Office 365용 Microsoft Defender 사용해 보기

기존 Microsoft 365 고객은 Microsoft Defender 포털 https://security.microsoft.com 의 평가판 및 평가판 페이지를 사용하여 구매하기 전에 Office 365용 Microsoft Defender 플랜 2의 기능을 사용해 볼 수 있습니다.

플랜 2를 Office 365용 Defender 전에 다음과 같은 몇 가지 주요 질문이 있습니다.

• Office 365용 Defender 플랜 2가 나를 위해 수행할 수 있는 작업을 수동적으로 관찰하시겠습니까(감사) 또는 Office 365용 Defender 플랜 2가 발견한 문제에 대해 직접 조치를 취하려고 하나요(차단)?
• 어느 쪽이든 플랜 2가 Office 365용 Defender 무엇을 하고 있는지 어떻게 알 수 있나요?
• Office 365용 Defender 플랜 2를 유지하기로 결정하기까지 얼마나 걸리나요?

이 문서는 이러한 질문에 답변하는 데 도움이 되므로 organization 요구 사항을 가장 잘 충족하는 방식으로 플랜 2를 Office 365용 Defender 수 있습니다.

평가판을 사용하는 방법에 대한 도우미 가이드는 평가판 사용자 가이드: Office 365용 Microsoft Defender 참조하세요.

참고

Office 365용 Defender 평가판은 미국 정부 조직(Microsoft 365 GCC, GCC High 및 DoD) 또는 Microsoft 365 Education 조직에서 사용할 수 없습니다.

Office 365용 Defender 개요

Office 365용 Defender 포괄적인 기능을 제공하여 조직이 엔터프라이즈를 보호할 수 있도록 지원합니다. 자세한 내용은 Office 365용 Microsoft Defender 참조하세요.

이 대화형 가이드에서 Office 365용 Defender 대해 자세히 알아볼 수도 있습니다.

이 짧은 비디오를 시청하여 Office 365용 Microsoft Defender 사용하여 더 적은 시간에 더 많은 작업을 수행할 수 있는 방법에 대해 자세히 알아보세요.

가격 책정 정보는 Office 365용 Microsoft Defender 참조하세요.

Office 365용 Defender 평가판 및 평가가 작동하는 방식

정책

Office 365용 Defender Exchange Online 사서함이 있는 모든 Microsoft 365 조직에 있는 EOP(Exchange Online Protection)의 기능과 Office 365용 Defender 전용인 기능을 포함합니다.

EOP 및 Office 365용 Defender 보호 기능은 정책을 사용하여 구현됩니다. 필요에 따라 Office 365용 Defender 전용인 정책이 만들어집니다.

• 피싱 방지 정책의 가장 보호
• 전자 메일 메시지에 대한 안전한 첨부 파일
• 전자 메일 메시지 및 Microsoft Teams에 대한 안전한 링크
  • 안전한 링크는 메일 흐름 중에 URL을 폭발합니다. 특정 URL이 폭발하지 않도록 하려면 URL을 Microsoft에 좋은 URL로 제출합니다. 지침은 Microsoft에 좋은 URL 보고를 참조하세요.
  • 안전한 링크는 전자 메일 메시지 본문의 URL 링크를 래핑하지 않습니다.

평가 또는 평가판에 대한 자격은 EOP가 이미 있는 것을 의미합니다. Office 365용 Defender 플랜 2의 평가 또는 평가판에 대한 새롭거나 특별한 EOP 정책이 만들어지지 않습니다. Microsoft 365 organization 기존 EOP 정책은 메시지에 대해 계속 작동할 수 있습니다(예: 정크 Email 폴더로 메시지 보내기 또는 격리)

• 맬웨어 방지 정책
• 인바운드 스팸 방지 보호
• 피싱 방지 정책의 스푸핑 방지 보호

이러한 EOP 기능에 대한 기본 정책은 항상 켜지고, 모든 받는 사람에게 적용되며, 사용자 지정 정책 이후에 항상 마지막으로 적용됩니다.

감사 모드와 Office 365용 Defender 차단 모드

Office 365용 Defender 환경을 활성화하거나 수동적으로 사용하시겠습니까? 다음 모드를 사용할 수 있습니다.

