Microsoft 365의 알림 정책

참고

이제 Microsoft 365 규정 준수를 Microsoft Purview라고 하며 규정 준수 영역 내의 솔루션이 브랜드가 다시 지정되었습니다. Microsoft Purview에 대한 자세한 내용은 블로그 공지 사항을 참조하세요.

Microsoft Purview 규정 준수 포털 또는 Microsoft 365 Defender 포털에서 경고 정책 및 경고 대시보드를 사용하여 경고 정책을 만든 다음 사용자가 경고 정책의 조건과 일치하는 활동을 수행할 때 생성된 경고를 볼 수 있습니다. Exchange Online 관리자 권한 할당, 맬웨어 공격, 피싱 캠페인, 비정상적인 수준의 파일 삭제 및 외부 공유와 같은 활동을 모니터링하는 데 도움이 되는 몇 가지 기본 경고 정책이 있습니다.

사용 가능한 경고 정책에 대한 목록 및 설명을 보려면 이 문서의 기본 경고 정책 섹션으로 이동합니다.

경고 정책을 사용하면 정책에 의해 트리거되는 경고를 분류하고, 조직의 모든 사용자에게 정책을 적용하고, 경고가 트리거되는 임계값 수준을 설정하고, 경고가 트리거될 때 이메일 알림을 받을지 여부를 결정할 수 있습니다. 경고를 보고 필터링하고, 경고를 관리하는 데 도움이 되도록 경고 상태를 설정한 다음, 기본 인시던트를 해결하거나 해결한 후 경고를 해제할 수 있는 경고 페이지도 있습니다.

참고

경고 정책은 Microsoft 365 Enterprise, Office 365 Enterprise 또는 Office 365 미국 정부 E1/F1/G1, E3/F3/G3 또는 E5/G5 구독이 있는 조직에서 사용할 수 있습니다. 고급 기능은 E5/G5 구독이 있는 조직 또는 E1/F1/G1 또는 E3/F3/G3 구독이 있고 Office 365용 Microsoft Defender P2 또는 Microsoft 365 E5 Compliance 또는 E5 eDiscovery 및 감사 추가 기능 구독이 있는 조직에서만 사용할 수 있습니다. E5/G5 또는 추가 기능 구독이 필요한 기능은 이 항목에서 강조 표시됩니다. 또한 경고 정책은 Office 365 GCC, GCC High 및 DoD 미국 정부 환경에서 사용할 수 있습니다.

경고 정책 작동 방식

다음은 경고 정책의 작동 방식과 사용자 또는 관리자 활동이 경고 정책의 조건과 일치할 때 트리거되는 경고에 대한 간략한 개요입니다.

경고 정책의 작동 방식에 대한 개요입니다.

  1. 조직의 관리자는 규정 준수 포털 또는 Microsoft 365 Defender 포털의 경고 정책 페이지를 사용하여 경고 정책을 만들고 구성하고 설정합니다. Security & Compliance Center PowerShell에서 New-ProtectionAlert cmdlet을 사용하여 경고 정책을 만들 수도 있습니다.

    경고 정책을 만들려면 준수 포털 또는 Defender 포털에서 경고 관리 역할 또는 조직 구성 역할을 할당받아야 합니다.

    참고

    경고 정책을 만들거나 업데이트한 후 정책에 의해 경고를 트리거하는 데 최대 24시간이 걸립니다. 이는 정책이 경고 검색 엔진에 동기화되어야 하기 때문입니다.

  2. 사용자가 경고 정책의 조건과 일치하는 활동을 수행합니다. 맬웨어 공격의 경우 조직의 사용자에게 전송된 감염된 전자 메일 메시지가 경고를 트리거합니다.

  3. Microsoft 365 준수 포털 또는 Defender 포털의 경고 페이지에 표시되는 경고를 생성합니다. 또한 경고 정책에 대해 전자 메일 알림을 사용하도록 설정된 경우 Microsoft는 받는 사람 목록에 알림을 보냅니다. 관리자 또는 다른 사용자가 경고 페이지에서 볼 수 있는 경고는 사용자에게 할당된 역할에 따라 결정됩니다. 자세한 내용은 경고를 보는 데 필요한 RBAC 권한을 참조하세요.

  4. 관리자는 규정 준수 센터에서 경고를 관리합니다. 경고 관리는 조사를 추적하고 관리하는 데 도움이 되는 경고 상태를 할당하는 것으로 구성됩니다.

경고 정책 설정

경고 정책은 경고를 생성하는 사용자 또는 관리자 활동을 정의하는 규칙 및 조건 집합, 활동을 수행하는 경우 경고를 트리거하는 사용자 목록 및 경고가 트리거되기 전에 활동이 발생한 횟수를 정의하는 임계값으로 구성됩니다. 또한 정책을 분류하고 심각도 수준을 할당합니다. 이러한 두 설정은 정책을 관리하고 규정 준수 센터에서 경고를 볼 때 이러한 설정을 필터링할 수 있으므로 경고 정책(및 정책 조건이 일치할 때 트리거되는 경고)을 관리하는 데 도움이 됩니다. 예를 들어 동일한 범주의 조건과 일치하는 경고를 보거나 심각도 수준이 동일한 경고를 볼 수 있습니다.

경고 정책을 보고 만들려면 다음을 수행합니다.

Microsoft Purview 규정 준수 포털

준수 포털로 이동한 다음 PoliciesAlertAlert > > 정책을 선택합니다.

준수 센터에서 정책을 선택하고 경고에서 경고 정책을 선택하여 경고 정책을 보고 만듭니다.

Microsoft 365 Defender 포털

Microsoft 365 Defender 포털로 이동하고 이메일 & 공동 작업 에서 정책 & rulesAlert > 정책을 선택합니다. 또는 .https://security.microsoft.com/alertpolicies

Defender 포털에서 이메일 & 공동 작업에서 정책 & 규칙을 선택한 다음 경고 정책을 선택하여 경고 정책을 보고 만듭니다.

참고

준수 센터 또는 Defender 포털에서 경고 정책을 보려면 View-Only 경고 관리 역할이 할당되어야 합니다. 경고 정책을 만들고 편집하려면 경고 관리 역할이 할당되어야 합니다. 자세한 내용은 보안 및 규정 준수 센터의 사용 권한을 참조하세요.

경고 정책은 다음 설정 및 조건으로 구성됩니다.

  • 경고가 추적하는 활동입니다. 활동을 추적하거나 경우에 따라 파일을 공유하거나 액세스 권한을 할당하거나 익명 링크를 만들어 외부 사용자와 파일을 공유하는 등의 몇 가지 관련 활동을 추적하는 정책을 만듭니다. 사용자가 정책에 정의된 활동을 수행하면 경고 임계값 설정에 따라 경고가 트리거됩니다.

