으로 하며 쓰기 쉬운 마법사(wizard) 로 만듭니다. 데이터를 전송하는 데 쓰는 프로토콜(서비스)과 전송하는 사람은 부차적인 정의 요소입니다.
  • DLP 규칙은 보통 내부 조직에서 밖으로 나가는 통신 을 검사합니다. 방화벽 규칙은 보통 외부에서 내부로 들어오는 통신을 검사합니다.
  • DLP 규칙이 데이터를 매칭하는 방식도 다릅니다.

DLP와 Identity Awareness

Identity Awareness 가 켜져 있으면 Access Role 객체 를 만들어 DLP 정책에 쓸 수 있습니다. Identity Awareness가 켜지면 DLP에서 다음이 가능합니다.

  • FTP 또는 HTTP 프로토콜 에서 DLP 위반이 발생할 때 이메일 알림을 보낼 수 있습니다. (R76 이전에는 DLP 이메일 알림이 SMTP 위반에서만 전송됐습니다.)
  • DLP 규칙의 SourceDestination 열에 Access Role 객체를 쓸 수 있습니다.
  • DLP 규칙의 Action 열에서 미확인 사용자를 Identity Captive Portal로 리디렉션 해 인증할 수 있습니다.
  • Logs & Events 로그가 DLP 정책을 위반한 사용자를 식별합니다.

FTP·HTTP 위반에 대한 이메일 알림

SMTP 위반 알림과 더불어 FTP·HTTP 위반에 대한 알림도 보낼 수 있습니다.

  1. Identity Awareness 를 켭니다.
  2. Data Loss Prevention Additional Settings Advanced > Email Notifications 에서 WebFTP 를 선택합니다.

Email Notifications 영역에서 Web이나 FTP를 선택하면 Learn User Actions 영역에서도 Web·FTP 옵션이 함께 선택됩니다. 그러면 DLP가 사용자의 인시던트 처리 결정을 학습해 같은 스레드의 이후 메시지에 같은 결정을 적용합니다(학습 모드).

규칙 Source·Destination의 Access Role

Access Role 객체는 규칙의 Source나 Destination 열에 쓸 수 있으며, 이것이 있으면 DLP가 사용자 인식(user aware) 상태가 됩니다. Access Role 객체는 사용자, 컴퓨터, 네트워크 위치를 하나의 객체 로 식별합니다. 지정한 사용자, 사용자 그룹, 또는 사용자 브랜치(branch)를 객체로 고를 수 있습니다.

인증 Captive Portal로 리디렉션

Captive Portal 리디렉션은 HTTP·HTTPS 프로토콜에만 적용됩니다. 리디렉션은 보낸 사람이 미확인 상태(IP 주소가 AD의 어떤 사용자에도 매핑되지 않음)이고 DLP 규칙의 Action이 Identity Captive Portal 이며, 다음 조건 중 하나가 함께 충족될 때 일어납니다.

  1. 정책 규칙의 Source·Destination 열에 Access Role 객체가 없지만, Source·Destination이 DLP Gateway가 검사하는 HTTP 연결의 Source·Destination과 일치할 때.
  2. DLP 규칙의 Source 열에 Access Role이 있을 때.

Captive Gaia Portal로 리디렉션하면 DLP는 미확인 사용자를 식별해 그들의 FTP·HTTP 활동을 기록 할 수 있고(그 뒤 식별된 사용자를 정책의 Access Role과 맞출 수 있습니다), FTP·HTTP 위반에 대한 알림 이메일도 보낼 수 있습니다.

HTTP 트래픽을 Captive Gaia Portal로 리디렉션하려면 다음과 같이 합니다.

  1. Action 을 마우스 오른쪽 버튼으로 클릭하고 Identity Captive Portal 을 선택합니다.
  2. Redirect HTTP connections to an authentication Captive Portal 을 선택합니다.
  3. OK 를 클릭합니다. Action 열에 Identity Captive Portal 이 표시됩니다.

프록시 뒤의 사용자 식별

조직이 Security Gateway 뒤에 HTTP 프록시 서버를 쓰는 경우, 다음을 설정하면 프록시 뒤 사용자의 신원이 드러납니다.

  • 회사 프록시 서버가 X-Forwarded-For HTTP 헤더 를 쓰도록 설정.
  • DLP Gateway가 X-Forward-For HTTP 헤더 를 쓰도록 설정.

