Data Loss Prevention Incident Response 분석가 작업 공간

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기14분

    • Data Loss Prevention Incident Response (DLP IR) 분석가 작업 공간을 사용하여 DLP 인시던트를 봅니다. 해결 등을 위해 최종 사용자에게 인시던트를 할당합니다.

    DLP 작업 영역은 대시보드, 목록 뷰 및 DLP 인시던트를 모니터링할 수 있는 양식 뷰가 있는 홈페이지로 구성됩니다.

    그림 1. DLP 작업 공간 개요 페이지
    DLP 작업 공간 개요 페이지.

    DLP 인시던트 검토 및 할당

    Data Loss Prevention Incident Response DLP 인시던트를 검토하고 할당하거나 해결할 수 있도록 (DLP IR) 분석가 작업 공간에 액세스합니다. 심각도별 인시던트, 상위 공격자, 검사 소스별 인시던트 및 정책별 인시던트에 대한 추세를 추적할 수 있습니다.

    시작하기 전에

    필요한 역할:
    • sn_dlir.analyst - DLP 인시던트를 편집하고 봅니다.
    • sn_dlir.analyst_read 및 sn_dlir.read - DLP 인시던트를 봅니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 인시던트 관리 > DLP 분석가 작업 공간.
      DLP 작업 공간 내 인시던트 운영 목록 페이지가 새 탭에서 열립니다.
    2. DLP 작업 공간 홈 아이콘을 클릭하여 작업 공간 홈페이지 보기를 확인합니다.
    3. 대시보드 위젯을 검토하여 심각도별 인시던트, 상위 공격자, 스캔 소스별 인시던트 및 정책별 인시던트별 추세를 식별합니다.
    4. 홈페이지에서 적절한 필터를 클릭하여 다양한 범주별로 위젯을 봅니다.
      필터 설명
      오픈 인시던트 열려 있는 모든 인시던트를 봅니다.
      지연된 중요 인시던트 중요 심각도 레이블이 있고 기한이 지난 인시던트를 봅니다.
      최종 사용자에게 할당된 인시던트 최종 사용자에게 할당된 인시던트를 봅니다.
    5. 다음 두 가지 방법을 사용하여 DLP 인시던트를 검토하고 할당할 수 있습니다.
      1. 첫 번째 방법은 검토하려는 DLP 인시던트를 하나 이상 찾아 선택하고 인시던트 옆에 있는 확인란을 클릭하는 것입니다.
      2. 자신에게 적합한 옵션을 선택합니다.
        옵션 설명
        목록 새로 고침 업데이트할 때 DLP 인시던트 목록을 새로 고치는 옵션입니다.
        목록 작업 수행할 수 있는 작업 목록입니다. 선택 항목은 다음과 같습니다.
        • 다른 이름으로 저장
        • 열 편집
        • 너비 재설정
        주:
        목록 섹션 아래에 작업 공간에 대해 구성된 사용자 지정 목록이 있는 경우 아래의 추가 목록 작업도 수행할 수 있습니다.
        • 이름 바꾸기
        • 저장
        • 삭제
        모두에 대한 URL 복사 모든 DLP 인시던트의 URL을 복사하는 옵션입니다.
        필터 패널 표시 필터 옵션을 사용하여 필요한 인시던트를 드릴다운하는 옵션입니다.
        1. 페이지의 왼쪽 위에 있는 필터를 클릭하고 고급 보기를 선택합니다.
        2. 기존 필터를 사용하거나 필드, 연산자 및 값이 포함된 조건을 추가하여 직접 빌드합니다.
        3. 조건을 더 추가하려면 AND 또는 OR을 클릭합니다.
          • AND를 선택하면 모든 조건이 일치해야 합니다.
          • OR을 선택하면 두 조건을 일치시킬 수 있습니다.
        4. 업데이트를 클릭합니다.
        인시던트 할당 DLP 인시던트를 할당할 대상을 결정하는 작업입니다. 선택 항목은 다음과 같습니다.
        • 인시던트 할당 대상: 분석가, 최종 사용자 또는 다른 사람에게 인시던트를 할당하는 옵션입니다.
        • 사용자: 인시던트를 할당해야 하는 사용자를 결정하는 옵션입니다.
        • 인시던트 상태 사전 사용자 응답: 사용자가 응답하기 전에 인시던트가 어느 상태에 있어야 하는지 결정하는 옵션입니다. 사용자 지정 상태일 수도 있습니다.
        • 평가 첨부: 인시던트에 평가를 첨부할지 여부를 나타내는 옵션입니다. 활성화하면 아래 옵션을 사용할 수 있습니다.
          • 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다.
          • 인시던트 상태 사전 사용자 응답 사용자가 응답한 후 DLP 인시던트가 있어야 하는 상태를 선택하는 옵션입니다.
        응답 인시던트 응답 옵션을 선택하여 인시던트에 응답합니다. 예를 들어 사용자가 DLP 정책을 위반하는 파일을 삭제하는 경우 사용자는 삭제된 파일 옵션을 선택하여 파일이 삭제되었다는 수동 확인을 제출하고 의견을 제공할 수 있습니다.