    참고

    추적할 수 있는 활동은 조직의 Office 365 Enterprise 또는 Office 365 미국 정부 계획에 따라 달라집니다. 일반적으로 맬웨어 캠페인 및 피싱 공격과 관련된 활동에는 Office 365용 Defender 플랜 2 추가 기능 구독이 있는 E5/G5 구독 또는 E1/F1/G1 또는 E3/F3/G3 구독이 필요합니다.

  • 활동 조건. 대부분의 활동에서 경고를 트리거하기 위해 충족해야 하는 추가 조건을 정의할 수 있습니다. 일반적인 조건에는 IP 주소(사용자가 특정 IP 주소 또는 IP 주소 범위 내에서 컴퓨터에서 작업을 수행할 때 경고가 트리거되도록), 특정 사용자 또는 사용자가 해당 작업을 수행하는 경우 경고가 트리거되는지 여부, 특정 파일 이름 또는 URL에서 활동이 수행되는지 여부가 포함됩니다. 조직의 모든 사용자가 작업을 수행할 때 경고를 트리거하는 조건을 구성할 수도 있습니다. 사용 가능한 조건은 선택한 활동에 따라 달라집니다.

경고 정책의 조건으로 사용자 태그를 정의할 수도 있습니다. 이로 인해 영향을 받는 사용자의 컨텍스트를 포함하도록 정책에 의해 트리거되는 경고가 발생합니다. 시스템 사용자 태그 또는 사용자 지정 사용자 태그를 사용할 수 있습니다. 자세한 내용은 Office 365용 Microsoft Defender 사용자 태그를 참조하세요.

  • 경고가 트리거되는 경우 경고가 트리거되기 전에 활동이 발생할 수 있는 빈도를 정의하는 설정을 구성할 수 있습니다. 이렇게 하면 활동이 정책 조건과 일치할 때마다, 특정 임계값을 초과하는 경우 또는 경고가 추적하는 활동의 발생이 조직에서 비정상적으로 발생할 때마다 경고를 생성하는 정책을 설정할 수 있습니다.

    활동이 발생하는 시기, 임계값 또는 조직에 대한 비정상적인 활동에 따라 경고가 트리거되는 방법을 구성합니다.

    비정상적인 활동에 따라 설정을 선택하면 Microsoft는 선택한 활동의 일반 빈도를 정의하는 기준 값을 설정합니다. 이 기준을 설정하는 데 최대 7일이 걸리며, 이 기간 동안 경고가 생성되지 않습니다. 기준이 설정되면 경고 정책에 의해 추적된 활동의 빈도가 기준 값을 크게 초과하면 경고가 트리거됩니다. 감사 관련 활동(예: 파일 및 폴더 활동)의 경우 단일 사용자 또는 조직의 모든 사용자를 기반으로 기준을 설정할 수 있습니다. 맬웨어 관련 활동의 경우 조직의 단일 맬웨어 패밀리, 단일 받는 사람 또는 모든 메시지를 기반으로 기준을 설정할 수 있습니다.

    참고

    임계값 또는 비정상적인 활동에 따라 경고 정책을 구성하는 기능을 사용하려면 E5/G5 구독 또는 E1/F1/G1 또는 E3/F3/G3 구독과 Office 365용 Microsoft Defender P2, Microsoft 365 E5 Compliance 또는 Microsoft 365 eDiscovery 및 감사 추가 기능 구독이 필요합니다. E1/F1/G1 및 E3/F3/G3 구독을 사용하는 조직은 활동이 발생할 때마다 경고가 트리거되는 경고 정책만 만들 수 있습니다.

  • 경고 범주 입니다. 정책에서 생성된 경고를 추적하고 관리하는 데 도움이 되도록 다음 범주 중 하나를 정책에 할당할 수 있습니다.

    • 데이터 손실 방지

    • 데이터 수명 주기 관리

    • 메일 흐름

    • 사용 권한

    • 위협 관리

    • 기타

    경고 정책의 조건과 일치하는 활동이 발생하면 생성된 경고는 이 설정에 정의된 범주로 태그가 지정됩니다. 범주에 따라 경고를 정렬하고 필터링할 수 있으므로 규정 준수 센터의 경고 페이지에서 동일한 범주 설정이 있는 경고를 추적하고 관리할 수 있습니다.

  • 경고 심각도. 경고 범주와 마찬가지로 심각도 특성(낮음, 보통, 음 또는 정보)을 경고 정책에 할당합니다. 경고 범주와 마찬가지로 경고 정책의 조건과 일치하는 활동이 발생하면 생성된 경고는 경고 정책에 대해 설정된 것과 동일한 심각도 수준으로 태그가 지정됩니다. 이렇게 하면 경고 페이지에서 심각도 설정이 동일한 경고를 추적하고 관리할 수 있습니다 . 예를 들어 심각도가 높은 경고만 표시되도록 경고 목록을 필터링할 수 있습니다.

    경고 정책을 설정할 때 사용자에게 배달 후 맬웨어 검색, 중요 또는 기밀 데이터 보기, 외부 사용자와 데이터 공유 또는 데이터 손실 또는 보안 위협을 초래할 수 있는 기타 활동 등 심각한 부정적인 결과를 초래할 수 있는 활동에 더 높은 심각도를 할당하는 것이 좋습니다. 이렇게 하면 경고 및 기본 원인을 조사하고 해결하기 위해 수행하는 작업의 우선 순위를 지정하는 데 도움이 될 수 있습니다.

  • 자동화된 조사. 일부 경고는 자동화된 조사를 트리거하여 수정 또는 완화가 필요한 잠재적 위협 및 위험을 식별합니다. 대부분의 경우 이러한 경고는 악의적인 전자 메일 또는 활동을 검색하여 트리거되지만 경우에 따라 보안 포털의 관리자 작업에 의해 경고가 트리거됩니다. 자동화된 조사에 대한 자세한 내용은 Office 365용 Microsoft Defender AIR(자동 조사 및 대응)를 참조하세요.

  • 전자 메일 알림. 경고가 트리거될 때 사용자 목록으로 전자 메일 알림을 보내거나 보내지 않도록 정책을 설정할 수 있습니다. 최대 알림 수에 도달하면 해당 날짜 동안 경고에 대한 알림이 더 이상 전송되지 않도록 일일 알림 제한을 설정할 수도 있습니다. 전자 메일 알림 외에도 사용자 또는 다른 관리자는 경고 페이지의 정책에 의해 트리거되는 경고를 볼 수 있습니다. 특정 범주의 경고 정책에 대해 또는 심각도 설정이 더 높은 전자 메일 알림을 사용하도록 설정하는 것이 좋습니다.