또한 나가는 트래픽에서 이 헤더를 제거하도록 설정할 수도 있습니다. 헤더가 없으면 인터넷 요청에 내부 IP 주소가 드러나지 않습니다.

  1. 프록시 서버가 X-Forwarded-For HTTP 헤더를 쓰도록 설정합니다.
  2. SmartConsole에서 DLP Gateway 객체의 Identity Awareness 페이지에서 Detect users located behind HTTP proxy using X-Forward-For header 를 선택합니다.
  3. 인터넷 요청에 내부 IP를 드러내는 X-Forwarded-For 헤더를 막으려면 Hide X Forward-For header in outgoing traffic 을 선택합니다.
  4. 정책을 설치합니다.

Identity Awareness를 활용한 DLP 규칙 예시

다음 세 규칙은 Identity Awareness가 DLP와 어떻게 동작하는지를 보여 줍니다.

규칙 1

DataSourceDestinationProtocolAction
PCI - Credit Card NumbersFinance_Dept (Access Role)Outside My OrgAnyPrevent
  • Source 열에 Access Role 객체를 씁니다. 이 규칙은 재무부의 확인된 사용자 가 신용카드 번호를 조직 밖으로 보내는 것을 금지합니다. Access Role에 없는 확인된 사용자가 보내는 것은 막지 않습니다.
  • AD의 어떤 사용자에도 매핑되지 않는 미확인 사용자 가 신용카드 번호를 밖으로 보내려 해도 이 규칙은 막지 못 합니다.
  • 확인됐지만 Access Role에 속하지 않은 사용자도 금지되지 않습니다.
  • 미확인 발신자는 Captive Gaia Portal로 리디렉션되지 않으므로, 미확인 발신자에 대한 식별이 없습니다.

규칙 2

DataSourceDestinationProtocolAction
PCI - Credit Card NumbersMy OrganizationOutside My OrgAnyPrevent + Identity Captive Gaia Portal
  • 조직 내부의 확인된 사용자 는 더 이상 신용카드 데이터를 밖으로 보낼 수 없으며, 정책 위반에 대한 이메일 알림을 받습니다.
  • 모든 유형의 데이터를 보내는 조직 내부의 미확인 사용자 는 식별을 위해 Captive Gaia Portal로 안내됩니다. 식별되면 DLP가 위반 가능성을 검사합니다.

규칙 3

DataSourceDestinationProtocolAction
PCI - Credit Card NumbersFinance_Dept (Access Role)Outside My OrgAnyPrevent + Identity Captive Gaia Portal
  • 재무부의 확인된 사용자는 더 이상 신용카드 번호를 조직 밖으로 보낼 수 없습니다.
  • Source의 Access Role(과 Action의 Captive Gaia Portal)은, HTTP 연결에서 출발지 사용자가 미확인이고 목적지가 정책이 지정한 목적지와 일치하면 리디렉션 한다는 뜻입니다.
  • 확인됐지만 Access Role에 속하지 않은 사용자는 신용카드 번호 배포가 차단되지도, Captive Gaia Portal로 리디렉션되지도 않습니다.

DLP 규칙 매칭

규칙 매칭 순서

DLP 규칙의 순서는 의미가 없습니다 . 이 규칙 베이스에서는 각 전송이 모든 규칙에 대해 하나씩 검사됩니다. 순서가 의미 없으므로 보기 편하게 표시를 바꿔도 됩니다.

  • 다른 순서로 보려면 열 머리글을 클릭합니다. 선택한 열 기준으로 정렬됩니다.
  • 그룹으로 묶어 보려면 Data Loss Prevention > PolicyGrouping 메뉴에서 옵션을 고릅니다.
  • 열을 보이거나 숨기려면 정책 열 머리글을 마우스 오른쪽 버튼으로 클릭해 항목을 선택합니다.
  • 열 배치를 바꾸려면 열을 새 위치로 드래그합니다.

예외가 있을 때의 매칭

데이터가 규칙에 매칭되고 그 규칙에 예외가 있으면, 규칙의 예외를 검사합니다. 데이터가 어떤 예외와 일치하면 DLP는 전송을 허용 합니다.

