Data Loss Prevention Incident Response 분석가 작업 공간

호주 보안 관리

Release

australia

ft:locale

ko-KR

ft:publication_title

호주 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

Data Loss Prevention Incident Response 분석가 작업 공간

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 14분

(DLP IR) 분석가 작업 공간을 사용하여 Data Loss Prevention Incident Response DLP 인시던트를 봅니다. 해결 등을 위해 최종 사용자에게 인시던트를 할당합니다.

DLP 작업 공간은 DLP 인시던트를 모니터링할 수 있는 대시보드, 목록 뷰 및 양식 뷰가 있는 홈페이지로 구성됩니다.

DLP 작업 공간 개요 페이지. — 그림 1. DLP 작업 공간 개요 페이지

DLP 인시던트 검토 및 할당

DLP 인시던트를 검토하고 할당하거나 해결할 수 있도록 (DLP IR) 분석가 작업 공간에 액세스 Data Loss Prevention Incident Response 합니다. 심각도별 인시던트, 상위 위반자, 스캔 소스별 인시던트 및 정책별 인시던트의 추세를 추적할 수 있습니다.

시작하기 전에

필요한 역할:

sn_dlir.analyst - DLP 인시던트를 편집하고 확인합니다.
sn_dlir.analyst_read 및 sn_dlir.read - DLP 인시던트를 봅니다.

프로시저

다음으로 이동 모두 > DLP 인시던트 관리 > 분석가 작업 공간.
DLP 작업 공간 내 인시던트 운영 목록 페이지가 새 탭에서 열립니다.
DLP 작업 공간 홈 아이콘을 클릭하여 작업 공간 홈페이지 뷰를 봅니다.
대시보드 위젯을 검토하여 심각도별 인시던트별 추세, 상위 위반자, 스캔 소스별 인시던트 및 정책별 인시던트를 식별합니다.

홈페이지에서 적절한 필터를 클릭하여 다양한 범주별로 위젯을 봅니다.


필터	설명
오픈 인시던트	모든 미해결 인시던트를 봅니다.
지연된 중요 인시던트	중요 심각도 레이블이 있고 기한이 지난 인시던트를 봅니다.
최종 사용자에게 할당된 인시던트	최종 사용자에게 할당된 인시던트를 봅니다.

다음 두 가지 방법을 사용하여 DLP 인시던트를 검토하고 할당할 수 있습니다.

첫 번째 방법은 검토하려는 하나 이상의 DLP 인시던트를 찾아 선택하고 인시던트 옆에 있는 확인란을 클릭하는 것입니다.

사용자에게 적합한 옵션을 선택합니다.