기본 경고 정책

Microsoft는 Exchange 관리자 권한 남용, 맬웨어 활동, 잠재적인 외부 및 내부 위협 및 데이터 수명 주기 관리 위험을 식별하는 데 도움이 되는 기본 제공 경고 정책을 제공합니다. 경고 정책 페이지에서 이러한 기본 제공 정책의 이름은 굵게 표시되고 정책 유형은 System 으로 정의됩니다. 이러한 정책은 기본적으로 켜져 있습니다. 이러한 정책을 끄거나 다시 켜고, 전자 메일 알림을 보낼 받는 사람 목록을 설정하고, 일일 알림 제한을 설정할 수 있습니다. 이러한 정책에 대한 다른 설정은 편집할 수 없습니다.

다음 표에서는 사용 가능한 기본 경고 정책 및 각 정책이 할당된 범주를 나열하고 설명합니다. 범주는 사용자가 경고 페이지에서 볼 수 있는 경고를 결정하는 데 사용됩니다. 자세한 내용은 경고를 보는 데 필요한 RBAC 권한을 참조하세요.

또한 테이블은 각 계획에 필요한 Office 365 Enterprise 및 Office 365 미국 정부 계획을 나타냅니다. 조직에 E1/F1/G1 또는 E3/F3/G3 구독 외에 적절한 추가 기능 구독이 있는 경우 일부 기본 경고 정책을 사용할 수 있습니다.

기본 경고 정책 설명 범주 자동화된 조사 Enterprise 구독
잠재적으로 악의적인 URL 클릭이 검색되었습니다. 조직의 금고 링크로 보호되는 사용자가 악성 링크를 클릭하면 경고를 생성합니다. 이 이벤트는 URL 평결 변경 내용이 Office 365용 Microsoft Defender 의해 식별되거나 사용자가 금고 링크 페이지를 재정의할 때 트리거됩니다(비즈니스 금고 링크 정책에 대한 조직의 Microsoft 365 기반). 이 경고 정책에는 심각도가 높은 설정이 있습니다. Office 365용 Defender P2, E5, G5 고객의 경우 이 경고는 Office 365 자동 조사 및 응답을 자동으로 트리거합니다. 이 경고를 트리거하는 이벤트에 대한 자세한 내용은 금고 링크 정책 설정을 참조하세요. 위협 관리 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
관리자 전송 결과 완료 관리자 제출이 제출된 엔터티의 다시 검색을 완료하면 경고를 생성합니다. 관리자 제출에서 다시 검사 결과가 렌더링될 때마다 경고가 트리거됩니다. 이러한 경고는 이전 제출의 결과를 검토하고, 사용자가 보고한 메시지를 제출하여 최신 정책 검사를 받고, 판결을 다시 검사하고, 조직의 필터링 정책이 의도한 영향을 미치는지 확인하는 데 도움이 되도록 하기 위한 것입니다. 이 정책에는 정보 심각도 설정이 있습니다. 위협 관리 아니오 E1/F1, E3/F3 또는 E5
관리자가 전자 메일 수동 조사를 트리거했습니다. 관리자가 위협 탐색기에서 전자 메일의 수동 조사를 트리거할 때 경고를 생성합니다. 자세한 내용은 예제: 보안 관리자가 위협 탐색기에서 조사를 트리거합니다. 이 경고는 조사가 시작되었음을 조직에 알릴 수 있습니다. 경고는 누가 트리거했는지에 대한 정보를 제공하며 조사에 대한 링크를 포함합니다. 이 정책에는 정보 심각도 설정이 있습니다. 위협 관리 E5/G5 또는 Office 365용 Microsoft Defender P2 추가 기능 구독
관리자가 트리거한 사용자 손상 조사 관리자가 위협 탐색기에서 전자 메일 보낸 사람 또는 받는 사람에 대한 수동 사용자 손상 조사를 트리거할 때 경고를 생성합니다. 자세한 내용은 예제: 보안 관리자가 위협 탐색기에서 조사를 트리거하여 전자 메일에 대한 조사의 관련 수동 트리거를 보여 줍니다. 이 경고는 사용자 손상 조사가 시작되었음을 조직에 알릴 수 있습니다. 경고는 누가 트리거했는지에 대한 정보를 제공하며 조사에 대한 링크를 포함합니다. 이 정책에는 중간 심각도 설정이 있습니다. 위협 관리 E5/G5 또는 Office 365용 Microsoft Defender P2 추가 기능 구독
전달/리디렉션 규칙 만들기 조직의 누군가가 메시지를 다른 전자 메일 계정으로 전달하거나 리디렉션하는 사서함에 대한 받은 편지함 규칙을 만들 때 경고를 생성합니다. 이 정책은 웹용 Outlook(이전의 Outlook Web App) 또는 Exchange Online PowerShell을 사용하여 만든 받은 편지함 규칙만 추적합니다. 이 정책에는 정보 심각도 설정이 있습니다. 받은 편지함 규칙을 사용하여 웹용 Outlook 전자 메일을 전달하고 리디렉션하는 방법에 대한 자세한 내용은 웹용 Outlook 규칙 사용을 참조하여 메시지를 다른 계정으로 자동으로 전달합니다. 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
e eDiscovery 시작 또는 내보내기 누군가가 보안 및 규정 준수 센터에서 콘텐츠 검색 도구를 사용할 때 경고를 생성합니다. 다음 콘텐츠 검색 활동이 수행되면 경고가 트리거됩니다.

  • 콘텐츠 검색이 시작됨
  • 콘텐츠 검색 결과가 내보내집니다.
  • 콘텐츠 검색 보고서를 내보냅니다.