        여기에서 고급 응답 옵션을 선택할 수도 있습니다. (예: 격리에서 이메일 릴리스 요청)
        에스컬레이션 인시던트를 에스컬레이션하는 작업입니다. 인시던트를 에스컬레이션할 대상 사용자를 선택하여 인시던트를 에스컬레이션할 수 있습니다. 의견 필드에 추가 정보를 입력할 수도 있습니다.
        상태 업데이트 인시던트의 상태를 업데이트하는 작업입니다. 드롭다운 옵션에서 상태 중 하나를 선택하여 인시던트의 상태를 업데이트할 수 있습니다. 사용자 지정 상태일 수도 있습니다.
        닫기 인시던트를 종결하는 작업입니다. 드롭다운 목록에서 해당 종결 코드를 선택하고 종결 코멘트를 추가합니다.
        Data Loss Prevention Incident Response닫기 기능은 목록 뷰에서 비동기 및 동기식으로 수행됩니다.
        1. 동기식 종결: 인시던트를 동기식으로 종결한다는 것은 종결 작업이 즉시 수행됨을 의미합니다. 종결할 인시던트를 여러 개 선택하고 인시던트 수가 100보다 작거나 같으면 DLP 인시던트 목록 뷰에서 인시던트가 전경으로 닫힙니다. 여기서 기본값은 100입니다.
        2. 비동기 종결: 선택한 인시던트 수가 100보다 큰 경우 종결 요청이 제출되고 애플리케이션이 백그라운드에서 요청을 실행함을 의미합니다.

          업데이트된 인시던트 상태를 보려면 DLP 인시던트 목록 뷰를 새로 고쳐야 합니다.