• 감사 모드: 피싱 방지(가장 보호 포함), 안전한 첨부 파일 및 안전한 링크에 대한 특수 평가 정책이 만들어집니다. 이러한 평가 정책은 위협만 검색 하도록 구성됩니다. Office 365용 Defender 보고에 대한 유해한 메시지를 검색하지만 메시지가 작동하지 않습니다(예: 검색된 메시지는 격리되지 않음). 이러한 평가 정책의 설정은 이 문서의 뒷부 분에 있는 감사 모드의 정책 섹션에 설명되어 있습니다. 또한 전자 메일이 아닌 워크로드(예: Microsoft Teams, SharePoint 및 비즈니스용 OneDrive)에 대한 감사 모드에서 SafeLinks 클릭 보호 시간을 자동으로 켭니다.

  피싱 방지 보호(스푸핑 및 가장), 안전한 링크 보호 및 안전한 첨부 파일 보호를 선택적으로 켜거나 끌 수도 있습니다. 지침은 평가 설정 관리를 참조하세요.

  감사 모드는 의 Office 365용 Microsoft Defender 평가 페이지에서 https://security.microsoft.com/atpEvaluation평가 정책에 의해 검색되는 위협에 대한 특수 보고서를 제공합니다. 이러한 보고서는 이 문서의 뒷부분에 있는 감사 모드 보고서 섹션에 설명되어 있습니다.

• 차단 모드: 미리 설정된 보안 정책에 대한 표준 템플릿이 켜지고 평가판에 사용되며 평가판에 포함하도록 지정한 사용자가 표준 미리 설정된 보안 정책에 추가됩니다. Office 365용 Defender 유해한 메시지(예: 검색된 메시지가 격리됨)를 검색하고 조치를 취합니다.

  기본 및 권장 선택은 이러한 Office 365용 Defender 정책을 organization 모든 사용자에게 scope 것입니다. 그러나 평가판을 설정하는 동안 또는 그 후에 정책 할당을 Microsoft Defender 포털 또는 Exchange Online PowerShell의 특정 사용자, 그룹 또는 전자 메일 도메인으로 변경할 수 있습니다.

  Office 365용 Defender 의해 검색되는 위협에 대한 정보는 이 문서의 뒷부분에 있는 차단 모드에 대한 보고서 섹션에 설명된 Office 365용 Defender 플랜 2의 일반 보고서 및 조사 기능에서 확인할 수 있습니다.

사용할 수 있는 모드를 결정하는 주요 요소는 다음과 같습니다.

• 현재 다음 섹션에 설명된 대로 Office 365용 Defender(계획 1 또는 계획 2)가 있는지 여부입니다.

• 다음 시나리오에 설명된 대로 전자 메일이 Microsoft 365 organization 전달되는 방법:

  • 인터넷의 메일은 Microsoft 365로 직접 전달되지만 현재 구독에는 EOP(Exchange Online Protection) 또는 Office 365용 Defender 플랜 1만 있습니다.

    

    이러한 환경에서는 다음 섹션에 설명된 대로 라이선스에 따라 감사 모드 또는 차단 모드 를 사용할 수 있습니다.

  • 현재 Microsoft 365 사서함의 전자 메일 보호를 위해 타사 서비스 또는 디바이스를 사용하고 있습니다. 인터넷의 메일은 Microsoft 365 organization 배달하기 전에 보호 서비스를 통해 전달됩니다. Microsoft 365 보호는 가능한 한 낮습니다(완전히 꺼진 것은 아니며, 예를 들어 맬웨어 보호는 항상 적용됨).

    

    이러한 환경에서는 감사 모드 만 사용할 수 있습니다. 계획 2를 평가하기 위해 메일 흐름(MX 레코드)을 변경할 필요가 Office 365용 Defender.

평가판과 Office 365용 Defender 평가판 비교

평가판과 Office 365용 Defender 플랜 2 평가판의 차이점은 무엇인가요? 그들은 같은 일이 아닌가요? 글쎄, 그래, 아니. Microsoft 365 organization 라이선스는 모든 차이를 만듭니다.

• Office 365용 Defender 계획 2 없음: Office 365용 Defender 플랜 2가 없는 경우(예: 독립 실행형 EOP, Microsoft 365 E3, Microsoft 365 Business Premium 또는 가 있는 경우) Office 365용 Defender 플랜 1 추가 기능 구독)은 Microsoft Defender 포털의 다음 위치에서 Office 365용 Defender 계획 2 환경을 시작할 수 있습니다.

  • 의 Microsoft 365 평가판 페이지https://security.microsoft.com/trialHorizontalHub입니다.
  • 의 Office 365용 Microsoft Defender 평가 페이지https://security.microsoft.com/atpEvaluation입니다.