예를 들어 본문에 직원 이름이 15명 넘게 들어간 이메일을 잡는 규칙이 있다고 합시다. HR 부서 사용자가 직원 20명 목록을 외부 주소(예: 협력사)로 보내면, 같은 규칙에 HR 그룹이 직원 이름 목록을 밖으로 보내도록 허용하는 예외가 있기 때문에 그 이메일은 인시던트 기록이나 DLP 동작 없이 허용됩니다.

데이터가 여러 규칙에 매칭되는데 하나는 예외가 있고 하나는 없으면, 예외가 없는 규칙이 적용 됩니다.

여러 규칙에 매칭될 때

데이터가 여러 규칙에 매칭되면 가장 제한적인(most restrictive) 규칙 이 적용됩니다.

예를 들어 사용자가 암호화되지 않은 PDF를 첨부한 이메일을 보내면 두 규칙에 매칭될 수 있습니다. 하나는 Detect 규칙(외부 목적지로 가는, PDF가 든 이메일을 탐지)이고, 다른 하나는 Ask User 규칙(암호화되지 않은 PDF가 든 이메일을 사용자가 보내도 좋다고 할 때까지 지연하고, 더해서 마케팅·기술 커뮤니케이션 관리자에게 PDF가 외부로 나갔음을 통보)입니다. 이 경우 다음이 일어납니다.

  1. 이메일이 격리(quarantine)됩니다.
  2. 사용자에게 알림이 가고, 어떻게 할지 결정해야 합니다.
  3. Data Owner에게 알림이 갑니다.
  4. 규칙 위반(Detect 하나, Ask User 하나)이 로그로 남습니다.

DLP 규칙 동작(Action)

Data Type별로 만드는 각 DLP 규칙에는, 규칙이 전송에 매칭됐을 때 취할 동작을 정의합니다.

동작설명
Detect전송은 통과합니다. 이벤트가 로그로 남아 Logs & Events 뷰에서 검토·분석할 수 있습니다. 데이터와 이메일 자체(이메일이 아니면 전송의 속성)는 나중을 위해 저장소에 보관 됩니다. Data Owner에게 이벤트를 통보할 수 있습니다(이는 아래의 모든 동작에도 해당).
Inform User전송은 통과하지만 인시던트가 기록되고 사용자에게 알림 이 갑니다.
Ask User사용자가 보내도 된다고 확인할 때까지 전송을 보류 합니다. 보통 Self Incident Handling 포털로 가는 교정(remediation) 링크가 담긴 알림이 사용자에게 가고, 사용자가 전송 완료 여부를 결정합니다. 그 결정 자체가 Logs & Events > Logs 뷰의 User Response 카테고리에 기록됩니다. 전체 권한이 있거나 View/Release/Discard DLP messages 권한이 있는 관리자도 Logs & Events 뷰에서 전송 완료 여부를 결정할 수 있습니다 — 사용자가 자리에 없을 때 유용합니다.
Prevent데이터 전송을 차단 합니다.
Watermark나가는 Microsoft Office 문서(Office 2007 이상의 Word·Excel·PowerPoint)에 보이는 워터마크나 보이지 않는 암호화 텍스트를 더해 추적합니다. 기본적으로 모든 규칙은 워터마크 동작 없이 만들어지며, 워터마크는 적용하지 않고도 만들고 편집할 수 있고, 한 번 만든 워터마크 객체는 여러 규칙에서 재사용할 수 있습니다.

Detect 규칙 관리

Detect 동작은 동작 옵션 중 가장 덜 방해적 이라 기본값으로 설정됩니다. DLP가 보호 대상 데이터가 든 전송을 발견하면 Logs & Events > Logs 뷰에 인시던트가 기록되고, 설정된 다른 로깅 동작이 있으면 함께 수행됩니다.

처음에는 모든 규칙을 Detect로 두는 것이 좋습니다. 그런 다음 로그를 검토해 조직의 행동에 따라 어떤 규칙이 필요한지 정하면, 여러분과 사용자 모두의 시간을 아끼고 안내도 각자의 필요에 더 맞게 할 수 있습니다.

DLP 규칙 추적 설정

Data Loss Prevention 규칙을 만들 때 가장 먼저 고려할 것이 인시던트를 어떻게 감사할지 입니다. 규칙 베이스의 Track 열에는 다음 옵션이 있습니다.

