Data Loss Prevention Endpoint 9.4 제품 안내서

Transcription

1 제품 안내서 교정 A McAfee Data Loss Prevention Endpoint McAfee epolicy Orchestrator 와 함께 사용

2 저작권 Copyright 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, , 상표 인증 Intel 및 Intel 로고는 미국 및/또는 기타 국가에서 Intel Corporation 의 등록 상표입니다. McAfee, McAfee 로고, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee 라이브세이프, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan 은 미국 및 기타 국가에서 McAfee, Inc. 또는 자회사의 등록 상표 또는 상표입니다. 기타 이름 및 브랜드는 각 소유자의 재산으로 주장될 수 있습니다. 사용권 정보 사용권 계약서 모든 사용자에 대한 고지 사항: 사용자가 구입한 사용권에 대한 올바른 법적 계약서를 주의 깊게 읽으십시오. 정식 소프트웨어의 사용에 대한 일반 사항과 조건이 명시되어 있습 니다. 구입한 사용권의 종류를 잘 모르겠으면, 영업부에 문의하시거나 기타 관련 사용권 허가서 또는 소프트웨어 포장에 포함되어 있는 구입 주문서 또는 구입의 일부로서 별도 로 받은 사용권 허가서(책자, 제품 CD 에 있는 파일, 소프트웨어 패키지를 다운로드한 웹 사이트에 있는 파일)를 참조하십시오. 여기서 설명하는 모든 조건에 동의하지 않으면 소프트웨어를 설치하지 마십시오. 이 경우, 이 제품을 MCAFEE 또는 구입처에 반환하면 전액 환불해 드립니다. 2 McAfee Data Loss Prevention Endpoint 제품 안내서

3 목차 서문 7 안내서 정보 대상 표기 규칙 제품 설명서 찾기 소개 9 데이터 보호 McAfee DLP Endpoint 개요 분류 추적 보호 모니터 제품 모듈 및 모듈 간 상호 작용 방식 McAfee DLP Endpoint 클라이언트 소프트웨어 배포 및 설치 2 배포 옵션과 시나리오 21 엔드포인트 제품 옵션 선택 권장되는 설치 시스템 요구 사항 확인 McAfee DLP Endpoint 소프트웨어 설치 27 McAfee DLP 확장 설치 및 사용권 취득 McAfee DLP Endpoint 패키지를 McAfee epo 에 체크인 McAfee DLP Endpoint 클라이언트 배포 29 McAfee DLP Endpoint 클라이언트를 McAfee epo 에서 배포 설치 확인 McAfee epo 에서 정책 배포 정책 또는 클라이언트 구성 할당 정책 새로 고침 구성과 이용 5 시스템 구성요소 구성 35 정책 카탈로그 McAfee DLP 서버 설정 편집 권한 관리 서버 정의 증거가 있는 이벤트 문서화 증거 폴더 만들기 증거 폴더 구성 사용자 및 권한 세트 McAfee Data Loss Prevention Endpoint 제품 안내서 3

4 목차 McAfee DLP 역할 만들기 및 정의 DLP 권한 집합 McAfee DLP 권한 집합 만들기 수정을 사용하여 기밀성 보호 정책 카탈로그에서 McAfee DLP 구성 McAfee DLP Endpoint 구성 가져오기 또는 내보내기 클라이언트 구성 이동식 미디어 보호 45 장치 보호 장치 클래스 장치 클래스 정의 장치 정의 장치 정의 장치 속성 장치 규칙 만들기 Citrix 장치 규칙 만들기 고정 하드 드라이브 장치 규칙 만들기 플러그 앤 플레이 장치 규칙 만들기 이동식 저장 장치 규칙 만들기 이동식 저장소 파일 액세스 규칙 만들기 TrueCrypt 장치 규칙 만들기 중요한 콘텐츠 분류 57 분류 모듈 수동 분류 분류 사용 텍스트 추출 McAfee DLP Endpoint 의 응용프로그램 분류 방식 분류 정의 및 기준 사전 정의 고급 패턴 정의 문서 속성 또는 파일 정보로 콘텐츠 분류 응용프로그램 템플릿 분류 만들기 및 구성 분류 만들기 분류 기준 만들기 태그 지정 기준 만들기 수동 분류 권한 할당 등록 문서 화이트리스트 텍스트 등록된 문서 업로드 텍스트를 화이트리스트에 포함하기 위해 파일 업로드 분류 정의 만들기 사전 정의 만들기 또는 가져오기 고급 패턴 만들기 Titus Message Classification 소프트웨어를 분류 기준과 통합 Boldon James Classifier 를 분류 기준과 통합 파일 위치 기준 분류 네트워크 매개 변수 정의 파일 수신자 기준 분류 이메일 프린터 웹 사이트에 업로드된 정보 제어 McAfee Data Loss Prevention Endpoint 제품 안내서

5 목차 8 규칙을 사용하여 중요한 콘텐츠 보호 77 규칙 작동 방식 데이터 보호 규칙을 사용하여 사용자 데이터 전송 보호 비즈니스 정당성 장치 제어 규칙으로 이동식 미디어 보호 탐색 규칙으로 파일 보호 규칙 유형에 사용할 수 있는 대응 권한 관리로 파일 보호 McAfee DLP 가 권한 관리와 작동하는 방식 지원되는 권한 관리 서버 규칙 집합 규칙 및 규칙 집합 만들기 및 구성 규칙 집합 만들기 규칙 만들기 규칙 사용, 사용 안 함 또는 삭제 규칙 또는 규칙 집합 열 구성 최종 사용자 메시지 사용자 지정 정당성 정의 만들기 통보 정의 만들기 엔드포인트 탐색 89 탐색 작동 방법 엔드포인트 탐색 크롤러로 콘텐츠 찾기 탐색 규칙 만들기 및 정의 스케줄러 정의 만들기 검색 설정 검역된 파일 또는 전자 메일 항목 복구 정책 95 정의 작동 방식 DLP 정책 편집 모니터링 및 보고 11 이벤트 모니터링 및 보고 101 인시던트 인시던트 보기 인시던트 관리 데이터 수집 및 관리 109 DLP 인시던트 관리자 인시던트 관리자 작동 방식 검토자 설정 만들기 자동 이메일 만들기 이벤트 정리 만들기 서버 편집 결과 모니터링 보고서 만들기 115 보고서 유형 보고 옵션 사전 정의된 대시보드 색인 119 McAfee Data Loss Prevention Endpoint 제품 안내서 5

6 목차 6 McAfee Data Loss Prevention Endpoint 제품 안내서

7 서문 이 안내서는 McAfee 제품 시 필요한 정보를 제공합니다. 목차 안내서 정보 제품 설명서 찾기 안내서 정보 여기서는 본 안내서의 대상 독자, 안내서에 사용된 표기 규칙과 아이콘 및 안내서의 구성 방식에 대해 설명합니다. 대상 McAfee 문서는 대상에 맞도록 세심하게 조사 및 작성되었습니다. 이 안내서의 정보는 우선적으로 다음을 대상으로 합니다: 관리자 회사 보안 프로그램을 구현하고 시행하는 인원입니다. 보안 담당자 보안이 요구되는 기밀 데이터를 파악하며 회사의 지적 재산 보호 정책을 정의하는 인원입니다. 표기 규칙 본 안내서에서는 이러한 표기 규칙과 아이콘을 사용합니다. "책 제목", 용어, 강조 책 제목, 장 또는 항목의 제목; 새 용어; 강조. 굵게 사용자 입력, 코드, 메시 지 [인터페이스 텍스트] 파란색 하이퍼텍스트 특별히 강조된 텍스트 명령 및 사용자가 입력하는 기타 텍스트; 코드 샘플; 표시되는 메시지. 옵션, 메뉴, 단추 및 대화 상자와 같은 제품 인터페이스의 단어. 항목 또는 외부 웹 사이트로 연결되는 링크. 참고: 옵션을 이용할 수 있는 대체 방법 같은 추가 정보. 팁: 제안 및 권장 사항. 중요/주의: 컴퓨터 시스템, 소프트웨어 설치, 네트워크, 비즈니스 또는 데이터를 보호하기 위한 중요한 조언 사항. 경고: 하드웨어 제품을 사용할 때 신체적 상해를 입지 않도록 보호하기 위한 중요한 정보. McAfee Data Loss Prevention Endpoint 제품 안내서 7

8 서문 제품 설명서 찾기 제품 설명서 찾기 제품이 릴리스되면 해당 제품과 관련된 정보가 McAfee 온라인 지식 센터에 입력됩니다. 1 의 McAfee ServicePortal 에서 [지식 센터] 탭으로 이동합니다. 2 [기술 자료] 창에서 콘텐츠 소스를 클릭합니다: [제품 설명서]에서 사용자 설명서를 찾습니다 [기술 문서]에서 기술 자료 문서를 찾습니다 3 [내 필터를 삭제하지 않음]을 선택합니다. 4 제품을 입력하고 버전을 선택한 다음 [검색]을 클릭하여 문서 목록을 표시합니다. 8 McAfee Data Loss Prevention Endpoint 제품 안내서

9 1 소개 McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint) 소프트웨어는 기업 사용자가 자신의 환경(컴퓨 터)에서 중요한 콘텐츠와 관련된 을 검사하는 콘텐츠 기반 에이전트 솔루션입니다. 참고 항목: 21 페이지의 엔드포인트 제품 옵션 선택 목차 데이터 보호 McAfee DLP Endpoint 개요 제품 모듈 및 모듈 간 상호 작용 방식 McAfee DLP Endpoint 클라이언트 소프트웨어 데이터 보호 데이터 유출이란 응용프로그램, 물리적 장치 또는 네트워크 프로토콜 등의 채널을 통한 무단 통신으로 인해 기업의 기 밀이나 비공개 정보를 잃게 되는 것입니다. 데이터 유실 방지 소프트웨어는 미리 정의된 정보 보안 정책을 시행하여 이 러한 유출을 방지합니다. 보호할 데이터를 사용 중 데이터, 작동 중 데이터 및 저장 중인 데이터의 3 가지 벡터에 따라 유용하게 분류할 수 있습 니다. 표 1-1 데이터 벡터 설명 데이터 벡 터 사용 중 데 이터 작동 중 데 이터 저장 중인 데이터 설명 사용 중 데이터는 엔드포인트 장치의 사용자 액션에 적용됩니다. 데이터 및 파일을 이동식 미디어에 저장하고, 파일을 로컬 프린터에서 인쇄하고, 화면을 캡처하는 이 이에 해당됩니다. 작동 중 데이터는 네트워크의 라이브 트래픽에 적용됩니다. 트래픽이 분 석 및 분류되고 McAfee Data Loss Prevention(McAfee DLP) 데이터베이 스에 저장됩니다. 저장 중인 데이터는 데이터베이스, 파일 공유 및 리포지토리에 있는 데이 터에 적용됩니다. McAfee DLP 는 저장된 데이터를 검색 및 추적하고 이 러한 데이터에 대해 교정 액션을 수행할 수 있습니다. 관련 제품 McAfee Data Loss Prevention Endpoint (McAfee DLP Endpoint) McAfee Data Loss Prevention Monitor (McAfee DLP Monitor) McAfee Data Loss Prevention Prevent (McAfee DLP Prevent) McAfee Data Loss Prevention Discover (McAfee DLP Discover) McAfee DLP Endpoint 탐 색 McAfee Data Loss Prevention Endpoint 제품 안내서 9

10 1 소개 McAfee DLP Endpoint 개요 McAfee DLP Endpoint 는 주로 사용 중 데이터 벡터와 작동합니다. 고급 텍스트 패턴, 미리 정의된 사전, 정의된 키워드 및 파일 속성을 사용하여 중요한 콘텐츠를 식별하고 액션을 차단하거나 파일을 검역할 수 있습니다. 장치 관리 및 암호 화가 통합되며 타사 소프트웨어와 작동하여 추가적인 제어 계층을 제공할 수 있습니다. McAfee DLP Endpoint 개요 McAfee DLP Endpoint 는 기업 사용자가 자신의 환경(컴퓨터)에서 기업의 중요한 내용과 관련하여 한 내용을 검사하는 내용 기반 에이전트 솔루션입니다. McAfee DLP 는 정의, 분류, 규칙 집합 및 엔드포인트 클라이언트 구성으로 이루어진 정책을 배포하여 중요한 기업 정 보를 보호합니다. 그런 다음 정책을 모니터링하고 필요한 경우 중요한 콘텐츠를 포함하는 정의된 액션을 차단합니다. 또는 액션을 진행하기 전에 중요한 콘텐츠를 암호화할 수 있습니다. 마지막으로 McAfee DLP 소프트웨어는 프로세스 검토 및 제어를 위한 보고서를 만들고 중요한 콘텐츠를 증거로 저장할 수 있습니다. 그림 1-1 McAfee DLP 보호 프로세스 McAfee DLP Endpoint 클라이언트는 프로세스의 분류, 추적 및 보호 측면을 담당합니다. McAfee epo 의 McAfee DLP 확장은 엔드포인트 시스템에서 복사, 송신, 인쇄 또는 전송되는 데이터에 적용되는 분류 조건, 추적 기준 및 관리되는 보호 규칙의 구성을 담당합니다. McAfee DLP 확장과 McAfee epo 사용자 인터페이스는 함께 프로세스의 모니터링 측 면을 담당합니다. 분류 중요한 콘텐츠를 보호하려는 경우 McAfee DLP 관리자는 먼저 보호할 콘텐츠를 정의하고 분류합니다. 분류 및 분류 기준을 정의하여 콘텐츠를 분류합니다. 분류 기준은 실제 파일 유형, 고급 패턴(유효성 검사 알고리즘과 결합된 정규 표현식), 사전, 키워드, 텍스트 패턴과 키워드 간의 유사성, 작성자 또는 제목 같은 파일 속성을 기준으로 데이터를 분류하기 위한 조건을 정의합니다. 10 McAfee Data Loss Prevention Endpoint 제품 안내서

11 소개 McAfee DLP Endpoint 개요 1 소스 또는 대상 위 치 콘텐츠를 만드는 데 사용된 응용프로그램(응용프로그램 템플릿) 또는 콘텐츠를 만들거나 수신 하는 최종 사용자 그룹을 기준으로 소스를 정의합니다. URL 또는 네트워크 공유를 기준으로 위치를 정의합니다. 소스 위치, 즉 위치 기반 태그 지정 규칙은 McAfee Device Control 에서 지원되지 않습니다. 데이터 정의 콘텐츠 유형 특정 용 어 고급 패 턴 파일을 만든 응용프로그램, 문서 속성, 파일 정보 또는 [실제 파일 유형]을 기준으로 콘텐츠 유형 을 정의합니다. 사전은 중요한 단어의 목록을 정의합니다. 예를 들어 개인 의료 정보를 보호하기 위해 HIPAA 사전은 기밀 유지가 필요할 수 있는 의료 용어를 열거합니다. 기본 제공 사전이거나 사용자 정 의 사전입니다. 고급 패턴(텍스트 패턴)은 문자열(예: "회사 기밀")이거나 신용 카드 번호 또는 다른 정규 패턴을 식별하는 데 사용되는 정규 표현식일 수 있습니다. 지원되는 분류 소프트웨어 Titus Message Classification 또는 Boldon James Classifier 를 사용하여 이메일을 분 류할 수 있습니다. 이 분류는 분류 기준의 키워드로 정의됩니다. Titus Classification for Desktop 분류를 사용하여 모든 파일을 분류할 수 있습니다. 통합은 McAfee DLP Endpoint 에서 정의한 분류를 사용하는 Titus 에 적용되며 수동 분류 와 같은 방식으로 작동합니다. 타사 분류 소프트웨어는 McAfee Device Control 에서 지원되지 않습니다. 모든 규칙은 적용할 분류를 하나 이상 지정합니다. 이를 위해 콘텐츠를 구문 분석하고 분류 또는 태그 지정 기준의 정 의를 기준으로 일치시킵니다. 추적 McAfee DLP 는 등록 문서와 태그 지정 기준이라는 두 가지 기술을 사용하여 콘텐츠를 원본 기준으로 분류할 수 있습 니다. 이러한 기술을 사용하면 예를 들어 엔지니어링 SharePoint 사이트에서 다운로드되는 모든 파일을 추적하고 지적 재산 으로 분류하도록 지정할 수 있습니다. 등록 문서 등록 문서 기능은 엔지니어링 SharePoint 등의 지정된 리포지토리에 있는 모든 파일에 대한 사전 검색과 해당 리포 지토리에 있는 각 파일의 조각에 대한 시그니처 생성을 기반으로 합니다. 그런 다음에는 이 시그니처가 관리되는 모든 엔드포인트에 배포됩니다. 그러면 McAfee DLP Endpoint 클라이언트는 이러한 문서 중 하나에서 복사된 모든 단락을 추적하고 이를 등록 문서 시그니처의 분류에 따라 분류할 수 있습니다. 등록 문서는 메모리를 많이 사용하므로 성능에 영향을 줄 수 있습니다. 이는 McAfee DLP Endpoint 클라이언트가 검사하는 각 문서를 모든 등록 문서 시그니처와 비교하여 원본을 확인하기 때문입니다. 시그니처 수와 이 기술이 성능에 미치는 영향을 최소화하려면 가장 중요한 문서를 추적하는 데만 이 기술을 사용하는 것이 좋습니다. 태그 지정 태그 지정은 McAfee DLP Endpoint 제품 고유의 콘텐츠 추적 기술입니다. 관리자는 파일 위치를 정의하는 일련의 태그 지정 기준과 해당 위치의 파일에 추가할 분류 태그를 만듭니다. McAfee DLP Endpoint 클라이언트는 태그 지 정 기준에 정의된 위치에서 열리는 모든 파일을 추적하며, 파일이 액세스될 때 실시간으로 파일의 시그니처를 만듭 니다. 그런 다음 이러한 시그니처를 사용하여 파일과 파일의 조각을 추적합니다. 태그 지정 기준은 위치(UNC 경로 또는 URL)나 파일에 액세스하는 데 사용되는 응용프로그램으로 정의할 수 있습니다. 영구 태그 정보 지원 태그는 파일의 확장된 파일 속성(EA) 또는 대체 데이터 스트림(ADS)에 저장됩니다. 그러한 파일에 액세스할 때마다 McAfee DLP Endpoint 소프트웨어에서는 사용 방식에 관계없이 데이터 변환을 추적하고 중요한 콘텐츠의 분류를 지속 적으로 유지 관리합니다. 예를 들어 사용자가 태그가 지정된 Word 문서를 열고 일부 단락을 텍스트 파일에 복사한 다 음 텍스트 파일을 이메일 메시지에 첨부하면 발신 메시지에 원본 문서와 같은 태그가 있게 됩니다. McAfee Data Loss Prevention Endpoint 제품 안내서 11

12 1 소개 McAfee DLP Endpoint 개요 EA 또는 ADS 를 지원하지 않는 파일 시스템의 경우 McAfee DLP Endpoint 소프트웨어는 태그 정보를 메타 파일로 디 스크에 저장합니다. 메타 파일은 ODB$라는 숨겨진 폴더에 저장되며 이 폴더는 McAfee DLP Endpoint 클라이언트 소 프트웨어에 의해 자동으로 만들어집니다. 태그 및 태그 지정 기준은 McAfee Device Control 에서 지원되지 않습니다. 보호 보호는 DLP 정책 관리자의 규칙 집합에서 정의됩니다. 각 규칙 집합에는 데이터 보호, 장치 제어 및 탐색 규칙이 포함 될 수 있습니다. 여러 매개 변수 및 부울 AND, OR, NOT 논리가 규칙 예외 및 필터링을 위해 허용됩니다. 규칙 집합에 세 가지 유형의 규칙 모두를 포함할 필요가 없습니다. 한 유형의 한 규칙만으로 규칙 집합을 정의할 수 있 습니다. 데이터 보호 규칙 데이터 보호 규칙은 분류된 데이터의 무단 배포를 방지합니다. 사용자가 분류된 데이터를 복사하거나 첨부하려고 하면 McAfee DLP Endpoint 가 해당 시도를 차단하고 데이터 보호 규칙을 사용하여 수행할 액션을 결정합니다. 액션에는 허 용(액션 없음), 차단 또는 정당성 요청이 포함됩니다. 이 경우 McAfee DLP Endpoint 는 시도를 중단하고 최종 사용자에 게 대화 상자를 표시합니다. 사용자가 해당 시도의 정당성을 입력하면 처리가 계속됩니다. McAfee Device Control 에서는 이동식 저장소 데이터 보호 규칙만 사용할 수 있습니다. OS X 엔드포인트 컴퓨터의 경우 이 릴리스에서는 데이터 보호 규칙을 사용할 수 없습니다. 장치 제어 규칙 장치 제어 규칙은 시스템을 모니터링하고 잠재적으로 시스템에서 이동식 저장 장치, Bluetooth, Wi-Fi 및 기타 플러그 앤 플레이 장치와 같은 물리적 장치를 로드하지 못하게 합니다. 장치 제어 규칙은 장치 정의와 대응 사양으로 구성되 며, 최종 사용자 그룹 정의를 사용하여 규칙을 필터링하는 방법으로 특정 최종 사용자 그룹에 할당할 수 있습니다. 엔드포인트 탐색 규칙 엔드포인트 탐색은 관리되는 컴퓨터에서 실행되는 크롤러입니다. 이 기능은 로컬 엔드포인트 파일 시스템과 로컬 이메 일(캐시된) 받은 편지함 및 PST 파일을 검색합니다. 로컬 파일 시스템 및 이메일 저장소 탐색 규칙은 콘텐츠를 검역할 지, 태그 지정할지, 암호화할지를 정의합니다. 또한 분류된 파일 또는 이메일을 DLP 인시던트 관리자에 이벤트로 보고 할지 여부와 파일 또는 이메일을 이벤트의 증거로 저장할지 여부도 정의합니다. 탐색 규칙은 McAfee Device Control 에서 지원되지 않습니다. 파일 시스템 검색은 서버 운영 체제에서 지원되지 않습니다. 정책 및 정책 배포 보호는 McAfee epo 정책 카탈로그에서 DLP 정책에 규칙 집합을 할당하여 적용합니다. 규칙 집합 외에도 정책에는 정 책 할당 정보 및 정의가 포함됩니다. 정책은 McAfee epo 소프트웨어에 의해 기업의 관리되는 컴퓨터(McAfee Agent 가 설치된 컴퓨터)로 배포됩니다. 12 McAfee Data Loss Prevention Endpoint 제품 안내서

13 소개 제품 모듈 및 모듈 간 상호 작용 방식 1 모니터 규칙을 적용한 결과 일부 다른 액션이 차단 또는 모니터링되거나 발생할 경우 이벤트가 생성되어 McAfee epo 이벤트 분석기로 보내져 데이터베이스에 저장됩니다. 이벤트는 규칙 위반의 증거도 포함할 수 있습니다. 또한 정책 배포 또는 탐색 검색 등의 시스템 이벤트로 인한 관리 이벤트가 생성됩니다. McAfee DLP Endpoint 에서 생성되는 이벤트는 DLP 인시던트 관리자에서 모니터링되며, 이를 사용하여 McAfee epo 대시보드에 표시할 수 있는 보고서와 차트를 만들 수 있습니다. 정책 모니터 기능에는 다음이 포함됩니다. 인시던트 모니터링 - McAfee epo 의 DLP 인시던트 관리자를 통해 관리자는 에이전트 이벤트 및 증거가 수신되었 을 때 이를 확인할 수 있습니다. 관리 이벤트 모니터링 - McAfee epo 의 DLP 작동 이벤트 페이지를 통해 관리자는 관리 이벤트를 볼 수 있습니다. 증거 수집: 보호 규칙이 증거를 수집하도록 정의된 경우 태그 지정된 데이터 사본이 저장되고 특정 이벤트에 연결 됩니다. 이 정보를 통해 이벤트의 심각도나 노출을 판단할 수 있습니다. 증거는 저장되기 전에 AES 알고리즘을 사 용하여 암호화됩니다. 히트 하이라이팅: 이벤트를 발생시킨 텍스트의 하이라이팅과 함께 증거를 저장할 수 있습니다. 하이라이트 증거는 별도의 암호화된 HTML 파일로 저장됩니다. 또한 이벤트 추세는 McAfee epo 대시보드에 표시될 수 있습니다. 제품 모듈 및 모듈 간 상호 작용 방식 McAfee DLP Endpoint 는 4 개의 모듈로 구성됩니다. 또한 McAfee epo 정책 카탈로그, 서버, 서버 설정 및 권한 집합을 사용합니다. McAfee DLP Endpoint 버전 9.4 에서 증가된 세분성과 함께 워크플로가 재구성되었습니다. 분류 분류 모듈은 분류 기준, 태그 지정 기준 및 이를 구성하는 데 사용된 정의를 저장합니다. 그뿐만 아니라 등록 문서 리포 지토리, 수동 태그 지정에 대한 사용자 인증 및 화이트리스트 텍스트를 설정하는 데도 사용됩니다. 분류는 데이터 보호 및 엔드포인트 탐색 규칙을 구성하는 데에도 필요합니다. DLP 정책 관리자 DLP 정책 관리자 모듈은 DLP 정책을 구성하는 규칙 집합, 정책 할당 및 정의를 정의합니다. DLP 규칙 집합은 데이터 보호, 장치 제어 및 탐색 규칙을 정의합니다. 규칙 집합의 각 규칙에는 세 가지 유형의 규칙 중 하나 또는 모두가 포함될 수 있습니다. 여러 규칙을 규칙 집합에 포함하고 여러 규칙 집합을 DLP 정책에 할당할 수 있 습니다. 워크플로 다음 워크플로를 통해 정책을 만들고 엔드포인트 컴퓨터에 배포할 수 있습니다. 1 분류 및 태그 지정 기준과 해당 항목을 정의하는 데 필요한 정의를 만듭니다. (기준을 정의하기 위해 필요한 만큼 정 의를 만들 수 있습니다.) 2 데이터 보호, 장치 및 탐색 규칙과 해당 항목을 정의하는 데 필요한 정의를 만듭니다. 데이터 보호 및 탐색 규칙에는 규칙 정의 과정으로 분류 할당이 포함됩니다. McAfee Data Loss Prevention Endpoint 제품 안내서 13

14 1 소개 제품 모듈 및 모듈 간 상호 작용 방식 3 규칙 집합을 DLP 정책에 할당합니다. DLP 정책에 탐색 검색 정의를 만듭니다. 4 시스템 트리에서 정책을 할당하고 배포합니다. 그림 1-2 워크플로 정책 카탈로그 McAfee epo 정책 카탈로그는 엔드포인트 컴퓨터에 배포된 정책을 저장합니다. McAfee DLP 정책을 보거나 편집하려 면 [정책 카탈로그] [제품] [Data Loss Prevention 9.4]를 선택합니다. McAfee DLP Endpoint 정책에는 다음 세 가지 구성 요소가 있습니다. DLP 정책 - 규칙 집합, 엔드포인트 탐색 검색 및 권한 있는 사용자, 응용프로그램 전략 및 장치 클래스 재정의에 대 한 설정을 포함합니다. 클라이언트 구성 - 최종 사용자 컴퓨터에 대한 정보를 포함합니다. 표 1-2 클라이언트 구성 설정 고급 구성 응용프로그램 파일 액세스 보호 클립보드 보호 콘텐츠 추적 회사 연결 디버깅 및 로깅 탐색(엔드포인트) 참고 엔드포인트 및 액세스 보호 설정 화이트리스트 프로세스를 추가하는 데 사용합니다. Microsoft Office 클립보드를 활성화하며, 화이트리스트 프로세스를 추가하는 데 사용 합니다. 텍스트 추출기 설정 데이터 보호 옵션에 대해 VPN 서버를 구성하는 데 사용합니다. 문제 해결을 위한 로깅 및 메모리 덤프를 설정합니다. 검역된 이메일에 대한 접두어 및 검색 성능 매개 변수를 설정합니다. 14 McAfee Data Loss Prevention Endpoint 제품 안내서