  평가 또는 평가판을 설정하는 동안 감사 모드 (평가 정책) 또는 차단 모드 (표준 사전 설정 보안 정책)를 선택할 수 있습니다.

  사용하는 위치에 관계없이 등록할 때 필요한 Office 365용 Defender 플랜 2 라이선스를 자동으로 프로비전합니다. Microsoft 365 관리 센터 플랜 2 라이선스를 수동으로 가져오고 할당할 필요는 없습니다.

  자동으로 프로비전된 라이선스는 90일 동안 적합합니다. 이 90일 기간의 의미는 organization 기존 라이선스에 따라 달라집니다.

  • Office 365용 Defender 계획 1 없음: Office 365용 Defender 플랜 1(예: 독립 실행형 EOP 또는 Microsoft 365 E3)이 없는 조직의 경우 모든 Office 365용 Defender 계획 2 기능(특히 보안 정책)을 사용할 수 있습니다. 90일 기간입니다.

  • Office 365용 Defender 플랜 1: Office 365용 Defender 플랜 1(예: Microsoft 365 Business Premium 또는 추가 기능 구독)이 있는 조직에는 이미 Office 365용 Defender 사용할 수 있는 동일한 보안 정책이 있습니다. 계획 2: 피싱 방지 정책의 가장 보호, 안전한 첨부 파일 정책 및 안전한 링크 정책.

    감사 모드(평가 정책) 또는 차단 모드(표준 미리 설정된 보안 정책)의 보안 정책은 90일 후에 만료되거나 중지되지 않습니다. 90일 후에 끝나는 것은 계획 1에서 사용할 수 없는 Office 365용 Defender 플랜 2의 자동화, 조사, 수정 및 교육 기능입니다.

  감사 모드(평가 정책)에서 평가판 또는 평가판을 설정하는 경우 나중에 차단 모드(표준 사전 설정 보안 정책)로 변환할 수 있습니다. 자세한 내용은 이 문서의 뒷부분에 있는 표준 보호로 변환 섹션을 참조하세요.

• Office 365용 Defender 플랜 2: 이미 Office 365용 Defender 플랜 2(예: Microsoft 365 E5 구독의 일부)가 있는 경우 Microsoft 365 평가판 페이지에서 https://security.microsoft.com/trialHorizontalHub Office 365용 Defender 선택할 수 없습니다..

  유일한 옵션은 의 Office 365용 Microsoft Defender 평가 페이지에서 Office 365용 Defender 평가를 설정하는 것입니다https://security.microsoft.com/atpEvaluation. 또한 평가는 감사 모드 (평가 정책)에서 자동으로 설정됩니다.

  나중에 Office 365용 Microsoft Defender 평가 페이지에서 표준으로 변환 작업을 사용하거나 Office 365용 Microsoft Defender 평가 페이지에서평가를 해제 한 다음 차단 모드(표준 사전 설정 보안 정책)로 변환할 수 있습니다.표준 미리 설정된 보안 정책 구성

  기본적으로 Office 365용 Defender 플랜 2를 사용하는 조직은 Office 365용 Defender 플랜 2를 평가하기 위해 추가 라이선스가 필요하지 않으므로 이러한 조직의 평가 기간은 무제한입니다.

이전 목록의 정보는 다음 표에 요약되어 있습니다.

조직	다음에서 등록 평가판 페이지?	다음에서 등록 평가 페이지?	사용 가능한 모드	평가 기간
독립 실행형 EOP(Exchange Online 사서함 없음) Microsoft 365 E3	예	예	감사 모드 차단 모드	90일
Office 365용 Defender 플랜 1 Microsoft 365 Business Premium	예	예	감사 모드 차단 모드	90일²
Microsoft 365 E5	아니오	예	감사 모드 차단 모드가 을(를) 차단합니다.	무제한

앞에서 설명한 대로 인터넷 메일이 Microsoft 365로 배달되기 전에 타사 보호 서비스 또는 디바이스를 통해 이동하는 경우 차단 모드 (표준 사전 설정 보안 정책)를 사용할 수 없습니다.

² 감사 모드 (평가 정책) 또는 차단 모드 (표준 미리 설정된 보안 정책)의 보안 정책은 90일 후에 만료되거나 작동을 중지하지 않습니다. Office 365용 Defender 플랜 2에만 적용되는 자동화, 조사, 수정 및 교육 기능은 90일 후에 작동이 중지됩니다.

1 평가는 감사 모드 (평가 정책)에서 설정됩니다. 설정이 완료된 후 언제든지 표준 보호 로 변환 에 설명된 대로 차단 모드 (표준 사전 설정 보안 정책)로 변환할 수 있습니다.