옵션의미
Email설정한 수신자에게 이메일을 보냅니다.
LogLogs & Events 뷰에 인시던트를 기록합니다(다른 모든 추적 옵션도 인시던트를 기록합니다).
AlertSmartView Monitor에 팝업 창을 엽니다.
SNMP TrapSNMP GUI로 SNMP 경고를 보냅니다. fwd 프로세스를 통해 internal_snmp_trap 스크립트를 실행해 ID, trap 유형, 출발지 포트, community, 호스트 이름을 보냅니다.
User Defined (alert)세 가지 맞춤 경고 중 하나를 보냅니다. 경고는 main Menu > Global Properties > Log and Alert > Alert Commands 에 지정된 스크립트로 정의되며, Log 서버의 alert 프로세스가 그 스크립트를 실행합니다.

Store Incident — 데이터를 어떻게 저장할까

Store Incident 옵션은 DLP 규칙에 매칭된 데이터를 어떻게 저장할지(또는 저장하지 않을지) 정합니다.

저장 옵션의미
Yes이메일 데이터는 .eml 파일로 저장됩니다. FTP 데이터는 .zip 형식으로 저장됩니다. HTTP는 — 웹 페이지에 입력한 텍스트는 HTML로 저장돼 Log Details 창의 링크로 열면 기본 브라우저에서 보이고, 업로드한 파일은 .zip 형식으로 저장됩니다. (FTP·HTTP는 규칙을 위반한 요소만 저장됩니다.)
Only as Text이메일에서 추출한 텍스트(헤더·본문)와 첨부가 HTML로 저장되지만, 위반을 일으킨 부분만 저장됩니다. FTP 데이터는 HTML로 저장되고, HTTP 입력 텍스트는 HTML로 저장돼 링크로 열면 기본 브라우저에서 보입니다. (FTP·HTTP는 위반 요소만 HTML 페이지에 표시됩니다.)
Don't Store규칙이 매칭되면 인시던트는 기록되지만 데이터는 삭제 돼 Logs & Events 뷰에서 볼 수 없습니다.
Delete인시던트를 기록하고 데이터를 즉시 삭제 합니다. 신용카드 번호처럼 민감한 데이터에 이 옵션을 고릅니다.

Store Incident 충돌 해결

검사된 메시지가 여러 DLP 규칙에 매칭되고 규칙마다 store 옵션이 다르면, 우선순위가 가장 높은 옵션 이 우선합니다. 예를 들어 한 이메일이 다음 규칙에 매칭됐다고 합시다.

규칙Store Incident 옵션우선순위
Rule_1Only as text3
Rule_2Yes2
Rule_3Don't store4

이 경우 Rule_2 의 store 옵션(Yes)이 우선순위가 가장 높습니다. 따라서 이메일이 데이터를 삭제하도록 설정된 규칙(Rule_3)에 매칭됐더라도 DLP Gateway는 데이터를 저장 합니다.

우선순위 바꾸기

Only as Text store 옵션이 Yes 보다 높은 우선순위를 갖도록 설정할 수 있습니다.

  1. Security Gateway에서 다음 파일을 엽니다.
   

각 메시지 프로토콜은 자기 섹션을 갖습니다. 예를 들어 FTP 섹션은 다음과 같습니다.

   :ftp (
       :enabled (1)
       :maximum_words_to_log (14)
       :maximum_chars_to_words_in_log (490)
       :cleanup_session_files (1)
       :save_incident_quota_percentage (85)
       :allow_append_cmd (0)
       :view_incident_dispute_option (yes)
   )
   
  1. view_incident_dispute_option 을 찾습니다. 기본값은 Yes 입니다.
  2. 모든 프로토콜(SMTP, FTP, HTTP)에 대해 YesText 로 바꿉니다.
  3. dlp.conf 를 저장하고 닫습니다.

시간 제한 설정

DLP 규칙 표의 Time 열에는 시간 객체(time object) 또는 시간 객체 그룹 이 들어갑니다. 이 시간 객체는 방화벽 규칙 베이스에서 쓰는 것과 같은 객체입니다.

  • 시간 객체는 DLP 규칙이 적용되는 시간대(시 단위) 또는 활성화·만료 날짜로 정의된 기간 을 정의합니다.
  • 시간 객체는 규칙마다 적용됩니다.