15 소개 McAfee DLP Endpoint 클라이언트 소프트웨어 1 표 1-2 클라이언트 구성 (계속) 설정 이메일 보호 증거 복사 서비스 작동 모드 및 모듈 인쇄 보호 검역 이동식 저장소 보호 화면 캡처 보호 사용자 인터페이스 구성 요 소 웹 게시 보호 참고 이메일 보호 규칙 및 타사 소프트웨어 통합에 대한 설정입니다. 증거 저장소 공유, 파일 크기 및 증거 기간에 대한 설정입니다. Device Control 또는 McAfee DLP Endpoint 에 대한 작동 모드를 설정하고 추가 기능 및 처리기를 활성화합니다. 화이트리스트 프로세스를 추가하는 데 사용합니다. 검역 폴더에 대한 설정입니다. 이동식 저장소에 대해 삭제 모드를 설정합니다. 화면 캡처 응용프로그램 지원을 추가합니다. 엔드포인트 사용자 인터페이스를 정의합니다. HTTP GET 요청 동작, Google Chrome 버전 지원, 시간 초과 전략 및 화이트리스트 URL 을 설정합니다. 인시던트 관리자 및 작동 이벤트 DLP 인시던트 관리자에는 정책 위반에서 발생한 보안 이벤트가 표시됩니다. 각 항목의 세부 정보 페이지에는 클라이 언트 구성에 지정된 증거와 적용된 규칙 및 분류 등의 다른 세부 정보가 표시됩니다. DLP 작동 이벤트에는 배포 또는 정책 업데이트 같은 관리 이벤트가 표시됩니다. McAfee DLP Endpoint 클라이언트 소프트웨어 McAfee DLP Endpoint 클라이언트 소프트웨어는 McAfee Agent 플러그인으로 배포되며 McAfee DLP 정책에 정의된 정책을 실시합니다. McAfee DLP Endpoint 클라이언트 소프트웨어는 권한 없는 사용자가 중요한 데이터를 복사하거나 전송하는 것을 모니터링하고 제어 및 방지하기 위해 사용자의 활동을 감사합니다. 그리고 이벤트를 생성하며, 이 이벤 트는 McAfee epo 이벤트 분석기에서 기록됩니다. OS X 플랫폼 기반 McAfee DLP Endpoint OS X 용 McAfee Device Control 클라이언트는 현재 대부분 회사의 Macintosh 컴퓨터에서 데이터 유출 원인 중 가장 광범위하고 피해 규모가 큰 이동식 미디어 장치의 무단 사용을 방지합니다. Microsoft Windows 플랫폼 기반 McAfee DLP Endpoint Microsoft Windows 컴퓨터는 McAfee Device Control 또는 McAfee DLP Endpoint 로 보호할 수 있습니다. McAfee DLP Endpoint 클라이언트 소프트웨어는 고급 탐색 기능, 텍스트 패턴 인식 및 미리 정의된 사전을 사용합니다. 또한 중요한 콘텐츠를 식별하며 장치 관리 및 암호화를 통합하여 추가적인 제어 계층을 제공합니다. IRM(Information Rights Management) 소프트웨어는 액세스 권한의 암호화 및 관리를 통해 중요한 파일을 보호합니다. McAfee DLP Endpoint 는 Microsoft RMS(Rights Management Service) 및 Seclore FileSecure 를 데이터 보호의 보완 방법으로 지원합니다. 일반적으로 IRM 으로 보호되지 않는 파일을 복사하지 못하도록 방지하는 데 사용됩니다. 분류 소프트웨어는 이메일 및 다른 파일이 일관적으로 분류되고 예방적으로 레이블이 지정되었는지 확인합니다. McAfee DLP Endpoint 는 Microsoft Outlook 의 Titus Message Classification 및 Boldon James Classifier 와 통합 되어 적용된 분류를 기반으로 이메일 보호 규칙을 만듭니다. 화면 판독기 지원 가장 널리 사용되는 시각 장애인용 화면 판독기 소프트웨어인 JAWS(Job Access With Sound)가 엔드포인트 컴퓨터에 서 지원됩니다. 다음과 같은 McAfee DLP Endpoint 기능이 지원됩니다. McAfee Data Loss Prevention Endpoint 제품 안내서 15

16 1 소개 McAfee DLP Endpoint 클라이언트 소프트웨어 최종 사용자 통보 팝업 - DLP 정책 관리자에서 팝업 대화 상자를 수동으로 닫도록 설정된 경우 대화 상자 텍스트가 음성으로 안내되므로 시각 장애인이 단추 및 링크를 탐색할 수 있습니다. 최종 사용자 정당성 대화 상자 - 탭 키로 콤보 상자에 액세스할 수 있으며, 화살표 키로 정당성을 선택할 수 있습니 다. 최종 사용자 콘솔 통보 기록 탭 - 이 탭을 선택하면 JAWS 가 통보 기록 탭이 선택되었음을 음성으로 알려 줍니다. 액션 수행이 가능한 콘텐츠는 없습니다. 오른쪽 창의 모든 정보가 음성으로 안내됩니다. 최종 사용자 콘솔 탐색 탭 - 이 탭을 선택하면 탐색 탭이 선택되었음을 JAWS 가 음성으로 알려 줍니다. 액션 수행이 가능한 콘텐츠는 없습니다. 오른쪽 창의 모든 정보가 음성으로 안내됩니다. 최종 사용자 콘솔 탭 - 이 탭을 선택하면 탭이 선택되었음을 JAWS 가 음성으로 알려 줍니다. 탭 키로 모 든 단계에 액세스할 수 있으며 적절한 지침이 음성으로 안내됩니다. 최종 사용자 콘솔 정보 탭 - 이 탭을 선택하면 정보 탭이 선택되었음을 JAWS 가 음성으로 알려 줍니다. 액션 수행이 가능한 콘텐츠는 없습니다. 오른쪽 창의 모든 정보가 음성으로 안내됩니다. 온라인/오프라인 장치 및 보호 규칙은 관리되는 컴퓨터가 온라인(기업 네트워크 내), 오프라인 또는 둘 다인 경우에도 중요한 데이터를 모니터링하거나 보호할 수 있습니다. 기업 네트워크에 연결, VPN 을 통해 네트워크에 연결 및 연결되지 않음, 이렇게 3 가지 설정이 있습니다. 여러 사용자 세션 McAfee DLP Endpoint 클라이언트 소프트웨어는 FUS(Fast User Switching)를 지원하는 Windows 운영 체제 버전에서 여러 사용자 세션에 대해 FUS 를 지원합니다. 또한 가상 데스크톱 지원으로 단일 호스트 컴퓨터에서 여러 사용자 세션 이 가능합니다. 이벤트 분석기 McAfee DLP Endpoint 클라이언트 소프트웨어에서 생성된 이벤트는 McAfee epo 이벤트 분석기로 전송되고 McAfee epo 데이터베이스의 테이블에 기록됩니다. 이벤트는 추가 분석을 위해 데이터베이스에 저장되어 다른 시스템 구성요 소에서 사용됩니다. 엔드포인트 콘솔 엔드포인트 콘솔은 사용자와의 정보를 공유하고 자체적인 문제 해결을 도모하기 위해 설계되었습니다. 이 콘솔은 클라 이언트 구성 사용자 인터페이스 서비스 탭에서 구성합니다. Microsoft Windows 컴퓨터의 시스템 트레이 아이콘에서 기능 관리 DLP Endpoint 콘솔을 선택하면 이 콘솔이 활성화 합니다. 완전히 구성되면 다음과 같은 4 가지 탭 구분 페이지가 표시됩니다. 이벤트 기록 - 집계 이벤트에 대한 세부 정보를 비롯하여 이벤트를 표시합니다. 탐색 - 탐색 검색에 대한 세부 정보를 표시합니다. - ID 코드를 생성하고 에이전트 바이패스 및 검역을 위한 릴리스 코드를 입력합니다. 정보 - 수정 ID 번호를 포함하여 에이전트 상태, 활성 정책, 구성 및 컴퓨터 할당 그룹에 대한 정보를 표시합니다. 16 McAfee Data Loss Prevention Endpoint 제품 안내서

17 소개 McAfee DLP Endpoint 클라이언트 소프트웨어 1 OS X 엔드포인트에서 콘솔은 상태 표시줄의 McAfee 메뉴릿에서 활성화합니다. 대시보드는 설치된 다른 McAfee 소프 트웨어(예: McAfee VirusScan for Mac)와 통합되며 설치된 모든 McAfee 소프트웨어의 상태 개요를 표시합니다. 기록 페이지는 최신 McAfee 소프트웨어 이벤트를 표시합니다. 세부 정보를 볼 항목을 클릭합니다. 그림 1-3 OS X 엔드포인트 표시 내용 에이전트 바이패스 화면을 활성화하려면 메뉴릿에서 기본 설정을 선택합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 17

18 1 소개 McAfee DLP Endpoint 클라이언트 소프트웨어 18 McAfee Data Loss Prevention Endpoint 제품 안내서

19 배포 및 설치 사용자 환경에 가장 적합한 배포 옵션을 결정한 다음 소프트웨어를 설치하고 McAfee DLP Endpoint 클라이언트를 기업 컴퓨터에 배포합니다. 제 2 장 제 3 장 제 4 장 배포 옵션과 시나리오 McAfee DLP Endpoint 소프트웨어 설치 McAfee DLP Endpoint 클라이언트 배포 McAfee Data Loss Prevention Endpoint 제품 안내서 19

20 배포 및 설치 20 McAfee Data Loss Prevention Endpoint 제품 안내서

21 2 배포 옵션과 시나리오 기업 정보를 다양한 데이터 유실 방지 범주로 분류하는 은 McAfee Data Loss Prevention Endpoint 소프트웨어를 배포하고 관리하는 데 중요한 단계입니다. 지침 및 권장 사례가 있더라도 이상적인 구조는 기업 목표와 필요에 따라 달 라지고, 각 설치에 따라 다릅니다. 두 개의 DLP 옵션(McAfee Device Control 및 전체 McAfee DLP Endpoint) 중에서 선 택하는 것은 그러한 필요를 충족하는 방법을 결정하는 첫 번째 단계입니다. 특별히 무엇이 필요한지 미리 정확하게 결정하는 것이 어려울 수 있기 때문에 약 한 달 간의 평가판 사용 기간 동안 명 정도의 사용자 샘플 그룹에 초기 배포를 수행할 것을 권장합니다. 이 평가판 기간 동안 데이터는 분류되지 않 으며, 트랜잭션을 차단하지 않고 모니터링하는 정책이 생성됩니다. 모니터링 데이터를 사용하여 보안 담당자는 기업 데이터를 분류할 위치 및 방법을 적절하게 결정할 수 있습니다. 이 정보로 만든 정책을 전체 기업에 배포하기 전에 먼 저 대규모의 테스트 그룹(대기업의 경우에는 계속 규모가 커지는 그룹)에서 테스트해야 합니다. McAfee DLP Endpoint 정책 디자인 및 모니터링 소프트웨어는 McAfee epo 에 설치됩니다. 단순 설치 환경에서는 Microsoft SQL Server 가 있는 단일 McAfee epo 서버가 사용되지만 대규모 기업의 경우 여러 서버 설치 또는 클러스 터 환경이 가능합니다. McAfee DLP Endpoint 클라이언트 소프트웨어는 Device Control 또는 전체 McAfee DLP Endpoint 버전으로 Microsoft Windows 서버, 워크스테이션 및 랩톱에 배포할 수 있습니다. 현재 Device Control 의 버전은 OS X 컴퓨터에서 사용할 수 있습니다. 목차 엔드포인트 제품 옵션 선택 권장되는 설치 시스템 요구 사항 확인 엔드포인트 제품 옵션 선택 McAfee 는 몇 가지 McAfee epo 기반 Data Loss Prevention 옵션을 제공합니다. 이들 제품은 동일한 설치 소프트웨어 를 사용하며 사용권으로 구별됩니다. McAfee DLP 옵션 이해 McAfee DLP 소프트웨어는 두 가지 Device Control 구성, 즉 전체 McAfee DLP Endpoint 및 McAfee Data Loss Prevention Discover (McAfee DLP Discover)로 제공됩니다. 중소기업용 McAfee Device Control - Device Control 만 제공합니다. 대기업용 McAfee Device Control - 이동식 저장소 보호 규칙(콘텐츠 인식형 규칙)과 Device Control 을 제공합니다. 데이터 보호 및 장치 - 엔드포인트 탐색을 포함한 전체 McAfee DLP Endpoint 입니다. McAfee DLP Discover - 네트워크 탐색 크롤링을 제공하며 단독으로 설치하거나 Device Control 또는 McAfee DLP Endpoint 와 함께 설치할 수 있습니다. 최신 릴리스에서는 Device Control 옵션과 함께 OS X 만 지원합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 21

22 2 배포 옵션과 시나리오 엔드포인트 제품 옵션 선택 McAfee Device Control 이란? Device Control 소프트웨어는 많은 회사에서 현재 가장 광범위하고 피해 규모가 큰 데이터 유출의 원인이 되는 이동식 미디어 장치의 무단 사용을 방지합니다. Device Control 소프트웨어는 다음과 같은 기능을 제공합니다. 장치를 위한 영구적 데이터 보호 - 사용자, 파일 확장명 또는 파일 이름별로 필터링하여 이동식 장치에 복사할 수 있 는 데이터를 제어하며, 장치 자체를 제어하여 이를 완전하게 차단하거나 읽기 전용으로 만듭니다. 이동식 드라이브 에서 응용프로그램을 실행하지 못하도록 차단합니다. 이동 중 보호 USB 드라이브, ipod, 블루투스 장치, CD, DVD 및 기타 이동식 미디어 및 비시스템 하드 디스크용 입니다. 최신 릴리스의 Device Control for OS X 는 이동식 저장 장치 규칙으로 제한됩니다. 콘텐츠 인식형 규칙을 포함하는 McAfee Device Control 이란? 콘텐츠 인식형 규칙을 포함하는 Device Control 은 다음과 같은 기능을 제공합니다. 장치를 위한 영구적 콘텐츠 인식형 데이터 보호 - 고급 패턴, 사전, 문서 속성 또는 파일 정보를 기반으로 장치에 복사되 는 데이터의 콘텐츠별로 제어를 추가합니다. 전체 McAfee DLP Endpoint 란? McAfee DLP Endpoint 소프트웨어는 다음과 같은 기능을 제공합니다. 일반 보호: 광범위한 데이터 유실 채널인 이동식 장치, 비시스템 하드 디스크, 이메일 또는 이메일 첨부문서, 웹 게 시물, 클립보드 및 화면 캡처, 인쇄, 파일 시스템 등 영구적 콘텐츠 인식형 데이터 보호 - 데이터가 저장되거나 조작되는 형식에 관계없이 데이터 유출을 방지합니다. 적법한 사용자 활동을 방해하지 않으면서 데이터 유출 정책을 시행합니다. 이동 중 보호 - 기업 네트워크에 연결되었는지 또는 네트워크 외부에서 사용되는지에 관계없이 데스크톱 및 랩톱에 서 중요한 데이터의 전송을 방지합니다. 22 McAfee Data Loss Prevention Endpoint 제품 안내서

23 배포 옵션과 시나리오 권장되는 설치 2 권장되는 설치 단순한 McAfee DLP Endpoint 구현에 권장되는 설치는 단일 McAfee epo 서버에 설치하는 것입니다. 좀 더 복잡한 설치에서 McAfee epo 데이터베이스에 별도의 서버를 사용할지 여부에 관한 권장 사항은 "McAfee epolicy Orchestrator Hardware Sizing and Bandwidth Usage Guide(하드웨어 크기 조정 및 대역폭 사용 안내서)"를 참 조하십시오. 그림 2-1 McAfee DLP Endpoint 구성 요소 및 관계 권장되는 아키텍처는 다음과 같습니다. McAfee epo 서버 - 포함된 McAfee DLP Endpoint, 인시던트 관리자 및 작동 이벤트 콘솔을 호스트하고 엔드포인 트 컴퓨터의 McAfee Agent 소프트웨어와 통신합니다. McAfee epo 이벤트 분석기 - McAfee Agent 와 통신하고 이벤트 정보를 데이터베이스에 저장합니다. DLP 이벤트 분석기 - McAfee DLP Endpoint 이벤트를 McAfee epo 이벤트 분석기에서 수집하여 SQL 데이터 베이스의 DLP 테이블에 저장합니다. epo 데이터베이스 - McAfee epo 정책 배포자와 통신하여 정책을 배포하고, DLP 이벤트 분석기와 통신하여 이벤트 및 증거를 수집합니다. 관리자 워크스테이션 - 브라우저로 McAfee epo 및 McAfee DLP Endpoint 정책 콘솔에 액세스합니다. 관리되는 엔드포인트 - 다음 소프트웨어를 사용하여 보안 정책을 적용합니다. McAfee DLP Endpoint 클라이언트 - McAfee Agent 플러그인으로, McAfee DLP Endpoint 정책 및 프로세스를 제공합니다. McAfee Agent - McAfee epo 서버와 McAfee DLP Endpoint 클라이언트 소프트웨어 간 통신 채널을 제공합니 다. McAfee Data Loss Prevention Endpoint 제품 안내서 23

24 2 배포 옵션과 시나리오 시스템 요구 사항 확인 시스템 요구 사항 확인 Windows 및 Mac 에서 McAfee DLP Endpoint 소프트웨어를 실행하려면 다음과 같은 하드웨어를 사용하는 것이 좋습 니다. 표 2-1 하드웨어 요구 사항 하드웨어 유형 서버 엔드포인트 컴퓨터 네트워크 사양 RAM - 최소 1GB(2GB 권장) 하드 디스크 - 최소 80GB RAM - 최소 1GB(2GB 권장) 하드 디스크 - 최소 300MB 의 여유 디스크 공간(500MB 권장) 모든 워크스테이션과 McAfee epo 서버를 지원하는 100Mb LAN 다음과 같은 운영 체제가 지원됩니다. 표 2-2 지원되는 운영 체제 컴퓨터 유형 엔드포인트 컴퓨 터 소프트웨어 Microsoft Windows 운영 체제 Windows 7 SP1(32 비트 또는 64 비트) Windows 8 또는 8.1(32 비트 또는 64 비 트) Windows Server 2008 SP2(32 비트 또는 64 비트) Windows Server 2008 R2 SP1(64 비트) Windows Server 2012(64 비트) Windows Server 2012 R2(64 비트) 서버에서는 파일 시스템 탐색 규칙과 네트워크 통신 보호 규칙이 지원되지 않습니다. Apple OS X 운영 체제(Device Control 만) OS X Mountain Lion 이상 OS X Mavericks 이상 OS X Yosemite 이상 서버에 McAfee DLP Endpoint 소프트웨어를 설치하는 사용자는 로컬 관리자 그룹의 구성원이어야 합니다. 다음의 가상 운영 체제가 지원됩니다. 표 2-3 지원되는 가상 운영 체제 시스템 유형 소프트웨어 VDI 시스템 Citrix XenDesktop 5.5, 5.6, 7.0 및 7.5 VMware View 4.6, 5.0, 5.1 및 5.2 원격 데스크톱 Citrix XenApp 6.0, 6.5 기능 팩 2 및 7.5 Microsoft Remote Desktop McAfee DLP Endpoint 정책 콘솔을 실행하는 서버에는 다음 소프트웨어가 필요합니다. 24 McAfee Data Loss Prevention Endpoint 제품 안내서

25 배포 옵션과 시나리오 시스템 요구 사항 확인 2 표 2-4 서버 소프트웨어 요구 사항 소프트웨어 McAfee epo McAfee Agent 지원되는 버전 이상 이상 이상 5.0 이상 McAfee Agent for Mac 4.6 패치 3 이상 4.8 이상 McAfee DLP Endpoint 패키지 DLP_Mgmt_9.4_Package.zip 에는 McAfee epo 를 통해 설치되는 확장이 포함되어 있 습니다. McAfee DLP Endpoint 클라이언트(McAfee Agent 플러그인)에는 McAfee epo 리포지토리에서 엔드포인트 컴퓨터로 클라이언트 소프트웨어를 배포하기 위한 파일(Microsoft Windows 용 HDLP_Agent_9_4_0_x.zip, Mac OS X 용 DLPAgentInstaller.zip)이 포함되어 있습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 25

26 2 배포 옵션과 시나리오 시스템 요구 사항 확인 26 McAfee Data Loss Prevention Endpoint 제품 안내서

27 3 3 McAfee DLP Endpoint 소프트웨어 설치 McAfee DLP Endpoint 콘솔은 McAfee epo 에 완전히 통합됩니다. McAfee DLP Endpoint 클라이언트는 McAfee epo 에 의해 기업 컴퓨터로 배포됩니다. 목차 McAfee DLP 확장 설치 및 사용권 취득 McAfee DLP Endpoint 패키지를 McAfee epo 에 체크인 McAfee DLP 확장 설치 및 사용권 취득 이 확장은 McAfee DLP(McAfee epo 에서)를 구성하기 위한 사용자 인터페이스를 제공합니다. 시작하기 전에 McAfee DLP 확장은 McAfee 다운로드 사이트에서 다운로드합니다. McAfee epo 에서 [메뉴 소프트웨어 소프트웨어 관리자]로 이동하여 소프트웨어를 보고, 다운로드 하고, 설치할 수도 있습니다. McAfee epo 서버 이름이 Internet Explorer 보안 설정에서 '신뢰할 수 있는 사이트' 아래에 나열되어 있 는지 확인합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [소프트웨어] [확장]을 선택하고 [확장 설치]를 클릭합니다. 2 확장.zip 파일을 찾고 [확인]을 클릭합니다. 올바른 확장이 설치되는지 확인할 수 있는 파일 매개 변수가 설치 대화 상자에 표시됩니다. 3 [확인]을 클릭합니다. 확장이 설치됩니다. 4 사용권 및 구성요소를 설치하여 설치를 사용자 지정합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 27

28 3 McAfee DLP Endpoint 소프트웨어 설치 McAfee DLP Endpoint 패키지를 McAfee epo 에 체크인 사용권을 설치하면 관련 McAfee epo 구성요소 및 McAfee epo 정책 카탈로그 정책이 활성화됩니다. 사용권 옵션 은 다음과 같습니다. McAfee Device Control McAfee Device Control + McAfee DLP Discover McAfee DLP Endpoint(McAfee Device Control 포함) McAfee DLP Endpoint + McAfee DLP Discover McAfee DLP Discover a b [메뉴] [데이터 보호]를 선택합니다. [DLP 정책 관리자] 또는 [McAfee DLP Discover]를 선택하고 사용권을 입력하라는 메시지가 표시되면 [예]를 클 릭합니다. [서버 설정] [Data Loss Prevention] 페이지가 열립니다. c d [키] 필드에 사용권을 입력하고 [추가]를 클릭합니다. 필요한 경우 다른 사용권을 더 추가합니다. 5 [기본 증거 저장소] 필드에 경로를 입력합니다. 증거 저장소 경로는 \\[server]\[localpath]와 같은 형식의 네트워크 경로여야 합니다. 설정을 저장하고 소프트웨어를 활성화하려면 이 단계가 필수입니다. 6 [저장]을 클릭합니다. McAfee DLP 모듈은 사용권에 따라 [메뉴] [데이터 보호]에 나타납니다. 참고 항목: 38 페이지의 증거 폴더 만들기 35 페이지의 McAfee DLP 서버 설정 편집 38 페이지의 증거 폴더 구성 McAfee DLP Endpoint 패키지를 McAfee epo 에 체크인 McAfee 소프트웨어로 데이터가 보호되는 모든 기업 컴퓨터에는 McAfee Agent 가 설치되어 관리되는 컴퓨터로 사용할 수 있어야 합니다. 데이터 유실 방지를 추가하려면 McAfee DLP Endpoint 플러그인(McAfee Agent 용)도 배포해야 합 니다. McAfee epo 인프라를 사용하여 설치할 수 있습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [소프트웨어] [마스터 리포지토리]를 선택합니다. 2 마스터 리포지토리에서 [패키지 체크인]을 선택합니다. 3 패키지 유형 [제품 또는 업데이트(.ZIP)]를 선택합니다. [찾아보기]를 클릭합니다. Microsoft Windows 클라이언트의 경우...\HDLP_Agent_9_4_0_xxx.zip 을 찾습니다. Mac OS X 클라이언트의 경우...\DLPAgentInstaller 를 찾습니다. 4 [다음]을 클릭합니다. [패키지 체크인] 페이지가 나타납니다. 5 화면에서 세부 정보를 검토한 다음 [저장]을 클릭합니다. 패키지가 [마스터 리포지토리]에 추가됩니다. 28 McAfee Data Loss Prevention Endpoint 제품 안내서

29 4 McAfee 4 DLP Endpoint 클라이언트 배포 McAfee DLP Endpoint 정책은 엔드포인트 컴퓨터의 McAfee Agent 에 의해 적용됩니다. 첫 번째 단계는 엔드포인트에 McAfee DLP Endpoint 클라이언트 소프트웨어(McAfee Agent 플러그인)를 배포하는 것 입니다. 목차 McAfee DLP Endpoint 클라이언트를 McAfee epo 에서 배포 설치 확인 McAfee epo 에서 정책 배포 McAfee DLP Endpoint 클라이언트를 McAfee epo 에서 배포 정책을 적용하려면 먼저 McAfee DLP Endpoint 클라이언트가 McAfee epo 에 의해 엔드포인트 컴퓨터에 배포되어야 합니다. 시작하기 전에 현재 버전의 McAfee Agent 가 McAfee epo 에 설치되고 대상 컴퓨터에 배포되어 있어야 McAfee DLP Endpoint 를 배포할 수 있습니다. Microsoft Windows 엔드포인트 컴퓨터의 경우 McAfee Agent 4.8 패치 2 이상을 설치합니다. Mac OS X 엔드포인트 컴퓨터의 경우 McAfee Agent for Mac 4.6 패치 3 이상을 설치합니다. OS X 의 경우 McAfee Agent 4.8 패치 2 이상이 필요합니다. 버전을 확인하는 방법과 필요한 경우 해당 버전을 설치하는 방법은 McAfee epo 설명서를 참조하십시오. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [시스템 트리]를 선택합니다. 2 [시스템 트리]에서 McAfee DLP Endpoint 를 배포할 수준을 선택합니다. [내 조직]에서 해당 수준을 벗어나면 McAfee epo 에서 관리하는 모든 워크스테이션에 배포됩니다. [내 조직] 아래 수준을 선택하면 오른쪽 창에 사용 가능한 워크스테이션이 표시됩니다. 또한 McAfee DLP Endpoint 를 개별 워크스테이션에 배포할 수 있습니다. 3 [클라이언트 작성기] 마법사를 열고 [할당된 클라이언트 ] 탭을 클릭합니다. [액션] [새 클라이언트 할당]을 클릭합니다. [클라이언트 작성기] 마법사가 열립니다. McAfee Data Loss Prevention Endpoint 제품 안내서 29

30 4 McAfee DLP Endpoint 클라이언트 배포 설치 확인 4 작성기의 필드를 입력합니다. [제품] 필드에서 [McAfee Agent]를 선택합니다. [ 유형] 필드에서 [제품 배포]를 선택합니다. 5 [새 만들기]를 클릭합니다. 6 [제품 및 구성요소] 필드에서 [Data Loss Prevention 9.4]를 선택합니다. [액션] 필드가 자동으로 [설치]로 재설정됩 니다. [저장]을 클릭합니다. 7 [예약 유형]을 [즉시 실행]으로 변경합니다. [다음]을 클릭합니다. 8 요약을 검토합니다. 요약 내용이 올바르면 [저장]을 클릭합니다. 다음에 McAfee Agent 가 정책을 업데이트할 때로 이 예약됩니다. 바로 설치하도록 하려면 에이전트 웨이크업 호출을 시작합니다. 9 McAfee DLP Endpoint 가 배포된 후 관리되는 컴퓨터를 다시 시작합니다. 설치 확인 McAfee DLP Endpoint 소프트웨어를 설치한 후 [DLP 작동 이벤트] 콘솔에서 설치를 확인해야 합니다. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 작동 이벤트]를 선택합니다. 세부 정보를 볼 이벤트를 클릭합니다. 그림 4-1 DLP 작동 이벤트 세부 정보 창 2 McAfee DLP Endpoint 클라이언트 소프트웨어가 설치되었는지 확인합니다. 이렇게 하려면 엔드포인트 컴퓨터의 McAfee Agent 시스템 트레이 아이콘에서 [정보]를 선택합니다. 정보를 스크롤하여 McAfee DLP Endpoint 를 찾습 니다. McAfee epo 에서 정책 배포 McAfee DLP Endpoint 정책에는 규칙 집합, 분류, 정의 및 클라이언트 구성과 서버 구성이 포함됩니다. McAfee DLP Endpoint 는 다음 정책과 함께 작동합니다. DLP 정책 클라이언트 구성 30 McAfee Data Loss Prevention Endpoint 제품 안내서