    또한 eDiscovery 사례와 관련하여 이전 콘텐츠 검색 활동이 수행될 때 경고가 트리거됩니다. 이 정책에는 정보 심각도 설정이 있습니다. 콘텐츠 검색 활동에 대한 자세한 내용은 감사 로그에서 eDiscovery 활동 검색을 참조하세요.
  • 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    Exchange 관리자 권한 상승 Exchange Online 조직에서 관리자 권한이 할당되면 경고를 생성합니다. 예를 들어 사용자가 Exchange Online 조직 관리 역할 그룹에 추가되는 경우입니다. 이 정책에는 심각도 설정이 습니다. 권한 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    악성 파일이 포함된 전자 메일 메시지가 전달 후 제거됨 악성 파일이 포함된 메시지가 조직의 사서함에 배달되면 경고를 생성합니다. 이 이벤트가 발생하면 Microsoft는 0시간 자동 제거를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다. 이 정책에는 정보 심각도 설정이 있으며 Office 365 자동 조사 및 응답을 자동으로 트리거합니다. 이 새 정책에 대한 자세한 내용은 Office 365용 Microsoft Defender 새 경고 정책을 참조하세요. 위협 관리 E5/G5 또는 Office 365용 Microsoft Defender P2 추가 기능 구독
    악성 URL이 포함된 전자 메일 메시지가 전달 후 제거됨 악성 URL이 포함된 메시지가 조직의 사서함에 배달되면 경고를 생성합니다. 이 이벤트가 발생하면 Microsoft는 0시간 자동 제거를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다. 이 정책에는 정보 심각도 설정이 있으며 Office 365 자동 조사 및 응답을 자동으로 트리거합니다. 이 새 정책에 대한 자세한 내용은 Office 365용 Microsoft Defender 새 경고 정책을 참조하세요. 위협 관리 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    배달 후 제거된 캠페인의 전자 메일 메시지 캠페인과 연결된 모든 메시지가 조직의 사서함에 배달되면 경고를 생성합니다. 이 이벤트가 발생하면 Microsoft는 0시간 자동 제거를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다. 이 정책에는 정보 심각도 설정이 있으며 Office 365 자동 조사 및 응답을 자동으로 트리거합니다. 이 새 정책에 대한 자세한 내용은 Office 365용 Microsoft Defender 새 경고 정책을 참조하세요. 위협 관리 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    배달 후 제거된 전자 메일 메시지 악성 엔터티(URL 또는 파일)를 포함하지 않거나 캠페인과 연결된 악성 메시지가 조직의 사서함에 전달되면 경고를 생성합니다. 이 이벤트가 발생하면 Microsoft는 0시간 자동 제거를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다. 이 정책에는 정보 심각도 설정이 있으며 Office 365 자동 조사 및 응답을 자동으로 트리거합니다. 이 새 정책에 대한 자세한 내용은 Office 365용 Microsoft Defender 새 경고 정책을 참조하세요. 위협 관리 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    사용자가 맬웨어 또는 피싱 메일로 보고한 전자 메일 조직의 사용자가 보고서 메시지 추가 기능을 사용하여 메시지를 피싱 전자 메일로 보고할 때 경고를 생성합니다. 이 정책에는 심각도 설정이 습니다. 이 추가 기능에 대한 자세한 내용은 보고서 메시지 추가 기능 사용을 참조하세요. Office 365용 Defender P2, E5, G5 고객의 경우 이 경고는 Office 365 자동 조사 및 응답을 자동으로 트리거합니다. 위협 관리 E1/F1/G1, E3/F3/G3 또는 E5/G5
    전자 메일 보내기 제한이 초과됨 조직의 누군가가 아웃바운드 스팸 정책에서 허용하는 것보다 더 많은 메일을 보낸 경우 경고를 생성합니다. 이는 일반적으로 사용자가 너무 많은 전자 메일을 보내거나 계정이 손상되었을 수 있음을 나타냅니다. 이 정책에는 중간 심각도 설정이 있습니다. 이 경고 정책에 의해 생성된 경고가 발생하면 사용자 계정이 손상되었는지 확인하는 것이 좋습니다. 위협 관리 아니요 E1/F1/G1, E3/F3/G3 또는 E5/G5
    잠재적인 피싱 시도로 인해 차단된 양식 조직의 누군가가 반복된 피싱 시도 동작이 감지되어 Microsoft Forms 사용하여 양식을 공유하고 응답을 수집할 수 없는 경우 경고를 생성합니다. 이 정책에는 높은 심각도 설정이 있습니다. 위협 관리 아니오 E1, E3/F3 또는 E5
    피싱으로 신고 및 확인된 양식 조직 내에서 Microsoft Forms 만든 양식이 보고서 남용을 통해 잠재적 피싱으로 식별되고 Microsoft에서 피싱으로 확인되면 경고를 생성합니다. 이 정책에는 높은 심각도 설정이 있습니다. 위협 관리 아니오 E1, E3/F3 또는 E5
    메시지가 지연되었습니다. Microsoft가 커넥터를 사용하여 온-프레미스 조직 또는 파트너 서버에 전자 메일 메시지를 배달할 수 없는 경우 경고를 생성합니다. 이 경우 메시지는 Office 365 큐에 대기됩니다. 이 경고는 1시간 넘게 큐에 대기된 메시지가 2,000개 이상 있을 때 트리거됩니다. 이 정책에는 높은 심각도 설정이 있습니다. 메일 흐름 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    배달 후 검색된 맬웨어 캠페인 맬웨어가 포함된 비정상적으로 많은 수의 메시지가 조직의 사서함에 배달되면 경고를 생성합니다. 이 이벤트가 발생하면 Microsoft는 Exchange Online 사서함에서 감염된 메시지를 제거합니다. 이 정책에는 높은 심각도 설정이 있습니다. 위협 관리 아니오 E5/G5 또는 Office 365용 Microsoft Defender P2 추가 기능 구독
    맬웨어 캠페인이 검색 및 차단됨 누군가가 조직의 사용자에게 특정 유형의 맬웨어가 포함된 비정상적으로 많은 수의 전자 메일 메시지를 보내려고 하면 경고를 생성합니다. 이 이벤트가 발생하면 감염된 메시지가 Microsoft에 의해 차단되고 사서함에 배달되지 않습니다. 이 정책에는 심각도 설정이 습니다. 위협 관리 아니오 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    SharePoint 및 OneDrive 검색된 맬웨어 캠페인 조직의 SharePoint 사이트 또는 OneDrive 계정에 있는 파일에서 비정상적으로 많은 양의 맬웨어 또는 바이러스가 감지되면 경고를 생성합니다. 이 정책에는 높은 심각도 설정이 있습니다. 위협 관리 아니오 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    ZAP를 사용할 수 없으므로 맬웨어가 잘리지 않음 Microsoft에서 맬웨어 메시지를 사서함으로 배달하는 것을 감지하면 Zero-Hour 피싱 메시지 자동 제거가 비활성화되어 경고를 생성합니다. 이 정책에는 정보 심각도 설정이 있습니다. 위협 관리 아니오 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    사용자의 정크 메일 폴더를 사용할 수 없으므로 피싱이 배달됨 Microsoft에서 사용자의 정크 메일 폴더가 비활성화된 것을 감지하면 경고를 생성하여 높은 신뢰도의 피싱 메시지를 사서함에 배달할 수 있습니다. 이 정책에는 정보 심각도 설정이 있습니다. 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    ETR 재정의로 인해 전달된 피싱 Microsoft가 높은 신뢰도의 피싱 메시지를 사서함에 배달할 수 있는 ETR(Exchange 전송 규칙)을 감지하면 경고를 생성합니다. 이 정책에는 정보 심각도 설정이 있습니다. Exchange 전송 규칙(메일 흐름 규칙)에 대한 자세한 내용은 Exchange Online 메일 흐름 규칙(전송 규칙)을 참조하세요. 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    IP 허용 정책으로 인해 전달된 피싱 Microsoft가 높은 신뢰도의 피싱 메시지를 사서함에 배달할 수 있는 IP 허용 정책을 감지하면 경고를 생성합니다. 