옵션	설명
목록 새로 고침	업데이트할 때 DLP 인시던트 목록을 새로 고치는 옵션입니다.
목록 작업	수행할 수 있는 작업 목록입니다. 선택 항목은 다음과 같습니다. 다른 이름으로 저장 열 편집 너비 재설정 주: 작업 공간에 대해 구성된 내 목록 섹션에서 생성된 사용자 지정 목록이 있는 경우 아래의 추가 목록 작업도 수행할 수 있습니다. 이름 바꾸기 저장 삭제
모두에 대한 URL 복사	모든 DLP 인시던트의 URL을 복사하는 옵션입니다.
필터 패널 표시	필터 옵션을 사용하여 필요한 인시던트를 드릴다운하는 옵션입니다. 페이지 왼쪽 상단에 있는 필터를 클릭하고 고급 보기를 선택합니다. 기존 필터를 사용하거나 필드, 연산자 및 값을 포함하는 조건을 추가하여 직접 빌드합니다. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다. AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 조건을 일치시킬 수 있습니다. 업데이트를 클릭합니다.
인시던트 할당	DLP 인시던트를 할당할 대상을 결정하는 작업입니다. 선택 항목은 다음과 같습니다. 인시던트 할당 대상: 분석가, 최종 사용자 또는 다른 사람에게 인시던트를 할당하는 옵션입니다. 사용자: 인시던트를 할당할 사용자를 결정하는 옵션입니다. 인시던트 상태 사전 사용자 응답: 사용자가 응답하기 전에 인시던트가 있어야 하는 상태를 결정하는 옵션입니다. 사용자 지정 상태일 수도 있습니다. 평가 첨부: 인시던트에 평가를 첨부할지 여부를 나타내는 옵션입니다. 활성화하면 아래 옵션을 사용할 수 있습니다. 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다. 인시던트 상태 사후 사용자 응답 사용자가 응답한 후 DLP 인시던트가 어떤 상태가 될지 선택하는 옵션입니다.
응답	인시던트 응답 옵션을 선택하여 인시던트에 대응합니다. 예를 들어 사용자가 DLP 정책을 위반하는 파일을 삭제하는 경우 사용자는 삭제된 파일 옵션을 선택하여 파일이 삭제되었다는 수동 확인을 제출하고 설명을 제공할 수 있습니다. 여기에서 고급 응답 옵션을 선택할 수도 있습니다. 예를 들어 격리에서 이메일 릴리스 요청입니다.
에스컬레이션	인시던트를 에스컬레이션하는 작업입니다. 인시던트를 에스컬레이션할 사용자를 선택하여 인시던트를 에스컬레이션할 수 있습니다. 의견 필드에서 추가 정보도 입력할 수 있습니다.
상태 업데이트	인시던트의 상태를 업데이트하는 작업입니다. 드롭다운 옵션에서 상태 중 하나를 선택하여 인시던트의 상태를 업데이트할 수 있습니다. 사용자 지정 상태일 수도 있습니다.
닫기	인시던트를 종결하는 작업입니다. 드롭다운 목록에서 해당 종결 코드를 선택하고 종결 댓글을 추가합니다. Data Loss Prevention Incident Response의 닫기 기능은 목록 뷰에서 비동기 및 동기식으로 수행됩니다. 동기 종결: 인시던트를 동기적으로 종결한다는 것은 종결 작업이 즉시 수행됨을 의미합니다. 종결할 여러 인시던트를 선택하고 인시던트 수가 100보다 작거나 같으면 DLP 인시던트 목록 뷰에서 인시던트가 전경에 종결됩니다. 여기서 100이 기본값입니다. 비동기식 종결: 이는 종결 요청이 제출되고 선택한 인시던트 수가 100보다 큰 경우 애플리케이션이 백그라운드에서 요청을 실행함을 의미합니다. 업데이트된 인시던트 상태를 보려면 DLP 인시던트 목록 뷰를 새로 고쳐야 합니다. 주: 비동기 또는 동기 종결에 대해 선택한 인시던트 수는 시스템 속성 sn_dlir.closure_sync_count_limit을 사용하여 구성됩니다. 기본적으로 인시던트 수는 100으로 설정됩니다.

두 번째 방법은 특정 DLP 인시던트를 클릭하여 여는 것입니다.
- 상세 정보 탭: 다음 섹션을 표시합니다.
  - 상세 정보: 인시던트 번호, 심각도, 파일 이름 등과 같은 DLP 인시던트의 상세 정보를 볼 수 있습니다. 또한 심각도, 상태, 최종 사용자 및 DLP 분석가 그룹 필드를 각각 수정하고 저장할 수도 있습니다.
  - 작성: 모든 사람이 볼 수 있는 DLP 인시던트에 대한 의견을 추가하려면 의견 탭에 의견을 입력합니다. 특정 사용자에게 표시되는 코멘트를 추가하려면 작업 메모(비공개) 탭에 코멘트를 입력합니다.
  - 활동: DLP 인시던트에 대한 다양한 활동의 상세 정보를 볼 수 있습니다.
  - 첨부 파일: DLP 인시던트와 관련된 첨부 파일이 있는 경우 찾아보기 를 클릭하고 로컬 드라이브에서 첨부 파일을 선택합니다.
- 추가 상세 정보 탭: 사용자 지정 필드를 포함하여 DLP 인시던트에 대한 모든 추가 정보를 표시합니다.
  중요사항:
  DLP 인시던트에 대한 사용자 지정 필드는 San Diego 버전 이상에서만 지원됩니다.
  
  추가 상세 정보 탭을 사용하여 특정 DLP 인시던트에 대해 사용자 지정 필드가 생성되었는지 여부를 확인할 수 있습니다.
- 사용자 지정 속성 탭: DLP 인시던트와 관련된 사용자 지정 속성 목록을 표시합니다.
- 최종 사용자의 기타 인시던트: 동일한 최종 사용자의 인시던트를 표시합니다. 이 관련 목록에서 하위 인시던트로 추가 작업을 수행하여 인시던트를 통합할 수 있습니다.
- 탐지된 중요한 정보 유형: 인시던트에서 탐지된 중요한 정보를 표시합니다.
  주:
  이 관련 목록은 Microsoft 또는 Symantec 통합을 위해 생성된 DLP 인시던트에만 표시됩니다. Microsoft 또는 Symantec 인시던트 기록 내에서 사용자가 탐지된 중요한 정보 유형 기록에 액세스할 때마다 해당 통합과 관련하여 강조 표시된 일치 콘텐츠가 표시됩니다.
- 하위 인시던트: 수동으로('하위 인시던트로 추가' 작업 수행) 또는 DLP 통합 규칙에서 생성된 하위 인시던트를 표시합니다. 이 관련 목록에서 '하위 인시던트 연결 해제'를 수행하여 하위 인시던트의 연결을 해제할 수 있습니다.
- 복제된 인시던트: 상위 인시던트에서 복제된 인시던트를 표시합니다. 양식 뷰에서 인시던트 복제 작업을 클릭하면 복제된 새 인시던트를 생성할 수 있습니다.
- 평가 탭: DLP 인시던트에 할당된 평가 목록을 표시합니다.