시간 객체 만들기

  1. Data Loss Prevention 탭 > Policy 페이지를 엽니다.
  2. 규칙의 Time 열에서 마우스 오른쪽 버튼을 클릭합니다.
  3. 팝업 메뉴에서 Time 을 선택합니다. 기존 시간 객체 목록이 있는 창이 열립니다 — 기존 것을 고르거나 새로 만들 수 있습니다.
  1. New > Time 을 클릭합니다.
  2. Time Properties 창이 열립니다.
  3. General 페이지에서 객체 이름을 입력합니다.
  4. Time 페이지에서 다음을 설정합니다.
    • Time Period 섹션에서 시간 객체의 활성화·만료 시점을 설정합니다.
    • Restrict to specific hour ranges 섹션에서 최대 3개의 시간대 를 지정합니다. 이 기간 동안 관련 DLP 규칙이 적용되며, 여기서 지정한 시간은 Security Gateway의 로컬 시간 을 기준으로 합니다.
    • 요일 을 지정합니다. 매일, 특정 요일, 특정 월, 또는 모든 월로 적용 시점을 정할 수 있습니다.
  5. OK 를 클릭합니다.

시간 그룹 객체 만들기

시간 객체가 둘 이상이면 그룹으로 묶을 수 있습니다. 그룹 안의 한 시간 객체의 조건만 충족돼도 DLP 규칙이 적용 됩니다.

  1. Data Loss Prevention 탭 > Policy 페이지를 클릭합니다.
  2. 규칙의 Time 열에서 마우스 오른쪽 버튼을 클릭합니다.
  3. 팝업 메뉴에서 Group 을 선택합니다. Time Group 창이 열립니다.
  4. 그룹 이름을 입력합니다.
  5. 그룹에 시간 객체를 추가하거나 제거합니다.
  6. OK 를 클릭합니다.

DLP 선택적 구성

DLP 규칙은 특정 Enforcing Gateway 에서, 그리고 다양한 데이터 전송 프로토콜 별로 구성할 수 있습니다.

특정 게이트웨이에 규칙 적용

정책의 어떤 규칙이든 특정 Enforcing Gateway에만 구성할 수 있습니다.

  1. SmartConsole로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 섹션에서 Configure in SmartDashboard 를 클릭합니다.
  5. 원하는 규칙의 Install On 열에서 + 를 클릭합니다. 정의된 DLP Gateway가 메뉴로 나타납니다.
  6. 이 규칙을 구성할 게이트웨이를 선택합니다.
  7. DLP Gateway에 정책을 설치합니다.

프로토콜

Check Point Data Loss Prevention은 다양한 데이터 전송 프로토콜을 지원합니다. 필요에 따라 단계적으로 켜는 것 이 권장됩니다.

  • SMTP 부터 시작 하세요. 탐지된 이메일과 사용자 응답을 로그에서 관찰합니다.
  • 그다음 FTP 를 정책에 더합니다. 이메일과 큰 업로드는 사용자가 즉각적인 응답을 기대하지 않으므로, Gaia Portal이나 UserCheck Client에서 업무를 방해받지 않고 인시던트를 처리할 수 있습니다 — 특히 사용자가 무엇을 기대하고 어떻게 처리할지 알고 있다면 더욱 그렇습니다.
  • HTTP 는 다른 문제입니다. 웹 사이트 게시, 미디어 사이트 댓글, 블로깅, 웹 메일이 여기 포함되는데, 사용자는 Enter를 누르면 자기 글이 즉시 전송·수신되기를 기대 합니다. 직원이 핵심 업무에 HTTP를 쓴다면 문장 하나하나마다 보내도 되는지 결정해야 하는 것은 매우 방해가 됩니다. 따라서 사용 양상과 인시던트를 분석한 뒤에만 HTTP를 켜는 것 이 권장됩니다.

또한 Exchange Security Agent 이메일과 HTTPS 프로토콜에 대한 검사도 켤 수 있습니다(메일과 Exchange).

모든 Security Gateway에 대해 프로토콜을 고르는 절차는 다음과 같습니다.

  1. SmartConsole로 Management Server에 접속합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 섹션에서 Configure in SmartDashboard 를 클릭합니다.
  5. Additional Settings 를 펼치고 Protocols 를 클릭합니다.
  6. 검사하지 않을 프로토콜의 체크박스를 해제합니다.