31 McAfee DLP Endpoint 클라이언트 배포 McAfee epo 에서 정책 배포 4 이들 각각의 정책은 처음 만들어졌을 때 수정 번호 1 이 할당되며 정책이 변경될 때마다 번호가 점차적으로 증가합니 다. 수정 번호는 문제 해결 과정을 지원하기 위해 정책 변경이 실제로 엔드포인트 컴퓨터에 적용되었는지 확인하는 데 있어 매우 중요합니다. 또한 클라이언트 바이패스 또는 제거 키를 요청할 때도 사용됩니다. 클라이언트 컴퓨터의 DLP Endpoint 콘솔에는 최신 정책 수정 번호가 표시됩니다. 정책을 적용하기 전에 다음 사항을 확인합니다. 모든 설정이 올바로 구성되었는지 여부 모든 규칙이 활성화되었는지 여부 최종 사용자 그룹(필요한 경우)이 각 규칙에 할당되었는지 여부 31 페이지의 정책 또는 클라이언트 구성 할당 McAfee epo 에 적용된 정책을 사용하려면 관리되는 컴퓨터에 할당되고 배포되어야 합니다. 31 페이지의 정책 새로 고침 일반적으로 시스템 정책 배포는 McAfee epo 서버에 의해 결정되며 관리되는 컴퓨터의 정책 새로 고침은 McAfee Agent 설정에 따라 수행됩니다. 하지만 예약된 새로 고침을 기다리지 않고 McAfee epo 에서 새 로 고침을 수행할 수 있습니다. 정책 또는 클라이언트 구성 할당 McAfee epo 에 적용된 정책을 사용하려면 관리되는 컴퓨터에 할당되고 배포되어야 합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [시스템 트리]를 선택합니다. 2 정책을 할당할 컴퓨터가 있는 디렉터리를 찾아서 선택합니다. 3 [액션] [ 에이전트] [웨이크업 에이전트]를 선택합니다. 4 [에이전트 웨이크업 호출]을 선택하고 [임의 추출]을 0 분으로 설정합니다. [확인]을 클릭합니다. 5 에이전트 웨이크업 호출이 완료되면 시스템 트리로 돌아옵니다. 정책을 할당할 컴퓨터를 다시 선택하고 [액션] [에 이전트] [정책 및 상속 설정]을 클릭합니다. 6 [정책 할당] 페이지의 [제품] 드롭다운 목록에서 [Data Loss Prevention 9.4]를 선택합니다. [범주] 열에 [DLP 정책] 및 [클라이언트 구성]이라는 두 가지 정책이 표시됩니다. 7 할당하려는 각 정책에 대해: a 범주 중 하나의 [액션] 열에서 [할당 편집]을 클릭합니다. b [상속 중단...] 옵션을 클릭한 다음 드롭다운 목록에서 할당할 정책을 선택합니다. [저장]을 클릭합니다. 정책 새로 고침 일반적으로 시스템 정책 배포는 McAfee epo 서버에 의해 결정되며 관리되는 컴퓨터의 정책 새로 고침은 McAfee Agent 설정에 따라 수행됩니다. 하지만 예약된 새로 고침을 기다리지 않고 McAfee epo 에서 새로 고침을 수행할 수 있 습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 31

32 4 McAfee DLP Endpoint 클라이언트 배포 McAfee epo 에서 정책 배포 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [시스템 트리]를 선택하고 새로 고칠 컴퓨터를 선택합니다. 2 [추가 ] [에이전트 웨이크업]을 클릭합니다. 3 웨이크업 호출 유형을 선택하고 [임의 추출]을 0 분으로 설정합니다. [확인]을 클릭합니다. McAfee epo 서버에서 정기적으로 정책을 업데이트합니다. 관리되는 컴퓨터의 사용자는 특별한 지침이 없는 한 정 책을 수동으로 새로 고치지 않습니다. 32 McAfee Data Loss Prevention Endpoint 제품 안내서

33 구성과 이용 경영진은 어떤 콘텐츠를 보호해야 하고 어떻게 하면 가장 잘 보호할 수 있을지 결정하고 그 결정을 바탕으로 기업 환경에서 최적화된 이용이 가능하도록 소프트웨어를 구성합니 다. 제 5 장 제 6 장 제 7 장 제 8 장 제 9 장 제 10 장 시스템 구성요소 구성 이동식 미디어 보호 중요한 콘텐츠 분류 규칙을 사용하여 중요한 콘텐츠 보호 엔드포인트 탐색 정책 McAfee Data Loss Prevention Endpoint 제품 안내서 33

34 구성과 이용 34 McAfee Data Loss Prevention Endpoint 제품 안내서

35 5 5 시스템 구성요소 구성 시스템 구성요소는 기업의 필요에 따라 사용자 지정할 수 있습니다. 에이전트와 시스템 옵션을 구성하여 기업의 중요 한 정보를 효과적으로 보호하도록 시스템을 최적화할 수 있습니다. McAfee DLP 모듈의 설정뿐 아니라 McAfee epo 서버 설정, 등록된 서버 및 서버 에도 McAfee DLP 관리에 영향 을 주는 구성 설정이 있습니다. 목차 정책 카탈로그 McAfee DLP 서버 설정 편집 권한 관리 서버 정의 증거가 있는 이벤트 문서화 사용자 및 권한 세트 정책 카탈로그에서 McAfee DLP 구성 정책 카탈로그 McAfee epo 정책 카탈로그에는 다음과 같은 McAfee DLP 정책 구성이 표시됩니다. 클라이언트 구성 - McAfee DLP Endpoint 클라이언트에 대한 구성 설정을 포함합니다. 이 설정에 따라 클라이언트 가 엔드포인트 컴퓨터에 McAfee DLP 정책을 적용하는 방식이 결정됩니다. DLP 정책 - 정책에 할당된 규칙 집합, 예약된 엔드포인트 탐색 검색, 그리고 응용프로그램 전략, 장치 클래스 재정 의 및 권한 있는 사용자에 대한 설정을 포함합니다. McAfee DLP 서버 설정 편집 McAfee DLP Endpoint 는 기본 구성 설정을 McAfee epo 서버 설정에 삽입합니다. 필요한 경우 이러한 설정을 편집할 수 있습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 35

36 5 시스템 구성요소 구성 권한 관리 서버 정의 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [구성] [서버 설정] [Data Loss Prevention]을 선택합니다. 2 [편집]을 클릭합니다. 3 다음과 같은 매개 변수를 편집할 수 있습니다. 옵션 사용권 키 기본 증거 저장소 공유 암호 질문-응답 키 길이 시스템 트리 권한 적용 마지막 백업 마지막 복원 정의 설치된 버전(McAfee Device Control 또는 전체 McAfee DLP Endpoint)을 지정합니다. 둘 중 하나에 McAfee DLP Discover 의 사용권을 추가할 수도 있습니다. 저장소 공유의 UNC 경로입니다. 이 경로는 네트워크 공유여야 합니다. 즉, 서버 이름을 포함 해야 합니다. 소프트웨어 제거, 검역에서 파일 제거, 증거 암호화 및 임시 클라이언트 바이패스를 위한 재정 의 암호입니다. Help Desk 에서 검역된 파일을 릴리스하거나 클라이언트 바이패스 모드를 설정하기 위해 사 용합니다. 시스템 트리 권한을 사용하여 DLP 인시던트 관리자 및 DLP 작동 이벤트 콘솔에서 인시던트 를 필터링할 수 있습니다. 이 설정을 사용하여 시스템 트리 권한을 사용하거나 무시합니다. 마지막 백업을 표시하며 현재 설정을 파일에 저장할 수 있도록 합니다. 마지막 복원 버전을 표시하며 저장된 설정을 파일에서 복원할 수 있도록 합니다. 권한 관리 서버 정의 McAfee DLP Endpoint 는 Microsoft Windows Rights Management Services(RMS) 및 Seclore FileSecure 라는 두 가 지 권한 관리(RM) 시스템을 지원합니다. 이들 시스템을 사용하려면 McAfee epo 에서 권한 관리 정책을 제공하는 서 버를 구성해야 합니다. 시작하기 전에 RM 서버를 설정하고 사용자와 정책을 만듭니다. 모든 서버에 대해 URL 과 암호를 얻습니다(정책 템플 릿, 인증 및 사용권). Seclore 의 경우 Hot Folder 캐비닛 ID 와 패스프레이즈 그리고 고급 사용권에 대 한 정보(있는 경우)가 필요합니다. Microsoft RMS 및 Seclore 서버에 대해 보기, 만들기 및 편집 권한이 있는지 확인합니다. McAfee epo 에서 [메뉴] [사용자 관리] [권한 집합]을 선택하고 [등록된 서버]에서 필수 권한을 가진 그룹에 속해 있는지 확인합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [등록된 서버]를 선택합니다. 2 [새 서버]를 클릭합니다. [등록된 서버] 설명 페이지가 열립니다. 3 [서버 유형] 드롭다운 목록에서 구성할 서버 유형을 [Microsoft RMS 서버] 또는 [Seclore 서버] 중에서 선택합니다. 4 서버 구성에 대한 이름을 입력하고 [다음]을 클릭합니다. 36 McAfee Data Loss Prevention Endpoint 제품 안내서

37 시스템 구성요소 구성 증거가 있는 이벤트 문서화 5 5 필수 세부 정보를 입력합니다. 필수 필드에 입력을 마친 후 [연결 테스트]를 클릭하여 입력된 데이터를 확인합니다. RMS 설정에는 [DLP 실시 설정] 섹션도 포함되어 있습니다. [RMS 템플릿 로컬 경로] 필드는 선택 사항이지만 AD 자동 서비스 탐색 옵션을 선택하지 않은 경우에는 인증 및 사용권에 대한 URL 필드가 필수 항목입니다. Seclore 의 경우 [HotFolder 캐비닛] 정보가 필수적이지만 추가 사용권 정보는 선택 사항입니다. 6 구성을 마쳤으면 [저장]을 클릭합니다. 증거가 있는 이벤트 문서화 증거는 보안 이벤트를 DLP 인시던트 관리자에 게시하도록 만든 파일 또는 이메일의 복사본입니다. 일부 규칙에는 증거 저장 옵션을 사용할 수 있습니다. 이 옵션을 선택하면 차단 또는 모니터링된 내용의 암호화된 복사 본이 엔드포인트 컴퓨터의 사전 정의된 증거 폴더에 저장됩니다. McAfee DLP Endpoint 에서 정보를 서버로 전달하면 폴더가 제거되고 증거가 서버 증거 폴더에 저장됩니다. 정책 카탈로그 클라이언트 구성 증거 복사 서비스 증거 복 사 서비스의 설정은 컴퓨터가 오프라인일 때 로컬 증거 저장소의 최대 크기 및 기간을 제어하는 데 사용됩니다. 증거 저장소 요구 사항 증거 저장소 활성화는 McAfee DLP Endpoint 의 기본 조건입니다. 증거를 저장하지 않으려면 증거 서비스를 비활성화 하여 성능을 향상시킬 수 있습니다. 다음은 소프트웨어를 설정할 때 필수 항목이거나 기본값으로 설정됩니다. 증거 저장소 폴더 - 증거 저장소 폴더를 만들고 폴더에 대한 UNC 경로를 지정해야 정책을 McAfee epo 에 적용할 수 있습니다. 폴더 설정 및 액세스 권한 설정("증거 네트워크 공유"라고도 함)에 대한 자세한 내용은 본 안내서의 "리포지토리 폴더 만들기 및 구성"을 참조하십시오. 클라이언트 구성 정책의 증거 복사 서비스 페이지에 있는 정책 카탈로그에서 경로를 지정합니다. 증거 복사 서비스 - 증거 복사 서비스는 클라이언트 구성 정책의 작동 모드 및 모듈 페이지에서 활성화합니다. 보고 서비스 아래에 있는 하위 항목으로, 증거 수집에 대해서도 활성화해야 합니다. 증거 저장소 및 메모리 이벤트별로 저장된 증거 파일의 수는 DLP 인시던트 관리자 및 DLP 작동 이벤트 페이지의 저장소 볼륨, 이벤트 분석기 성능 및 화면 렌더링(따라서 사용자 환경)에 영향을 미칩니다. 서로 다른 증거 요건을 처리하기 위해서 McAfee DLP Endpoint 소프트웨어는 다음과 같이 수행합니다. 클라이언트 구성 정책의 증거 복사 서비스 페이지에서 이벤트별로 저장할 최대 증거 파일 수를 설정합니다. 기본값 은 1,000 입니다. 단일 이벤트에 많은 수의 증거 파일이 연결되어 있을 경우, 처음 100 개의 파일 이름만 데이터베이스에 저장되어 DLP 인시던트 관리자 세부 정보 페이지에 표시됩니다. 나머지 증거 파일(설정된 최대값까지)은 증거 저장소 공유 에 저장되며 해당 이벤트와 연결되지는 않습니다. 파일 이름에 기반해 증거를 필터링하는 보고서와 쿼리는 이 처음 100 개의 파일 이름에만 액세스할 수 있습니다. DLP 인시던트 관리자 필드의 총 일치 개수는 총 증거 수를 표시합니다. 히트 하이라이팅 히트 하이라이팅 옵션을 통해 관리자는 이벤트를 발생시킨 중요한 콘텐츠를 정확하게 식별할 수 있습니다. 이 옵션을 선택하면 추출된 텍스트가 포함된 암호화된 HTML 파일이 저장됩니다. 태그 및 콘텐츠 범주의 경우 텍스트는 컨텍스트 앞뒤에 있는 강조 표시된 한 단어나 구와 100 자로 이루어지고 이벤트를 트리거한 태그나 콘텐츠 범주별로 구성되며 태그/콘텐츠 범주당 이벤트 수를 포함합니다. 보안 텍스트 패턴 및 사전의 경우 정확한 텍스트가 추출됩니다. 정규식 및 정확한 일치 키워드가 식마다 최대 100 건의 히트를 표시합니다. 사전은 사전 항목당 최대 250 건의 히트를 표시할 수 있습니다. 표시 옵션은 클라이언트 구성 정책의 증거 복사 서비스 페이지에 있는 분류 일치 파일 필드에서 설정합니 다. McAfee Data Loss Prevention Endpoint 제품 안내서 37

38 5 시스템 구성요소 구성 증거가 있는 이벤트 문서화 축약된 결과 만들기(기본값) - 섹션당 1500 개 문자(5-7 개 히트)를 표시합니다. 모든 일치 만들기 - 모든 히트를 위에 설명한 제한에 따라 표시합니다. 사용 안 함 - 히트 하이라이팅 기능을 비활성화합니다. 증거 저장소를 사용할 수 있는 규칙 다음 규칙에는 증거를 저장하는 옵션이 있습니다. 표 5-1 규칙에 의해 저장된 증거 규칙 응용프로그램 파일 액세스 보호 규칙 클립보드 보호 규칙 클라우드 보호 규칙 이메일 보호 규칙 네트워크 공유 보호 규칙 프린터 보호 규칙 이동식 저장소 보호 규칙 화면 캡처 보호 규칙 웹 게시 보호 규칙 파일 시스템 검색 규칙 이메일 저장소 탐색 규칙 저장된 내용 파일 복사본 클립보드 복사본 파일 복사본 이메일 복사 파일 복사본 파일 복사본 파일 복사본 화면의 JPEG 웹 게시 복사본 파일 복사본.msg 파일 복사본 증거 폴더 만들기 증거 폴더는 McAfee DLP 소프트웨어에서 정책을 만들고 보고하기 위해 사용하는 정보를 포함합니다. McAfee DLP 설 치에 따라 특정 폴더와 네트워크 공유를 만들고 해당 속성 및 보안 설정을 적절하게 구성해야 합니다. 폴더가 McAfee DLP 데이터베이스 서버와 동일한 컴퓨터에 있을 필요는 없지만, 일반적으로 같은 위치에 만드는 것이 편리합니다. 증거 폴더 - 특정 규칙을 사용하여 증거를 저장할 수 있으므로 증거를 저장할 위치를 미리 지정해야 합니다. 예를 들어 파일이 차단된 경우 파일의 복사본이 증거 폴더에 저장됩니다. 다음과 같은 폴더 경로, 폴더 이름 및 공유 이름을 권장하지만 환경에 따라 다르게 만들 수 있습니다. c:\dlp_resources\ c:\dlp_resources\evidence 증거 저장소 경로는 네트워크 공유여야 합니다. 즉, McAfee epo 서버 이름을 포함해야 합니다. 증거 폴더 구성 증거 폴더를 구성하려면 특정 보안 설정이 필요합니다. 시작하기 전에 증거 폴더를 만듭니다. 38 McAfee Data Loss Prevention Endpoint 제품 안내서

39 시스템 구성요소 구성 사용자 및 권한 세트 5 1 Windows 탐색기에서 증거 폴더를 마우스 오른쪽 단추로 클릭하고 [속성]을 선택합니다. 2 [공유] 탭을 클릭한 후 [고급 공유]를 클릭합니다. [이 폴더 공유] 옵션을 선택합니다. a [공유 이름]을 evidence$로 수정합니다. [확인]을 클릭합니다. $ 기호를 사용하면 공유가 숨겨집니다. b [권한]을 클릭하고 [모든 사용자에 대한 모든 권한]을 선택합니다. [확인]을 두 번 클릭합니다. 3 [보안] 탭을 클릭한 후 [고급]을 클릭합니다. a [권한] 탭에서 [권한 변경]을 클릭하고 [이 개체의 부모로부터 상속 가능한 사용 권한 포함] 옵션 선택을 취소합 니다. 확인 메시지는 이 변경 사항이 폴더에 미치는 영향에 대해 설명합니다. b [제거]를 클릭합니다. [고급 보안 설정] 창에서[권한 설정] 탭은 제거된 모든 권한을 표시합니다. c d [추가]를 클릭하여 개체 유형을 선택합니다. [개체 이름을 입력하여 선택] 필드에 Domain Computers 를 입력한 다음 [확인]을 클릭합니다. [권한 항목] 대화 상자가 표시됩니다. e [허용] 열에서 [파일 만들기/데이터 쓰기] 및 [폴더 만들기/데이터 추가]를 선택합니다. [적용 대상] 옵션이 [현재 폴더, 하위 폴더 및 파일]인지 확인한 후 [확인]을 클릭합니다. 이제 [고급 보안 설정] 창에 [도메인 컴퓨터]가 포함됩니다. f g [추가]를 다시 클릭하여 개체 유형을 선택합니다. [선택할 개체 이름을 입력하십시오] 입력란에 Administrators 를 입력하고 [확인]을 클릭하여 [권한 항목] 대화 상 자를 표시합니다. 필요한 권한을 설정합니다. 관리자를 추가하는 것은 선택 사항이며, 보안 예방 조치로 추가할 수 있습니다. 또는 정책을 배포하는 관리자의 경우에만 권한을 추가할 수 있습니다. 4 대화 상자를 닫으려면 [확인]을 두 번 클릭합니다. 사용자 및 권한 세트 McAfee DLP 는 McAfee epo 사용자 및 권한 집합을 사용합니다. McAfee DLP 관리의 일부를 서로 다른 사용자나 그 룹에 할당할 수 있습니다. 특정한 McAfee DLP 사용자 또는 그룹, 관리자 및 검토자 권한을 McAfee epo 에서 만드는 것이 좋습니다. 사용자에게 McAfee DLP Endpoint 및 DLP 인시던트 관리자에 대해 서로 다른 권한을 할당함으로써 다양한 역할을 만들 수 있습니 다. 시스템 트리 필터링 권한 지원 McAfee DLP Endpoint 는 DLP 인시던트 관리자 및 DLP 작동 이벤트에서 McAfee epo 시스템 트리 필터링 권한을 지 원합니다. 시스템 트리 필터링을 사용하도록 설정하면 McAfee epo 운영자가 허용된 시스템 트리 부분의 컴퓨터에서 발생한 인시던트만 볼 수 있습니다. 그룹 관리자는 기본적으로 McAfee epo 시스템 트리에서 아무런 권한도 갖지 않습 McAfee Data Loss Prevention Endpoint 제품 안내서 39

40 5 시스템 구성요소 구성 사용자 및 권한 세트 니다. 이들은 [Data Loss Prevention] 권한 집합에서 할당된 권한에 관계없이 DLP 인시던트 관리자 또는 DLP 작동 이 벤트에서 인시던트를 볼 수 없습니다. 시스템 트리 필터링은 기본적으로 사용되지 않도록 설정되지만 [메뉴] [서버 설 정] [Data Loss Prevention]에서 사용하도록 설정할 수 있습니다. Data Loss Prevention 권한 집합에서 그룹 관리자를 사용하고 있는 경우 그룹 관리자에게 ["시스템 트리" 탭 보기] 권한 (시스템 아래)과 [시스템 트리 액세스] 권한을 적절한 수준으로 부여하는 것이 좋습니다. 중요한 데이터 수정 및 McAfee epo 권한 집합 모든 상황에서 기밀 정보를 보호해야 하는 일부 시장에서의 법적 요건을 충족하기 위해 McAfee DLP Endpoint 소프트 웨어는 데이터 수정 기능을 제공합니다. 기밀 정보를 포함한 DLP 인시던트 관리자 및 DLP 작동 이벤트 콘솔의 필드는 무단으로 볼 수 없도록 수정할 수 있으며, 중요한 증거로 연결되는 링크는 숨겨집니다. 이 기능은 "이중 키" 릴리스로 설 계되었습니다. 따라서 이 기능을 사용하려면 두 가지 권한 집합을 만들어야 합니다. 하나는 인시던트 및 이벤트를 보기 위한 권한이고 다른 하나는 수정된 필드를 보기 위한 권한(슈퍼바이저 권한)입니다. 동일한 사용자에게 두 역할을 모두 할당할 수 있습니다. McAfee DLP 역할 만들기 및 정의 관리 및 검토자 자격 증명을 만듭니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [사용자]를 선택합니다. 2 [새 사용자]를 클릭합니다. 3 사용자 이름을 입력하고 로그온 상태, 인증 유형 및 권한 집합을 지정합니다. DLP 관리자 및 DLP 검토자는 미리 정의된 권한 집합입니다. 4 [저장]을 클릭합니다. DLP 권한 집합 DLP 권한 집합은 정책을 보고 저장하고 수정된 필드를 보기 위한 권한을 할당합니다. 또한 역할 기반 액세스 제어 (RBAC)를 지정할 때도 사용됩니다. McAfee DLP 서버 소프트웨어를 설치하면 새로운 McAfee epo 권한 집합 Data Loss Prevention 9.4 가 추가됩니다. 이 전 버전의 McAfee DLP 가 동일한 McAfee epo 서버에 설치된 경우 Data Loss Prevention 권한 집합도 표시됩니다. Data Loss Prevention 9.4 권한 집합의 권한은 인시던트 관리자뿐 아니라 관리 콘솔의 모든 섹션을 포괄합니다. 다음 세 가지 수준의 권한이 있습니다. 사용 - 사용자는 세부 정보가 아닌 개체(정의, 분류 등)의 이름만 볼 수 있습니다. 정책의 경우 최소 권한은 [권한 없음]입니다. 보기 및 사용 - 사용자는 개체의 세부 정보를 볼 수 있지만 변경할 수는 없습니다. 전체 권한 - 사용자는 개체를 만들고 변경할 수 있습니다. 필요한 경우 관리 콘솔의 7 개 섹션에 대해 권한을 설정하여 관리자 및 검토자에게 서로 다른 권한을 부여할 수 있습니 다. 각 섹션은 논리적 계층으로 그룹화됩니다. 예를 들어 [분류]를 선택하면 분류 기준을 구성하기 위해 정의를 사용해 야 하므로 [정의]가 자동으로 선택됩니다. 권한 그룹은 다음과 같습니다. 40 McAfee Data Loss Prevention Endpoint 제품 안내서

41 시스템 구성요소 구성 사용자 및 권한 세트 5 정책 카탈로그 DLP 정책 관리자 분류 정의 DLP 정책 관리자 분류 정의 분류 정의 인시던트 관리 및 작동 이벤트는 개별적으로 선택할 수 있습니다. Data Loss Prevention 액션에 대한 권한은 헬프 데스크 액션 권한 집합으로 이동되었습니다. 이와 같은 권한을 통해 관리 자는 클라이언트 바이패스 키와 제거 키를 생성하고, 검역에서 릴리스 키를 생성하고, 마스터 키를 생성할 수 있습니다. 섹션에 대한 기본 권한 외에도 각 개체에 대한 재정의를 설정할 수 있습니다. 재정의는 권한 수준을 올리거나 낮출 수 있습니다. 예를 들어 DLP 정책 관리자 권한에는 권한 집합이 만들어질 때 존재한 모든 규칙 집합이 나열됩니다. 각 권 한에 대해 서로 다른 재정의를 설정할 수 있습니다. 새 규칙 집합을 만들면 기본 권한 수준이 부여됩니다. McAfee DLP 권한 집합 만들기 권한 집합은 McAfee DLP 소프트웨어에서 서로 다른 관리자 및 검토자 역할을 정의하는 데 사용됩니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [권한 집합]을 선택합니다. 2 미리 정의된 권한 집합을 선택하거나 [새로 만들기]를 클릭하여 권한 집합을 만듭니다. a 권한 집합의 이름을 입력하고 사용자를 선택합니다. b [저장]을 클릭합니다. 3 해당 권한 집합의 [Data Loss Prevention 9.4] 필드에서 [편집]을 클릭합니다. 4 왼쪽 창에서 데이터 보호 모듈을 선택합니다. [정의], [인시던트 관리] 및 [작동 이벤트]는 개별적으로 선택할 수 있습니다. 다른 옵션은 자동으로 미리 정의된 그룹 을 만듭니다. McAfee Data Loss Prevention Endpoint 제품 안내서 41

