[교육 8일차] Microsoft Purview Information Protection, eDiscovery and Audit Solutions
2026. 5. 20. 16:37ㆍ카테고리 없음
Training Session Review
MICROSOFT
PURVIEW
Information Protection · DLP · Audit · eDiscovery
Section 01
🏗️Microsoft Purview 전체 구조
Microsoft Purview는 데이터 보호부터 법적 조사까지 하나의 플랫폼에서 처리하는 통합 컴플라이언스 솔루션입니다. 4단계 흐름으로 이해하면 쉽습니다.
STEP 01
Information Protection
데이터 기반 보호 설정
STEP 02
Sensitivity Labels
분류 + 암호화 적용
STEP 03
DLP
유출 방지 / 자동 차단
STEP 04
Audit & eDiscovery
추적 + 법적 조사
💡 핵심 흐름 / Core Flow
보호(Protect) → 통제(Control) → 모니터링(Monitor) → 조사(Investigate)각 단계는 독립적이 아니라 서로 연계되어 동작합니다. Each stage is interconnected — protection decisions feed into DLP signals, which create audit logs, which feed eDiscovery.
DISCOVER
데이터 식별
조직 내 민감 데이터가 어디에 있는지 파악. Cloud, Apps, Devices 전체 범위.
CLASSIFY
데이터 분류
민감도 레이블로 데이터를 분류. 자동 분류 또는 사용자 수동 적용.
PROTECT
데이터 보호
암호화, 공유 제한, 워터마크로 데이터 위치와 무관하게 지속 보호.
GOVERN
데이터 관리
보존 정책, 삭제 정책, 레코드 관리로 전체 데이터 수명 주기 관리.
Section 02
🏷️Sensitivity Labels — 보안 정책의 집합
"레이블 하나 = 보안 정책 묶음"이라는 개념이 핵심입니다. 레이블을 적용하는 순간 그 안에 포함된 모든 보호 정책이 동시에 적용됩니다.
암호화 (Encryption)
접근 권한을 설정하여 허가된 사용자만 열람 가능. 데이터 이동 후에도 유지.
콘텐츠 마킹
헤더, 푸터, 워터마크 자동 삽입. 문서 분류 등급 시각적 표시.
자동 레이블링
콘텐츠 기반 자동 분류 또는 레이블 추천. 사용자 실수 방지.
공유 제한
외부 공유, Teams 채널, SharePoint 사이트 수준 접근 제어.
⚠️ Sensitivity Label vs Retention Label 혼동 주의
Sensitivity Label = 데이터 보호/분류 (암호화, 공유 제한) — Purview Information ProtectionRetention Label = 데이터 수명 주기 관리 (보존 기간, 삭제) — Purview Data Lifecycle Management
These are entirely different features. Don't confuse them in customer support cases.
적용 대상 / Where Labels Apply
📧 Exchange (Email) 📄 Word / Excel / PPT 💬 Teams 채팅/채널 🗂️ SharePoint Sites ☁️ OneDrive 👥 M365 Groups
Section 03
🔐Message Encryption — 이메일 단위 보호
Exchange Online에서 이메일 내용을 수신자만 확인 가능하도록 보호합니다. 외부 수신자(Gmail, Yahoo 등)도 OTP 또는 Microsoft 계정으로 인증 후 열람 가능합니다.
| 옵션 / Option | Encrypt-Only | Do Not Forward |
|---|---|---|
| 암호화 | ✅ 적용 | ✅ 적용 |
| 전달 (Forward) | ✅ 가능 | ❌ 차단 |
| 인쇄 (Print) | ✅ 가능 | ❌ 차단 |
| 복사 (Copy) | ✅ 가능 | ❌ 차단 |
| 외부 수신자 | OTP 인증으로 열람 | OTP 인증으로 열람 |
| 사용 시나리오 | 민감 내용이지만 수신자가 공유 가능해야 함 | 절대 외부 공유 금지 문서 |
💡 Mail Flow Rule로 자동 암호화 적용
EAC → Mail flow → Rules → + Add a rule조건: 특정 키워드 포함 / 특정 발신자 또는 부서 / 특정 도메인으로 발송 등
동작:
Apply Microsoft 365 Message Encryption 선택 후 Encrypt-Only 또는 Do Not Forward 지정Auto-apply encryption via mail flow rules based on conditions like keywords, senders, or recipient domains.
Section 04
🚧DLP — 데이터 유출 방지
DLP(Data Loss Prevention)는 사용자의 실수로 인한 민감 데이터 유출을 자동으로 탐지하고 차단합니다. 지원 엔지니어 입장에서 "메일 전송 안됨" 케이스의 주요 원인 중 하나입니다.