이 정책에는 정보 심각도 설정이 있습니다. IP 허용 정책(연결 필터링)에 대한 자세한 내용은 기본 연결 필터 정책 구성(Office 365)을 참조하세요. 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    ZAP가 비활성화되어 피시가 잘리지 않음 Microsoft에서 높은 신뢰도의 피싱 메시지를 사서함에 배달하는 것을 감지하면 Zero-Hour 피싱 메시지 자동 제거가 비활성화되어 경고를 생성합니다. 이 정책에는 정보 심각도 설정이 있습니다. 위협 관리 아니오 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    테넌트 또는 사용자 재정의로 인해 피싱이 배달됨1 Microsoft에서 관리자 또는 사용자 재정의로 사서함에 피싱 메시지를 배달할 수 있는 것을 감지하면 경고를 생성합니다. 재정의의 예로는 특정 보낸 사람 또는 도메인의 메시지를 허용하는 받은 편지함 또는 메일 흐름 규칙 또는 특정 보낸 사람 또는 도메인의 메시지를 허용하는 스팸 방지 정책이 있습니다. 이 정책에는 높은 심각도 설정이 있습니다. 위협 관리 아니오 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    의심스러운 전자 메일 전달 활동 조직의 누군가가 의심스러운 외부 계정으로 전자 메일을 자동으로 전달한 경우 경고를 생성합니다. 이는 계정이 손상되었음을 나타낼 수 있지만 사용자를 제한할 만큼 심각하지 않은 동작에 대한 조기 경고입니다. 이 정책에는 높은 심각도 설정이 있습니다. 드물긴 하지만 이 정책에 의해 생성된 경고는 변칙일 수 있습니다. 사용자 계정이 손상되었는지 확인하는 것이 좋습니다. 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    의심스러운 전자 메일 보내기 패턴이 검색됨 조직의 누군가가 의심스러운 전자 메일을 보내고 전자 메일 전송이 제한될 위험이 있는 경우 경고를 생성합니다. 이는 계정이 손상되었음을 나타낼 수 있지만 사용자를 제한할 만큼 심각하지 않은 동작에 대한 조기 경고입니다. 이 정책에는 중간 심각도 설정이 있습니다. 드물긴 하지만 이 정책에 의해 생성된 경고는 변칙일 수 있습니다. 그러나 사용자 계정이 손상되었는지 확인하는 것이 좋습니다. 위협 관리 E1/F1/G1, E3/F3/G3 또는 E5/G5
    테넌트 허용/차단 목록 항목이 곧 만료됩니다. 테넌트 허용/차단 목록 항목이 제거될 때 경고를 생성합니다. 이 이벤트는 항목이 생성되거나 마지막으로 업데이트된 시기를 기반으로 하는 만료 날짜 3일 전에 트리거됩니다. 이 경고 정책에는 정보 심각도 설정이 있습니다. 허용 또는 차단이 사라질 수 있기 때문에 필터의 예정된 변경 내용을 관리자에게 알리기 위한 것입니다. 블록의 경우 만료 날짜를 연장하여 블록을 제자리에 유지할 수 있습니다. 허용을 위해 분석가가 다른 모습을 볼 수 있도록 항목을 다시 제출해야 합니다. 그러나 허용이 이미 가양성으로 등급이 매겨진 경우 입력을 자연스럽게 허용하도록 시스템 필터가 업데이트된 경우에만 항목이 만료됩니다. 이 경고를 트리거하는 이벤트에 대한 자세한 내용은 테넌트 허용/차단 목록 관리를 참조하세요. 위협 관리 아니오 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    테넌트가 전자 메일 보내기가 제한됨 조직의 대부분의 전자 메일 트래픽이 의심스러운 것으로 감지되고 Microsoft가 조직에서 전자 메일을 보내지 못하도록 제한하면 경고를 생성합니다. 잠재적으로 손상된 사용자 및 관리자 계정, 새 커넥터 또는 열린 릴레이를 조사한 다음 Microsoft 지원 문의하여 조직의 차단을 해제합니다. 이 정책에는 높은 심각도 설정이 있습니다. 조직이 차단되는 이유에 대한 자세한 내용은 Exchange Online 오류 코드 5.7.7xx에 대한 전자 메일 배달 문제 해결을 참조하세요. 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    테넌트가 프로비전되지 않은 전자 메일을 보내지 못하도록 제한됨 등록되지 않은 도메인( 프로비전되지 않은 도메인이라고도 함)에서 너무 많은 전자 메일을 보낼 때 경고를 생성합니다. Office 365를 사용하면 등록되지 않은 도메인에서 적정량의 전자 메일을 받을 수 있지만, 전자 메일을 허용된 도메인으로 보내는 데 사용하는 모든 도메인을 구성해야 합니다. 이 경고는 조직의 모든 사용자가 더 이상 전자 메일을 보낼 수 없음을 나타냅니다. 이 정책에는 높은 심각도 설정이 있습니다. 조직이 차단되는 이유에 대한 자세한 내용은 Exchange Online 오류 코드 5.7.7xx에 대한 전자 메일 배달 문제 해결을 참조하세요. 위협 관리 아니요 E1/F1/G1, E3/F3/G3 또는 E5/G5
    비정상적인 외부 사용자 파일 작업 조직 외부 사용자가 SharePoint 또는 OneDrive 파일에 대해 비정상적으로 많은 수의 활동이 수행되면 경고를 생성합니다. 여기에는 파일 액세스, 파일 다운로드 및 파일 삭제와 같은 활동이 포함됩니다. 이 정책에는 높은 심각도 설정이 있습니다. 데이터 수명 주기 관리 아니요 E5/G5, Office 365용 Microsoft Defender P2 또는 Microsoft 365 E5 추가 기능 구독
    비정상적인 외부 파일 공유 볼륨 SharePoint 또는 OneDrive 비정상적으로 많은 수의 파일이 조직 외부의 사용자와 공유되면 경고를 생성합니다. 이 정책에는 중간 심각도 설정이 있습니다. 데이터 수명 주기 관리 아니요 E5/G5, Office 365용 Defender P2 또는 Microsoft 365 E5 추가 기능 구독
    비정상적인 파일 삭제 볼륨 SharePoint 비정상적으로 많은 수의 파일이 삭제되거나 짧은 시간 내에 OneDrive 경우 경고를 생성합니다. 이 정책에는 중간 심각도 설정이 있습니다. 데이터 수명 주기 관리 아니요 E5/G5, Office 365용 Defender P2 또는 Microsoft 365 E5 추가 기능 구독
    피싱 메일로 보고된 전자 메일의 비정상적인 증가 Outlook 보고서 메시지 추가 기능을 사용하여 피싱 메일로 메시지를 보고하는 조직의 사용자 수가 크게 증가하면 경고를 생성합니다. 이 정책에는 중간 심각도 설정이 있습니다. 이 추가 기능에 대한 자세한 내용은 보고서 메시지 추가 기능 사용을 참조하세요. 위협 관리 아니오 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    받은 편지함/folder1,2에 배달된 사용자 가장 피시 Microsoft가 관리자 또는 사용자 재정의로 인해 사용자 가장 피싱 메시지를 사서함의 받은 편지함(또는 다른 사용자가 액세스할 수 있는 폴더)에 배달할 수 있음을 감지하면 경고를 생성합니다. 재정의의 예로는 특정 보낸 사람 또는 도메인의 메시지를 허용하는 받은 편지함 또는 메일 흐름 규칙 또는 특정 보낸 사람 또는 도메인의 메시지를 허용하는 스팸 방지 정책이 있습니다. 이 정책에는 중간 심각도 설정이 있습니다. 위협 관리 아니요 E5/G5 또는 Office 365용 Defender P2 추가 기능 구독
    격리된 메시지를 해제하도록 요청한 사용자 사용자가 격리된 메시지에 대한 릴리스를 요청할 때 경고를 생성합니다. 격리된 메시지의 릴리스를 요청하려면 격리 정책(예: 제한된 액세스 사전 설정 권한 그룹)에서 수신자가 격리(PermissionToRequestRelease) 권한에서 해제할 메시지를 요청하도록 허용 해야 합니다. 자세한 내용은 받는 사람이 격리 권한에서 해제할 메시지를 요청하도록 허용을 참조하세요. 이 정책에는 정보 심각도 설정이 있습니다. 위협 관리 아니오 E1/F1/G1, E3/F3/G3 또는 E5/G5
    사용자가 전자 메일을 보낼 수 없습니다. 조직의 누군가가 아웃바운드 메일을 보내는 것이 제한되면 경고를 생성합니다. 이는 일반적으로 계정이 손상되고 사용자가 규정 준수 포털의 제한된 사용자 페이지에 나열될 때 발생합니다. (이 페이지에 액세스하려면 위협 관리 > 제한된 사용자 > 검토)로 이동합니다. 이 정책에는 높은 심각도 설정이 있습니다. 제한된 사용자에 대한 자세한 내용은 스팸 메일을 보낸 후 차단 목록에서 사용자, 도메인 또는 IP 주소 제거를 참조하세요. 위협 관리 E1/F1/G1, E3/F3/G3 또는 E5/G5
    양식 공유 및 응답 수집이 제한된 사용자 조직의 누군가가 반복된 피싱 시도 동작이 감지되어 Microsoft Forms 사용하여 양식을 공유하고 응답을 수집할 수 없는 경우 경고를 생성합니다. 이 정책에는 높은 심각도 설정이 있습니다. 위협 관리 아니오 E1, E3/F3 또는 E5