          주:
          • 비동기 또는 동기 종결에 대해 선택한 인시던트 수는 시스템 속성 sn_dlir.closure_sync_count_limit를 사용하여 구성됩니다.
          • 기본적으로 인시던트 수는 100으로 설정됩니다.
      3. 두 번째 방법은 특정 DLP 인시던트를 클릭하여 여는 것입니다.
        • 상세 정보 탭: 다음 섹션이 표시됩니다.
          • 상세 정보: 인시던트 번호, 심각도, 파일 이름 등과 같은 DLP 인시던트의 상세 정보를 볼 수 있습니다. 심각도, 상태, 최종 사용자 및 DLP 분석가 그룹 필드를 각각 수정하고 저장할 수 있는 기능도 제공됩니다.
          • 작성: 모든 사람에게 표시되는 DLP 인시던트에 대한 설명을 추가하려면 설명 탭에 설명을 입력합니다. 특정 사용자에게 표시되는 설명을 추가하려면 작업 메모(비공개) 탭에 설명을 입력합니다.
          • 활동: DLP 인시던트에서 다양한 활동의 상세 정보를 볼 수 있습니다.
          • 첨부 파일: DLP 인시던트와 관련된 첨부 파일이 있는 경우 찾아보기 를 클릭하고 로컬 드라이브에서 첨부 파일을 선택합니다.
        • 추가 상세 정보 탭: 사용자 지정 필드를 포함하여 DLP 인시던트에 대한 모든 추가 정보를 표시합니다.
          중요사항:
          • DLP 인시던트에 대한 사용자 지정 필드는 San Diego 버전 이상에서만 지원됩니다.
          • 추가 상세 정보 탭을 사용하여 특정 DLP 인시던트에 대해 사용자 지정 필드가 만들어졌는지 여부를 확인할 수 있습니다.
        • 사용자 지정 속성 탭: DLP 인시던트와 관련된 사용자 지정 속성 목록을 표시합니다.
        • 최종 사용자의 다른 인시던트: 동일한 최종 사용자의 인시던트를 표시합니다. 이 관련 목록에서 하위 인시던트로 추가 작업을 수행하여 인시던트를 통합할 수 있습니다.
        • 탐지된 중요한 정보 유형: 인시던트에서 탐지된 중요한 정보를 표시합니다.
          주:
          이 관련 목록은 Microsoft 또는 Symantec 통합용으로 생성된 DLP 인시던트에 대해서만 표시됩니다. Microsoft 또는 Symantec 인시던트 기록 내에서 사용자가 탐지된 중요한 정보 유형 기록에 액세스할 때마다 해당 통합과 관련하여 강조 표시된 일치 컨텐츠가 표시됩니다.
        • 하위 인시던트: 수동으로('하위 인시던트로 추가' 작업 수행) 또는 DLP 통합 규칙에서 생성된 하위 인시던트를 표시합니다. 이 관련 목록에서 '하위 인시던트 연결 해제'를 수행하여 하위 인시던트의 연결을 해제할 수 있습니다.
        • 복제된 인시던트: 상위 인시던트에서 복제된 인시던트를 표시합니다. 양식 뷰의 인시던트 복제 작업을 클릭하여 새 복제된 인시던트를 만들 수 있습니다.
        • 평가 탭: DLP 인시던트에 할당된 평가 목록을 표시합니다.
      4. 자신에게 적합한 옵션을 선택합니다.
        옵션 설명
        인시던트 할당 DLP 인시던트를 할당할 대상을 결정하는 작업입니다. 선택 항목은 다음과 같습니다.
        • 인시던트 할당 대상: 분석가, 최종 사용자 또는 다른 사람에게 인시던트를 할당하는 옵션입니다.
        • 사용자: 인시던트를 할당할 사용자를 선택하는 옵션입니다.
        • 인시던트 상태 사전 사용자 응답: 사용자가 응답하기 전에 인시던트가 있어야 하는 상태를 선택하는 옵션입니다. 사용자 지정 상태일 수도 있습니다.
        • 평가 첨부: 인시던트에 평가를 첨부할지 여부를 나타내는 옵션입니다. 활성화하면 아래 옵션을 사용할 수 있습니다.
          • 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다.
          • 사용자 응답 게시 인시던트 상태: 사용자가 응답한 후 DLP 인시던트가 있어야 하는 상태를 선택하는 옵션입니다.
        승인 취소 승인 요청을 취소하는 작업입니다.

        이 작업은 DLP 인시던트가 승인 보류 중 상태인 경우에만 양식 뷰에서 분석가에게 표시됩니다. 사용 가능한 옵션은 다음과 같습니다.

        • 인시던트 할당 대상: 인시던트를 다른 사람, 분석가 또는 다른 사람에게 할당하지 않는 옵션입니다.
        • 사용자: 인시던트를 할당할 사용자를 선택하는 옵션입니다.
        • 취소 후 인시던트 상태: 요청을 취소한 후 인시던트가 있어야 하는 상태를 선택하는 옵션입니다.
        • 의견: 취소에 대한 추가 세부 정보를 제공합니다.
        평가 할당 인시던트를 할당하는 동안 평가를 첨부하는 작업입니다. 선택 항목은 다음과 같습니다.
        • 평가 템플릿: DLP 인시던트에 대한 평가 템플릿을 선택하는 옵션입니다.
        • 사용자 응답 게시 인시던트 상태: 사용자가 응답한 후 DLP 인시던트가 있어야 하는 상태를 선택하는 옵션입니다.
        파일 다운로드 위반 컨텐츠가 있는 파일 또는 이메일을 다운로드하는 작업입니다. 이 작업은 Microsoft OneDrive, SharePoint Online 또는 Exchange Online용으로 생성된 인시던트에 대해 수행할 수 있습니다.
        저장 변경한 내용을 저장하는 작업입니다. DLP 인시던트의 심각도, 상태 및 최종 사용자 필드를 수정하고 저장할 수 있는 옵션이 있습니다.
        응답 인시던트 응답 옵션을 선택하여 인시던트에 응답합니다. 예를 들어 사용자가 DLP 정책을 위반하는 파일을 삭제하는 경우 사용자는 삭제된 파일 옵션을 선택하여 파일이 삭제되었다는 수동 확인을 제출하고 의견을 제공할 수 있습니다.