평가, 평가판, 감사 모드 및 차단 모드 간의 차이점을 이해했으므로 다음 섹션에 설명된 대로 평가 또는 평가판을 설정할 준비가 되었습니다.

감사 모드에서 평가판 또는 평가판 설정

감사 모드에서 Office 365용 Defender 평가하거나 시도하면 Office 365용 Defender 위협을 감지할 수 있도록 특수 평가 정책이 만들어집니다. 이러한 평가 정책의 설정은 이 문서의 뒷부 분에 있는 감사 모드의 정책 섹션에 설명되어 있습니다.

1. 의 Microsoft Defender 포털https://security.microsoft.com에서 사용 가능한 위치에서 평가를 시작합니다. 예시:

   • Office 365용 Defender 기능 페이지의 맨 위에 있는 배너에서 평가판 시작을 선택합니다.
   • 의 Microsoft 365 평가판 페이지에서 https://security.microsoft.com/trialHorizontalHubOffice 365용 Defender 찾아 선택합니다.
   • 의 Office 365용 Microsoft Defender 평가 페이지에서 https://security.microsoft.com/atpEvaluation평가 시작을 선택합니다.

2. Office 365용 Defender 플랜 1 또는 플랜 2가 있는 조직에서는 보호 켜기 대화 상자를 사용할 수 없습니다.

   보호 켜기 대화 상자에서 아니요, 보고만 하려는 경우를 선택한 다음 계속을 선택합니다.

3. 포함할 사용자 선택 대화 상자에서 다음 설정을 구성합니다.

   • 모든 사용자: 기본 및 권장 옵션입니다.

   • 특정 사용자: 이 옵션을 선택하는 경우 평가가 적용되는 내부 받는 사람을 선택해야 합니다.

     • 사용자: 지정된 사서함, 메일 사용자 또는 메일 연락처입니다.
     • 그룹:
       • 지정된 메일 그룹 또는 메일 사용 보안 그룹의 구성원입니다(동적 메일 그룹은 지원되지 않음).
       • 지정된 Microsoft 365 그룹.
     • 도메인: 지정된 허용 도메인에 기본 메일 주소 있는 organization 모든 수신자입니다.

     상자를 클릭하고, 값 입력을 시작하고, 상자 아래의 결과에서 값을 선택합니다. 이 프로세스를 필요한 만큼 반복합니다. 기존 값을 제거하려면 상자의 값 옆에 있는 를 선택합니다 .

     사용자 또는 그룹의 경우 대부분의 식별자(이름, 표시 이름, 별칭, 전자 메일 주소, 계정 이름 등)를 사용할 수 있지만 해당 표시 이름은 결과에 표시됩니다. 사용자의 경우 별표(*)만 입력하면 사용 가능한 모든 값을 볼 수 있습니다.

     받는 사람 조건을 한 번만 사용할 수 있지만 조건에는 여러 값이 포함될 수 있습니다.

     • 동일한 조건의 여러 값은 OR 논리(예: <recipient1> 또는<recipient2>)를 사용합니다. 받는 사람이 지정된 값과 일치하는 경우 정책이 적용됩니다.

     • 다양한 유형의 조건은 AND 논리를 사용합니다. 받는 사람은 정책이 적용되도록 지정된 모든 조건과 일치해야 합니다. 예를 들어 다음 값을 사용하여 조건을 구성합니다.

       • 사용자: romain@contoso.com
       • 그룹: 임원

       이 정책은 그가 임원 그룹의 구성원이기도 한 경우에만 적용 romain@contoso.com 됩니다. 그렇지 않으면 정책이 적용되지 않습니다.

   포함할 사용자 선택 대화 상자에서 완료되면 계속을 선택합니다.

4. 메일 흐름 이해 도움말 대화 상자에서 다음 옵션을 구성합니다.

   • 다음 옵션 중 하나는 도메인에 대한 MX 레코드 검색에 따라 자동으로 선택됩니다.

     • 타사 및/또는 온-프레미스 서비스 공급자: Microsoft 365 이외의 다른 도메인 지점에 대한 MX 레코드를 사용하고 있습니다. 다음 설정을 확인하거나 구성합니다.

       • organization 사용 중인 타사 서비스: 다음 값 중 하나를 확인하거나 선택합니다.