    참고

    1 고객 피드백에 따라 이 기본 경고 정책을 일시적으로 제거했습니다. 우리는 그것을 개선하기 위해 노력하고 있으며, 가까운 장래에 새로운 버전으로 대체 할 것입니다. 그때까지 다음 설정을 사용하여 이 기능을 대체하는 사용자 지정 경고 정책을 만들 수 있습니다.

    • 활동은 배달 시 감지된 피시 전자 메일입니다.
    • 메일이 ZAP가 아닌 경우
    • 메일 방향이 인바운드입니다.
    • 메일 배달 상태가 배달됨
    • 검색 기술은 악성 URL 보존, URL 폭발, 고급 피싱 필터, 일반 피싱 필터, 도메인 가장, 사용자 가장 및 브랜드 가장입니다.
    Office 365 피싱 방지에 대한 자세한 내용은 피싱 방지 및 피싱 방지 정책 설정을 참조하세요.

    2 이 경고 정책을 다시 만들려면 이전 각주에 있는 지침을 따르지만 사용자 가장을 유일한 검색 기술로 선택합니다.

    일부 기본 제공 정책에서 모니터링하는 비정상적인 활동은 이전에 설명한 경고 임계값 설정과 동일한 프로세스를 기반으로 합니다. Microsoft는 "일반적인" 활동의 일반 빈도를 정의하는 기준 값을 설정합니다. 그런 다음 기본 제공 경고 정책에 의해 추적되는 활동의 빈도가 기준 값을 크게 초과하면 경고가 트리거됩니다.

    경고 보기

    조직의 사용자가 수행하는 활동이 경고 정책의 설정과 일치하면 경고가 생성되고 규정 준수 센터 또는 Defender 포털의 경고 페이지에 표시됩니다. 경고 정책의 설정에 따라 경고가 트리거될 때 전자 메일 알림도 지정된 사용자 목록으로 전송됩니다. 각 경고에 대해 경고 페이지의 대시보드에는 해당 경고 정책의 이름, 경고의 심각도 및 범주(경고 정책에 정의됨) 및 경고가 생성되는 활동이 발생한 횟수가 표시됩니다. 이 값은 경고 정책의 임계값 설정을 기반으로 합니다. 대시보드에는 각 경고의 상태도 표시됩니다. 상태 속성을 사용하여 경고를 관리하는 방법에 대한 자세한 내용은 경고 관리를 참조하세요.

    경고를 보려면 다음을 수행합니다.

    Microsoft Purview 규정 준수 포털

    으로 https://compliance.microsoft.com 이동한 다음 경고를 선택합니다. 또는 .https://compliance.microsoft.com/compliancealerts

    준수 포털에서 경고를 선택합니다.

    Microsoft 365 Defender 포털

    Microsoft 365 Defender 포털로 이동한 다음 , AlertsAlerts를 & > 인시 던트를 선택합니다. 또는 .https://security.microsoft.com/alerts

    Microsoft 365 Defender 포털에서 인시던트 & 경고를 선택한 다음 경고를 선택합니다.

    다음 필터를 사용하여 경고 페이지에서 모든 경고의 하위 집합을 볼 수 있습니다 .

    • 상태. 이 필터를 사용하여 특정 상태가 할당된 경고를 표시합니다. 기본 상태는 활성 상태입니다. 사용자 또는 다른 관리자는 상태 값을 변경할 수 있습니다.

    • 정책. 이 필터를 사용하여 하나 이상의 경고 정책 설정과 일치하는 경고를 표시합니다. 또는 모든 경고 정책에 대한 모든 경고를 표시할 수 있습니다.

    • 시간 범위입니다. 이 필터를 사용하여 특정 날짜 및 시간 범위 내에서 생성된 경고를 표시합니다.

    • 심각도. 이 필터를 사용하여 특정 심각도가 할당된 경고를 표시합니다.