Exchange (메일)
이메일 본문/첨부파일에서 민감 정보 탐지. 전송 차단 또는 Policy Tip 표시.
Endpoint / Devices
디바이스의 파일 복사, USB 전송, 클라우드 업로드 제한. MDE 에이전트 필요.
Web Traffic
브라우저 기반 데이터 업로드 제어. Chrome 확장 프로그램과 연동.
Teams / SharePoint
메시지, 파일 공유 시 민감 정보 포함 여부 탐지 및 경고.
보호 대상 민감 정보 유형
💳 신용카드 번호 🪪 개인식별정보 (PII) 🏥 의료 정보 (PHI) 🔑 비밀번호 / 인증 정보 🏢 기업 기밀 🛂 여권 / 주민번호
⚠️ Support 엔지니어 주의 — DLP vs Mail Flow Rule 구분
고객: "메일이 안 보내져요" → DLP인지 Mail Flow Rule인지 먼저 구분해야 합니다.DLP 차단: Outlook에
Policy Tip 메시지가 표시됨Mail Flow Rule 차단: NDR(배달 실패 알림, Non-Delivery Report) 발생
확인 경로:
Purview → DLP → Activity Explorer 또는 Alerts 탭Section 05
📋Audit — 행위 추적 로그
Audit는 사용자와 관리자의 활동을 기록하는 로그 시스템입니다. "누가 무엇을 했나?"에 답하는 도구입니다.
| 항목 | Standard Audit | Premium Audit |
|---|---|---|
| 보존 기간 | 180일 | 최대 10년 (E5 라이선스) |
| 로그 범위 | 기본 활동 | 고급 활동 포함 (MailItemsAccessed 등) |
| 대역폭 | 표준 | 더 높은 API 대역폭 |
| 라이선스 | 기본 포함 | M365 E5 또는 Compliance E5 추가 |
⚠️ 주의 — 기록되지 않는 활동
Move, Copy 등 일부 작업은 Standard Audit에서 기본적으로 기록되지 않을 수 있습니다.민감한 보안 사고 조사 시 Premium Audit (Advanced Audit) 활성화를 확인하세요.
Some actions (Move, Copy) may not be logged by default — check if Advanced Audit is enabled for sensitive investigations.
대표 활용 시나리오
- "메일이 사라졌어요" — Audit에서 SoftDelete 또는 HardDelete 이벤트 검색
Search for SoftDelete/HardDelete events in Audit - "누가 내 메일함에 접근했나요?" — MailItemsAccessed 이벤트 (Premium 필요)
MailItemsAccessed event (Premium Audit required) - "관리자가 설정을 변경했나요?" — Admin activity 로그 확인
Check Admin activity logs for configuration changes - "파일이 누구에게 공유됐나요?" — SharePoint/OneDrive 공유 이벤트 검색
Search sharing events in SharePoint/OneDrive
Section 06
🔍eDiscovery — 실제 콘텐츠 조사
eDiscovery는 전자 데이터(ESI)를 검색, 수집, 분석, 내보내기하는 도구입니다. "어떤 데이터가 존재하나?"에 답합니다.
Standard eDiscovery
- 케이스 기반 콘텐츠 검색
- Hold 적용 가능
- 결과 내보내기 (PST/개별 파일)
- Exchange, Teams, SharePoint, OneDrive
- E3 라이선스 포함
Premium eDiscovery
- Advanced indexing (OCR 포함)
- Custodian 관리
- Review sets (태깅, 주석)
- Near-duplicate 분석
- E5 또는 eDiscovery Add-on 필요
✅ Audit vs eDiscovery 핵심 구분
| 항목 | Audit | eDiscovery |
|---|---|---|
| 목적 | 활동 로그 추적 | 실제 데이터 조사 |
| 대상 | 행위 로그 | 실제 콘텐츠 |
| 질문 | 누가 무엇을 했나? | 어떤 데이터가 있나? |
Section 07
❓Q&A 핵심 복습
01
Purview 4단계 흐름을 한 줄로 설명하면?
Describe the 4-stage Purview flow in one sentence.
- Information Protection: 데이터를 식별(Discover) → 분류(Classify) → 보호(Protect) → 관리(Govern)하는 기반 프레임워크
Foundation framework: Discover → Classify → Protect → Govern data - Sensitivity Labels: 분류된 데이터에 암호화·워터마크·공유 제한 등 보안 정책 적용
Apply encryption, watermarks, and sharing restrictions to classified data - DLP: 정책 기반으로 민감 데이터 유출 자동 탐지 및 차단/경고
Auto-detect and block/warn on sensitive data leakage based on policies - Audit & eDiscovery: 활동 로그 추적 및 법적·보안 목적의 콘텐츠 조사
Track activity logs and investigate content for legal or security purposes
02
Encrypt-Only와 Do Not Forward의 핵심 차이는?