사용자에게 적합한 옵션을 선택합니다.


옵션	설명
인시던트 할당	DLP 인시던트를 할당할 대상을 결정하는 작업입니다. 선택 항목은 다음과 같습니다. 인시던트 할당 대상: 분석가, 최종 사용자 또는 다른 사람에게 인시던트를 할당하는 옵션입니다. 사용자: 인시던트를 할당할 사용자를 선택하는 옵션입니다. 인시던트 상태 사전 사용자 응답: 사용자가 응답하기 전에 인시던트가 있어야 하는 상태를 선택하는 옵션입니다. 사용자 지정 상태일 수도 있습니다. 평가 첨부: 인시던트에 평가를 첨부할지 여부를 나타내는 옵션입니다. 활성화하면 아래 옵션을 사용할 수 있습니다. 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다. 인시던트 상태 사후 사용자 응답: 사용자가 응답한 후 DLP 인시던트가 어떤 상태에 있어야 할지 선택하는 옵션입니다.
승인 취소	승인 요청을 취소하는 작업입니다. 이 작업은 DLP 인시던트가 승인 보류 중 상태인 경우에만 양식 뷰에서 분석가에게 표시됩니다. 사용 가능한 옵션은 다음과 같습니다. 인시던트 할당 대상: 인시던트를 아무에게도 할당하지 않고 분석가 또는 다른 사람에게 할당하는 옵션입니다. 사용자: 인시던트를 할당할 사용자를 선택하는 옵션입니다. 취소 후 인시던트 상태: 요청을 취소한 후 인시던트가 어떤 상태에 있을 것인지 선택하는 옵션입니다. 설명: 취소를 위한 추가 상세 정보를 제공합니다.
평가 할당	인시던트를 할당하는 동안 평가를 첨부하는 작업입니다. 선택 항목은 다음과 같습니다. 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다. 인시던트 상태 사후 사용자 응답: 사용자가 응답한 후 DLP 인시던트가 어떤 상태에 있어야 할지 선택하는 옵션입니다.
파일 다운로드	위반 콘텐츠가 포함된 파일 또는 이메일을 다운로드하는 작업입니다. 이 작업은 Microsoft OneDrive, SharePoint Online 또는 Exchange Online용으로 생성된 인시던트에 대해 수행할 수 있습니다.
저장	변경한 내용을 저장하는 작업입니다. DLP 인시던트의 심각도, 상태 및 최종 사용자 필드를 수정하고 저장할 수 있는 옵션이 있습니다.
응답	인시던트 응답 옵션을 선택하여 인시던트에 대응합니다. 예를 들어 사용자가 DLP 정책을 위반하는 파일을 삭제하는 경우 사용자는 삭제된 파일 옵션을 선택하여 파일이 삭제되었다는 수동 확인을 제출하고 설명을 제공할 수 있습니다. 여기에서 고급 응답 옵션을 선택할 수도 있습니다. 예: 격리에서 이메일 릴리스 요청
에스컬레이션	인시던트를 에스컬레이션하는 작업입니다. 인시던트를 에스컬레이션할 사용자를 선택하여 인시던트를 에스컬레이션할 수 있습니다. 의견 필드에서 추가 정보도 입력할 수 있습니다.
인시던트 복제	인시던트 기록이 여러 사용자에게 영향을 주는 경우 클론 인시던트를 만드는 작업입니다. 복제된 인시던트를 법무/IT 등 여러 이해 관계자에게 할당할 수 있습니다. 복제 인시던트 기록을 생성하면 상위 DLP 인시던트 아래에 새 복제된 인시던트 탭이 생성되고 복제된 모든 인시던트가 이 뷰에 나열됩니다. 주: 상위 DLP 인시던트 기록이 종결되면 복제된 모든 인시던트 기록이 자동으로 종결됩니다. DLP 인시던트 기록에 복제된 인시던트가 포함되어 있으면 최종 사용자에게 할당할 수 없습니다. 상위 DLP 인시던트 기록은 분석가 역할을 가진 사용자만 관리할 수 있습니다. 기본 구성 모듈에서 복제된 인시던트의 상태를 기반으로 상위 상태를 자동으로 업데이트하는 옵션도 있습니다. 예를 들어 복제된 모든 인시던트가 에스컬레이션됨 상태로 이동하면 상위 인시던트도 에스컬레이션됨 상태로 이동됩니다.
닫기	인시던트를 종결하는 작업입니다. 드롭다운 목록에서 해당 종결 코드를 선택하고 필요한 경우 종결 댓글을 추가해야 합니다.
긍정 오류로 종결	인시던트를 긍정 오류로 종결하는 작업입니다. 인시던트를 종결하기 전에 주석을 추가할 수도 있습니다.