Security Gateway별로 프로토콜을 고르는 절차는 다음과 같습니다.

  1. 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
  2. Security Gateway 객체를 더블 클릭합니다.
  3. General Properties > Software Blades > Network Security 에서 Data Loss Prevention 이 선택돼 있는지 확인합니다.
  4. 왼쪽 트리에서 Data Loss Prevention 을 클릭합니다.
  5. Protocols 영역에서 다음 중 하나를 고릅니다.
    • Apply the DLP policy on the default protocols — Data Loss Prevention 탭에서 앞 절차대로 선택한 대로 적용합니다.
    • Apply the DLP policy to these protocols only — 이 Security Gateway가 DLP 정책을 위해 검사할 프로토콜을 직접 고릅니다.
  6. OK 를 클릭합니다.
  7. Access Control Policy 를 설치합니다.

인시던트 감사·분석

Data Loss Prevention 과정에서 인시던트 분석은 필수 입니다. 시작하기 전에 정책 규칙의 심각도가 정확한지 먼저 확인하세요. Logs & Events 뷰에서 규칙을 감사하다가 미세 조정하고 싶거나 동작이 최선인지 의심스러운 인시던트(또는 인시던트 묶음)를 만나면, 해당 Data Type이나 규칙에 Follow Up 플래그 를 달아 둘 수 있습니다.

Logs & Events > Logs 뷰 사용

DLP Gateway는 여러 이벤트에 대해 로그를 발행합니다. 뷰는 다음 경로로 엽니다.

Logs & Events > Logs > Queries > DLP

Data Loss Prevention 로그는 필터링하기 좋게 분류 돼 있습니다. 더 자세히 보려면 다음과 같이 합니다.

  1. DLP Log 를 클릭합니다. DLP Log Details 창이 열려 인시던트를 읽기 쉬운 형태로 보여 주며, SmartConsole의 Data Loss Prevention 탭이나 Data Type의 상세 정보로 바로 이동하는 링크 가 있습니다.
  2. 특정 인시던트의 로그에서 그 인시던트를 일으킨 실제 데이터를 엽니다.

SmartConsole의 이벤트 분석 뷰

R80부터 SmartEvent GUI의 이벤트 분석(Event Analysis) 뷰가 SmartConsole의 Logs & Events 뷰에 통합 됐습니다. 이 뷰는 켜진 Security Gateway를 통과하는 모든 이벤트에 대해 필터, 차트, 통계 라는 고급 분석 도구를 제공합니다.

DLP 동작(인시던트 관점)

인시던트 로그에 나타나는 DLP 동작은 다음과 같습니다.

DLP 동작설명
Ask UserDLP가 인시던트를 잡아 Quarantine에 넣고, 사용자에게 어떻게 할지 묻습니다.
Do not Send사용자가 잡힌 전송을 버리기로 결정했습니다. 전체 권한이나 View, Release or Discard DLP messages 권한이 있는 관리자도 이 전송을 버릴 수 있습니다. 사용자에게 이메일 알림이 갑니다.
Send사용자가 DLP 캡처 후 전송을 계속하기로 결정했습니다. View/Release/Discard DLP messages 권한이 있는 관리자도 계속 전송을 결정할 수 있습니다. 사용자에게 이메일 알림이 갑니다.
Quarantine Expired사용자가 제때 결정하지 않아 캡처된 전송을 보낼 수 없습니다. 만료된 인시던트는 (정기 정리 과정으로) 삭제되기 전까지는 볼 수 있습니다.
PreventDLP 전송이 차단됐습니다.
AllowDLP 전송이 허용됐습니다 — 보통 규칙의 예외로 인해.
Inform UserDLP 전송이 탐지·허용됐고 사용자에게 알렸습니다.
Deleted Due To Quota디스크 공간 확보를 위해 DLP 인시던트가 Security Gateway에서 삭제됐습니다.

DLP 일반 열(General Columns)

DLP 인시던트는 다음 열의 일부 또는 전부를 보일 수 있으며, 모든 관리자가 볼 수 있습니다.

설명
Incident UID인시던트의 고유 ID.
DLP Action Reason동작의 이유. 가능한 값: Rule Base, Internal Error, Prior User Decision.
Related Incident현재 로그와 관련된 내부 인시던트 ID.
DLP Transport인시던트 트래픽의 프로토콜: HTTP, FTP, Email.