Key difference between Encrypt-Only and Do Not Forward?
- Encrypt-Only: 암호화만 적용. 수신자는 전달, 인쇄, 복사 가능.
Encryption only — recipient can forward, print, and copy. - Do Not Forward: 암호화 + 전달/인쇄/복사 모두 차단.
Encryption + blocks forwarding, printing, and copying. - 두 옵션 모두 외부 수신자(Gmail 등)는 OTP 또는 Microsoft 계정으로 인증 후 열람 가능.
Both allow external recipients (Gmail, etc.) to view via OTP or Microsoft account authentication.
03
DLP로 메일이 차단됐을 때 Support 엔지니어로서 첫 번째 확인 단계는?
First step when a customer reports email blocked by DLP?
- 1단계: DLP 차단인지 Mail Flow Rule 차단인지 구분 (Policy Tip → DLP / NDR → Mail Flow Rule)
Distinguish: Policy Tip in Outlook = DLP block | NDR email = Mail Flow Rule block - 2단계:
Purview → DLP → Activity Explorer에서 정책 이름, 트리거 규칙, 사용자, 시간 확인
Check Activity Explorer for policy name, triggered rule, user, and timestamp - 3단계: 필요 시 정책 예외(Exception) 추가 또는 고객에게 Policy Tip 메시지 내용 설명
Add policy exception if needed or explain Policy Tip message to customer
04
Audit 로그에서 삭제된 메일을 조사하는 경로는?
How to investigate deleted emails via Audit?
- 경로:
Purview → Solutions → Audit → Search 탭
Navigate: Purview → Solutions → Audit → Search tab - 필터: Activities에서
Deleted messages또는Purged messages선택, 날짜/사용자/사서함 지정
Filter Activities: select Deleted/Purged messages → specify date, user, mailbox - 결과: 수행자, 시간, IP 주소, 사서함 확인 → CSV로 내보내기 가능
Results show actor, time, IP, mailbox — can export as CSV
05
법무팀에서 특정 직원의 모든 메일 제출을 요청받았다. 어떻게 처리하나?
Legal team requests all emails from a specific user. How to handle?
- 도구: Audit(행위 로그)이 아닌 eDiscovery(실제 콘텐츠) 사용
Use eDiscovery (content), not Audit (logs) Purview → eDiscovery → Standard → + Create a case→ 케이스 생성
Create a case in Purview eDiscovery Standard- 케이스 내 Searches → 조건 설정 (사용자, 기간, 키워드) → 검색 실행 → Export(PST 또는 개별 파일)
Add search with conditions → run → export as PST or individual files - eDiscovery Manager 역할 필요 (일반 관리자는 접근 불가)
Requires eDiscovery Manager role — general admins cannot access
Section 08
🎯오늘 이후 처리 가능한 지원 시나리오
🔴 Customer Problem
이메일에 신용카드 번호 포함했더니 전송이 안 됨
Email blocked after including credit card number in body
✅ Support Action
DLP 정책 트리거 확인 → Activity Explorer에서 정책 이름 확인 → 고객 안내
Check DLP Activity Explorer for triggered policy name and rule details
🔴 Customer Problem
암호화된 메일을 외부 수신자가 못 열겠다고 함
External recipient can't open encrypted email
✅ Support Action
OTP 인증 또는 Microsoft 계정으로 열람 방법 안내. Do Not Forward 여부 확인
Guide recipient to use OTP or MS account. Check if Do Not Forward is applied
🔴 Customer Problem
"내 메일이 갑자기 사라졌어요. 누가 삭제했나요?"
Emails missing — who deleted them?
✅ Support Action
Purview Audit → SoftDelete/HardDelete 이벤트 검색으로 행위자 특정
Search Audit for SoftDelete/HardDelete events to identify the actor
🔴 Customer Problem
Sensitivity Label 붙인 문서를 외부 공유했더니 상대방이 못 열어요
External party can't open a labeled document
✅ Support Action
레이블 암호화 설정 확인 (외부 사용자 허용 여부). 필요 시 레이블 정책 수정
Check label encryption settings for external access. Modify label policy if needed
🔴 Customer Problem
법무팀에서 퇴직한 직원의 메일 전체 제출 요청
Legal team requests all emails from a former employee
✅ Support Action
eDiscovery 케이스 생성 → Content Search → PST 내보내기. Inactive Mailbox 확인
Create eDiscovery case → Content Search → export PST. Check for inactive mailbox