42 5 시스템 구성요소 구성 사용자 및 권한 세트 5 기본 권한을 선택합니다. 그룹의 경우 그룹의 각 모듈에 대해 기본 권한을 선택합니다. 기본 수준은 모듈의 모든 현재 및 미래 개체에 대한 권한을 결정합니다. 그룹화된 모듈의 경우 각 모듈에 대해 서로 다른 권한 수준을 선택할 수 있습니다. 6 (선택 사항) 재정의 권한을 선택합니다. 그룹의 경우 그룹의 각 모듈에 대해 재정의를 선택합니다. 모든 기존 개체가 표시됩니다. 각각에 대해 별도의 재정의를 선택할 수 있습니다. 사용 사례- DLP 관리자 정책을 만들기만 하고 이벤트 검토 책임은 없는 DLP 관리자의 경우 다음과 같이 선택합니다. 1 [Data Loss Prevention 9.4] 권한 집합에서 [정책 카탈로그]를 선택합니다. [DLP 정책 관리자], [분류] 및 [정의]가 자동으로 선택됩니다. 2 사용자에게 [전체 권한]을 부여합니다. 3 (선택 사항) [인시던트 관리]를 선택하고 [사용자가 모든 인시던트를 볼 수 있음]을 선택합니다. 이제 관리자가 정책, 규칙, 분류 및 정의를 만들고 변경할 수 있으며 인시던트를 관리할 수 있습니다. 3 단계를 건너뛰면 DLP 9.4 인시던트 관리자가 [메뉴] [데이터 보호]에 나타나지 않으므로 사용자가 인시던 트를 볼 수 없습니다. 수정을 사용하여 기밀성 보호 데이터 수정은 무단으로 볼 수 없도록 기밀 정보를 알아 볼 수 없게 처리하는 것입니다. 일부 국가에서는 수정에 관한 규칙을 따라야 하며, 인시던트와 작동 이벤트 검토 권한을 분리하고 중요한 데이터는 이 데이터를 볼 필요가 없는 사람 으로부터 차단하는 것이 모범 사례(법에서 요구하지 않더라도)로 간주됩니다. 다음과 같은 위치에서 수정 정보가 알수 없게 처리되어 있습니다. DLP 9.4 인시던트 관리자 화면 DLP 9.4 작동 이벤트 화면 현재 [컴퓨터 이름] 및 [사용자 이름] 필드는 비공개로 미리 정의되어 있습니다. 수정된 필드를 볼 수 있는 사용자 권한을 부여하려면 [인시던트 관리] 권한 페이지에서 [슈퍼바이저 권한]을 선택합니 다. 사용 사례- 수정된 필드 검토자 이 예에서는 두 명의 검토자에 대해 권한을 설정해야 합니다. 한 명은 이벤트와 인시던트를 검토할 검토자 이고 다른 한 명은 수정된 필드를 볼 검토자입니다. 검토자 역할이 정책 관리자 역할과 구분된다고 가정할 경우 다음과 같이 선택합니다. 양쪽 검토자에 대해 - [인시던트 관리] 및 [작동 이벤트] 모듈만 선택합니다. 인시던트 검토자에 대해 - [인시던트 검토자] 섹션에서 임의의 옵션을 선택합니다. [인시던트 데이터 수정] 섹션에서 [중요 인시던트 데이터 난독 처리]를 선택합니다. 수정 검토자에 대해 - [인시던트 검토자] 섹션에서 옵션을 선택하지 않습니다. [인시던트 데이터 수정] 섹션에서 [슈퍼바이저 권한]을 선택합니다. 42 McAfee Data Loss Prevention Endpoint 제품 안내서

43 시스템 구성요소 구성 정책 카탈로그에서 McAfee DLP 구성 5 정책 카탈로그에서 McAfee DLP 구성 McAfee DLP 는 McAfee epo 정책 카탈로그를 사용하여 정책 및 클라이언트 구성을 저장합니다. McAfee DLP 는 McAfee epo 정책 카탈로그에 정책을 만듭니다. 클라이언트 구성 DLP 정책 [클라이언트 구성] 정책에는 엔드포인트 컴퓨터의 정책 방식을 결정하는 설정이 들어 있습니다. [DLP 정책]은 [규칙 집합], [엔드포인트 탐색] 구성 및 [설정]으로 이루어집니다. McAfee DLP Endpoint 구성 가져오기 또는 내보내기 정책 구성은 백업을 위해 또는 다른 McAfee epo 서버로 정책을 전송하기 위해 HTML 형식으로 저장할 수 있습니다. 정책 가져오기 및 내보내기는 McAfee epo 정책 카탈로그에서 수행됩니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [정책 카탈로그] [제품] [Data Loss Prevention 9.4]를 선택합니다. 2 다음 중 하나를 수행합니다. 내보내려면 [내보내기]를 클릭합니다. [내보내기] 창에서 파일 링크를 마우스 오른쪽 단추로 클릭하고 [다른 이 름으로 링크 저장]을 선택하여 정책을 XML 파일로 저장합니다. [내보내기] 단추는 모든 정책을 내보냅니다. 정책 이름 행의 [액션] 열에서 [내보내기]를 선택하면 개별 정책을 내 보낼 수 있습니다. 저장된 정책을 가져오려면 [가져오기]를 클릭합니다. [정책 가져오기] 창에서 저장된 정책을 찾고 [열기]를 클릭 한 후 [확인]을 클릭합니다. 가져오기 창이 열리고 가져오려는 정책 및 이름 충돌이 있는지 여부가 표시됩니다. 충돌하는 정책은 선택을 취소하 고 가져오지 않을 수 있습니다. 이름 충돌이 있는 정책을 가져오도록 선택하면 기존 정책을 덮어쓰고 해당 할당을 사용합니다. 클라이언트 구성 McAfee DLP Endpoint 클라이언트 소프트웨어(McAfee Agent 용)는 기업 컴퓨터에 상주하며 정의된 정책을 실행합니 다. 또한 소프트웨어는 중요한 콘텐츠와 관련된 사용자 활동을 모니터링합니다. 클라이언트 구성은 정책에 저장된 다 음 관리되는 컴퓨터로 배포됩니다. 정책 카탈로그는 엔드포인트 구성 및 엔드포인트 정책에 대한 McAfee 기본 정책과 함께 제공됩니다. [복제]([액션] 열)를 클릭하면 정책의 기반으로 편집 가능한 복사본을 만들 수 있습니다. 클라이언트 구성은 정책에 저장된 다음 McAfee epo 에 의해 관리되는 컴퓨터로 배포됩니다. 구성이 업데이트되면 정 책을 다시 배포해야 합니다. 클라이언트 서비스 감시 장치 악성 프로그램으로 인한 간섭이 발생하는 상황에도 McAfee DLP Endpoint 소프트웨어가 계속 정상적으로 작동할 수 있도록 McAfee DLP Endpoint 는 Client Service WatchDog 라는 보호 서비스를 실행합니다. 이 서비스는 McAfee DLP Endpoint 소프트웨어를 모니터링하고 어떤 이유로 실행이 중지될 경우 소프트웨어를 다시 시작합니다. 이 서비스는 기 본적으로 활성화되어 있습니다. 서비스가 실행 중인지 확인하려면 Microsoft Windows 관리자 프로세스에서 fcagswd.exe 서비스를 확인하십시오. McAfee Data Loss Prevention Endpoint 제품 안내서 43

44 5 시스템 구성요소 구성 정책 카탈로그에서 McAfee DLP 구성 클라이언트 구성 매개 변수에 대한 OS X 지원 클라이언트 구성 설정은 Microsoft Windows 및 OS X 엔드포인트 컴퓨터 모두에 적용될 수 있습니다. OS X 의 McAfee DLP Endpoint 클라이언트 소프트웨어는 해당 운영 체제에서 명시적으로 지원되지 않는 매개 변수는 무시합니다. 표 5-2 디버깅 및 로깅 페이지 매개 변수 [클라이언트가 보고한 관 리 이벤트] 운영 체제 지원 OS X 및 Microsoft Windows 모두에 적용되는 필터 설정은 다음과 같습니다. 클라이언트가 바이패스 모드로 전환 정책 변경 클라이언트가 바이패스 모드를 종료 릴리스 코드 잠김 클라이언트가 설치됨 다른 모든 설정은 Microsoft Windows 엔드포인트에만 적용됩니다. [로깅] Microsoft Windows 및 OS X 모두에서 지원됩니다. 표 5-3 사용자 인터페이스 구성 요소 페이지 섹션 매개 변수 운영 체제 지원 [클라이언트 사용자 인터페이스] [DLP 콘솔 표시](모든 옵션) Microsoft Windows 만 해당 [최종 사용자 통보 팝업 사용] OS X 및 Microsoft Windows [정당성 요청 대화 상자 표시] Microsoft Windows 만 해당 [질문 및 응답] 모든 옵션 OS X 및 Microsoft Windows [릴리스 코드 잠금 정책] 모든 옵션 OS X 및 Microsoft Windows [클라이언트 배너 이미지] 모든 옵션 Microsoft Windows 만 해당 클라이언트 구성 설정 클라이언트 구성 설정은 엔드포인트 소프트웨어가 작동하는 방식을 결정합니다. 소프트웨어를 구성할 때 클라이언트 구성 설정을 검토하여 사용자의 요구 사항에 맞는지 확인하는 것이 좋습니다. 대 부분의 설정은 변경하지 않고도 초기 설정 및 테스트에 사용될 수 있도록 합리적인 기본값을 가지고 있습니다. 다음 표 에는 확인이 필요한 보다 중요한 설정 몇 가지가 나와 있습니다. 표 5-4 엔드포인트 구성 설정 세부 정보 설명 [고급 구성] [콘텐츠 추적] DLP 클라이언트를 안전 모드에서 실행 다음 폴백 ANSI 코드 페 이지 사용 기본적으로 사용되지 않습니다. 이 설정이 사용되면, McAfee DLP Endpoint 클라이언트로 인해 부팅에 문제가 있을 경우에 복구할 수 있는 메커니즘이 있습니다. 설정된 언어가 없으면 폴백이 엔드포인트 컴퓨터의 기본 언어가 됩니다. [회사 연결] 서버 주소 회사 네트워크, 회사 네트워크 외부 또는 VPN 을 통해 연결된 엔드포인 트 컴퓨터에 서로 다른 방지 액션을 적용할 수 있습니다. VPN 옵션을 사 용하려면 서버 주소 IP 를 설정합니다. [증거 복사 서비 스] [작동 모드 및 모듈] [증거 저장소] 저장소 공유 UNC 예제 텍스트를 증거 저장소 공유로 바꿉니다. 성능을 개선하려면 사용하고 있지 않은 모듈을 선택 취소하는 것이 좋습 니다. [웹 게시 보호] 지원되는 Chrome 버전 Google Chrome 을 사용하는 경우 지원되는 버전을 설정합니다. 44 McAfee Data Loss Prevention Endpoint 제품 안내서

45 6 이동식 미디어 보호 McAfee Device Control 은 저장 장치가 사용될 때마다 중요한 콘텐츠의 무단 전송과 관련된 위험으로부터 기업을 보 호합니다. McAfee Device Control 은 별개의 제품으로 판매되는 McAfee DLP Endpoint 의 구성 요소입니다. Device Control 이라는 용어가 이 섹션 전체에서 사용되는 동안에는 모든 기능 및 설명이 McAfee DLP Endpoint 에도 적용됩니다. 목차 장치 보호 장치 클래스 장치 정의 장치 규칙 만들기 장치 보호 USB 드라이브는 대용량 데이터를 다운로드하는 가장 작고 간편하고 저렴하면서 추적하기 가장 어려운 방법입니다. 이 드라이브는 대개 무단 데이터 전송에 "적절한 무기"로 간주됩니다. Device Control 소프트웨어는 USB 드라이브와 기타 외부 장치(예: 스마트폰, Bluetooth 장치, 플러그 앤 플레이 장치, 오디오 플레이어, 비시스템 하드 디스크)를 모니터링 하고 제어합니다. Device Control 은 서버를 비롯한 대부분의 Windows 운영 체제와 OS X 운영 체제에서 실행됩니다. 자세한 내용은 본 안내서의 시스템 요구 사항 페이지를 참조하십시오. McAfee Device Control 보호는 세 개의 계층에 내장됩니다. 장치 클래스 - 유사한 특성을 가지고 있고 유사한 방식으로 관리할 수 있는 장치들의 모음입니다. 장치 정의 - 공통 속성에 따라 장치들을 식별하고 그룹화합니다. 장치 규칙 - 장치의 동작을 제어합니다. 장치 클래스는 장치 정의에서 지정할 수 있는 여러 매개 변수 중 하나입니다. 장치 규칙은 규칙에서 포함되거나 제외된 장치 정의 목록과 장치 사용에서 규칙을 트리거할 때 실행되는 액션으로 구 성됩니다. 또한 규칙에서 포함되거나 제외되는 최종 사용자를 지정할 수 있습니다. 이동식 저장소 보호 규칙은 규칙을 트리거하는 중요한 콘텐츠를 정의하는 분류를 포함합니다. 필요한 경우 중요한 콘텐츠의 소스에 따라 규칙을 필터링하 기 위해 응용프로그램 정의를 포함할 수도 있습니다. 장치 클래스 장치 클래스는 유사한 특성을 가지고 있고 유사한 방식으로 관리할 수 있는 장치들의 모음입니다. 장치 클래스는 시스템에서 사용된 장치의 이름을 지정하고 식별합니다. 각 장치 클래스 정의는 이름과 하나 이상의 GUID(Globally Unique Identifier)를 포함합니다. 장치 클래스를 OS X 장치에는 적용할 수 없습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 45

46 6 이동식 미디어 보호 장치 클래스 예를 들어 "Intel PRO/1000 PL Network Connection"과 "Dell wireless 1490 Dual Band WLAN Mini-Card"는 두 장치 모두 "네트워크 어댑터" 장치 클래스에 속합니다. 장치 클래스는 다음 상태에 따라 분류됩니다. 관리되는 장치는 Device Control 에서 관리하는 특정 플러그 앤 플레이 또는 이동식 저장 장치입니다. 관리되지 않는 장치는 Device Control 에서 관리하지 않는 장치이지만 관리되는 상태로 변경될 수 있습니다. McAfee 는 시스템 또는 운영 체제의 오작동을 방지하기 위해 기본 제공 장치 클래스 목록을 변경하지 않을 것을 권장합 니다. 그 대신 새 사용자 정의 클래스를 목록에 추가하도록 합니다. 장치 문제를 해결하기 위해 장치 클래스 상태 및 필터 유형 설정에 대한 임시 재정의를 만들 수 있습니다. 이 옵션은 정 책 카탈로그 Data Loss Prevention 9.4 DLP 정책 설정 장치 클래스 페이지에서 설정됩니다. 참고 항목: 47 페이지의 장치 클래스 만들기 장치 클래스 정의 미리 정의된 목록에 적절한 장치 클래스가 없거나 새 하드웨어가 설치될 때 장치 클래스가 자동으로 생성되지 않을 경 우 McAfee DLP Endpoint 정책 관리자 콘솔에서 새 장치 클래스를 만들 수 있습니다. 47 페이지의 장치 클래스 만들기 적절한 장치 클래스가 미리 정의된 목록에 없거나 새 하드웨어 설치 시 자동으로 만들어지지 않았을 경우 장치 클래스를 만듭니다. GUID 획득 장치 클래스를 정의하려면 이름과 하나 이상의 GUID(globally unique identifiers)가 필요합니다. 일부 하드웨어 장치는 고유의 새 장치 클래스를 설치합니다. 고유의 장치 클래스를 정의하는 플러그 앤 플레이 하드웨 어 장치의 동작을 제어하려면 먼저 새 장치 클래스를 [장치 클래스] 목록의 [관리됨] 상태에 추가해야 합니다. 장치 클래스는 두 가지 속성 즉, "이름"과 "GUID"로 정의됩니다. 새 장치의 이름은 장치 관리자에 표시되지만 GUID 는 Windows 레지스트리에만 표시되므로 GUID 를 얻기가 쉽지 않습니다. 새 장치 이름과 GUID 를 쉽게 검색할 수 있도록 Device Control 클라이언트는 인식된 장치 클래스에 속하지 않는 하드웨어 장치가 호스트 컴퓨터에 연결되면 "새 장치 클래스 발견" 이벤트를 DLP 인시던트 관리자에게 보고합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 인시던트 관리자] [인시던트 목록]을 선택합니다. 2 필터 기준을 편집하려면 [필터] 드롭다운 목록 옆에 있는 [편집]을 클릭합니다. 3 [사용 가능한 속성] 목록(왼쪽 창)에서 [인시던트 유형]을 선택합니다. 4 [비교] 드롭다운 목록 값이 [같음]인지 확인합니다. 5 [값] 드롭다운 목록에서 [장치 새 클래스 발견]을 선택합니다. 6 [필터 업데이트]를 클릭합니다. [인시던트 목록]에 모든 엔드포인트 컴퓨터에서 발견된 새 장치 클래스가 표시됩니다. 7 특정 장치의 이름과 GUID 를 보려면 해당 항목을 두 번 클릭하여 인시던트 세부 정보를 표시합니다. 46 McAfee Data Loss Prevention Endpoint 제품 안내서

47 이동식 미디어 보호 장치 정의 6 장치 클래스 만들기 적절한 장치 클래스가 미리 정의된 목록에 없거나 새 하드웨어 설치 시 자동으로 만들어지지 않았을 경우 장치 클래스 를 만듭니다. 시작하기 전에 이 을 시작하기 전에 장치 GUID 를 가져옵니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [장치 제어] [장치 클래스]를 선택한 후 [액션] [새로 만들기]를 선택합니다. 3 고유한 [이름]과 [설명](선택 사항)을 입력합니다. 4 [상태] 및 필요한 [필터 유형]을 확인합니다. 5 GUID 를 입력하고 [추가]를 클릭합니다. GUID 는 올바른 형식이어야 합니다. 잘못 입력하면 메시지가 표시됩니다. 6 [저장]을 클릭합니다. 참고 항목: 45 페이지의 장치 클래스 47 페이지의 장치 정의 장치 정의 장치 규칙은 장치 정의를 사용하여 장치와 연결된 속성을 지정합니다. 사용 가능한 장치 정의 유형은 다음과 같습니다. 고정 하드 드라이브 장치는 컴퓨터에 연결되어 있으며 운영 체제에 이동식 저장소로 표시되지 않습니다. Device Control 은 부트 드라이브 이외의 고정 하드 드라이브를 제어할 수 있습니다. 플러그 앤 플레이 장치는 DLL 및 드라이버를 구성하거나 수동으로 설치하지 않고도 관리되는 컴퓨터에 추가할 수 있습니다. 플러그 앤 플레이 장치에는 대부분의 Microsoft Windows 장치가 포함됩니다. 이동식 저장 장치는 파일 시스템을 포함하는 외부 장치로, 관리되는 컴퓨터에 드라이브로 나타납니다. 이동식 저장 장치 정의에서는 Windows 또는 OS X 운영 체제를 지원합니다. 화이트리스트 플러그 앤 플레이 장치는 장치 관리와 적절히 상호 작용하지 않으므로 시스템이 응답을 중지하도록 만들거나 다른 심각한 문제를 일으킬 수 있습니다. 화이트리스트 플러그 앤 플레이 장치 정의는 모든 플러그 앤 플레이 장치 규칙에서 "제외된" 목록에 자동으로 추가됩 니다. 이러한 장치는 상위 장치 클래스가 관리되는 경우에도 관리되지 않습니다. 일부 장치 속성은 플러그 앤 플레이 장치 정의와 이동식 저장 장치 정의에 대해 동일하지만 다른 속성은 특정 장치 유 형에만 해당됩니다. 이동식 저장 장치 정의는 좀 더 유연하며 이동식 저장 장치와 관련된 추가적인 속성들을 포함합니 다. USB 대량 저장 장치처럼 두 가지 분류에 모두 해당될 수 있는 장치를 제어하려는 경우 McAfee 에서는 이동식 저장 장치 정의 및 규칙을 사용할 것을 권장합니다. 참고 항목: 47 페이지의 장치 클래스 만들기 McAfee Data Loss Prevention Endpoint 제품 안내서 47

48 6 이동식 미디어 보호 장치 정의 장치 정의 여러 매개 변수는 논리적 OR(기본값) 또는 논리적 AND 로 장치 정의에 추가됩니다. 여러 매개 변수 유형은 항상 논리 적 AND 로 추가됩니다. 예를 들어 다음 매개 변수가 선택된 경우, 다음 정의가 만들어집니다. 버스 유형은 FireWire(IEEE 1394) 또는 USB 중 하나입니다. 그리고 장치 클래스는 메모리 장치 또는 Windows 휴대용 장치 중 하나입니다. 장치 정의 만들기 장치 정의는 규칙을 트리거하는 장치의 속성을 지정합니다. 관리를 제대로 처리하지 않아 시스템이 응답을 중지하도록 만들거나 다른 심각한 문제를 만들 가능성이 있는 장치에 대 해 화이트리스트 플러그 앤 플레이 정의를 만듭니다. 이러한 장치에 대해서는 규칙이 트리거되어도 액션이 수행되지 않 습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에셔 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [장치 제어] [장치 정의]를 선택합니다. 3 [액션] [새로 만들기]를 선택한 다음 정의의 유형을 선택합니다. 4 고유한 [이름]과 [설명](선택 사항)을 입력합니다. 5 장치의 속성을 선택합니다. 사용 가능한 속성 목록은 장치의 유형에 따라 다릅니다. 속성을 추가하려면 [>]를 클릭합니다. 속성을 제거하려면 [<]를 클릭합니다. 속성에 대해 값을 더 추가하려면 [+]를 클릭합니다. 값은 기본적으로 논리적 OR 로 추가됩니다. [AND/OR] 단추를 클릭하여 이를 AND 로 변경합니다. 속성을 제거하려면 [-]를 클릭합니다. 6 [저장]을 클릭합니다. 48 McAfee Data Loss Prevention Endpoint 제품 안내서

49 이동식 미디어 보호 장치 정의 6 화이트리스트 플러그 앤 플레이 정의 만들기 화이트리스트 플러그 앤 플레이 장치를 사용하는 목적은 장치 관리를 제대로 처리하지 못하여 시스템 응답이 중지되도 록 하거나 다른 심각한 문제를 일으킬 수 있는 장치를 다루기 위해서입니다. 호환성 문제를 방지하려면 화이트리스트 장치 목록에 이러한 장치를 추가하는 것이 좋습니다. 화이트리스트 플러그 앤 플레이 장치는 정책이 적용될 때 모든 플러그 앤 플레이 장치 규칙에서 "제외됨" 목록에 자동 으로 추가됩니다. 이러한 장치는 상위 장치 클래스가 관리되는 경우에도 관리되지 않습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [장치 제어] [장치 정의]를 선택한 다음 [액션] [새로 만들기] [화이트리스트 플러그 앤 플레이 장치 정의]를 선택합니다. 3 고유한 [이름]과 [설명](선택 사항)을 입력합니다. 4 장치의 속성을 선택합니다. 속성을 추가하려면 [>]를 클릭합니다. 속성을 제거하려면 [<]를 클릭합니다. 속성에 대해 값을 더 추가하려면 [+]를 클릭합니다. 값은 기본적으로 논리적 OR 로 추가됩니다. [AND/OR] 단추를 클릭하여 이를 AND 로 변경합니다. 속성을 제거하려면 [-]를 클릭합니다. 5 [저장]을 클릭합니다. 이동식 저장 장치 정의 만들기 이동식 저장 장치는 파일 시스템을 포함하는 외부 장치로, 관리되는 컴퓨터에 드라이브로 나타납니다. 이동식 저장 장 치 정의는 플러그 앤 플레이 장치 정의보다 더 유연하고 장치와 관련된 추가 속성을 포함합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에셔 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [장치 제어] [장치 정의]를 선택한 다음 [액션] [새로 만들기] [이동식 저장 장치 정의]를 선택합니다. 3 고유한 [이름]과 [설명](선택 사항)을 입력합니다. 4 Microsoft Windows 또는 OS X 장치에 대해 [적용 대상] 옵션을 선택합니다. [사용 가능한 속성] 목록이 선택한 운영 체제의 속성과 일치되도록 변경됩니다. 5 장치의 속성을 선택합니다. 속성을 추가하려면 [>]를 클릭합니다. 속성을 제거하려면 [<]를 클릭합니다. 속성에 대해 값을 더 추가하려면 [+]를 클릭합니다. 값은 기본적으로 논리적 OR 로 추가됩니다. [AND/OR] 단추를 클릭하여 이를 AND 로 변경합니다. 속성을 제거하려면 [-]를 클릭합니다. 6 [저장]을 클릭합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 49

50 6 이동식 미디어 보호 장치 정의 장치 속성 장치 속성은 장치 이름, 버스 유형 또는 파일 시스템 유형 등과 같은 장치 특성을 지정합니다. 다음 표에는 장치 속성 정의와 해당 속성을 사용하는 정의 유형 그리고 해당 속성이 적용되는 운영 체제가 나와 있습니 다. 표 6-1 장치 속성의 유형 속성 이름 장치 정 의 적용되는 운영 체제: 버스 유형 모두 Windows Bluetooth, Firewire(IEEE1394), IDE/SATA, PCI, PCMIA, SCSI, USB Mac OS X Firewire(IEEE1394), IDE/SATA, SD, Thunderbolt, USB 설명 사용 가능한 목록에서 장치 버스 유형을 선택합니다. CD/DVD 드라 이브 이동식 저장소 Windows Mac OS X CD 또는 DVD 드라이브를 나타내려면 선택합니다. Endpoint Encryption 에 의해 콘텐츠가 암호화됨 장치 클래스 이동식 저장소 플러그 앤 플레 이 Windows Windows Endpoint Encryption 으로 보호되는 장치입니다. 사용 가능한 관리되는 목록에서 장치 클래스를 선택합니다. 장치 호환 ID 모두 Windows 물리적 장치 설명 목록입니다. PCI 공급업체 ID/장치 ID 또는 USB 제품 ID/공급업체 ID 를 사용하여 보다 쉽게 식별할 수 있 는 USB 및 PCI 이외의 장치 유형에 특히 유용합니다. 장치 인스턴스 ID(Microsoft Windows XP) 장치 인스턴스 경로(Windows Vista 이상의 Microsoft Windows 운영 체제, 서버 포 함) 모두 Windows 시스템에서 장치를 고유하게 식별하는 Windows 에서 생성된 문자열입니다. 예: USB\VID_0930&PID_6533\5&26450FC&0&6 장치 이름 모두 Windows 하드웨어 장치에 연결된 이름으로, 실제 주소를 나타냅니다. Mac OS X 50 McAfee Data Loss Prevention Endpoint 제품 안내서

51 이동식 미디어 보호 장치 정의 6 표 6-1 장치 속성의 유형 (계속) 속성 이름 장치 정 의 적용되는 운영 체제: 설명 파일 시스템 유 형 고정 하드 디스 크 이동 식 저 장소 Windows CDFS, exfat, FAT16, FAT32, NTFS, UDFS Mac OS X CDFS, exfat, FAT16, FAT32, HFS/HFS+, NTFS, UDFS 파일 시스템의 유형. 하드 디스크의 경우 exfat, FAT16, FAT32 또는 NTFS 중 하나를 선택합니다. 이동식 저장 장치의 경우 위의 항목 이외에도 CDFS 또는 UDFS 가 있습니다. Mac OS X 는 부트 디스크 이외의 디스크에 있는 FAT 만 지원합니다. Mac OS X 는 NTFS 를 읽기 전 용으로 지원합니다. 파일 시스템 액 세스 이동식 저장소 Windows Mac OS X 파일 시스템에 대한 액세스: 읽기 전용 또는 읽기-쓰기 파일 시스템 볼 륨 레이블 고정 하드 디스 크 Windows Mac OS X Windows 탐색기에서 볼 수 있는 사용자 정의 볼륨 레이블입 니다. 부분 일치가 허용됩니다. 이동 식 저 장소 파일 시스템 볼 륨 일련 번호 고정 하드 디스 크 Windows 파일 시스템이 장치에 만들어질 때 자동으로 생성되는 32 비 트 숫자입니다. 이 숫자는 명령줄 명령 dir x:를 실행하여 볼 수 있습니다. 여기서 x:는 드라이브 문자입니다. 이동 식 저 장소 PCI 공급업체 ID/장치 ID 모두 Windows PCI 공급업체 ID 및 장치 ID 는 PCI 장치에 포함되어 있습니 다. 이러한 매개 변수는 물리적 장치의 하드웨어 ID 문자열에 서 가져올 수 있습니다. 예: PCI\VEN_8086&DEV_2580&SUBSYS_ &REV_04 TrueCrypt 장치 이동식 저장소 Windows TrueCrypt 장치를 지정하려면 선택합니다. USB 클래스 코 드 플러그 앤 플레 이 Windows 일반적인 기능에 따라 실제 USB 장치를 식별합니다. 사용 가 능한 목록에서 클래스 코드를 선택합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 51