        여기에서 고급 응답 옵션을 선택할 수도 있습니다. 예: 격리에서 이메일 릴리스를 요청합니다.
        에스컬레이션 인시던트를 에스컬레이션하는 작업입니다. 인시던트를 에스컬레이션할 대상 사용자를 선택하여 인시던트를 에스컬레이션할 수 있습니다. 의견 필드에 추가 정보를 입력할 수도 있습니다.
        인시던트 복제 인시던트 기록이 여러 사용자에게 영향을 주는 경우 복제 인시던트를 생성하는 작업입니다. 복제된 인시던트를 법무/IT 등 여러 이해 관계자에게 할당할 수 있습니다.

        복제 인시던트 기록을 만들면 상위 DLP 인시던트 아래에 새 복제된 인시던트 탭이 생성되고 모든 복제된 인시던트가 이 뷰에 나열됩니다.

        주:
        • 상위 DLP 인시던트 기록이 종결되면 복제된 모든 인시던트 기록이 자동으로 종결됩니다.
        • DLP 인시던트 기록에 복제된 인시던트가 포함되어 있는 경우 최종 사용자에게 할당할 수 없습니다. 상위 DLP 인시던트 기록은 분석가 역할을 가진 사용자만 관리할 수 있습니다.
        • 기본 구성 모듈에서 복제된 인시던트의 상태에 따라 상위 상태를 자동으로 업데이트하는 옵션도 있습니다. 예를 들어 복제된 모든 인시던트가 에스컬레이션됨 상태로 이동하면 상위 인시던트도 에스컬레이션됨 상태로 이동합니다.
        닫기 인시던트를 종결하는 작업입니다. 드롭다운 목록에서 해당 종결 코드를 선택하고 필요한 경우 종결 코멘트를 추가해야 합니다.
        긍정 오류로 종결 인시던트를 긍정 오류로 종결하는 작업입니다. 인시던트를 종결하기 전에 코멘트를 추가할 수도 있습니다.
        그림 2. DLP 분석가 작업 공간
        DLP 분석가 작업 공간: 상세 정보 탭
    6. 페이지 왼쪽 위로 이동하여 목록 탭을 클릭하면 홈페이지에서 목록 뷰를 볼 수 있습니다.
      목록 범주는 DLP 인시던트에 대한 기본 목록 페이지와 사용자 지정된 목록 페이지로 구성됩니다.
      • 목록: DLP 인시던트의 기본 목록입니다. 다음은 기본 목록입니다.
        • 모두
        • 오픈
        • 내 인시던트
        • 내 그룹에 할당
        • 에스컬레이션됨
        • 지연
        • 보류 중인 평가
        • 사용자 작업 보류 중
        • 복제된 인시던트
        • 보관된 인시던트
      • 내 목록: 이름을 변경한 모든 목록과 사용자가 만든 모든 목록을 표시합니다.
      다음 예제에서는 목록 보기 범주가 있는 DLP 작업 영역을 보여 줍니다. 모든 목록 뷰 옵션이 선택되어 있습니다.
      그림 3. DLP 분석가 작업 공간 목록 뷰
      DLP 분석가 작업 공간 목록 뷰

    증거 파일 미리 보기

    DLP IR 분석가 작업 공간에서 증거 파일을 미리 봅니다 Data Loss Prevention Incident Response .