    • 범주. 이 필터를 사용하여 하나 이상의 경고 범주의 경고를 표시합니다.

    • 태그. 이 필터를 사용하여 하나 이상의 사용자 태그에서 경고를 표시합니다. 태그는 경고에 표시되는 태그가 지정된 사서함 또는 사용자를 기반으로 반영됩니다. 자세한 내용은 Office 356 ATP의 사용자 태그를 참조하세요.

    • 소스. 이 필터를 사용하여 준수 센터의 경고 정책에 의해 트리거되는 경고 또는 Office 365 Cloud App Security 정책에 의해 트리거된 경고 또는 둘 다를 표시합니다. Office 365 Cloud App Security 경고에 대한 자세한 내용은 클라우드용 Defender 앱 경고 보기를 참조하세요.

    중요

    사용자 태그별 필터링 및 정렬은 현재 공개 미리 보기로 제공됩니다. 상업적으로 출시되기 전에 실질적으로 수정될 수 있습니다. Microsoft는 제공된 정보와 관련하여 명시적 또는 묵시적 보증을 하지 않습니다.

    경고 집계

    경고 정책의 조건과 일치하는 여러 이벤트가 짧은 기간 동안 발생하는 경우 경고 집계 라는 프로세스에 의해 기존 경고에 추가됩니다. 이벤트가 경고를 트리거하면 경고가 생성되고 경고 페이지에 표시되고 알림이 전송됩니다. 집계 간격 내에 동일한 이벤트가 발생하는 경우 Microsoft 365 새 경고를 트리거하는 대신 기존 경고에 새 이벤트에 대한 세부 정보를 추가합니다. 경고 집계의 목표는 경고 "피로"를 줄이고 동일한 이벤트에 대해 더 적은 수의 경고에 집중하고 조치를 취할 수 있도록 하는 것입니다.

    집계 간격의 길이는 Office 365 또는 Microsoft 365 구독에 따라 달라집니다.

    구독 집계 간격
    Office 365 또는 Microsoft 365 E5/G5 1분
    Office 365용 Defender 플랜 2 1분
    E5 준수 추가 기능 또는 E5 검색 및 감사 추가 기능 1분
    E1/F1/G1 또는 E3/F3/G3 Office 365 또는 Microsoft 365 15분
    Office 365용 Defender 플랜 1 또는 Exchange Online Protection 15분

    동일한 경고 정책과 일치하는 이벤트가 집계 간격 내에 발생하면 후속 이벤트에 대한 세부 정보가 원래 경고에 추가됩니다. 모든 이벤트의 경우 집계된 이벤트에 대한 정보가 세부 정보 필드에 표시되고 집계 간격으로 이벤트가 발생한 횟수가 활동/적중 횟수 필드에 표시됩니다. 활동 목록을 확인하여 집계된 모든 이벤트 인스턴스에 대한 자세한 정보를 볼 수 있습니다.

    다음 스크린샷은 4개의 집계된 이벤트가 있는 경고를 보여 줍니다. 활동 목록에는 경고와 관련된 4개의 전자 메일 메시지에 대한 정보가 포함되어 있습니다.

    경고 집계의 예입니다.

    경고 집계에 대해 다음 사항에 유의하세요.

    • 잠재적으로 악의적인 URL 클릭 으로 트리거된 경고가 검색된 기본 경고 정책은 집계되지 않습니다. 이 정책에 의해 트리거되는 경고는 각 사용자 및 전자 메일 메시지에 고유하기 때문입니다.

    • 현재 적중 횟수 경고 속성은 모든 경고 정책에 대해 집계된 이벤트 수를 나타내지 않습니다. 이러한 경고 정책에 의해 트리거되는 경고의 경우 경고에서 메시지 목록 보기 또는 활동 보기를 클릭하여 집계된 이벤트를 볼 수 있습니다. 적중 횟수 경고 속성에 나열된 집계된 이벤트 수를 모든 경고 정책에 사용할 수 있도록 하기 위해 노력하고 있습니다.

    경고를 보는 데 필요한 RBAC 권한

    조직의 사용자에게 할당된 RBAC(역할 기반 Access Control) 권한은 사용자가 경고 페이지에서 볼 수 있는 경고를 결정 합니다. 이 작업은 어떻게 수행하나요? 사용자에게 할당된 관리 역할(준수 포털 또는 Microsoft 365 Defender 포털의 역할 그룹 멤버 자격에 따라)은 사용자가 경고 페이지에서 볼 수 있는 경고 범주를 결정 합니다. 다음은 몇 가지 예입니다.

    • 레코드 관리 역할 그룹의 구성원은 데이터 수명 주기 관리 범주가 할당된 경고 정책에 의해 생성된 경고만 볼 수 있습니다.

    • 준수 관리자 역할 그룹의 구성원은 위협 관리 범주가 할당된 경고 정책에 의해 생성된 경고를 볼 수 없습니다.

    • 할당된 역할 중 어떤 역할도 경고 범주에서 경고를 볼 수 있는 권한을 제공하지 않으므로 eDiscovery 관리자 역할 그룹의 구성원은 경고를 볼 수 없습니다.

    이 디자인(RBAC 권한 기반)을 사용하면 조직의 특정 작업 역할에서 사용자가 보고 관리할 수 있는 경고를 결정할 수 있습니다.

    다음 표에서는 6가지 경고 범주의 경고를 보는 데 필요한 역할을 나열합니다. 테이블의 첫 번째 열에는 준수 포털 또는 Microsoft 365 Defender 포털의 모든 역할이 나열됩니다. 확인 표시는 해당 역할이 할당된 사용자가 최상위 행에 나열된 해당 경고 범주의 경고를 볼 수 있음을 나타냅니다.

    기본 경고 정책이 할당된 범주를 확인하려면 기본 경고 정책의 표를 참조하세요.

    역할 데이터 수명 주기 관리 데이터 손실 방지 메일 흐름 사용 권한 위협 관리 기타
    감사 로그
    사례 관리
    규정 준수 관리자 확인 표시입니다. 확인 표시입니다. 확인 표시입니다. 확인 표시입니다.
    준수 검색
    디바이스 관리
    처리 관리
    DLP 규정 준수 관리 확인 표시입니다.
    내보내기
    Hold
    Information Protection 분석가 확인 표시입니다.
    Information Protection 조사자 확인 표시입니다.
    알림 관리 확인 표시입니다.
    조직 구성 확인 표시입니다.
    Preview
    레코드 관리 확인 표시입니다.
    보존 관리 확인 표시입니다.
    검토
    RMS 암호 해독
    역할 관리 확인 표시입니다.
    검색 및 제거
    보안 관리자 확인 표시입니다. 확인 표시입니다. 확인 표시입니다. 확인 표시입니다.
    보안 읽기 권한자 확인 표시입니다. 확인 표시입니다. 확인 표시입니다. 확인 표시입니다.
    Service Assurance 보기
    감독 검토 관리자
    보기 전용 감사 로그
    View-Only 장치 관리
    DLP 준수 관리 View-Only 확인 표시입니다.
    경고 관리 View-Only 확인 표시
    보기 전용 받는 사람 확인 표시
    View-Only 레코드 관리 확인 표시
    View-Only 보존 관리 확인 표시

    각 기본 역할 그룹에 할당된 역할을 보려면 Security & Compliance Center PowerShell에서 다음 명령을 실행합니다.