52 6 이동식 미디어 보호 장치 규칙 만들기 표 6-1 장치 속성의 유형 (계속) 속성 이름 장치 정 의 적용되는 운영 체제: 설명 USB 장치 일련 번호 플러 그 앤 플레 이 Windows Mac OS X USB 장치 제조업체에서 일반적으로 이동식 저장 장치에 대해 할당한 고유한 영숫자 문자열입니다. 이 일련 번호는 인스턴 스 ID 의 마지막 부분에 해당합니다. 예: 이동 식 저 장소 USB\VID_3538&PID_0042\ CD8 올바른 일련 번호는 최소 5 자의 영숫자를 포함해야 하며 앰퍼 샌드(&)를 포함해서는 안 됩니다. 인스턴스 ID 의 마지막 부분 이 이러한 요구 사항을 따르지 않을 경우에는 일련 번호가 아 닙니다. USB 공급업체 ID/제품 ID 플러 그 앤 플레 이 Windows Mac OS X USB 공급업체 ID 와 제품 ID 는 USB 장치에 포함되어 있습니 다. 이러한 매개 변수는 물리적 장치의 하드웨어 ID 문자열에 서 가져올 수 있습니다. 예: 이동 식 저 장소 USB\Vid_3538&Pid_0042 장치 규칙 만들기 회사에서 장치 사용을 제어할 장치 규칙을 만듭니다. 사용 가능한 장치 규칙은 다음과 같습니다. Citrix XenApp 장치 규칙 이동식 저장 장치 규칙 고정 하드 드라이브 규칙 이동식 저장소 파일 액세스 규칙 플러그 앤 플레이 장치 규칙 TrueCrypt 장치 규칙 OS X 에서는 현재 이동식 저장 장치 규칙만 지원됩니다. Citrix 장치 규칙 만들기 공유 데스크톱 세션에 매핑된 Citrix 장치를 차단하려면 Citrix 장치 규칙을 사용합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [규칙 집합]을 선택합니다. 2 [액션] [새 규칙 집합]을 선택하거나 기존 규칙 집합을 편집합니다. 3 규칙 집합 이름을 클릭하여 편집할 규칙 집합을 엽니다. [장치 제어] 탭을 클릭합니다. 4 [액션] [새 규칙] [Citrix XenApp 장치 규칙]을 선택합니다. 5 고유한 [규칙 이름]을 입력합니다. 선택 사항: [상태]를 변경하고 [심각도]를 선택합니다. 6 [조건] 창에서 하나 이상의 리소스를 선택합니다. 선택 사항: 최종 사용자 그룹을 규칙에 할당합니다. 7 [저장]을 클릭합니다. 52 McAfee Data Loss Prevention Endpoint 제품 안내서

53 이동식 미디어 보호 장치 규칙 만들기 6 선택한 리소스가 차단됩니다. Citrix 규칙에 대한 유일한 [방지 액션]은 [차단]입니다. [대응] 창에서는 액션을 설정할 필요가 없습니다. 고정 하드 드라이브 장치 규칙 만들기 컴퓨터에 연결되어 있으면서 운영 체제에 이동식 저장소로 표시되지 않는 하드 드라이브를 제어하려면 고정 하드 드라 이브 장치 규칙을 사용합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [규칙 집합]을 선택합니다. 2 [액션] [새 규칙 집합]을 선택하거나 기존 규칙 집합을 편집합니다. 3 규칙 집합 이름을 클릭하여 편집할 규칙 집합을 엽니다. [장치 제어] 탭을 클릭합니다. 4 [액션] [새 규칙] [고정 하드 드라이브 규칙]을 선택합니다. 5 고유한 [규칙 이름]을 입력합니다. 선택 사항: [상태]를 변경하고 [심각도]를 선택합니다. 6 [조건] 창에서 하나 이상의 고정 하드 드라이브 장치 정의를 선택합니다. 선택 사항: 최종 사용자 그룹을 규칙에 할 당합니다. 장치 정의에서는 포함하거나([다음 중 하나에 해당]) 제외할([다음 어디에도 해당 안 함]) 장치를 정의할 수 있습니 다. 적어도 하나의 정의를 포함해야 합니다. 7 [대응] 창에서 [방지 액션]을 선택합니다. 선택 사항: [사용자 통보] 및 [보고서 인시던트]를 추가합니다. [보고서 인시던트]를 선택하지 않으면 DLP 인시던트 관리자에 인시던트 레코드가 없습니다. 8 선택 사항: 최종 사용자가 회사 네트워크 외부에서 중인 경우 다른 [방지 액션]을 선택합니다. 9 [저장]을 클릭합니다. 플러그 앤 플레이 장치 규칙 만들기 플러그 앤 플레이 장치는 dll 및 드라이버를 구성하거나 수동으로 설치하지 않고도 관리되는 컴퓨터에 추가할 수 있습 니다. 엔드포인트 컴퓨터가 이러한 장치를 로드하지 못하도록 하려면 플러그 앤 플레이 장치 규칙을 사용합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [규칙 집합]을 선택합니다. 2 [액션] [새 규칙 집합]을 선택하거나 기존 규칙 집합을 편집합니다. 3 규칙 집합 이름을 클릭하여 편집할 규칙 집합을 엽니다. [장치 제어] 탭을 클릭합니다. 4 [액션] [새 규칙] [플러그 앤 플레이 장치 규칙]을 선택합니다. 5 고유한 [규칙 이름]을 입력합니다. 선택 사항: [상태]를 변경하고 [심각도]를 선택합니다. 6 [조건] 창에서 하나 이상의 플러그 앤 플레이 장치 정의를 선택합니다. 선택 사항: 최종 사용자 그룹을 규칙에 할당 합니다. 장치 정의에서는 포함하거나([다음 중 하나에 해당]) 제외할([다음 어디에도 해당 안 함]) 장치를 정의할 수 있습니 다. 적어도 하나의 정의를 포함해야 합니다. 7 [대응] 창에서 [방지 액션]을 선택합니다. 선택 사항: [사용자 통보] 및 [보고서 인시던트]를 추가합니다. [보고서 인시던트]를 선택하지 않으면 DLP 인시던트 관리자에 인시던트 레코드가 없습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 53

54 6 이동식 미디어 보호 장치 규칙 만들기 8 선택 사항: 최종 사용자가 회사 네트워크 외부에서 중이거나 VPN 을 통해 연결된 경우 다른 [방지 액션]을 선 택합니다. 9 [저장]을 클릭합니다. 이동식 저장 장치 규칙 만들기 이동식 저장 장치는 관리되는 컴퓨터에 드라이브로 나타납니다. 이동식 장치의 사용을 차단하거나 이동식 장치를 읽기 전용으로 설정하려면 이동식 저장 장치 규칙을 사용합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [규칙 집합]을 선택합니다. 2 [액션] [새 규칙 집합]을 선택하거나 기존 규칙 집합을 편집합니다. 3 규칙 집합 이름을 클릭하여 편집할 규칙 집합을 엽니다. [장치 제어] 탭을 클릭합니다. 4 [액션] [새 규칙] [이동식 저장 장치 규칙]을 선택합니다. 5 고유한 [규칙 이름]을 입력합니다. 선택 사항: [상태]를 변경하고 [심각도]를 선택합니다. 6 [조건] 창에서 하나 이상의 이동식 저장 장치 정의를 선택합니다. 선택 사항: 최종 사용자 그룹 및 [프로세스 이름]을 규칙에 할당합니다. 장치 정의에서는 포함하거나([다음 중 하나에 해당]) 제외할([다음 어디에도 해당 안 함]) 장치를 정의할 수 있습니 다. 적어도 하나의 정의를 포함해야 합니다. 7 [대응] 창에서 [방지 액션]을 선택합니다. 선택 사항: [사용자 통보] 및 [보고서 인시던트]를 추가합니다. [보고서 인시던트]를 선택하지 않으면 DLP 인시던트 관리자에 인시던트 레코드가 없습니다. 8 선택 사항: 최종 사용자가 회사 네트워크 외부에서 중인 경우 다른 [방지 액션]을 선택합니다. 9 [저장]을 클릭합니다. 이동식 저장소 파일 액세스 규칙 만들기 플러그인 장치에서 실행 파일이 실행되는 것을 차단하려면 이동식 저장소 파일 액세스 규칙을 사용합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [규칙 집합]을 선택합니다. 2 [액션] [새 규칙 집합]을 선택하거나 기존 규칙 집합을 편집합니다. 3 규칙 집합 이름을 클릭하여 편집할 규칙 집합을 엽니다. [장치 제어] 탭을 클릭합니다. 4 [액션] [새 규칙] [이동식 저장소 파일 액세스 규칙]을 선택합니다. 5 고유한 [규칙 이름]을 입력합니다. 선택 사항: [상태]를 변경하고 [심각도]를 선택합니다. 6 [조건] 창에서 하나 이상의 이동식 저장 장치 정의를 선택합니다. 선택 사항: 최종 사용자 그룹을 규칙에 할당합니 다. 장치 정의에서는 포함하거나([다음 중 하나에 해당]) 제외할([다음 어디에도 해당 안 함]) 장치를 정의할 수 있습니 다. 적어도 하나의 정의를 포함해야 합니다. 54 McAfee Data Loss Prevention Endpoint 제품 안내서

55 이동식 미디어 보호 장치 규칙 만들기 6 7 선택 사항: 규칙에서 제외할 [파일 이름]을 입력합니다. 기본적으로 실행 파일은 [파일 확장명] 옵션을 사용하여 규칙에 포함됩니다. 필요에 따라 이 옵션을 편집할 수 있습 니다. [파일 이름] 제외는 실행이 반드시 허용되어야 하는 응용프로그램을 위한 것입니다. 암호화된 드라이브에 있 는 암호화 응용프로그램이 이러한 예에 해당됩니다. 8 [대응] 창에서 [방지 액션]을 선택합니다. 선택 사항: [사용자 통보] 및 [보고서 인시던트]를 추가합니다. [보고서 인시던트]를 선택하지 않으면 DLP 인시던트 관리자에 인시던트 레코드가 없습니다. 9 선택 사항: 최종 사용자가 회사 네트워크 외부에서 중인 경우 다른 [방지 액션]을 선택합니다. 10 [저장]을 클릭합니다. TrueCrypt 장치 규칙 만들기 TrueCrypt 가상 암호화 장치를 차단 또는 모니터링하거나 읽기 전용으로 설정하려면 TrueCrypt 장치 규칙을 사용합니 다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [규칙 집합]을 선택합니다. 2 [액션] [새 규칙 집합]을 선택하거나 기존 규칙 집합을 편집합니다. 3 규칙 집합 이름을 클릭하여 편집할 규칙 집합을 엽니다. [장치 제어] 탭을 클릭합니다. 4 [액션] [새 규칙] [TrueCrypt 장치 규칙]을 선택합니다. 5 고유한 [규칙 이름]을 입력합니다. 선택 사항: [상태]를 변경하고 [심각도]를 선택합니다. 6 선택 사항: [조건] 창에서 최종 사용자 그룹을 규칙에 할당합니다. 7 [대응] 창에서 [방지 액션]을 선택합니다. 선택 사항: [사용자 통보] 및 [보고서 인시던트]를 추가합니다. [보고서 인시던트]를 선택하지 않으면 DLP 인시던트 관리자에 인시던트 레코드가 없습니다. 8 선택 사항: 최종 사용자가 회사 네트워크 외부에서 중인 경우 다른 [방지 액션]을 선택합니다. 9 [저장]을 클릭합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 55

56 6 이동식 미디어 보호 장치 규칙 만들기 56 McAfee Data Loss Prevention Endpoint 제품 안내서

57 7 중요한 7 콘텐츠 분류 분류에서는 중요한 콘텐츠 및 파일을 식별하고 추적합니다. 목차 분류 모듈 수동 분류 분류 사용 분류 정의 및 기준 분류 만들기 및 구성 등록 문서 화이트리스트 텍스트 등록된 문서 업로드 텍스트를 화이트리스트에 포함하기 위해 파일 업로드 분류 정의 만들기 파일 위치 기준 분류 파일 수신자 기준 분류 분류 모듈 McAfee epo 의 분류 모듈은 분류 기준, 태그 지정 기준 및 이를 구성하는 데 사용된 정의를 저장합니다. 그뿐만 아니라 등록된 문서 리포지토리, 수동 태그 지정을 위한 사용자 인증 및 화이트리스트 텍스트를 설정하는 데도 사용됩니다. 이 모듈은 다음과 같은 기능을 제공합니다. 수동 분류 - 콘텐츠를 수동으로 분류하고 태그 지정할 수 있는 최종 사용자 그룹을 구성합니다. 정의 - 분류에 대한 콘텐츠, 속성 및 파일 위치를 정의합니다. 분류 - 분류를 만들고 분류 및 태그 지정 기준을 정의합니다. 문서 등록 - 알려진 중요한 콘텐츠가 들어 있는 파일을 업로드합니다. 화이트리스트 텍스트 - 화이트리스트에 포함할 텍스트가 들어 있는 파일을 업로드합니다. 수동 분류 최종 사용자가 수동으로 분류 또는 태그 지정 조건을 파일에 적용하거나 제거할 수 있습니다. 파일 또는 콘텐츠를 분류하는 가장 간단한 방법은 수동 분류입니다. 기본적으로 최종 사용자는 분류를 보거나 추가하 거나 제거할 수 있는 권한이 없습니다. 하지만 정의된 분류를 특정 사용자 그룹에 할당할 수는 있습니다. 그러면 이들 사용자가 하면서 파일에 분류를 적용할 수 있습니다. 수동 분류를 사용하면 시스템에서 중요하거나 고유한 정보에 자동으로 태그를 지정하지 않는 특수한 경우에도 조직의 분류 정책을 유지 관리할 수 있습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 57

58 7 중요한 콘텐츠 분류 분류 사용 사용 사례 의료 기관의 자는 모든 환자 기록이 HIPAA 규칙에 따라 기밀로 취급되어야 한다는 점을 인지하고 있습니다. 이러 한 보호 기능을 제공하려면 PHI(보호되는 의료 정보)를 위한 분류를 만들고 의료 기록을 만드는 사용자에게 이 분류에 대한 수동 분류 권한을 할당하면 됩니다. 그러면 사용자는 환자 기록을 만들 때 파일을 마우스 오른쪽 단추로 클릭하고 [수동 태그 지정]을 선택하여 환자 기록을 분류합니다. 분류 사용 분류는 태그 또는 분류 기준을 파일 및 콘텐츠에 적용하여 중요한 콘텐츠를 식별하고 추적합니다. McAfee DLP Endpoint 는 사용자 정의 분류로 중요한 콘텐츠를 식별하고 추적합니다. 태그 및 분류 기준의 두 가지 기 본 유형이 지원됩니다. 태그는 중요한 정보에 레이블을 지정하고, 레이블은 다른 문서에 복사되거나 다른 형식으로 저 장된 경우에도 그 내용이 그대로 유지됩니다. 분류 기준 분류 기준은 중요한 텍스트 패턴, 사전, 키워드 또는 이들의 조합을 식별합니다. 조합은 단순히 여러 개의 명명된 속성 이거나 유사성이라는 정의된 관계를 가진 속성일 수 있습니다. 또한 파일 유형, 문서 속성, 파일 암호화 또는 파일에서 의 위치(헤더/본문/바닥글)와 같은 파일 조건을 지정할 수 있습니다. 태그 지정 기준 태그 지정 기준은 다음 옵션 중 하나를 기반으로 파일 또는 콘텐츠에 적용됩니다. 응용 프로그램 기반 - 파일을 만들거나 변경한 응용 프로그램 위치 기반 - 파일이 저장되는 네트워크 공유 또는 이동식 저장소 정의 웹 기반 - 파일을 열거나 다운로드한 웹 주소 분류 기준에서 사용 가능한 모든 데이터 및 파일 조건은 태그 지정 기준에서도 사용할 수 있으므로 태그에서 두 가지 기준 유형 모두의 기능을 결합할 수 있습니다. 태그 지정 기준은 파일의 확장된 파일 특성(EA) 또는 대체 데이터 스트림(ADS)에 저장되며 파일 저장 시 파일에 적용 됩니다. 사용자가 태그 지정된 콘텐츠를 다른 파일로 복사하거나 이동할 경우 태그 지정 기준이 해당 파일에 적용됩니 다. 태그 지정된 콘텐츠가 파일에서 제거되면 태그 지정 기준도 제거됩니다. McAfee DLP Endpoint 는 분류가 보호 규칙에서 사용되는지 여부에 관계없이 정책이 적용된 후 태그 지정 기준을 파일에 적용합니다. 58 McAfee Data Loss Prevention Endpoint 제품 안내서

59 중요한 콘텐츠 분류 분류 사용 7 기준 적용 기준은 다음 방법 중 하나로 파일에 적용됩니다. McAfee DLP Endpoint 가 다음과 같은 경우 기준을 적용합니다. 파일이 구성된 분류와 일치합니다. 파일 또는 중요한 콘텐츠가 새 위치로 이동 또는 복사됩니다. 탐색 검색 중에 파일이 일치합니다. 권한이 있는 사용자가 수동으로 기준을 파일에 추가합니다. 참고 항목: 64 페이지의 분류 기준 만들기 65 페이지의 태그 지정 기준 만들기 65 페이지의 수동 분류 권한 할당 텍스트 추출 텍스트 추출기는 파일을 열거나 복사할 때 파일 내용을 분석하여 텍스트 패턴 및 분류 규칙의 사전 정의와 비교합니다. 일치할 경우 분류가 내용에 적용됩니다. 텍스트 추출기는 프로세서의 코어 수에 따라 여러 프로세스를 실행할 수 있습니다. 싱글 코어 프로세서는 한 프로세스만 실행합니다. 듀얼 코어 프로세서는 최대 두 개의 프로세스를 실행합니다. 멀티 코어 프로세서는 최대 세 개의 동시 프로세스를 실행합니다. 여러 사용자가 로그온할 경우 사용자별로 고유한 프로세스 집합을 가집니다. 따라서 텍스트 추출기의 수는 코어 수 및 사용자 세션 수에 따라 달라집니다. 다중 프로세스는 Windows 관리자에서 볼 수 있습니다. 텍스트 추출기의 최대 메모리 사용량을 구성할 수 있습니다. 기본값은 75MB 입니다. McAfee DLP Endpoint 소프트웨어는 악센트 부호 문자를 지원합니다. ASCII 텍스트 파일에 일부 보통 라틴 문자뿐만 아니라 프랑스어 및 스페인어 등의 악센트 부호 문자가 함께 들어 있는 경우 텍스트 추출기가 문자 집합을 올바르게 식 별하지 못할 수도 있습니다. 이 문제는 모든 텍스트 추출 프로그램에서 발생합니다. 이러한 경우 ANSI 코드 페이지를 식별할 수 있는 알려진 방법이나 기술이 없습니다. 텍스트 추출기가 코드 페이지를 식별할 수 없을 경우 텍스트 패턴 및 태그 시그니처가 인식되지 않고 문서를 제대로 분류할 수 없으며 차단 및 모니터링 액션을 올바르게 취할 수 없습니 다. 이 문제를 해결하기 위해 McAfee DLP Endpoint 클라이언트 소프트웨어는 폴백 코드 페이지를 사용합니다. 폴백은 컴퓨터의 기본 언어이거나 관리자가 설정한 다른 언어입니다. McAfee DLP Endpoint 의 응용프로그램 분류 방식 응용프로그램을 사용하여 분류 또는 규칙 집합을 만들기 전에 McAfee DLP Endpoint 가 응용프로그램을 분류하는 방 식과 이로 인해 시스템 성능에 미치는 영향을 이해해야 합니다. McAfee DLP Endpoint 소프트웨어에서는 응용프로그램을 전략이라는 네 가지 범주로 분류합니다. 이것은 소프트웨어 가 여러 응용프로그램과 작동하는 방식에 영향을 줍니다. 전략을 변경하여 보안과 컴퓨터 운영 효율성 간의 균형을 맞 출 수 있습니다. 보안 수준을 낮추기 위한 전략은 다음과 같습니다. 편집기 : 파일 내용을 수정할 수 있는 응용프로그램입니다. Microsoft Word 및 Microsoft Excel 과 같은 "일반적인" 편집기뿐만 아니라 브라우저, 그래픽 소프트웨어, 회계 소프트웨어 등도 여기에 해당됩니다. 대부분의 응용프로그 램은 편집기입니다. 탐색기 : Microsoft Windows Explorer 또는 특정 셸 응용프로그램과 같이 파일을 변경하지 않고 복사 또는 이동하는 응용프로그램입니다. McAfee Data Loss Prevention Endpoint 제품 안내서 59

60 7 중요한 콘텐츠 분류 분류 정의 및 기준 신뢰할 수 있는 응용프로그램 - 검색에 사용하기 위해 파일에 대한 무제한 액세스가 필요한 응용프로그램입니다. McAfee VirusScan Enterprise, 백업 소프트웨어 및 Google Desktop 같은 데스크톱 검색 소프트웨어를 예로 들 수 있습니다. 보관기 - 파일을 재처리할 수 있는 응용프로그램입니다. WinZip 같은 압축 소프트웨어와, McAfee Endpoint Encryption 소프트웨어 또는 PGP 같은 암호화 응용프로그램을 예로 들 수 있습니다. DLP 전략의 작동 방법 필요에 따라 전략을 변경하여 성능을 최적화할 수 있습니다. 예를 들어 편집기 응용프로그램이 수신하는 관찰 수준이 높으면 데스크톱 검색 프로그램의 지속적인 인덱싱과 일치하지 않게 됩니다. 성능 손실 위험은 높고 이러한 응용프로 그램으로 인한 데이터 손실 위험은 낮으므로, 이러한 응용프로그램에는 신뢰할 수 있는 전략을 사용해야 합니다. DLP 정책 설정 응용프로그램 전략 페이지에서 기본 전력을 재정의할 수 있습니다. 필요한 대로 재정의를 만들고 제 거하면서 테스트하여 정책을 세부적으로 조정합니다. 한 응용프로그램에 대해 둘 이상의 템플릿을 만들고 해당 응용프로그램에 둘 이상의 전략을 할당할 수도 있습니다. 컨 텍스트에 따라 다른 결과를 얻으려면 각 분류 및 규칙에 서로 다른 템플릿을 사용합니다. 하지만 규칙 집합 내에서 이 러한 템플릿을 할당할 때는 주의해서 충돌을 방지해야 합니다. McAfee DLP Endpoint 는 보관기 > 신뢰할 수 있는 응용 프로그램 > 탐색기 > 편집기 계층에 따라 잠재적 충돌을 해결합니다. 즉, 편집기의 등급이 가장 낮습니다. 한 응용프로 그램이 어떤 템플릿에서는 편집기이고 동일한 규칙 집합 내의 다른 템플릿에서는 편집기가 아닌 경우 McAfee DLP Endpoint 는 응용프로그램을 편집기로 간주하지 않습니다. 분류 정의 및 기준 분류 정의 및 기준에는 콘텐츠 또는 파일 속성을 설명하는 하나 이상의 조건이 포함됩니다. 표 7-1 사용 가능한 조건 속성 [고급 패턴] [사전] 적용 대 상: 정의, 기 준 정의, 기 준 정의 [키워드] 기준 문자열 값입니다. 날짜 또는 신용 카드 번호와 같은 데이터를 일치시키는 데 사용되는 정규 표현식 또는 구 입니다. 비속어 또는 의학 용어와 같은 관련 키워드 및 구의 모음입니다. 한 태그 정의에 여러 개의 키워드를 추가할 수 있습니다. 여러 키워드에 대한 기본 부울은 OR 이지만 AND 로 변경할 수 있습니다. [유사성] 기준 서로에 대한 위치를 기준으로 두 속성 간의 결합을 정의합니다. 고급 패턴, 사전 또는 키워드를 두 속성에 사용할 수 있습니다. 근접도 매개 변수는 "x 자 미만"으로 정의되며, 기본값은 1 입니다. 또한 일치 개수 매개 변 수를 지정하여 히트를 트리거하는 일치 항목의 최소 개수를 나타낼 수 있습니다. [문서 속성] 정의, 기 준 다음과 같은 옵션이 있습니다. 속성 최근 저장자 작성자 관리자 이름 범주 보안 설명 제목 회사 템플릿 키워드(태그) 제목 속성은 사용자 정의 속성입니다. 60 McAfee Data Loss Prevention Endpoint 제품 안내서

61 중요한 콘텐츠 분류 분류 정의 및 기준 7 표 7-1 사용 가능한 조건 (계속) 속성 적용 대 상: 정의 [파일 암호화] 기준 다음과 같은 옵션이 있습니다. 암호화되어 있지 않음 McAfee 암호화된 자동 압축 풀기 프 로그램 McAfee Endpoint Encryption Microsoft Rights Management 암호 화 Seclore 권한 관리 암호화 지원되지 않는 암호화 유형 또는 암호 로 보호된 파일 [파일 정보] 정의, 기 준 다음과 같은 옵션이 있습니다. 액세스한 날짜 파일 이름 만든 날짜 파일 소유자 수정 날짜 파일 크기 파일 확장명 [실제 파일 유 형] 정의, 기 준 파일 유형의 그룹입니다. 예를 들어 기본 제공 Microsoft Excel 그룹에는 Excel XLS, XLSX 및 XML 파일과 Lotus WK1 및 FM3 파일, CSV 및 DIF 파일, Apple iwork 파일 등이 있습니다. [파일 내 위치] 기준 데이터가 위치한 파일의 섹션입니다. [응용 프로그 램 템플릿] [최종 사용자 그룹] [네트워크 공 유] 정의 정의 정의 Microsoft Word 문서 - 분류 엔진이 머리글, 본문 및 바닥글을 식별할 수 있습니다. PowerPoint 문서 - WordArt 는 머리글로 간주되고 다른 것은 모두 본문으로 식별됩니 다. 기타 문서 - 머리글 및 바닥글이 해당되지 않습니다. 분류 기준은 문서가 선택된 경우 해 당 문서를 일치시키지 않습니다. 파일에 액세스하는 응용 프로그램 또는 실행 파일입니다. 수동 분류 권한을 정의하는 데 사용됩니다. 파일이 저장되는 네트워크 공유입니다. [URL 목록] 정의 파일이 액세스되는 URL 입니다. 참고 항목: 68 페이지의 분류 정의 만들기 사전 정의 사전은 각 항목에 점수가 할당된 키워드 또는 주요 구문의 모음입니다. 정의된 임계값(총 점수)이 초과된 경우, 즉 사전에서 단어가 문서에 충분하게 나타난 경우 분류 및 태그 지정 기준은 지 정된 사전을 사용하여 문서를 분류합니다. 사전과 키워드 정의의 문자열 간 차이점은 지정된 점수에 있습니다. 키워드 분류는 구문이 있는 경우 항상 문서에 태그를 지정합니다. 사전 분류는 분류를 연관시키는 임계값을 설정할 수 있으므로 유연성이 더 높습니다. 지정된 점수는 음수 또는 양수일 수 있으며, 다른 단어나 구문이 있는 상태에서 단어 또는 구문을 검색할 수 있습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 61