    시작하기 전에

    중요사항:
    DLP 분석가 작업 공간에서 증거 파일 작업을 사용하는 동안 증거 파일은 임시로 암호화되지 않은 형식으로 ServiceNow 데이터베이스에 저장됩니다. 증거 파일을 저장하지 않으려면 증거 파일 미리 보기 기능을 사용하지 않도록 설정합니다. 자세한 내용은 고급 설정 구성 문서를 참조하십시오.

    필요한 역할: sn_dlir.analyst

    프로시저

    1. 다음으로 이동 모두 > DLP 인시던트 관리 > DLP 분석가 작업 공간.
    2. DLP 인시던트 기록을 엽니다.
    3. 상황별 사이드바에서 사용할 수 있는 증거 파일 아이콘( 증거 파일 아이콘.)을 선택합니다.
    4. 증거 파일 탭에서 증거 파일 카드를 선택하여 문서 뷰어에서 증거 파일을 미리 봅니다.
      증거 파일을 미리 봅니다.

      미리 보기 기능은 다음 표에 나와 있는 것처럼 파일 형식마다 다릅니다.

      파일 형식 파일 확장명
      이미지 .bmp, .gif, .ico, .jpeg, .jpg, .png, .svg 및 .webp.

      이미지 파일은 문서 뷰어 모드에서 열립니다.
      Microsoft Office 파일 .doc, .docx, .ppt, .pptx, .xls, .xlsx

      Office 파일이 문서 뷰어 모드에서 열립니다.
      텍스트 파일 .txt

      텍스트 파일은 텍스트 편집기 모드에서 열립니다.
      메일 파일 .eml
      주:
      파일 크기는 5MB 미만이어야 합니다. 콘텐츠를 미리 보려면 먼저 파일을 다운로드해야 합니다.
      PDF 파일 .pdf
      • 키워드를 입력하여 문서를 검색합니다.
      • 확대 및 축소 기능으로 보기를 조정하여 가독성을 높입니다.
      • 페이지를 시계 방향 또는 시계 반대 방향으로 회전하면 내용을 더 선명하게 볼 수 있습니다.
      주:

      이진 파일은 렌더링되지 않으며 콘텐츠를 미리 보려면 다운로드해야 합니다. 증거 파일 미리 보기 기능은 보관된 인시던트에도 사용할 수 있습니다.

    다음을 위한 플레이북 Data Loss Prevention Incident Response

    Data Loss Prevention Incident Response Playbook은 조직의 보안을 손상시킬 수 있는 민감한 정보의 무단 노출, 유출 또는 침해를 포함할 수 있는 데이터 손실 인시던트를 해결하고 완화하기 위한 단계별 가이드입니다.

    다음 이미지는 DLP IR에 사용할 수 있는 샘플 플레이북을 보여 줍니다.

    그림 4. DLP Incident Response용 샘플 플레이북
    DLP 인시던트 응답을 위한 플레이북

    다음 표에는 플레이북 생성과 관련된 활동과 스테이지가 나열되어 있습니다. 자세한 내용은 다음을 참조하십시오 DLP 플레이북 추가.

    활동 설명
    탐지 민감한 데이터에 대한 무단 액세스 또는 노출을 식별하고 확인합니다.
    방지 영향을 받는 시스템 또는 사용자를 격리하여 추가 데이터 유출 또는 무단 액세스를 방지합니다.
    조사 위반을 조사하여 발생 경위, 영향을 받은 데이터, 잠재적 영향을 파악합니다.
    알림 법률 또는 정책에서 요구하는 경우 내부 팀, 외부 이해 관계자 및 규제 기관에 알립니다.
    정정 취약성을 해결하고, 정책을 업데이트하고, 향후 위반을 방지하기 위한 시정 조치를 적용합니다.
    복구 보안 백업에서 시스템을 복원하고 인시던트 발생 후 데이터 무결성을 검증합니다.
    사후 인시던트 검토 인시던트를 분석하여 근본 원인을 식별하고, 보안 제어를 개선하고, 정책을 강화합니다.

    다음 그림은 플레이북 생성과 관련된 활동 및 스테이지의 워크플로우를 보여줍니다.

