들어가기 전
Microsoft Purview eDiscovery의 콘텐츠 검색(Content Search) 기능을 사용할 때,
일반적인 텍스트 검색과 달리 민감한 정보 유형(SIT, Sensitive Information Types) 검색 시에는 와일드카드(*)를 통한 전체 매칭이 지원되지 않습니다.
SensitiveType 속성과 함께 해당 SIT의 고유 ID(GUID) 값을 명확히 지정해야 KeyQL로 검색할 수 있습니다.
Microsoft 공식 문서에서는 다음과 같이 PowerShell 명령어를 통해 조직에서 생성한 커스텀 SIT의 이름과 ID를 확인할 수 있는 방법을 안내하고 있습니다.
Get-DlpSensitiveInformationType | Where-Object {$_.Publisher -ne "Microsoft Corporation"} | FT Name,Id
다만, PowerShell을 통해 추출된 ID 리스트를 KeyQL에서 그대로 사용할 수 없기 때문에 가공하는 과정이 필요합니다.
오늘 포스팅에서는 SIT ID 값을 KQL용 쿼리로 가공하여 eDiscovery에서 검색하는 방법에 대해 다뤄보겠습니다.
모든 SIT 값 추출 및 가공
1. 보안 및 준수 센터(IPPSSession) 모듈을 로드합니다.
Connect-IPPSSession
2. 테넌트에 등록된 모든 SIT ID를 추출한 뒤, 각 객체를 순회하며 KeyQL 구문(SensitiveType:ID)으로 변환하고 이를 OR 연산자로 결합합니다.
((Get-DlpSensitiveInformationType).Id | ForEach-Object { "SensitiveType:$($_)" }) -join " OR "
3.결과를 복사합니다.
커스텀 SIT 값만 추출 및 가공
Microsoft에서 기본 제공하는 SIT를 제외하고, 조직에서 직접 생성한 커스텀 SIT만을 대상으로 쿼리를 생성하는 방법입니다.
1. 보안 및 준수 센터(IPPSSession) 모듈을 로드합니다.
Connect-IPPSSession
2.Where-Object 필터를 통해 발행자(Publisher)가 'Microsoft Corporation'이 아닌 객체만 선별하여 가공합니다.
((Get-DlpSensitiveInformationType | Where-Object { $_.Publisher -ne "Microsoft Corporation" }).Id | ForEach-Object { "SensitiveType:$($_)" }) -join " OR "
3.결과를 복사합니다.
eDiscvoery Content Search에서 SIT 매칭 항목 검색
KeyQL 쿼리 편집기에 복사한 쿼리를 붙여넣기한 후 실행해 봅시다.
실행 결과를 확인해 보면 나열된 SIT ID와 매칭된 항목들이 검색된 것을 확인할 수 있습니다.
참고문서
본 글의 내용은 공식 문서, 실제 테스트 경험, 그리고 작성자의 개인적인 해석을 바탕으로 작성되었습니다.
환경이나 정책 그리고 시점에 따라 다르게 적용될 수 있으므로 참고용으로 활용해 주세요.
'Microsoft 365 > Purview' 카테고리의 다른 글
| 감사 로그에서 Teams 내의 파일 활동 로그 검색 방법(Search-UnifiedAuditLog) (0) | 2025.11.29 |
|---|---|
| 나만 열람 가능한 민감도 레이블 암호화 구성 (IPC_USER_ID_OWNER) (0) | 2025.11.13 |