62 7 중요한 콘텐츠 분류 분류 정의 및 기준 McAfee DLP 소프트웨어에는 의료, 금융, 재무 등의 산업에서 일반적으로 사용되는 용어가 포함된 여러 개의 기본 제 공 사전이 있습니다. 또한 자신의 고유한 사전을 만들 수도 있습니다. 사전은 직접 만들고 편집하거나 다른 문서에서 복사해서 붙여넣을 수 있습니다. 제한 사항 사전을 사용할 때는 몇 가지 제한이 있습니다. 사전은 유니코드(UTF-8)로 저장되며 모든 언어로 작성할 수 있습니다. 다음 설명은 영어로 작성된 사전에 적용됩니다. 설명은 대개 다른 언어에 적용되지만 특정 언어의 경우 예상치 않은 문 제가 발생할 수도 있습니다. 사전 일치의 특징은 다음과 같습니다. 대소문자 구분 사전 항목을 만드는 경우에만 대소문자가 구분됩니다. 이 기능이 제공되기 전에 작성된 기본 제공 사전은 대소문자를 구분하지 않습니다. 하위 문자열 또는 전체 구와 일치하도록 선택할 수 있습니다. 공백을 포함하는 구문과 일치합니다. 하위 문자열 일치가 지정된 경우 약어를 입력할 때 잘못된 긍정 검색의 가능성이 있으므로 주의해야 합니다. 예를 들어 "cat"의 사전 항목은 "cataracts" 및 "duplicate"에 플래그를 지정합니다. 이와 같은 잘못된 긍정 검색을 방지하기 위해 전 체 구 일치 옵션을 사용하거나 SIP(Statistically Improbable Phrases)를 사용하면 최상의 결과를 얻을 수 있습니다. 유 사 항목도 잘못된 긍정 검색의 또 다른 원인이 됩니다. 예를 들어 일부 HIPAA 질병 목록에서 "celiac"와 "celiac disease"는 모두 별도의 항목으로 나타납니다. 두 번째 용어가 문서에 나타나고 하위 문자열 일치가 지정되면 검색 횟 수가 각 항목마다 한 개씩 2 로 나타나 총 점수가 왜곡됩니다. 참고 항목: 68 페이지의 사전 정의 만들기 또는 가져오기 고급 패턴 정의 고급 패턴은 주민등록번호 또는 신용 카드 번호 같은 복잡한 패턴 일치를 가능하게 하는 정규 표현식(정규식)을 사용합 니다. 정의는 Google RE2 정규 표현식 구문을 사용합니다. 고급 패턴은 기본 제공 패턴에서 재무 보고서 예제 또는 이동통신사의 전화 로그에 있는 복잡한 단어 패턴도 정의할 수 있습니다. 단어 패턴의 경우 정규식 패턴은 기본적으로 단어 구분의 표준 정규식 표기법인 \b 로 시작하고 끝납니다. 따라서 구에 대한 텍스트 패턴 일치는 기본적으로 잘못된 긍정을 줄이기 위해 전체 단어 일치입니다. 고급 패턴 정의는 사전 정의와 마찬가지로 점수(필수)를 포함합니다. 또한 키워드 또는 정규식과 검사기로 이루어진 선 택적 잘못된 긍정 표현식도 포함할 수 있습니다. 검사기는 정규 표현식을 테스트하는 데 사용됩니다. 또한 올바른 검사 기를 사용하면 잘못된 긍정 검색을 상당히 줄일 수 있습니다. 잘못된 긍정에 대해 여러 개의 키워드를 동시에 가져올 수 있습니다. 고급 패턴은 중요 텍스트를 나타냅니다. 중요 텍스트 패턴은 히트 하이라이트 증거에서 수정됩니다. 포함된 패턴과 제외된 패턴을 함께 지정하면 "제외된 패턴에 우선 순위가 부여됩니다". 따라서 일반 규칙을 지정한 후 일 반 규칙을 다시 작성하지 않고 예외를 추가할 수 있습니다. 참고 항목: 69 페이지의 고급 패턴 만들기 62 McAfee Data Loss Prevention Endpoint 제품 안내서

63 중요한 콘텐츠 분류 분류 정의 및 기준 7 문서 속성 또는 파일 정보로 콘텐츠 분류 문서 속성 정의는 미리 정의된 메타데이터 값에 따라 콘텐츠를 분류합니다. 파일 정보 정의는 파일 메타데이터에 따라 콘텐츠를 분류합니다. 문서 속성 문서 속성은 Microsoft Office 문서나 PDF 에서 검색할 수 있으며 분류 정의에 사용될 수 있습니다. 부분 일치는 [포함] 비교를 사용하여 지원됩니다. 문서 속성에는 세 가지 유형이 있습니다. 사전 정의된 속성 "만든 이" 및 "제목"과 같은 표준 속성입니다. 사용자 지정 속성 - 문서 메타데이터에 추가된 사용자 지정 속성은 Microsoft Word 와 같은 일부 응용프로그램에서 허용됩니다. 사용자 지정 속성도 미리 정의된 속성 목록에 없는 표준 문서 속성을 참조할 수 있지만 목록에 있는 속 성을 중복제할 수 없습니다. 속성: 값으로만 속성을 정의할 수 있습니다. 이 기능은 잘못된 속성 매개변수에 키워드를 입력한 경우 또는 속성 이 름을 알 수 없는 경우 유용합니다. 예를 들어 값 "Secret"을 [속성] 매개변수에 추가하면 하나 이상의 속성에 "Secret"이라는 단어가 포함된 문서를 모두 분류합니다. 파일 정보 파일 정보 정의는 데이터 보호 및 탐색 규칙과 분류에 사용되어 세분화를 증대시킵니다. 파일 정보에는 만든 날짜, 수 정된 날짜, 파일 소유자 및 파일 크기가 포함됩니다. 날짜 속성에는 정확한 날짜(이전, 이후, 사이)와 관련 날짜(최근 X 일, 주, 년) 옵션이 모두 있습니다. [파일 유형(확장명만)]은 미리 정의된 확장 가능한 파일 확장명 목록입니다. 응용프로그램 템플릿 응용프로그램 템플릿은 제품 또는 공급업체 이름, 실행 파일 이름 또는 창 제목과 같은 속성을 사용하여 특정 응용프로 그램을 제어합니다. 응용프로그램 템플릿은 단일 응용프로그램 또는 유사 응용프로그램 그룹에 대해 정의할 수 있습니다. Windows Explorer, 웹 브라우저, 암호화 응용프로그램 및 이메일 클라이언트 등 몇 가지 일반적인 응용프로그램에 대한 미리 정 의된 기본 제공 템플릿이 있습니다. 응용프로그램 템플릿은 다음 매개 변수 중 하나를 사용할 수 있습니다. 명령줄 이전에 제어할 수 없던 응용프로그램을 제어할 수 있는 java-jar 등의 명령줄 인수를 허용합니다. 실행 디렉터리 - 실행 파일이 있는 디렉터리입니다. U3 응용프로그램 제어에 이 매개 변수가 사용됩니다. 실행 파일 해시 식별 SHA2 해시가 포함된 응용프로그램 표시 이름입니다. 실행 파일 이름 일반적으로 표시 이름(SHA2 해시 제외)과 동일하지만 파일 이름이 변경된 경우 달라질 수 있습 니다. 원래 실행 파일 이름 - 파일 이름이 변경되지 않은 경우 실행 파일 이름과 동일합니다. 제품 이름 - 실행 파일의 속성에 나열된 경우 제품의 일반 이름(예: Microsoft Office 2012)입니다. 공급업체 이름 실행 파일의 속성에 나열된 경우 회사 이름입니다. 창 제목 - 활성 파일 이름을 포함하도록 런타임 시 변경되는 동적 값입니다. SHA2 응용프로그램 이름 및 실행 디렉터리를 제외한 모든 매개 변수는 하위 문자열 일치를 허용합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 63

64 7 중요한 콘텐츠 분류 분류 만들기 및 구성 분류 만들기 및 구성 분류 및 기준을 만들고 등록 또는 화이트리스트 지정을 위해 파일을 업로드합니다. 64 페이지의 분류 만들기 데이터 보호 및 탐색 규칙을 구성하려면 분류 정의가 필요합니다. 64 페이지의 분류 기준 만들기 파일 콘텐츠 및 속성에 따라 분류 기준을 파일에 적용합니다. 65 페이지의 태그 지정 기준 만들기 응용프로그램 또는 파일 위치를 기준으로 태그 지정 기준을 파일에 적용합니다. 65 페이지의 수동 분류 권한 할당 파일을 수동으로 분류하도록 허용되는 사용자를 구성합니다. 분류 만들기 데이터 보호 및 탐색 규칙을 구성하려면 분류 정의가 필요합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 [새 분류]를 클릭합니다. 3 이름과 설명(선택 사항)을 입력합니다. 4 [확인]을 클릭합니다. 5 각 구성 요소에 대해 [편집]을 클릭하여 최종 사용자 그룹을 수동 분류에 추가하거나 등록된 문서를 분류에 추가합 니다. 6 [액션] 컨트롤을 사용하여 분류 기준 또는 태그 지정 기준을 추가합니다. 분류 기준 만들기 파일 콘텐츠 및 속성에 따라 분류 기준을 파일에 적용합니다. 데이터 및 파일 [정의]를 기반으로 분류 기준을 작성합니다. 필수 정의가 없을 경우 기준을 정의하면서 해당 정의를 만 들 수 있습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 기준을 추가할 분류를 선택한 다음 [액션] [새 분류 기준]을 선택합니다. 3 이름을 입력합니다. 4 하나 이상의 속성을 선택하고 비교 및 값 항목을 구성합니다. 속성을 제거하려면 [<]를 클릭합니다. 일부 속성의 경우 [...]를 클릭하고 기존 속성을 선택하거나 새 속성을 만듭니다. 64 McAfee Data Loss Prevention Endpoint 제품 안내서

65 중요한 콘텐츠 분류 분류 만들기 및 구성 7 추가 값을 속성에 추가하려면 [+]를 클릭합니다. 값을 제거하려면 [-]를 클릭합니다. 5 [저장]을 클릭합니다. 참고 항목: 58 페이지의 분류 사용 태그 지정 기준 만들기 응용프로그램 또는 파일 위치를 기준으로 태그 지정 기준을 파일에 적용합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 기준을 추가할 분류를 선택합니다. 3 [액션] [새 태그 지정 기준]을 선택하고 태그 지정 기준 유형을 선택합니다. 4 이름을 입력하고 태그 지정 기준 유형에 따라 추가 정보를 지정합니다. [응용프로그램] - [...]를 클릭하고 하나 이상의 응용프로그램을 선택합니다. [위치] - [...]를 클릭하고 하나 이상의 네트워크 공유를 선택합니다. 필요한 경우 이동식 미디어의 유형을 지정합 니다. [웹 응용프로그램] - [...]를 클릭하고 하나 이상의 URL 목록을 선택합니다. 5 (선택 사항) 하나 이상의 속성을 선택하고 비교 및 값 항목을 구성합니다. 속성을 제거하려면 [<]를 클릭합니다. 일부 속성의 경우 [...]를 클릭하여 기존 속성을 선택하거나 새 속성을 만듭니다. 추가 값을 속성에 추가하려면 [+]를 클릭합니다. 값을 제거하려면 [-]를 클릭합니다. 6 [저장]을 클릭합니다. 참고 항목: 58 페이지의 분류 사용 수동 분류 권한 할당 파일을 수동으로 분류하도록 허용되는 사용자를 구성합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 [수동 분류] 탭을 클릭합니다. 3 [그룹화 방법] 드롭다운 목록을 사용하여 [분류] 또는 [사용자 그룹]을 선택합니다. 사용자 편의에 따라 분류를 사용자 그룹에 할당할 수도 있고 사용자 그룹을 분류에 할당할 수도 있습니다. [그룹화 방법] 목록은 표시를 제어합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 65

66 7 중요한 콘텐츠 분류 등록 문서 4 분류에 따라 그룹화하는 경우 a 표시된 목록에서 분류를 선택합니다. b c [액션] [최종 사용자 그룹 선택]을 선택합니다. [기존 값에서 선택] 창에서 사용자 그룹을 선택하거나 [새 항목]을 클릭하여 새 그룹을 만듭니다. [확인]을 클릭 합니다. 5 사용자 그룹에 따라 그룹화하는 경우 a 표시된 목록에서 사용자 그룹을 선택합니다. b c [액션] [분류 선택]을 선택합니다. [기존 값에서 선택] 창에서 분류를 선택합니다. [확인]을 클릭합니다. 등록 문서 등록 문서 기능은 위치 기반 태그 지정의 확장 기능입니다. 관리자는 중요한 정보가 무단으로 배포되지 않도록 보호하 기 위해 정보를 다른 방식으로 정의할 수 있습니다. 다음 분기의 예상 매출 스프레드시트와 같은 등록 문서는 중요 문서로 미리 정의됩니다. McAfee DLP Endpoint 소프트 웨어는 이러한 파일의 콘텐츠를 분류하고 지문 인식을 수행합니다. 생성된 시그니처는 언어 독립적이므로 모든 언어에 대해 프로세스가 작동합니다. 패키지를 만들면 모든 엔드포인트 워크스테이션에 배포할 수 있도록 시그니처가 McAfee epo 데이터베이스에 로드됩니다. 관리되는 컴퓨터의 McAfee DLP Endpoint 클라이언트가 등록 콘텐츠 조각 이 있는 문서의 배포를 제어합니다. 등록 문서를 사용하려면 분류 모듈의 문서 등록 탭에서 파일을 업로드하면서 분류에 할당합니다. 엔드포인트 클라이언 트는 적용되지 않은 분류는 무시합니다. 예를 들어 파일 속성을 사용하여 분류된 등록 문서 패키지는 중요한 콘텐츠를 검색하기 위해 이메일을 구문 분석할 때 무시됩니다. 보기 옵션은 통계 및 분류의 두 가지가 있습니다. 통계 보기는 총 파일 수, 파일 크기, 시그니처 수 등을 왼쪽 창에 표시 하고 파일별 통계를 오른쪽 창에 표시합니다. 시그니처 제한에 도달한 경우 덜 중요한 패키지를 제거하려면 이 데이터 를 사용합니다. 분류 보기는 분류별 업로드된 파일을 표시합니다. 마지막 패키지 만들기에 대한 정보 및 파일 목록의 변경 사항이 오른쪽 위에 표시됩니다. 패키지를 만들면 소프트웨어가 목록의 모든 파일을 처리하고 배포를 위해 지문을 McAfee epo 데이터베이스에 로드 합니다. 문서를 추가 또는 삭제하는 경우 새 패키지를 만들어야 합니다. 소프트웨어는 파일 중 일부에서 이미 지문 인 식이 수행되었는지 여부를 추정하려고 시도하지 않습니다. 항상 전체 목록을 처리합니다. 패키지 만들기 명령은 등록된 문서 목록과 화이트리스트 문서 목록에 동시에 작동하여 단일 패키지를 만듭니다. 패키지 당 최대 시그니처 수는 등록 문서 및 화이트리스트 문서에 대해 각각 100 만 개입니다. 참고 항목: 67 페이지의 등록된 문서 업로드 66 McAfee Data Loss Prevention Endpoint 제품 안내서

67 중요한 콘텐츠 분류 화이트리스트 텍스트 7 화이트리스트 텍스트 McAfee DLP Endpoint 는 파일 콘텐츠를 처리할 때 화이트리스트 텍스트를 무시합니다. 화이트리스트에 추가하기 위해 텍스트가 포함된 파일을 McAfee epo 에 업로드할 수 있습니다. 화이트리스트에 있는 텍스트는 분류 또는 태그 지정 기준과 일부분 일치하더라도 해당 콘텐츠가 분류 또는 태그 지정되지 않도록 합니다. 표 준 문안, 법적 고지 사항 및 저작권 정보 등 파일에서 자주 표시되는 텍스트에 화이트리스트를 사용하십시오. 화이트리스트용 파일에는 400 자 이상이 포함되어야 합니다. 파일에 태그 지정되거나 분류된 데이터와 화이트리스트 데이터가 모두 포함된 경우 시스템에서 무시되지 않습니 다. 내용과 연결된 모든 관련 태그 지정 또는 분류 기준은 계속 적용됩니다. 참고 항목: 67 페이지의 텍스트를 화이트리스트에 포함하기 위해 파일 업로드 등록된 문서 업로드 엔드포인트 컴퓨터에 배포할 문서를 선택하고 분류합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 [문서 등록] 탭을 클릭합니다. 3 [파일 업로드]를 클릭합니다. 4 파일을 찾은 다음 해당 파일 이름이 이미 있는 경우 파일을 덮어쓸지 여부를 선택하고 분류를 선택합니다. [파일 업로드]는 단일 파일을 처리합니다. 여러 문서를 업로드하려면.zip 파일을 만듭니다. 5 [확인]을 클릭합니다. 파일이 업로드되고 처리되며, 페이지에 통계가 표시됩니다. 파일 목록을 완료하고 나면 [패키지 만들기]를 클릭합니다. 모든 등록된 문서 및 모든 화이트리스트 문서에 대한 시그 니처 패키지가 엔드포인트 컴퓨터에 배포되기 위해 McAfee epo 데이터베이스에 로드됩니다. 목록 하나를 비워 두면 방금 등록한 문서 또는 화이트리스트 문서에 대한 패키지를 만들 수 있습니다. 파일이 삭제되면 목록에서 해당 파일을 제거하고 변경 사항을 적용할 새 패키지를 만듭니다. 참고 항목: 66 페이지의 등록 문서 텍스트를 화이트리스트에 포함하기 위해 파일 업로드 화이트리스트에 포함하기 위해 자주 사용되는 텍스트가 포함된 파일을 업로드합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 67

68 7 중요한 콘텐츠 분류 분류 정의 만들기 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 [화이트리트스 텍스트] 탭을 클릭합니다. 3 [파일 업로드]를 클릭합니다. 4 파일을 찾은 다음 해당 파일 이름이 이미 있는 경우 파일을 덮어쓸지 여부를 선택합니다. 5 [확인]을 클릭합니다. 참고 항목: 67 페이지의 화이트리스트 텍스트 분류 정의 만들기 사전 정의된 분류 정의는 수정하거나 삭제할 수 없습니다. 필요한 경우 새 정의를 만드십시오. 68 페이지의 사전 정의 만들기 또는 가져오기 사전은 각 항목에 점수가 할당된 키워드 또는 주요 구문의 모음입니다. 점수는 보다 세부적인 규칙 정의가 가능하도록 해줍니다. 69 페이지의 고급 패턴 만들기 고급 패턴은 분류를 정의하는 데 사용됩니다. 고급 패턴 정의는 단일 표현식 또는 표현식의 조합 및 잘못 된 긍정 정의로 구성할 수 있습니다. 70 페이지의 Titus Message Classification 소프트웨어를 분류 기준과 통합 이메일 보호 규칙에 대해 Titus 분류를 인식하는 분류를 정의하려면 특정 키워드가 필요합니다. 71 페이지의 Boldon James Classifier 를 분류 기준과 통합 Boldon James Classifier 를 통합하기 위한 분류 기준을 만듭니다. 참고 항목: 60 페이지의 분류 정의 및 기준 사전 정의 만들기 또는 가져오기 사전은 각 항목에 점수가 할당된 키워드 또는 주요 구문의 모음입니다. 점수는 보다 세부적인 규칙 정의가 가능하도록 해줍니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 [정의] 탭을 클릭합니다. 3 왼쪽 창에서 [사전]을 선택합니다. 4 [액션] [새로 만들기]를 선택합니다. 5 이름과 설명(선택 사항)을 입력합니다. 6 항목을 사전에 추가합니다. 68 McAfee Data Loss Prevention Endpoint 제품 안내서

69 중요한 콘텐츠 분류 분류 정의 만들기 7 항목을 가져오려면 a [항목 가져오기]를 클릭합니다. b 단어 또는 구를 입력하거나 다른 문서에서 잘라내서 붙여 넣습니다. 텍스트 창은 줄당 50 자가 들어 있는 20,000 개의 줄로 제한됩니다. c [확인]을 클릭합니다. 모든 항목에 기본 점수 1 이 할당됩니다. d e 필요한 경우 항목에 대해 [편집]을 클릭하여 기본 점수 1 을 업데이트합니다. 필요한 경우 [시작 값], [종료 값] 및 [대소문자 구분] 열을 선택합니다. [시작 값] 및 [종료 값]은 하위 문자열 일치를 제공합니다. 수동으로 항목을 만들려면 a 구 및 점수를 입력합니다. b c 필요한 경우 [시작 값], [종료 값] 및 [대소문자 구분] 열을 선택합니다. [추가]를 클릭합니다. 7 [저장]을 클릭합니다. 고급 패턴 만들기 고급 패턴은 분류를 정의하는 데 사용됩니다. 고급 패턴 정의는 단일 표현식 또는 표현식의 조합 및 잘못된 긍정 정의 로 구성할 수 있습니다. 고급 패턴은 정규 표현식(정규식)을 사용하여 정의됩니다. 정규식에 대한 내용은 이 문서에서 다루지 않습니다. 인터넷 에 있는 다양한 정규식 자습서에서 해당 주제에 대한 자세한 내용을 살펴볼 수 있습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. 2 [정의] 탭을 선택한 후 왼쪽 창에서 [고급 패턴]을 선택합니다. 사용 가능한 패턴이 오른쪽 창에 나타납니다. 사용자 정의 고급 패턴만 표시하려면 [기본 제공 항목 포함] 확인란 선택을 취소합니다. 편집할 수 있는 유일한 패턴 은 사용자 정의 패턴입니다. 3 [액션] [새로 만들기]를 선택합니다. 새 고급 패턴 정의 페이지가 나타납니다. 4 이름과 설명(선택 사항)을 입력합니다. 5 [일치된 식]에서 다음 을 수행합니다. a 입력란에 표현식을 입력합니다. 설명(선택 사항)을 추가합니다. b 드롭다운 목록에서 검사기를 선택합니다. McAfee 는 잘못된 긍정을 최소화하기 위해 가능하면 검사기를 사용하도록 권장하지만 필수는 아닙니다. 검사 기를 지정하지 않으려는 경우 또는 표현식에 대한 검증이 적절하지 않을 경우 [검증 안 함]을 선택합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 69

70 7 중요한 콘텐츠 분류 분류 정의 만들기 c d [점수] 필드에 숫자를 입력합니다. 이 숫자는 임계값 일치에서 표현식의 가중치를 나타냅니다. 이 필드는 필수 항목입니다. [추가]를 클릭합니다. 6 [잘못된 긍정]에서 다음 을 수행합니다. a 입력란에 표현식을 입력합니다. 외부 문서에 저장된 텍스트 패턴이 있는 경우 [항목 가져오기]로 이 패턴을 정의에 복사하여 붙여넣을 수 있습니 다. b c [유형] 필드의 드롭다운 목록에서 문자열이 정규 표현식일 경우 [정규식]을, 텍스트일 경우 [키워드]를 선택합니 다. [추가]를 클릭합니다. 7 [저장]을 클릭합니다. Titus Message Classification 소프트웨어를 분류 기준과 통합 이메일 보호 규칙에 대해 Titus 분류를 인식하는 분류를 정의하려면 특정 키워드가 필요합니다. Microsoft Outlook 의 Titus Message Classification 은 널리 사용되는 이메일 솔루션으로, 모든 이메일을 전송 전에 분 류하여 보호용으로 표시되게 합니다. McAfee DLP Endpoint 소프트웨어는 Titus 와 통합되어 Titus 분류를 기반으로 이 메일을 차단할 수 있습니다. McAfee DLP Endpoint 클라이언트 소프트웨어는 잘못된 긍정을 줄이기 위해 이메일이 Titus 에 의해 분류되었는지 여 부와 해당 분류가 무엇인지를 확인합니다. 이러한 문자열을 모두 사용하여 보호 규칙을 정의합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee DLP Endpoint 호환성을 위해 Titus 를 설정합니다. a Titus Message Classification 관리 도구의 [사용권 정보] 탭에서 [조직 이름]을 기록해 둡니다. b c d Microsoft Outlook 의 Titus Labs 창에서 McAfee DLP Endpoint 규칙을 만들 분류를 기록해 둡니다. 정책 카탈로그에서 현재 [클라이언트 구성]을 엽니다. [설정] [작동 모드 및 모듈]을 선택합니다. [Outlook 추가 기능] [타사 추가 기능 통합 활성화]가 선택되었는지 확인합니다. [설정] [이메일 보호]에서 [Outlook 타사 추가 기능 통합] 섹션에 있는 [공급업체 이름] 드롭다운 목록에서 [Titus]를 선택합니다. 2 Titus 분류를 만듭니다. 필요한 각 분류에 대해 다음 단계를 수행합니다. a McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. b c d [분류] 탭을 선택한 다음 [새 분류]를 클릭합니다. 고유한 [이름]과 [설명](선택 사항)을 입력합니다. [액션] [새 분류 기준]을 클릭합니다. [분류 기준] 페이지가 나타납니다. e f [키워드] 속성을 선택합니다. [값] 필드에 Classification=[Titus classification]을 입력합니다. [+]를 클릭합니다. [값] 필드에 TLPropertyRoot=[Organization Name]을 입력합니다. 선택 단추([OR])를 클릭하여 [AND]로 변경합 니다. 70 McAfee Data Loss Prevention Endpoint 제품 안내서

71 중요한 콘텐츠 분류 분류 정의 만들기 7 3 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 규칙 집합]을 선택합니다. 4 [규칙 집합] 탭에서 다음 중 하나를 수행합니다. [액션] [새 규칙 집합]을 선택합니다. 기존 규칙 집합을 선택합니다. 5 [액션] [새 규칙] [이메일 보호]를 선택합니다. 이메일 보호 정의 양식이 나타납니다. 6 고유한 [규칙 이름]을 입력합니다. 7 [조건] 탭의 드롭다운 목록에서 기본값인 [이메일] 대신 [본문]을 선택한 다음 적절한 Titus [분류]를 선택합니다. 적 절한 [최종 사용자], [이메일 봉투] 및 [수신자] 옵션을 선택합니다. McAfee DLP Endpoint 클라이언트는 Titus 분류를 이메일 본문의 일부로 간주합니다. 따라서 본문만 검색하도록 정 의를 제한하면 규칙의 효율성이 높아집니다. 8 [대응] 탭에서 적절한 [방지 액션], [사용자 통보], [보고서 인시던트] 및 [심각도] 매개 변수를 선택합니다. [상태]를 [사용]으로 설정한 다음 [저장]을 클릭합니다. Boldon James Classifier 를 분류 기준과 통합 Boldon James Classifier 를 통합하기 위한 분류 기준을 만듭니다. Boldon James Classifier 는 이메일에 레이블을 지정하고 분류하는 이메일 솔루션입니다. McAfee DLP Endpoint 소프트웨어는 Classifier 와 통합되어 할당된 분류를 기반으로 이메일을 차단할 수 있습니다. Classifier 소 프트웨어를 설정할 때 Classifier 가 McAfee DLP Endpoint 로 보낼 문자열을 선택할 수 있습니다. 이 문자열을 사 용하여 분류 기준을 정의합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee DLP Endpoint 에서 Boldon James 호환성을 설정합니다. a 정책 카탈로그에서 현재 클라이언트 구성을 엽니다. [설정] [작동 모드 및 모듈]을 선택합니다. [Outlook 추가 기능] [타사 추가 기능 통합 활성화]가 선택되었는지 확인합니다. b [설정] [이메일 보호]에서 Outlook 타사 추가 기능 통합 섹션에 있는 [공급업체 이름] 드롭다운 목록에서 [Boldon James]를 선택합니다. 2 Boldon James 분류를 만듭니다. 필요한 각 분류에 대해 다음 단계를 수행합니다. a McAfee epo 에서 [메뉴] [데이터 보호] [분류]를 선택합니다. b c d 분류 탭을 선택한 다음 [새 분류]를 클릭합니다. 고유한 [이름]과 [설명](선택 사항)을 입력합니다. [액션] [새 분류 기준]을 클릭합니다. 분류 기준 페이지가 나타납니다. e f [키워드] 속성을 선택합니다. 값 필드에 [Boldon James classification]을 입력합니다. [Boldon James classification]은 Classifier 설정에서 McAfee DLP Endpoint 로 보내도록 선택한 문자열입 니다. 각 Boldon James 분류에 대해 분류 기준 정의 만들기를 반복합니다. 3 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 규칙 집합]을 선택합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 71