    그림 5. 플레이북 설계 워크플로우
    플레이북 설계 워크플로우
    주:
    민감한 데이터 위반에 대한 샘플 플레이북입니다. 플레이북 유형에 따라 워크플로우가 변경될 수 있습니다.

    DLP 플레이북 추가

    분석가 작업 공간에 조직의 보안을 손상시킬 수 있는 데이터 손실 인시던트를 해결하고 완화하기 위한 가이드 역할을 할 수 있는 플레이북 Data Loss Prevention Incident Response 을 추가합니다.

    시작하기 전에

    필요한 역할: sn_dlir.analyst - DLP 작업 공간에서 플레이북을 추가하거나 봅니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 인시던트 관리 > DLP 분석가 작업 공간.
    2. DLP 분석가 작업 공간 - 내 인시던트 페이지에서 DLP 인시던트를 엽니다.
    3. 플레이북 탭으로 이동합니다.
    4. ( 추가 작업 아이콘. ) 메뉴에서 플레이북 추가를 선택하고 드롭다운 메뉴에서 플레이북을 선택합니다.
    5. 플레이북 추가를 선택합니다.
    6. 각 레인을 선택하여 이 플레이북이 수행하는 작업을 탐색합니다.
      그림 6. 샘플 DLP 플레이북
      DLP 플레이북을 추가합니다.

    DLP 플레이북 취소

    더 이상 유효하지 않은 비즈니스 플로우를 중지하려면 플레이북을 취소합니다 Data Loss Prevention Incident Response .

    시작하기 전에

    주:
    연결된 DLP 인시던트가 종결되면 플레이북이 자동으로 취소됩니다.

    필요한 역할: sn_dlir.admin.

    프로시저

    1. 다음으로 이동 모두 > DLP 인시던트 관리 > DLP 분석가 작업 공간.
    2. DLP 인시던트를 엽니다.
    3. 플레이북 탭으로 이동합니다.
    4. 취소하려는 플레이북의 헤더에서 (추가 작업 아이콘) 아이콘을 선택한 다음 플레이북 취소를 선택합니다.
    5. 플레이북 취소 이유를 제공합니다.
    6. 플레이북 취소를 선택합니다.

    결과

    플레이북 헤더 아래에 플레이북이 취소되었음을 확인하는 배너가 나타납니다.

    보관된 DLP 인시던트 보기

    DLP 분석가 작업 공간을 사용하여 보관된 DLP 인시던트 보기

    시작하기 전에

    필요한 역할:
    • sn_dlir.analyst - DLP 인시던트를 편집하고 봅니다.
    • sn_dlir.analyst_read 및 sn_dlir.read - DLP 인시던트를 봅니다.

    프로시저

    1. 다음으로 이동 모두 > DLP 인시던트 관리 > DLP 분석가 작업 공간.
      기본적으로 내 인시던트 섹션이 표시됩니다.
    2. 보관된 인시던트를 클릭합니다.
      보관된 DLP 인시던트 목록이 표시됩니다.
    3. 보관된 인시던트 수를 보려면 인시던트 수 표시 버튼을 클릭합니다.
      주:
      • 기본적으로 보관된 인시던트 수는 목록 로드 시간을 개선하기 위해 숨겨집니다. 인시던트 수를 보려면 인시던트 수 표시 버튼을 클릭해야 합니다. 또한 인시던트 수를 보여주는 정보 메시지가 표시됩니다.
      • 보관된 인시던트에 대해 시스템 속성 glide.ui.list.seismic.omit.count가 기본 시스템에서 활성화되어 인시던트 목록 수를 숨깁니다.
    4. 보려는 DLP 인시던트를 하나 이상 선택합니다.
      DLP 인시던트에 인시던트 상세 정보 섹션이 표시됩니다.
      주:
      • 최종 사용자의 기타 인시던트 탭에는 보관된 인시던트도 포함됩니다.
      • 컨텐츠 일치 는 보관된 모든 인시던트에 대해 지원되지만(모든 통합에서도 지원됨) 파일 다운로드 는 Microsoft 통합에 대해서만 지원됩니다.