홈페이지에서 페이지 왼쪽 상단으로 이동하여 목록 탭을 클릭하면 목록 뷰를 볼 수 있습니다.
목록 범주는 DLP 인시던트에 대한 기본 및 사용자 지정 목록 페이지로 구성됩니다.
- 목록 탭: DLP 인시던트의 기본 목록입니다. 다음은 기본 목록입니다.
  - 모두
  - 오픈
  - 내 인시던트
  - 내 그룹에 할당
  - 에스컬레이션됨
  - 지연
  - 보류 중인 평가
  - 사용자 작업 보류 중
  - 복제된 인시던트
  - 보관된 인시던트
- 내 목록 탭: 이름을 바꾼 목록과 생성한 목록을 표시합니다.

증거 파일 미리 보기

DLP IR 분석가 작업 공간에서 증거 파일을 미리 봅니다 Data Loss Prevention Incident Response .

시작하기 전에

중요사항:

DLP 분석가 작업 공간에서 증거 파일 작업을 사용하는 동안 증거 파일은 암호화되지 않은 형식으로 ServiceNow 데이터베이스에 임시로 저장됩니다. 증거 파일을 저장하지 않으려면 증거 파일 미리 보기 기능을 사용하지 않도록 설정합니다. 자세한 내용은 고급 설정 구성 문서를 참조하십시오.

필요한 역할: sn_dlir.analyst

프로시저

다음으로 이동 모두 > DLP 인시던트 관리 > 분석가 작업 공간.
DLP 인시던트 기록을 엽니다.
상황별 사이드바에서 증거 파일 아이콘( )을 선택합니다.

증거 파일 탭에서 증거 파일 카드를 선택하여 문서 뷰어에서 증거 파일을 미리 봅니다.

미리 보기 기능은 다음 표에 나와 있는 것처럼 파일 형식마다 다릅니다.


파일 형식	파일 확장명
이미지	.bmp, .gif, .ico, .jpeg, .jpg, .png, .svg 및 .webp. 이미지 파일은 문서 뷰어 모드에서 열립니다.
Microsoft Office 파일	.doc, .docx, .ppt, .pptx, .xls, .xlsx Office 파일이 문서 뷰어 모드로 열립니다.
텍스트 파일	.txt 텍스트 파일이 텍스트 편집기 모드에서 열립니다.
메일 파일	.eml 주: 파일 크기는 5MB 미만이어야 합니다. 콘텐츠를 미리 보려면 먼저 파일을 다운로드해야 합니다.
PDF 파일	.pdf 문서를 검색할 키워드를 입력합니다. 확대 및 축소 기능을 사용하여 보기를 조정하여 가독성을 향상시킵니다. 페이지를 시계 방향이나 시계 반대 방향으로 돌리면 콘텐츠를 더 명확하게 볼 수 있습니다.

주:

이진 파일은 렌더링되지 않으며 콘텐츠를 미리 보려면 다운로드해야 합니다. 증거 파일 미리 보기 기능은 보관된 인시던트에도 작동합니다.

Playbook for Data Loss Prevention Incident Response

Data Loss Prevention Incident Response 플레이북은 조직의 보안을 손상시킬 수 있는 민감한 정보의 무단 노출, 유출 또는 침해를 포함할 수 있는 데이터 손실 인시던트를 해결하고 완화하기 위한 단계별 가이드입니다.

다음 표에는 DLP 플레이북을 만드는 데 사용할 수 있는 활동과 스테이지가 나와 있습니다. 자세한 내용은 다음을 참조하십시오 DLP 플레이북 추가.