72 7 중요한 콘텐츠 분류 파일 위치 기준 분류 4 규칙 집합 탭에서 다음 중 하나를 수행합니다. [액션] [새 규칙 집합]을 선택합니다. 기존 규칙 집합을 선택합니다. 5 [액션] [새 규칙] [이메일 보호]를 선택합니다. 이메일 보호 정의 양식이 나타납니다. 6 고유한 [규칙 이름]을 입력합니다. 7 조건 탭의 드롭다운 목록에서 기본값인 [이메일] 대신 [본문]을 선택한 다음 적절한 Boldon James [분류]를 선택합 니다. 적절한 [최종 사용자], [이메일 봉투] 및 [수신자] 옵션을 선택합니다. McAfee DLP Endpoint 클라이언트는 Boldon James 분류를 이메일 본문의 일부로 간주합니다. 따라서 본문만 검색 하도록 정의를 제한하면 규칙의 효율성이 높아집니다. 8 대응 탭에서 적절한 [방지 액션], [사용자 통보], [보고서 인시던트] 및 [심각도] 매개 변수를 선택합니다. [상태]를 [사 용]으로 설정한 다음 [저장]을 클릭합니다. 파일 위치 기준 분류 중요한 내용은 위치별(저장된 위치별) 또는 사용되는 위치별(파일 확장명 또는 응용프로그램별)로 정의될 수 있습니다. McAfee DLP Endpoint 는 여러 가지 방법을 사용하여 중요한 콘텐츠를 찾고 분류합니다. 저장 중인 데이터는 파일 위치 를 설명하기 위한 용어입니다. "네트워크의 어디에 위치해 있습니까?" 또는 "어느 폴더에 있습니까?"와 같은 질문으로 콘텐츠를 분류합니다. 사용중인 데이터는 콘텐츠의 사용 방식이나 위치를 기준으로 정의하기 위한 용어입니다. "어느 응용 프로그램이 호출했습니까?" 또는 "파일 확장명이 무엇입니까?"와 같은 질문으로 콘텐츠를 분류합니다. McAfee DLP Endpoint 탐색 기능은 저장 중인 데이터를 찾습니다. 엔드포인트 컴퓨터 파일 또는 이메일 저장소(PST, 매핑된 PST 및 OST) 파일의 콘텐츠를 검색할 수 있습니다. 네트워크 매개 변수 정의 네트워크 정의는 네트워크 보호 규칙에서 필터 기준으로 사용됩니다. 네트워크 주소는 외부 소스와 관리되는 컴퓨터 간의 네트워크 연결을 모니터링합니다. 정의는 단일 주소, 범위 또 는 서브넷일 수 있습니다. 정의된 네트워크 주소를 네트워크 통신 보호 규칙에 포함하거나 제외할 수 있습니다. 네트워크 통신 보호 규칙의 네트워크 포트 정의를 사용하면 특정 서비스를 해당 네트워크 포트에 정의된 대로 제외 할 수 있습니다. 일반적인 서비스 및 해당 포트 목록이 기본 제공됩니다. 이 목록의 항목을 편집하거나 자신만의 정 의를 만들 수 있습니다. 네트워크 공유 정의는 네트워크 공유 보호 규칙의 공유 네트워크 폴더를 지정합니다. 정의된 공유를 포함하거나 제 외할 수 있습니다. 네트워크 주소 범위 만들기 네트워크 주소 범위는 네트워크 통신 보호 규칙에서 필터 기준으로 사용됩니다. 필요한 각 정의에 대해 1-4 단계를 수행합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [네트워크 주소(IP 주소)]를 선택한 다음 [액션] [새로 만들기]를 클릭합니다. 3 정의에 대한 고유 이름과 설명(선택 사항)을 입력합니다. 72 McAfee Data Loss Prevention Endpoint 제품 안내서

73 중요한 콘텐츠 분류 파일 수신자 기준 분류 7 4 입력란에 주소, 범위 또는 서브넷을 입력합니다. [추가]를 클릭합니다. 올바른 형식의 예가 페이지에 나와 있습니다. 5 필요한 정의를 모두 입력했으면 [저장]을 클릭합니다. 네트워크 포트 범위 만들기 네트워크 포트 범위는 네트워크 통신 보호 규칙에서 필터 기준으로 사용됩니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [네트워크 포트]를 선택한 다음 [액션] [새로 만들기]를 클릭합니다. 기본 제공 정의를 편집할 수도 있습니다. 3 고유한 이름과 설명(선택 사항)을 입력합니다. 4 쉼표로 구분된 포트 번호와 설명(선택 사항)을 입력합니다. [추가]를 클릭합니다. 5 필요한 포트를 모두 추가했으면 [저장]을 클릭합니다. 파일 수신자 기준 분류 콘텐츠를 출처별로 분류하는 것 외에도 콘텐츠가 수신될 위치를 분류하고 제어할 수 있습니다. 데이터 유실 방지 분야 에서는 이를 이동 중인 데이터라고 합니다. 대상을 제어하는 파일 보호 규칙에는 다음이 포함됩니다. 클라우드 보호 규칙 프린터 보호 규칙 이메일 보호 규칙 이동식 저장소 보호 규칙 네트워크 통신 보호 규칙(송신) 웹 게시 보호 규칙 목차 이메일 프린터 웹 사이트에 업로드된 정보 제어 이메일 McAfee DLP Endpoint 는 이메일이 송신될 때 이메일 헤더, 본문 또는 첨부 파일에 있는 중요한 데이터를 보호합니다. 이메일 저장소 탐색은 OST 또는 PST 파일에 중요한 데이터가 포함된 이메일을 탐지하여 태그를 지정하거나 검역합니 다. McAfee DLP Endpoint 는 콘텐츠를 분류 및 태그 지정하고 중요한 콘텐츠가 포함된 이메일이 송신되는 것을 차단함으 로써 이메일에서 중요한 콘텐츠를 보호합니다. 이메일 보호 정책은 서로 다른 사용자 및 이메일 수신자 또는 암호화나 권한 관리로 보호되는 이메일에 서로 다른 규칙을 지정할 수 있습니다. 클라이언트 구성 McAfee epo [정책 카탈로그] [Data Loss Prevention 9.4] [클라이언트 구성] [이메일 보호]에서 이메일 기능 동작에 대한 제어를 설정할 수 있습니다. 이 페이지의 설정에는 다음이 포함됩니다. McAfee Data Loss Prevention Endpoint 제품 안내서 73

74 7 중요한 콘텐츠 분류 파일 수신자 기준 분류 [이메일 캐싱] - 이메일을 다시 구문 분석하지 않도록 이메일의 태그 시그니처를 디스크에 저장합니다. [이메일 처리 API] - 송신 이메일은 Outlook Object Model(OOM)이나 Messaging Application Programming Interface(MAPI)에서 처리합니다. OOM 이 기본 API 이지만 일부 구성에는 MAPI 가 필요합니다. [Outlook 타사 추가 기능 통합] - 두 가지 타사 분류 응용프로그램이 지원됩니다(Titus 및 Boldon James). [이메일 시간 초과 전략] - 시간 초과 시 이메일 및 액션을 분석하는 최대 시간을 설정합니다. 전자 메일 수신자 만들기 이메일 수신자 정의는 이메일 보호 규칙에서 참조할 수 있는 미리 정의된 이메일 도메인이나 특정 이메일 주소입니다. 이메일 보호 규칙을 세분화하기 위해 일부 이메일 주소는 포함하고 다른 이메일 주소는 제외할 수 있습니다. 두 가지 유형의 정의를 모두 만들어야 합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [이메일 주소]를 선택한 다음 [액션] [새로 만들기]를 선택합니다. 3 [이름]과 [설명](선택 사항)을 입력합니다. 4 드롭다운 목록에서 [연산자]를 선택합니다. 연산자는 다음과 같습니다. [도메인 이름] [이메일 주소] [표시 이름] [표시 이름에 다음 포함] 5 값을 입력하고 [추가]를 클릭합니다. 6 이메일 주소 추가를 마치면 [저장]을 클릭합니다. 프린터 프린터 보호 규칙은 로컬 프린터와 네트워크 프린터를 모두 관리하고 기밀 자료의 인쇄를 차단하거나 모니터링합니다. McAfee DLP Endpoint 9.4 의 프린터 보호 규칙은 고급 모드 및 V4 프린터를 지원합니다. 정의된 프린터 및 최종 사용 자를 규칙에 포함하거나 제외할 수 있습니다. 이미지 프린터 및 PDF 프린터를 규칙에 포함할 수 있습니다. 프린터 보호 규칙은 응용프로그램 정의를 포함할 수 있습니다. 정책 카탈로그 Data Loss Prevention 9.4 클라이언트 구성 인쇄 보호 설정에서 프린터 보호 규칙에서 제외할 화이트리스트 프로세스를 정의할 수 있습니다. 네트워크 프린터 정의 만들기 세부적인 프린터 보호 규칙을 만들려면 네트워크 프린터 정의를 사용합니다. 정의된 프린터를 규칙에 포함하거나 제외 할 수 있습니다. 시작하기 전에 네트워크에 있는 프린터의 UNC 경로를 얻습니다. 74 McAfee Data Loss Prevention Endpoint 제품 안내서

75 중요한 콘텐츠 분류 파일 수신자 기준 분류 7 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 패널에서 [네트워크 프린터]를 선택한 다음 [액션] [새로 만들기]를 선택합니다. 3 고유한 [이름]과 [설명](선택 사항)을 입력합니다. 4 [UNC] 경로를 입력합니다. 다른 모든 필드는 선택 항목입니다. 5 [저장]을 클릭합니다. 웹 사이트에 업로드된 정보 제어 웹 주소는 웹 게시 보호 규칙에 사용됩니다. 웹 주소 정의를 사용하면 태그 지정된 데이터가 정의된 웹 대상(웹 사이트 또는 웹 사이트의 특정 페이지)이나 정의되 지 않은 웹 사이트에 게시되는 것을 차단할 수 있습니다. 일반적으로 웹 주소 정의는 태그 지정된 데이터의 게시가 허 용되는 외부 웹 사이트 및 내부 웹 사이트를 정의합니다. URL 목록 정의 만들기 URL 목록 정의는 웹 게시 보호 규칙을 정의하는 데 사용됩니다. 이 정의는 [웹 주소(URL)] 조건으로 규칙에 추가됩니 다. 필요한 각 URL 에 대해 1-4 단계를 수행합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 URL 목록을 선택한 다음 [액션] [새로 만들기]를 선택합니다. 3 고유한 [이름]과 [정의](선택 사항)를 입력합니다. 4 다음 중 하나를 수행합니다. 입력란에 [프로토콜], [호스트], [포트] 및 [경로] 정보를 입력한 다음 [추가]를 클릭합니다. [URL 붙여넣기] 입력란에 URL 을 붙여넣고 [구문 분석]을 클릭한 다음 [추가]를 클릭합니다. URL 필드가 소프트웨어에 의해 채워집니다. 5 필요한 URL 을 모두 정의에 추가했으면 [저장]을 클릭합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 75

76 7 중요한 콘텐츠 분류 파일 수신자 기준 분류 76 McAfee Data Loss Prevention Endpoint 제품 안내서

77 8 규칙을 8 사용하여 중요한 콘텐츠 보호 McAfee DLP Endpoint 는 데이터 보호 규칙, 장치 제어 규칙 및 탐색 규칙과 결합하여 중요한 콘텐츠를 보호합니다. 이 러한 규칙은 규칙 집합으로 결합되어 McAfee DLP 정책에 적용됩니다. McAfee epo 가 McAfee DLP 정책을 엔드포인트 컴퓨터에 배포합니다. 그러면 McAfee DLP Endpoint 클라이언트 소 프트웨어가 정책을 적용하여 중요한 콘텐츠를 보호합니다. 목차 규칙 작동 방식 권한 관리로 파일 보호 규칙 집합 규칙 및 규칙 집합 만들기 및 구성 규칙 작동 방식 규칙을 사용하여 데이터 정책 위반을 탐지하고 액션을 실행할 수 있습니다. McAfee DLP 에서 탐지한 이벤트 및 데이터 전송은 활성 규칙을 기준으로 비교됩니다. 규칙에는 조건과 대응의 두 가 지 구성 요소가 있습니다. 이벤트 또는 전송이 규칙의 조건과 일치하면 규칙이 트리거되고 McAfee DLP 가 액션 차단 또는 인시던트 만들기 등 규칙에 대한 대응을 시행합니다. 사용 가능한 조건 및 대응은 구성된 규칙의 유형에 따라 다 릅니다. 규칙에는 3 가지 범주가 있습니다. 규칙 범주 데이터 보 호 규칙 장치 제어 규칙 탐색 규칙 사용할 수 있는 대상 McAfee DLP Endpoint McAfee DLP Endpoint, McAfee Device Control McAfee DLP Endpoint, 설명 데이터를 전송하려는 시도를 탐지합니다. 데이터 보호 규칙 유형에 따라 조건에 분류, 최종 사용자 및 응용프로그램과 같은 항목 이 포함됩니다. 사용 가능한 대응으로 시도 차단 또는 정당성 허용이 있습니다. Citrix XenApp 또는 TrueCrypt 등의 응용프로그램을 탐지하고 이동식 저장 장치가 엔 드포인트 컴퓨터에 연결되는 때를 탐지합니다. 사용 가능한 대응으로 응용프로그램 또는 장치의 읽기 전용 액세스 차단이 있습니다. 파일 시스템에서 일치 기준을 충족하는 파일을 검색합니다. 사용 가능한 대응으로 일치 파일 검역 또는 이동이 있습니다. 규칙 집합을 사용하여 관련 규칙을 그룹화할 수 있습니다. 사용되도록 설정된 규칙을 활성화하려면 규칙 집합을 McAfee DLP 정책에 적용합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 77

78 8 규칙을 사용하여 중요한 콘텐츠 보호 규칙 작동 방식 보호 바이패스 합법적인 비즈니스 요구가 있을 경우 사용자는 정책을 바이패스할 권한을 부여받아 제한된 시간 동안 중요한 정보를 액세스하거나 전송할 수 있습니다. 이 시간 동안에는 모든 중요한 정보가 기존 규칙에 따라 차단되는 대신 모니터링됩 니다. 사용자와 시스템 관리자는 모두 바이패스가 사용되거나 사용되지 않도록 설정될 때 바이패스 상태에 대한 메시 지를 받습니다. 바이패스 권한은 Help Desk 의 McAfee epo 소프트웨어 모듈을 사용하여 관리됩니다. 엔드포인트 사용자가 식별 코드 및 수정 번호를 관리자에게 제공합니다. 그러면 관리자는 사용자에게 Help Desk 로부터 얻은 릴리스 코드를 제공합니 다. 정책 바이패스는 관리자가 결정한, 미리 설정된 시간 동안 적용됩니다. 참고 항목: 78 페이지의 데이터 보호 규칙을 사용하여 사용자 데이터 전송 보호 79 페이지의 장치 제어 규칙으로 이동식 미디어 보호 81 페이지의 탐색 규칙으로 파일 보호 81 페이지의 규칙 유형에 사용할 수 있는 대응 85 페이지의 규칙 만들기 데이터 보호 규칙을 사용하여 사용자 데이터 전송 보호 데이터 보호 규칙은 중요한 데이터를 전송하려는 시도가 있을 경우 액션을 수행하여 데이터 흐름을 제어합니다. 데이터 보호 규칙은 이동식 저장소 장치에 쓰거나, 파일을 인쇄하거나 클립보드를 사용하는 등의 사용자 액션을 제어 합니다. 모든 데이터 보호 규칙 조건은 분류와 최종 사용자를 포함합니다. 규칙 유형에 따라 다른 조건을 사용할 수 있 습니다. 표 8-1 사용 가능한 데이터 보호 규칙 규칙 유형 응용프로그램 파일 액세스 보호 클립보드 보호 클라우드 보호 이메일 보호 네트워크 통신 보호 제어 대상 해당 파일에 액세스하는 응용프로그램을 기반으로 하는 파일 클립보드의 복사 및 붙여넣기 기능 DropBox 와 같은 클라우드 서비스 특정 사용자와 대상 간에 전송된 이메일 메시지 수신 또는 송신되는 네트워크 데이터. 네트워크 통신 보호 규칙은 서버가 아닌 Windows 운영 체제에서만 지원됩니다. 네트워크 공유 보호 프린터 보호 이동식 저장소 보호 화면 캡처 보호 웹 게시 보호 네트워크 공유로 또는 그 반대 방향으로 복사되거나 이동되는 파일 프린터로 보내지는 파일 이동식 저장 장치에 기록되는 데이터 스크린샷 사용 웹 기반 이메일 사이트를 비롯한 웹 사이트에 게시되는 데이터 비즈니스 정당성 비즈니스 정당성 기능은 규칙에 대한 대체 액션을 정의합니다. 일부 데이터 보호 규칙은 정당성 요청 방지 액션을 허용합니다. 이 옵션을 사용하여 관리자는 사용자 응답에 따라 최대 세 가지 방지 액션을 정의할 수 있습니다. 정당성 정의에는 정의된 정당성 및 액션과 사용자 입력(선택 사항)이 포함됩 니다. 정당성 정의는 방지 액션을 미리 정의하므로 특정 규칙 유형에만 사용할 수 있습니다. 정당성 정의를 일치하지 않는 규칙에서 사용하려고 하면 오류 메시지가 생성됩니다. 78 McAfee Data Loss Prevention Endpoint 제품 안내서

79 규칙을 사용하여 중요한 콘텐츠 보호 규칙 작동 방식 8 표 8-2 정당성을 지원하는 규칙 및 허용되는 액션 보호 규칙 없음 검역 권한 관리 정책 적용 차단 암호화 클라우드 보호 x x x 이메일 보호 x x 네트워크 공유 보호 x x 인쇄 보호 x x 이동식 저장소 보호 x x x 웹 게시 보호 x x 정당성 액션은 정당성 정의에서 정의됩니다. 암호화 또는 권한 관리 정책 적용을 선택할 경우, 선택한 암호화 키나 권 한 관리 서버 및 권한 관리 정책이 정의에 포함되지 않습니다. 암호화 키나 권한 관리 서버 및 권한 관리 정책은 특정 규 칙 집합에 종속되어 있으므로 정당성 대화 상자를 열면 보호 규칙에서 정당성 액션이 정의됩니다. 정당성 정의는 로케일 기능을 지원하므로 McAfee DLP Endpoint 에서 지원되는 모든 언어로 정의할 수 있습니다. 사용 사례 - 프린터 보호 규칙 최종 사용자가 정당성 액션을 가진 규칙을 트리거하면 팝업이 나타나 정당성 및 방지 액션 옵션을 표시합니다. 이 예에 서 정당성을 선택하지 않을 경우 적용되는 기본값은 차단 액션입니다. 사용자는 파일을 보고 팝업이 트리거된 이유를 확인할 수 있습니다. 그림 8-1 비즈니스 정당성 팝업 장치 제어 규칙으로 이동식 미디어 보호 장치 제어는 이동식 미디어 장치의 무단 사용을 방지해서 데이터 유출을 막습니다. 장치 제어 기능은 McAfee DLP Endpoint 소프트웨어에 포함되어 있으며 McAfee Device Control 에서 독립형 제품으 로도 제공됩니다. Device Control 은 Microsoft Windows 및 Mac OS X 운영 체제에서 사용할 수 있습니다. Microsoft Windows 버전은 사용권을 업그레이드하여 모든 기능을 제공하는 McAfee DLP Endpoint 옵션으로 업그레이드할 수 있 습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 79

80 8 규칙을 사용하여 중요한 콘텐츠 보호 규칙 작동 방식 장치 제어 규칙은 관리되는 컴퓨터에 연결된 장치를 모니터링하거나 차단하여 중요한 정보의 배포를 제어할 수 있습니 다. 장치로는 스마트폰, Bluetooth 장치, MP3 플레이어, 플러그 앤 플레이 장치 및 기타 형태의 이동식 저장소가 있습니 다. 모든 장치 규칙 조건은 최종 사용자 및 장치 유형을 포함합니다. 규칙 유형에 따라 다른 조건을 사용할 수 있습니다. Device Control for Mac OS X 는 이동식 저장 장치 규칙으로 제한되며 콘텐츠 인식형 데이터 보호는 지원하지 않습니다. 표 8-3 사용 가능한 장치 제어 규칙 규칙 유형 Citrix XenApp 장 치 고정 하드 드라이브 플러그 앤 플레이 장 치 이동식 저 장 장치 이동식 저 장소 파일 액세스 TrueCrypt 장치 적용되는 운영 체제: Windows Windows Windows Windows, Mac OS X Windows Windows 용도 공유 데스크톱 세션에 매핑되는 Citrix 장치를 차단합니다. 고정 하드 드라이브에 대한 읽기 전용 액세스를 차단, 모니터링 또는 강제 시행합니다. 이 규칙은 부팅 파티션이나 시스템 파티션을 보호하지 않습니다. 플러그 앤 플레이 장치를 차단하거나 모니터링합니다. 이 규칙은 하드웨어 장치를 컴퓨터에 연결할 때 트리거됩니다. 이동식 저장 장치에 대한 읽기 전용 액세스를 차단, 모니터링 또는 강제 시행합니다. 이 규칙은 새로운 파일 시스템이 설치될 때 트리거됩니다. 이동식 장치에서 실행 파일을 차단하거나 모니터링합니다. 이 규칙은 이동식 저장 장치에서 실행 파일이 실행되지 않도록 하거나 이러한 장치로 복사 되지 않도록 할 수 있습니다. 기본적으로 이 규칙은 이러한 실행 파일과 보관 확장명.bat,.cab,.cgi,.cmd,.com,.cpl,.dll,.exe,.jar,.msi,.py,.pyc,.rar,.scr,.vb,.vbs,.ws,.wsf 및.zip 을 차단합니다. 차단할 추가 확장명을 구성할 수 있습니다. TrueCrypt 로 암호화되는 가상 장치에 대한 읽기 전용 액세스를 차단, 모니터링 또는 강제 시행합니다. McAfee DLP Endpoint 가 있을 경우 TrueCrypt 볼륨의 콘텐츠 인식형 보호에 대해 보호 규 칙을 사용합니다. TrueCrypt 볼륨은 확장된 파일 특성을 지원하지 않으므로 태그가 지정된 콘텐츠가 TrueCrypt 볼륨으로 복사되면 McAfee DLP Endpoint 태그가 손실됩니다. 분류 정의의 문서 속성, 파일 암호화 또는 파일 유형 그룹 정의를 사용하여 콘텐츠를 식별합니다. 표 8-4 장치 제어 용어 용어 적용되는 운영 체제: 정의 장치 클래스 Windows 장치 정의 장치 속성 유사한 특성을 가지고 있고 유사한 방식으로 관리할 수 있는 장치들의 모음입니 다. Windows, Mac OS X 장치 정의는 장치의 유형 및 속성을 지정하는 규칙의 조건에서 사용됩니다. Windows, Mac OS X 장치 속성은 장치 특성을 정의하기 위한 미리 정의된 매개 변수입니다. 장치 속성 으로 버스 유형, 파일 시스템 유형, 장치 이름 또는 일련 번호 등의 항목이 있습니 다. 사용 가능한 장치 속성은 장치 정의의 유형에 따라 다릅니다. 참고 항목: 85 페이지의 규칙 만들기 81 페이지의 규칙 유형에 사용할 수 있는 대응 80 McAfee Data Loss Prevention Endpoint 제품 안내서

81 규칙을 사용하여 중요한 콘텐츠 보호 규칙 작동 방식 8 탐색 규칙으로 파일 보호 탐색 규칙은 리포지토리를 검색할 때 McAfee DLP 가 검색하는 콘텐츠를 정의하고 일치하는 콘텐츠를 찾았을 때 수행 하는 액션을 결정합니다. 규칙 유형에 따라 검색과 일치하는 파일을 복사, 이동, 암호화, 검역 또는 태그 지정하거나 파일에 권한 관리 정책을 적 용합니다. 모든 탐색 규칙 조건에는 분류가 있습니다. 이메일 저장소 탐색 규칙을 검역 방지 액션과 함께 사용하는 경우 Outlook 추가 기능이 활성화되었는지 확인하십시오(정 책 카탈로그 Data Loss Prevention 9.4 클라이언트 구성 작동 모드 및 모듈). Outlook 추가 기능이 비활성화된 경우 검역에서 이메일을 릴리스할 수 없습니다. 표 8-5 사용 가능한 탐색 규칙 규칙 유형 제품 다음에서 탐색되는 파일 제어... 로컬 파일 시스템 McAfee DLP Endpoint 로컬 파일 시스템 검색 로컬 이메일(OST, PST) McAfee DLP Endpoint 이메일 저장소 시스템 검색 규칙 유형에 사용할 수 있는 대응 규칙에 사용할 수 있는 대응은 규칙 유형에 따라 다릅니다. 데이터 보호 규칙은 McAfee DLP Endpoint 에서 사용할 수 있습니다. 장치 제어 규칙은 McAfee DLP Endpoint 및 Device Control 에서 사용할 수 있습니다. 표 8-6 사용 가능한 대응 대응 적용 대상 규칙: 결과 액션 없음 모두 액션을 허용합니다. 차단 데이터 보호 장치 제어 액션을 차단합니다. 읽기 전용 장치 제어 읽기 전용 액세스를 시행합니다. 암호화 데이터 보호 탐색 파일을 암호화합니다. 정당성 요청 데이터 보호 최종 사용자 컴퓨터에 팝업을 생성합니다. 사용자가 정당성을 선택하거나 (선택적인 사용자 입력 사용) 선택적인 액션을 선택합니다. 권한 관리 정책 적용 데이터 보호 탐색 검역 탐색 파일을 검역합니다. 권한 관리(RM) 정책을 파일에 적용합니다. 태그 탐색 파일에 태그를 지정합니다. DLP Endpoint 콘솔에 파일 표시 사용자 통보 탐색 데이터 보호 탐색 엔드포인트 콘솔에 [파일 이름] 및 [경로]를 표시합니다. [파일 이름]은 파일 을 여는 링크입니다(파일이 검역된 경우 제외). [경로]는 파일이 들어 있는 폴더를 엽니다. 엔드포인트 컴퓨터에 메시지를 보내 사용자에게 정책 위반을 알립니다. [사용자 통보]가 선택된 상태에서 여러 개의 이벤트가 트리거되면 여러 메 시지가 표시되는 대신 팝업 메시지에 "DLP 콘솔에 새 DLP 이벤트가 있습 니다."라고 나타납니다. McAfee Data Loss Prevention Endpoint 제품 안내서 81

82 8 규칙을 사용하여 중요한 콘텐츠 보호 규칙 작동 방식 표 8-6 사용 가능한 대응 (계속) 대응 적용 대상 규칙: 결과 보고서 인시던트 모두 DLP 인시던트 관리자에서 위반에 대한 인시던트 항목을 생성합니다. 원본 파일 저장 데이터 보호 탐색 인시던트 관리자를 통해 볼 수 있도록 파일을 저장합니다. 지정된 증거 폴더와 증거 복사 서비스의 활성화가 필요합니다. 표 8-7 데이터 보호 규칙 대응 규칙 유형 응용프로그램 파일 액세스 보호 대응 액션 없음 차단 암호화 정당성 요청 권한 관리 정책 적용 사용자 통 보 보고서 인 시던트 X X X X X 클립보드 보호 X X X X X 클라우드 보호 X X X X X X X 이메일 보호 X X X X X X 네트워크 통신 보호 X X X X 네트워크 공유 보호 X X X X X X 프린터 보호 X X X X X X 이동식 저장소 보호 X X X X X X X 화면 캡처 보호 X X X X X 웹 게시 보호 X X X X X X 표 8-8 장치 제어 규칙 대응 규칙 Citrix XenApp 장치 대응 원본 파일 저장 액션 없음 차단 읽기 전용 사용자 통보 보고서 인시던트 고정 하드 드라이브 X X X X X 플러그 앤 플레이 장치 X X X X 이동식 저장 장치 X X X X X 이동식 저장소 파일 액세스 X X X X TrueCrypt 장치 X X X X X 표 8-9 탐색 규칙 대응 X 규칙 엔드포인트 파일 시스템 엔드포인트 메일 저장소 보호 대응 액션 없음 복사 이동 암호 화 권한 관리 정책 적 용 검역 태그 지정 McAfee DLP Endpoint 콘솔 에 파일 표시 보고서 인시던 트 X X X X X X X X X X X X X X 원본 파 일 저장 82 McAfee Data Loss Prevention Endpoint 제품 안내서