Incident UID를 여러 로그의 연결 키로 쓰기

각 DLP 인시던트에는 로그에 포함되고 이메일 알림으로 사용자에게도 전달되는 고유 ID(Incident UID) 가 있습니다. 사용자 응답(Send, Do not Send)에는 최초 DLP 인시던트 로그와 같은 Incident UID 가 부여됩니다.

예를 들어 사용자/관리자가 DLP 위반이 있는 이메일을 보낸 뒤 버리기로 하면 로그가 두 개 생깁니다. 첫 번째는 Ask User 동작의 DLP 인시던트 로그로 Incident UID가 부여되고, 사용자가 행동하면 같은 UID에 Do not Send 동작을 가진 두 번째 로그가 생깁니다.

매칭된 Data Type마다 자기 로그 가 생깁니다. Security Gateway는 한 인시던트의 모든 Data Type 로그가 같은 Incident UID와 같은 규칙 동작(Prevent, Ask, Inform, Detect)을 보이도록 보장합니다. Data Type들이 서로 다른 규칙에서 매칭됐어도 마찬가지이며, 인시던트에 표시되는 동작은 가장 제한적인 것 입니다.

예를 들어 한 전송이 두 Data Type에 매칭되고 각 Data Type이 다른 규칙에 쓰였다고 합시다. 한 규칙의 동작은 Prevent, 다른 규칙은 Detect입니다. 생성된 두 로그는 모두 동작을 Prevent 로 보이고 실제 구현된 동작도 Prevent입니다. 이때 Detect 규칙의 로그는 DLP Action Reason 열에 Rule Base(다른 규칙이 설정한 동작) 라고 표시합니다.

DLP 제한 열(Restricted Columns)

다음 열은 권한이 있는 관리자에게만 보입니다.

항목설명
UserCheck — User ResponseUserCheck 알림의 텍스트 상자에 사용자가 입력한 코멘트.
UserCheck — Message to User사용자에게 표시된 메시지.
UserCheck — Interaction NameSmartConsole에 표시되는 interaction 이름.
Fingerprint — Matched File검사된 메시지와 일치하는, 지문 저장소(fingerprint repository) 안 파일의 이름과 경로.
Fingerprint — Matched File Percentage이 파일이 Matched File과 얼마나 유사한지. "exact match"에서는 항상 100%.
Fingerprint — Matched File Text Segments부분 일치(partial match)에서 Matched File과 검사 파일 사이에 일치하는 파일 조각/세그먼트 수(조각은 겹칠 수 있음).
DLP Type — DLP Rule Name인시던트가 매칭된 DLP 규칙 이름.
DLP Type — Message to User관리자가 해당 규칙에 설정한, 사용자에게 보낸 메시지.
DLP Type — DLP Words List매칭된 Data Type에 단어 목록(키워드, 사전 등)이 있었다면 일치한 단어 목록.
DLP Type — DLP Relevant Data Types매칭된 Data Type이 그룹 Data Type일 때, 그 그룹에서 어떤 Data Type이 매칭됐는지.
User Information — DLP RecipientsSMTP 트래픽의 경우 캡처된 이메일의 수신자 목록.
User Information — Mail SubjectSMTP 트래픽의 경우 캡처된 이메일의 제목.
User Information — Scanned Data Fragment캡처된 데이터 자체: SMTP의 이메일·첨부, FTP의 파일, HTTP 트래픽.
More — UserCheck로그가 UserCheck에서 생성됐는지 다른 DLP에서 생성됐는지를 나타내는 Boolean 필드.
More — Data Type Name매칭된 Data Type 이름.
More — Data Type UID인시던트가 매칭된 Data Type의 내부 ID.
More — DLP Categories인시던트가 매칭된 Data Type의 카테고리.
More — DLP Template Score문서가 템플릿 파일과 얼마나 가까운지를 백분율로 나타낸 측정값. 0%는 매우 다름, 100%는 매우 비슷함.

Data Owner와 사용자 알림

Data Owner를 정의하고, 그들의 회사 지침을 준비하고, 사용자·Data Owner와 소통하고, Ask User 규칙을 설정·관리하고, DLP Portal과 UserCheck Client에서 인시던트를 처리하는 방법은 별도 장에서 다룹니다(Data Owner와 알림).