    $RoleGroups = Get-RoleGroup
    
    $RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
    

    규정 준수 포털 또는 Microsoft 365 Defender 포털에서 역할 그룹에 할당된 역할을 볼 수도 있습니다. 사용 권한 페이지로 이동하여 역할 그룹을 선택합니다. 할당된 역할은 플라이아웃 페이지에 나열됩니다.

    경고 관리

    경고가 생성되고 규정 준수 센터의 경고 페이지에 표시되면 경고를 심사, 조사 및 해결할 수 있습니다. 사용자에게 경고에 대한 액세스 권한을 부여하는 동일한 RBAC 권한 은 경고를 관리하는 기능도 제공합니다.

    경고를 관리하기 위해 수행할 수 있는 몇 가지 작업은 다음과 같습니다.

    • 경고에 상태를 할당합니다. 경고에 다음 상태 중 하나를 할당할 수 있습니다. 활성 (기본값), 조사 중, 해결됨 또는 해제됨. 그런 다음, 이 설정을 필터링하여 동일한 상태 설정으로 경고를 표시할 수 있습니다. 이 상태 설정은 경고 관리 프로세스를 추적하는 데 도움이 될 수 있습니다.

    • 경고 세부 정보를 봅니다. 경고를 선택하여 경고에 대한 세부 정보가 포함된 플라이아웃 페이지를 표시할 수 있습니다. 자세한 정보는 해당 경고 정책에 따라 달라지지만 일반적으로 다음이 포함됩니다.

      • cmdlet 또는 감사 로그 작업과 같이 경고를 트리거한 실제 작업의 이름입니다.

      • 경고를 트리거한 활동에 대한 설명입니다.

      • 경고를 트리거한 사용자(또는 사용자 목록)입니다. 단일 사용자 또는 단일 활동을 추적하도록 설정된 경고 정책에만 포함됩니다.

      • 경고에 의해 추적된 활동이 수행된 횟수입니다. 이 숫자는 더 많은 경고가 트리거되었을 수 있으므로 경고 페이지에 나열된 실제 관련 경고 수와 일치하지 않을 수 있습니다.

      • 경고를 트리거한 수행된 각 활동에 대한 항목을 포함하는 활동 목록에 대한 링크입니다. 이 목록의 각 항목은 활동이 발생한 시기, 실제 작업의 이름(예: "FileDeleted"), 활동을 수행한 사용자, 활동이 수행된 개체(예: 파일, eDiscovery 사례 또는 사서함) 및 사용자 컴퓨터의 IP 주소를 식별합니다. 맬웨어 관련 경고의 경우 메시지 목록에 연결됩니다.

      • 해당 경고 정책의 이름(및 링크)입니다.

    • 전자 메일 알림을 표시하지 않습니다. 경고에 대한 플라이아웃 페이지에서 전자 메일 알림을 끄거나 표시하지 않을 수 있습니다. 전자 메일 알림을 표시하지 않으면 경고 정책의 조건과 일치하는 활동 또는 이벤트가 발생하는 경우 Microsoft에서 알림을 보내지 않습니다. 그러나 사용자가 수행한 활동이 경고 정책의 조건과 일치하면 경고가 트리거됩니다. 경고 정책을 편집하여 전자 메일 알림을 끌 수도 있습니다.

    • 경고를 해결합니다. 경고의 상태를 해결됨으로 설정하는 경고의 플라이아웃 페이지에서 경고를 해결됨 으로 표시할 수 있습니다. 필터를 변경하지 않는 한 해결된 경고는 경고 페이지에 표시되지 않습니다.

    클라우드용 Defender 앱 경고 보기

    이제 Office 365 Cloud App Security 정책에 의해 트리거되는 경고가 규정 준수 센터의 경고 페이지에 표시됩니다. 여기에는 활동 정책에 의해 트리거되는 경고 및 Office 365 Cloud App Security 변칙 검색 정책에 의해 트리거되는 경고가 포함됩니다. 즉, 규정 준수 센터에서 모든 경고를 볼 수 있습니다. Office 365 Cloud App Security Office 365 Enterprise E5 또는 Office 365 미국 정부 G5 구독이 있는 조직에서만 사용할 수 있습니다. 자세한 내용은 클라우드용 Defender 앱 개요를 참조하세요.

    Enterprise Mobility + Security E5 구독의 일부 또는 독립 실행형 서비스로 Microsoft Defender for Cloud Apps 조직은 Microsoft 365 관련된 클라우드용 Defender 앱 경고를 볼 수도 있습니다. 규정 준수 포털 또는 Microsoft 365 Defender 포털의 앱 및 서비스

    규정 준수 센터 또는 Defender 포털에 클라우드용 Defender 앱 경고만 표시하려면 원본 필터를 사용하고 클라우드용 Defender 앱을 선택합니다.

    원본 필터를 사용하여 클라우드용 Defender 앱 경고만 표시합니다.

    규정 준수 센터의 경고 정책에 의해 트리거되는 경고와 마찬가지로 클라우드용 Defender 앱 경고를 선택하여 경고에 대한 세부 정보가 포함된 플라이아웃 페이지를 표시할 수 있습니다. 경고에는 클라우드용 Defender Apps 포털에서 세부 정보를 보고 경고를 관리하는 링크와 경고를 트리거한 해당 클라우드용 Defender 앱 정책에 대한 링크가 포함되어 있습니다. 클라우드용 Defender 앱에서 경고 모니터링을 참조하세요.

    경고 세부 정보에는 클라우드용 Defender 앱 포털에 대한 링크가 포함되어 있습니다.

    중요

    규정 준수 센터에서 클라우드용 Defender 앱 경고의 상태를 변경해도 클라우드용 Defender Apps 포털에서 동일한 경고에 대한 해결 상태가 업데이트되지 않습니다. 예를 들어 규정 준수 센터에서 경고의 상태를 해결됨 으로 표시하면 클라우드용 Defender 앱 포털의 경고 상태는 변경되지 않습니다. 클라우드용 Defender 앱 경고를 해결하거나 해제하려면 클라우드용 Defender 앱 포털에서 경고를 관리합니다.