83 규칙을 사용하여 중요한 콘텐츠 보호 권한 관리로 파일 보호 8 권한 관리로 파일 보호 McAfee DLP Endpoint 는 RM(권한 관리) 서버와 통합하여 규칙 분류와 일치하는 파일에 보호를 적용할 수 있습니다. 권한 관리 정책 대응을 다음과 같은 데이터 보호 및 탐색 규칙에 적용할 수 있습니다. 클라우드 보호 엔드포인트 파일 시스템 권한 관리 정책은 장치 제어 규칙과 함께 사용할 수 없습니다. McAfee DLP Endpoint 는 파일 암호화 속성을 분류 또는 태그 지정 기준에 추가하여 권한 관리 보호 파일을 인식할 수 있습니다. 이러한 파일을 분류에서 포함하거나 제외할 수 있습니다. 참고 항목: 36 페이지의 권한 관리 서버 정의 McAfee DLP 가 권한 관리와 작동하는 방식 McAfee DLP 는 권한 관리 정책을 파일에 적용하는 워크플로를 따릅니다. 권한 관리 워크플로 1 대응과 함께 데이터 보호 또는 탐색 규칙을 만들고 적용하여 권한 관리 정책을 적용합니다. 대응에는 권한 관리 서 버 및 권한 관리 정책 항목이 필요합니다. 또한 권한 관리 보호 파일에 태그를 추가하는 태그 지정 규칙을 만들 수도 있습니다. 2 파일이 규칙을 트리거하면 McAfee DLP 가 파일을 권한 관리 서버에 보냅니다. 3 권한 관리 서버는 지정된 정책을 기반으로 파일을 암호화하거나, 액세스가 허용되는 사용자를 제한하거나, 파일을 암호 해독하고 파일에 액세스할 수 있는 조건을 제한하는 등의 보호를 적용합니다. 4 권한 관리 서버는 적용된 보호와 함께 파일을 다시 소스로 보냅니다. 5 파일에 대해 태그를 구성했을 경우 McAfee DLP 가 파일을 모니터링할 수 있습니다. 파일 시스템 탐색 규칙을 적용하는 McAfee DLP 소프트웨어가 보호할 파일을 찾으면 템플릿 GUID 를 고유 ID 로 사용 하여 템플릿을 찾고 보호를 적용합니다. 제한 사항 McAfee DLP Endpoint 소프트웨어는 권한 관리 보호 파일에서 내용을 검사하지 않습니다. 태그가 지정된 파일이 권한 관리로 보호된 경우 정적 태그(위치 및 응용 프로그램)만 유지됩니다. 사용자가 파일을 수정하는 경우 파일을 저장할 때 모든 태그가 손실됩니다. 지원되는 권한 관리 서버 McAfee DLP Endpoint 는 Microsoft RMS(Microsoft Windows Rights Management Services) 및 Seclore FileSecure IRM(정보 권한 관리)을 지원합니다. Microsoft RMS McAfee DLP Endpoint 는 Windows Server 2003 기반 Microsoft RMS 와 Windows Servers 2008 및 2012 기반 AD-RMS(Active Directory RMS)를 지원합니다. Windows Rights Management Services 보호를 다음과 같은 항목에 적 용할 수 있습니다. Microsoft Word 2007, Word 2010 및 Word 2013 문서 Microsoft Excel 2007, Excel 2010 및 Excel 2013 문서 McAfee Data Loss Prevention Endpoint 제품 안내서 83

84 8 규칙을 사용하여 중요한 콘텐츠 보호 규칙 집합 Microsoft PowerPoint 2007, PowerPoint 2010 및 PowerPoint 2013 문서 SharePoint 2007 문서 Exchange Server 2007 문서 Windows RMS 를 사용하면 현재 사용자가 보기 권한이 있는 경우 McAfee DLP Endpoint 소프트웨어에서 보호된 파일 의 내용을 검사할 수 있습니다. Microsoft RMS 에 대한 자세한 내용을 보려면 로 이동하십시 오. Seclore IRM McAfee DLP Endpoint 는 가장 일반적으로 사용되는 문서 형식을 포함해 140 개 이상의 파일 형식을 지원하는 Seclore FileSecure RM 을 지원합니다. Microsoft Office 문서 CSV, XML 및 HTML 을 포함한 텍스트 및 텍스트 기반 형식 Open Office 문서 JPEG, BMP, GIF 등을 포함한 이미지 형식 PDF DWG, DXF 및 DWF 를 포함한 공학 디자인 형식 McAfee DLP Endpoint 클라이언트는 FileSecure 데스크톱 클라이언트와 작동하여 온라인 및 오프라인 통합을 제공합 니다. Seclore IRM 에 대한 자세한 내용을 보려면 로 이동하십시오. 규칙 집합 규칙 집합은 McAfee DLP Endpoint 정책을 정의합니다. 규칙 집합은 데이터 보호, 장치 제어 및 탐색 규칙의 조합을 포 함할 수 있습니다. [규칙 집합] 페이지에는 정의된 규칙 집합 및 각 상태의 목록이 표시됩니다. 표시 내용으로는 각 규칙 집합에 대해 기록 된 인시던트의 수, 정의된 규칙의 수 및 활성화된 규칙의 수가 있습니다. 색상이 지정된 아이콘은 활성화된 규칙의 유 형을 나타냅니다. 마우스를 아이콘 위로 가져가면 규칙의 유형 및 활성화된 규칙의 수를 보여 주는 도구 설명이 표시됩 니다. 84 McAfee Data Loss Prevention Endpoint 제품 안내서

85 규칙을 사용하여 중요한 콘텐츠 보호 규칙 및 규칙 집합 만들기 및 구성 8 규칙 및 규칙 집합 만들기 및 구성 McAfee DLP Endpoint, Device Control 및 McAfee DLP Discover 정책에 대한 규칙을 만들고 구성합니다. 85 페이지의 규칙 집합 만들기 규칙 집합은 여러 개의 장치 보호, 데이터 보호 및 탐색 검색 규칙을 결합합니다. 85 페이지의 규칙 만들기 규칙을 만드는 프로세스는 모든 규칙 유형에서 유사합니다. 86 페이지의 규칙 사용, 사용 안 함 또는 삭제 여러 규칙을 한 번에 삭제하거나 상태를 변경할 수 있습니다. 86 페이지의 규칙 또는 규칙 집합 열 구성 규칙 또는 규칙 집합에 대해 표시되는 열을 이동, 추가 또는 제거합니다. 86 페이지의 최종 사용자 메시지 사용자 지정 최종 사용자와의 통신에는 통보 및 사용자 정당성 메시지라는 두 가지 유형의 메시지가 사용됩니다. 87 페이지의 정당성 정의 만들기 비즈니스 정당성 정의는 규칙의 정당성 방지 액션에 대한 매개 변수를 정의합니다. 88 페이지의 통보 정의 만들기 사용자 액션이 정책을 위반할 경우 사용자 통보가 팝업 또는 최종 사용자 콘솔에 나타납니다. 규칙 집합 만들기 규칙 집합은 여러 개의 장치 보호, 데이터 보호 및 탐색 검색 규칙을 결합합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자]를 선택합니다. 2 [규칙 집합] 탭을 클릭합니다. 3 [액션] [새 규칙 집합]을 선택합니다. 4 이름 및 참고(선택 사항)를 입력하고 [확인]을 클릭합니다. 규칙 만들기 규칙을 만드는 프로세스는 모든 규칙 유형에서 유사합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자]를 선택합니다. 2 [규칙 집합] 탭을 클릭합니다. 3 규칙 집합의 이름을 클릭하고 필요한 경우 [데이터 보호], [장치 제어] 또는 [탐색] 규칙에 대한 적절한 탭을 선택합니 다. 4 [액션] [새 규칙]을 선택한 다음 규칙의 유형을 선택합니다. 5 [조건] 탭에서 정보를 입력합니다. 분류 또는 장치 정의와 같은 일부 조건의 경우 [...]를 클릭하여 기존 항목을 선택하거나 새 항목을 만듭니다. 기준을 더 추가하려면 [+]를 클릭합니다. 기준을 제거하려면 [-]를 클릭합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 85

86 8 규칙을 사용하여 중요한 콘텐츠 보호 규칙 및 규칙 집합 만들기 및 구성 6 [대응] 탭에서 대응을 구성합니다. 7 [저장]을 클릭합니다. 참고 항목: 77 페이지의 규칙 작동 방식 규칙 사용, 사용 안 함 또는 삭제 여러 규칙을 한 번에 삭제하거나 상태를 변경할 수 있습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자]를 선택합니다. 2 [규칙 집합] 탭을 클릭합니다. 3 규칙 집합의 이름을 클릭하고 필요한 경우 [데이터 보호], [장치 제어] 또는 [탐색] 규칙에 해당하는 탭을 클릭합니다. 4 하나 이상의 규칙을 선택합니다. 5 선택한 규칙을 업데이트하거나 삭제합니다. 규칙을 사용하도록 설정하려면 [액션] [상태 변경] [사용]을 선택합니다. 규칙을 사용하지 않도록 설정하려면 [액션] [상태 변경] [사용 안 함]을 선택합니다. 규칙을 삭제하려면 [액션] [삭제]를 선택합니다. 규칙 또는 규칙 집합 열 구성 규칙 또는 규칙 집합에 대해 표시되는 열을 이동, 추가 또는 제거합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자]를 선택합니다. 2 [규칙 집합] 탭을 클릭합니다. 3 [표시할 열 선택] 페이지에 액세스합니다. 규칙 집합 [액션] [열 선택]을 선택합니다. 규칙 규칙 집합을 선택한 다음 [액션] [열 선택]을 선택합니다. 4 열을 수정합니다. [사용 가능한 열] 창에서 열을 추가할 항목을 클릭합니다. [선택한 열] 창에서 화살표 또는 [x]를 클릭하여 열을 이동하거나 삭제합니다. [기본값 사용]을 클릭하여 열을 기본 구성으로 복원합니다. 5 [저장]을 클릭합니다. 최종 사용자 메시지 사용자 지정 최종 사용자와의 통신에는 통보 및 사용자 정당성 메시지라는 두 가지 유형의 메시지가 사용됩니다. 통보 및 정당성 정의에서는 [로케일](언어)을 지정할 수 있으며 실제 값으로 대체되는 자리 표시자를 추가할 수 있습니 다. 로케일이 정의되면 메시지 및 옵션 단추(비즈니스 정당성용)가 엔드포인트 컴퓨터의 기본 언어로 나타납니다. 86 McAfee Data Loss Prevention Endpoint 제품 안내서

87 규칙을 사용하여 중요한 콘텐츠 보호 규칙 및 규칙 집합 만들기 및 구성 8 사용자 통보 사용자 통보는 사용자에게 정책 위반을 알려주는 팝업 메시지입니다. 규칙이 여러 개의 이벤트를 트리거하면 여러 개의 메시지가 표시되는 대신 팝업 메시지에 "DLP 콘솔에 새 DLP 이벤트가 있습니다."라고 나타납니다. 사용자 통보 메시지는 [DLP 정책 관리자] [정의] [통보]에서 정의됩니다. 비즈니스 정당성 비즈니스 정당성은 정책 바이패스의 한 형태입니다. 규칙에서 [정당성 요청]이 방지 액션으로 지정되면 사용자는 정당 성을 입력함으로써 차단되지 않고 계속할 수 있습니다. 비즈니스 정당성 메시지는 [DLP 정책 관리자] [정의] [정당성]에서 정의됩니다. 자리 표시자 자리 표시자는 최종 사용자 메시지를 트리거한 원인을 기반으로 메시지에 변수 텍스트를 입력할 수 있는 한 방법입니 다. 사용 가능한 자리 표시자는 다음과 같습니다. %c - 분류 %a - 액션 %r - 규칙 집합 이름 %s - 문자열 값(파일 이름, 장치 이름 등) %v - 벡터(이메일 보호, 웹 보호 등) 정당성 정의 만들기 비즈니스 정당성 정의는 규칙의 정당성 방지 액션에 대한 매개 변수를 정의합니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자]를 선택합니다. 2 [정의] 탭을 클릭한 다음 [통보] [정당성]을 선택합니다. 3 [액션] [새로 만들기]를 선택합니다. 4 고유한 이름과 설명(선택 사항)을 입력합니다. 5 둘 이상의 언어로 정당성 정의를 만들려면 [로케일 액션] [새 로케일]을 선택합니다. 필요한 각 로케일을 드롭다운 목록에서 선택합니다. 선택한 로케일이 목록에 추가됩니다. 6 각 로케일에 대해 다음을 수행합니다. a 왼쪽 창에서 편집할 로케일을 선택합니다. 입력란에 텍스트를 입력하고 필요에 따라 확인란을 선택합니다. [일치 문자열 표시]는 팝업에 히트 하이라이팅 콘텐츠를 표시하는 링크를 제공합니다. [추가 정보]는 정보에 대 한 문서 또는 인트라넷 페이지에 대한 링크를 제공합니다. 로케일 정의를 입력할 때 확인란 및 액션은 사용할 수 없습니다. 단추 레이블, 개요 및 제목만 입력할 수 있습니 다. [정당성 옵션] 섹션에서 [액션] 열의 [편집] 기능을 사용하여 기본 정의를 로케일 버전으로 바꿀 수 있습니다. b [정당성 개요]와 [대화 상자 제목](선택 사항)을 입력합니다. 개요는 사용자를 위한 일반적인 지침입니다(예: "이 액션에는 비즈니스 정당성이 필요함"). 최대 입력은 500 자 입니다. McAfee Data Loss Prevention Endpoint 제품 안내서 87

88 8 규칙을 사용하여 중요한 콘텐츠 보호 규칙 및 규칙 집합 만들기 및 구성 c d 단추 레이블에 대한 텍스트를 입력하고 단추 액션을 선택합니다. [단추 숨기기] 확인란을 선택하여 단추가 두 개 인 정의를 만듭니다. 단추 액션은 해당 정의를 사용하는 규칙 유형에 사용할 수 있는 방지 액션과 일치해야 합니다. 예를 들어 네트워 크 공유 보호 규칙은 방지 액션에 대해 [액션 없음], [암호화] 또는 [정당성 요청]만 가질 수 있습니다. 단추 액션 중 하나에 대해 [차단]을 선택하고 이 정의를 네트워크 공유 보호 규칙 정의에 사용하려고 하면 오류 메시지가 나타납니다. 입력란에 텍스트를 입력하고 [추가]를 클릭하여 [정당성 옵션] 목록에 추가합니다. 최종 사용자가 목록을 볼 수 있도록 하려면 [정당성 옵션 표시] 확인란을 선택합니다. 자리 표시자를 사용하여 텍스트를 사용자 지정함으로써 팝업을 트리거한 원인을 나타낼 수 있습니다. 7 모든 로케일이 완료되면 [저장]을 클릭합니다. 참고 항목: 86 페이지의 최종 사용자 메시지 사용자 지정 통보 정의 만들기 사용자 액션이 정책을 위반할 경우 사용자 통보가 팝업 또는 최종 사용자 콘솔에 나타납니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자]를 선택합니다. 2 [정의] 탭을 클릭한 다음 [통보] [사용자 통보]를 선택합니다. 3 [액션] [새로 만들기]를 선택합니다. 4 고유한 이름과 설명(선택 사항)을 입력합니다. 5 둘 이상의 언어로 사용자 통보 정의를 만들려면 [로케일 액션] [새 로케일]을 선택합니다. 필요한 각 로케일을 드롭 다운 목록에서 선택합니다. 선택한 로케일이 목록에 추가됩니다. 6 각 로케일에 대해 다음을 수행합니다. a 왼쪽 창에서 편집할 로케일을 선택합니다. [기본 로케일] 확인란을 선택하여 임의의 로케일을 기본값으로 설정할 수 있습니다. b c 입력란에 텍스트를 입력합니다. 자리 표시자를 사용하여 텍스트를 사용자 지정함으로써 팝업을 트리거한 원인을 나타낼 수 있습니다. 선택 사항: [추가 정보에 대한 링크 표시] 확인란을 선택하고 URL 을 입력하여 보다 세부적인 정보를 제공합니 다. 기본 로케일에서만 사용할 수 있습니다. 7 모든 로케일이 완료되면 [저장]을 클릭합니다. 참고 항목: 86 페이지의 최종 사용자 메시지 사용자 지정 88 McAfee Data Loss Prevention Endpoint 제품 안내서

89 9 엔드포인트 9 탐색 탐색은 엔드포인트 컴퓨터에서 실행되는 크롤러입니다. 이 기능은 로컬 파일 시스템 및 이메일 저장소 파일을 검색하 고 규칙을 적용하여 중요한 콘텐츠를 보호합니다. 목차 탐색 작동 방법 엔드포인트 탐색 크롤러로 콘텐츠 찾기 탐색 작동 방법 중요한 콘텐츠가 들어 있는 로컬 파일 시스템 또는 이메일 저장소 파일을 찾아 태그를 지정하거나 검역하려면 엔드포 인트 탐색 검색을 사용합니다. McAfee DLP Endpoint 탐색은 클라이언트 컴퓨터에서 실행되는 크롤러입니다. 크롤러가 미리 정의된 콘텐츠를 찾으면 해당 콘텐츠가 포함된 파일을 모니터링, 검역, 태그 지정, 암호화 또는 권한 관리 정책을 적용할 수 있습니다. 엔드포인 트 탐색은 컴퓨터 파일 또는 이메일 저장소(PST, 매핑된 PST 및 OST) 파일을 검색할 수 있습니다. 이메일 저장소 파일 은 사용자별로 캐시됩니다. 엔드포인트 탐색을 사용하려면 [정책 카탈로그] [클라이언트 구성] [작동 모드 및 모듈] 페이지에서 [탐색] 모듈을 활성 화해야 합니다. 각 탐색 검색이 끝나면 McAfee DLP Endpoint 클라이언트가 탐색 요약 이벤트를 McAfee epo 의 DLP 작동 이벤트 콘 솔로 보내 검색의 세부 정보를 기록합니다. 이벤트에는 검색하지 못한 파일 목록과 각 파일을 검색하지 못한 이유가 나 열된 증거 파일이 포함되어 있습니다. 또한 분류와 일치하는 파일 및 수행된 액션이 들어 있는 증거 파일도 있습니다. 검색 시기 [정책 카탈로그] [DLP 정책] [엔드포인트 탐색] 페이지에서 탐색 검색을 예약합니다. 검색은 매일 또는 지정된 요일이 나 월의 특정 시간에 실행할 수 있습니다. 시작 및 중지 날짜를 지정할 수도 있고 McAfee DLP Endpoint 구성이 실시될 때 검색을 실행할 수도 있습니다. 컴퓨터의 CPU 또는 RAM 이 지정된 한도를 초과하는 경우 검색을 일시 중지할 수 있 습니다. 엔드포인트 검색이 실행 중일 때 탐색 정책을 변경하면 규칙과 예약 매개변수가 즉시 변경됩니다. 활성화되거나 비활 성화된 매개변수의 변경사항은 다음 검색 시 적용됩니다. 검색이 실행 중일 때 컴퓨터가 재시작되면 검색이 중단된 시 점부터 다시 시작됩니다. 탐색 정보 탐색 규칙은 분류를 사용하여 정의합니다. 분류 기준에 추가할 수 있는 모든 파일 속성 또는 데이터 조건을 콘텐츠 탐 색에 사용할 수 있습니다. 중요한 콘텐츠의 탐색된 파일 처리 방법 이메일 파일을 검역하거나 태그 지정할 수 있습니다. 로컬 파일 시스템 파일을 암호화, 검역 또는 태그 지정하거나 이 들 파일에 권한 관리 정책을 적용할 수 있습니다. 두 파일 유형 모두에 대해 증거를 저장할 수 있습니다. McAfee Data Loss Prevention Endpoint 제품 안내서 89

90 9 엔드포인트 탐색 엔드포인트 탐색 크롤러로 콘텐츠 찾기 엔드포인트 탐색 크롤러로 콘텐츠 찾기 다음과 같은 네 단계로 탐색 크롤러를 실행할 수 있습니다. 1 중요한 콘텐츠를 식별하기 위한 분류를 만들고 정의합니다. 2 탐색 규칙을 만들고 정의합니다. 탐색 규칙에는 정의의 일부로서 분류가 포함됩니다. 3 일정 정의를 만듭니다. 4 검색 매개 변수를 설정합니다. 검색 정의에는 매개 변수의 하나로서 일정이 포함됩니다. 90 페이지의 탐색 규칙 만들기 및 정의 탐색 규칙은 크롤러가 검색하는 콘텐츠 및 이 콘텐츠가 발견될 때 수행할 을 정의합니다. 90 페이지의 스케줄러 정의 만들기 스케줄러는 탐색 검색이 실행되는 시기와 빈도를 결정합니다. 91 페이지의 검색 설정 탐색 검색은 로컬 파일 시스템 또는 우편함을 크롤링하여 중요한 콘텐츠를 검색합니다. 92 페이지의 검역된 파일 또는 전자 메일 항목 복구 McAfee DLP Endpoint 탐색에서 중요한 콘텐츠를 발견하면 영향을 받는 파일이나 이메일 항목을 검역 폴 더로 이동하여 이를 사용자에게 파일 또는 이메일이 검역되었음을 알리는 자리 표시자로 바꿉니다. 또한 검역된 파일과 이메일 항목은 무단 사용을 방지하기 위해 암호화됩니다. 탐색 규칙 만들기 및 정의 탐색 규칙은 크롤러가 검색하는 콘텐츠 및 이 콘텐츠가 발견될 때 수행할 을 정의합니다. 탐색 규칙에 대한 변경 사항은 정책이 배포되면 적용됩니다. 검색이 진행 중이더라도 새 규칙이 즉시 적용됩니다. 이메일 저장소(PST, 매핑된 PST 및 OST) 검색의 경우 크롤러는 이메일 항목(본문 및 첨부 파일), 달력 항목 및 을 검색합니다. 공용 폴더 또는 고정 메모는 검색하지 않습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자]를 선택합니다. 2 [규칙 집합] 페이지에서 [액션] [새 규칙 집합]을 선택합니다. 이름을 입력하고 [확인]을 클릭합니다. 기존 규칙 집합에 탐색 규칙을 추가할 수도 있습니다. 3 [탐색] 탭에서 [액션] [새 엔드포인트 탐색 규칙]을 선택한 다음 [로컬 이메일] 또는 [로컬 파일 시스템]을 선택합니 다. 적절한 페이지가 나타납니다. 4 [규칙 이름]을 입력하고 분류를 선택합니다. 5 [대응]을 클릭합니다. 드롭다운 목록에서 [방지 액션]을 선택합니다. 6 선택 사항: [보고서 인시던트] 옵션을 선택하고 [상태]를 [사용]으로 설정한 다음 드롭다운 목록에서 [심각도] 지정 값 을 선택합니다. 7 [저장]을 클릭합니다. 스케줄러 정의 만들기 스케줄러는 탐색 검색이 실행되는 시기와 빈도를 결정합니다. 5 가지 예약 유형이 제공됩니다. 90 McAfee Data Loss Prevention Endpoint 제품 안내서

91 엔드포인트 탐색 엔드포인트 탐색 크롤러로 콘텐츠 찾기 9 즉시 실행 매주 한 번 [매월] 매일 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [데이터 보호] [DLP 정책 관리자] [정의]를 선택합니다. 2 왼쪽 창에서 [스케줄러]를 클릭합니다. McAfee DLP Discover 와 McAfee DLP Endpoint 가 둘 다 설치된 경우에는 기존 일정 표시 목록에 이들 모두에 대 한 일정이 포함됩니다. 3 [액션] [새로 만들기]를 선택합니다. [새 스케줄러] 페이지가 나타납니다. 4 고유한 [이름]을 입력하고 드롭다운 목록에서 [예약 유형]을 선택합니다. 예약 유형을 선택하면 해당 유형에 필요한 필드를 제공할 수 있도록 화면이 변경됩니다. 5 필요한 옵션을 입력하고 [저장]을 클릭합니다. 검색 설정 탐색 검색은 로컬 파일 시스템 또는 우편함을 크롤링하여 중요한 콘텐츠를 검색합니다. 시작하기 전에 검색에 적용할 규칙 집합이 DLP 정책에 적용되었는지 확인합니다. 이 정보는 DLP 정책 규칙 집합 탭에 표시됩니다. 탐색 설정 매개변수 변경 사항은 다음 검색에 적용됩니다. 이미 진행 중인 검색에는 적용되지 않습니다. 옵션 정의를 보려면 인터페이스에서 [?]를 클릭하십시오. 1 McAfee epo 에서 [메뉴] [정책] [정책 카탈로그]를 선택합니다. 2 [제품] [Data Loss Prevention 9.4]를 선택한 다음 활성 DLP 정책을 선택합니다. 3 [엔드포인트 탐색] 탭에서 [액션] [새 엔드포인트 검색]을 선택한 다음 [로컬 이메일] 또는 [로컬 파일 시스템]을 선 택합니다. 4 검색에 대한 [이름]을 입력한 다음 드롭다운 목록에서 [일정]을 선택합니다. 5 선택 사항: [인시던트 처리] 및 [오류 처리] 기본값을 변경합니다. [상태]를 [사용]으로 설정합니다. 오류 처리는 텍스트를 추출할 수 없는 경우를 나타냅니다. 6 폴더 탭에서 다음 중 하나를 수행합니다. 파일 시스템 검색의 경우 [액션] [폴더 선택]을 선택합니다. 정의된 폴더 정의를 선택하거나 [새 항목]을 클릭하 여 새로 만듭니다. 해당 폴더를 [포함] 또는 [제외]로 정의합니다. 이메일 검색의 경우 파일 유형(OST, PST) 및 검색할 우편함을 선택합니다. McAfee Data Loss Prevention Endpoint 제품 안내서 91

92 9 엔드포인트 탐색 엔드포인트 탐색 크롤러로 콘텐츠 찾기 7 선택 사항: [필터] 탭(파일 시스템 검색에만 해당)에서 [액션] [필터 선택]을 선택합니다. 파일 정보 정의를 선택하거 나 [새 항목]을 클릭하여 새로 만듭니다. 해당 필터를 [포함] 또는 [제외]로 정의합니다. [확인]을 클릭합니다. 기본값은 모든 파일입니다. 필터를 정의하면 검색의 효율성을 높일 수 있습니다. 8 규칙 탭에서 적용될 규칙을 확인합니다. 정책에 적용된 규칙 집합의 모든 탐색 규칙이 실행됩니다. 검역된 파일 또는 전자 메일 항목 복구 McAfee DLP Endpoint 탐색에서 중요한 콘텐츠를 발견하면 영향을 받는 파일이나 이메일 항목을 검역 폴더로 이동하 여 이를 사용자에게 파일 또는 이메일이 검역되었음을 알리는 자리 표시자로 바꿉니다. 또한 검역된 파일과 이메일 항 목은 무단 사용을 방지하기 위해 암호화됩니다. 시작하기 전에 Microsoft Outlook 에서 McAfee DLP 아이콘을 표시하려면 [정책 카탈로그] [클라이언트 정책] [작동 모 드 및 모듈]에서 [Outlook 에 검역에서 릴리스 컨트롤 표시] 옵션을 사용하도록 설정해야 합니다. 이 옵션 을 사용하지 않도록 설정하면 검역된 이메일을 보기 위한 아이콘 및 마우스 오른쪽 단추 클릭 옵션이 모두 차단되므로 이메일을 검역에서 릴리스할 수 없습니다. [검역]에 파일 시스템 검색 규칙을 설정하고 크롤러가 중요한 내용을 발견하면 해당 파일을 검역 폴더로 이동하여 이러 한 파일을 사용자에게 해당 파일이 검역되었음을 알리는 자리 표시자로 바꿉니다 검역된 파일은 무단 사용을 방지하기 위해 암호화됩니다. 검역된 이메일 항목의 경우, McAfee DLP Endpoint 탐색에서 Outlook [제목]에 접두사를 추가하여 해당 이메일이 검역 되었다는 것을 사용자에게 나타냅니다. 이메일 본문과 첨부 파일도 모두 검역됩니다. 본문과 첨부 파일 중 한 가지만 암호화하여 이메일 서명 시스템 시 시그니처 손상을 방지할 수 있었던 이전 McAfee DLP Endpoint 버전의 메커니즘이 변경되었습니다. Microsoft Outlook 달력 항목 및 도 검역할 수 있습니다. 그림 9-1 검역된 전자 메일 예 1 검역된 파일을 복원하려면 다음을 수행합니다. a 관리되는 컴퓨터의 시스템 트레이에서 [McAfee Agent] 아이콘을 클릭한 다음 [기능 관리] [DLP Endpoint 콘솔] 을 선택합니다. DLP Endpoint 콘솔이 열립니다. b [] 탭에서, [검역 폴더 열기]를 선택합니다. 검역 폴더가 열립니다. c 복원할 파일을 선택합니다. 마우스 오른쪽 버튼을 클릭하여 [검역에서 릴리스]를 선택합니다. 검역에서 릴리스 상황별 메뉴 항목은 *.dlpenc(dlp 암호화) 형식의 파일을 선택할 경우에만 나타납니다. [릴리스 코드] 팝업 창이 나타납니다. 92 McAfee Data Loss Prevention Endpoint 제품 안내서