활동	설명
탐지	민감한 데이터의 무단 액세스 또는 노출을 식별하고 확인합니다.
방지	추가 데이터 유출 또는 무단 액세스를 방지하기 위해 영향을 받는 시스템 또는 사용자를 격리합니다.
조사	위반을 조사하여 위반 발생 경위, 영향을 받은 데이터, 잠재적 영향을 파악합니다.
알림	법률 또는 정책에서 요구하는 대로 내부 팀, 외부 이해 관계자 및 규제 기관에 알립니다.
정정	취약성을 해결하고, 정책을 업데이트하고, 향후 위반을 방지하기 위해 시정 조치를 적용합니다.
복구	보안 백업에서 시스템을 복원하고 인시던트 이후 데이터의 무결성을 확인합니다.
사후 인시던트 검토	인시던트를 분석하여 근본 원인을 식별하고, 보안 제어를 개선하고, 정책을 강화합니다.

다음 그림은 중요한 데이터 위반 플레이북 생성과 관련된 활동 및 스테이지의 워크플로우를 보여줍니다. 플레이북 단계는 워크플로우에 따라 달라집니다.

DLP 플레이북 추가

분석가 작업 공간에 조직의 보안을 손상시킬 수 있는 데이터 손실 인시던트를 해결하고 완화하기 위한 가이드 역할을 할 수 있는 플레이북 Data Loss Prevention Incident Response 을 추가합니다.

시작하기 전에

필요한 역할: sn_dlir.analyst

프로시저

다음으로 이동 모두 > DLP 인시던트 관리 > 분석가 작업 공간.
DLP 분석가 작업 공간 - 내 인시던트 페이지에서 DLP 인시던트를 엽니다.
플레이북을 추가합니다.
1. 플레이북 탭으로 이동합니다.
2. UI 작업 메뉴에서 추가 작업 아이콘을 선택하고 플레이북 추가를 선택합니다.
3. 대화 상자의 드롭다운 메뉴에서 플레이북을 선택합니다.
4. 플레이북 추가를 선택합니다.
각 레인을 선택하여 이 플레이북이 수행하는 작업을 탐색합니다.

DLP 플레이북 취소

플레이북을 Data Loss Prevention Incident Response 취소하여 더 이상 유효하지 않은 비즈니스 플로우를 중지합니다.

시작하기 전에

주:

연결된 DLP 인시던트가 종결되면 플레이북이 자동으로 취소됩니다.

필요한 역할: sn_dlir.admin.

프로시저

다음으로 이동 모두 > DLP 인시던트 관리 > 분석가 작업 공간.
DLP 인시던트를 엽니다.
플레이북 탭으로 이동합니다.
취소하려는 플레이북의 헤더에서 플레이북 작업 아이콘을 선택한 다음 플레이북 취소를 선택합니다.
플레이북 취소 이유를 제공합니다.
플레이북 취소를 선택합니다.

결과

Playbook이 취소되었음을 확인하는 배너가 Playbook 헤더 아래에 표시됩니다.

보관된 DLP 인시던트 보기

DLP 분석가 작업 공간을 사용하여 보관된 DLP 인시던트를 보거나 다시 활성화합니다.

시작하기 전에

필요한 역할:

sn_dlir.analyst
sn_dlir.analyst_read 및 sn_dlir.read

프로시저

다음으로 이동 모두 > DLP 인시던트 관리 > 분석가 작업 공간.
기본적으로 내 인시던트 섹션이 표시됩니다.
보관된 인시던트를 클릭합니다.
보관된 DLP 인시던트 목록이 표시됩니다.
인시 던트 수 표시 버튼을 클릭하여 보관된 인시던트 수를 확인합니다.
주:
- 기본적으로 보관된 인시던트 수는 목록 로드 시간을 개선하기 위해 숨겨져 있습니다. 인시 던트 수 표시 버튼을 선택하여 인시던트 수를 봅니다. 인시던트 수를 보여주는 정보 메시지가 표시됩니다.
- 시스템 속성 glide.ui.list.seismic.omit.count는 보관된 인시던트의 기본 시스템에서 인시던트 목록 수를 숨길 수 있도록 활성화됩니다.
보려는 DLP 인시던트를 하나 이상 선택합니다.
DLP 인시던트에 인시던트 상세 정보 섹션이 표시됩니다.
주:
- 최종 사용자의 다른 인시던트 에는 보관된 인시던트가 포함됩니다.
- 일치 컨텐츠 는 보관된 모든 인시던트에 대해 지원되지만(모든 통합에서도 지원됨) 파일 다운로드 는 Microsoft 통합에 대해서만 지원됩니다.
옵션: 인시던트를 다시 활성화하려면 상태 필드를 활성 상태(예: 열림 또는 진행 중)로 변경합니다.