         • 기타: 이 값에는 전자 메일 메시지가 여러 게이트웨이를 통과하는 경우 각 게이트웨이 IP 주소를 나열하는 정보도 필요합니다. 이 주소는 기타 값에만 사용할 수 있습니다. 온-프레미스 서비스 공급자를 사용하는 경우 이 값을 사용합니다.

           타사 보호 서비스 또는 디바이스에서 Microsoft 365로 메일을 보내는 데 사용하는 IP 주소의 쉼표로 구분된 목록을 입력합니다.

         • 바라쿠다

         • IronPort

         • Mimecast

         • Proofpoint

         • 소포 스

         • Symantec

         • 추세 Micro

       • 이 평가를 적용할 커넥터: Microsoft 365로의 메일 흐름에 사용되는 커넥터를 선택합니다.

         커넥터에 대한 향상된 필터링 ( 목록 건너뛰기이라고도 함)은 지정한 커넥터에 자동으로 구성됩니다.

         타사 서비스 또는 디바이스가 Microsoft 365로 흐르는 전자 메일 앞에 있는 경우 커넥터에 대한 향상된 필터링은 인터넷 메시지의 원본을 올바르게 식별하고 Microsoft 필터링 스택(특히 스푸핑 인텔리전스뿐만 아니라 위협 Explorer 및 AIR(자동 조사 & 응답)의 위반 후 기능의 정확도를 크게 향상시킵니다.

     • Microsoft Exchange Online만 사용하고 있습니다. 도메인에 대한 MX 레코드는 Microsoft 365를 가리킵니다. 구성할 항목이 없으므로 마침을 선택합니다.

   • Microsoft와 데이터 공유: 이 옵션은 기본적으로 선택되지 않지만 원하는 경우 검사 상자를 선택할 수 있습니다.

   메일 흐름 이해 도움말 대화 상자에서 완료되면 마침을 선택합니다.

5. 설정이 완료되면 대화 상자를 표시해 주세요 . 둘러보기 시작 또는 해제를 선택합니다.

차단 모드에서 평가판 또는 평가판 설정

차단 모드에서 Office 365용 Defender 시도하면 표준 사전 설정 보안이 켜지고 지정된 사용자(일부 또는 모든 사용자)가 표준 사전 설정 보안 정책에 포함됩니다. 표준 사전 설정 보안 정책에 대한 자세한 내용은 사전 설정 보안 정책을 참조하세요.

1. 의 Microsoft Defender 포털https://security.microsoft.com에서 사용 가능한 위치에서 평가판을 시작합니다. 예시:

   • Office 365용 Defender 기능 페이지의 맨 위에 있는 배너에서 평가판 시작을 선택합니다.
   • 의 Microsoft 365 평가판 페이지에서 https://security.microsoft.com/trialHorizontalHubOffice 365용 Defender 찾아 선택합니다.
   • 의 Office 365용 Microsoft Defender 평가 페이지에서 https://security.microsoft.com/atpEvaluation평가 시작을 선택합니다.

2. Office 365용 Defender 플랜 1 또는 플랜 2가 있는 조직에서는 보호 켜기 대화 상자를 사용할 수 없습니다.

   보호 켜기 대화 상자에서 예를 선택하고 위협을 차단하여 organization 보호한 다음 계속을 선택합니다.

3. 포함할 사용자 선택 대화 상자에서 다음 설정을 구성합니다.

   • 모든 사용자: 기본 및 권장 옵션입니다.

   • 사용자 선택: 이 옵션을 선택하는 경우 평가판이 적용되는 내부 받는 사람을 선택해야 합니다.

     • 사용자: 지정된 사서함, 메일 사용자 또는 메일 연락처입니다.
     • 그룹:
       • 지정된 메일 그룹 또는 메일 사용 보안 그룹의 구성원입니다(동적 메일 그룹은 지원되지 않음).
       • 지정된 Microsoft 365 그룹.
     • 도메인: 지정된 허용 도메인에 기본 메일 주소 있는 organization 모든 수신자입니다.

     상자를 클릭하고, 값 입력을 시작하고, 상자 아래의 결과에서 값을 선택합니다. 이 프로세스를 필요한 만큼 반복합니다. 기존 값을 제거하려면 상자의 값 옆에 있는 를 선택합니다 .

     사용자 또는 그룹의 경우 대부분의 식별자(이름, 표시 이름, 별칭, 전자 메일 주소, 계정 이름 등)를 사용할 수 있지만 해당 표시 이름은 결과에 표시됩니다. 사용자의 경우 별표(*)만 입력하면 사용 가능한 모든 값을 볼 수 있습니다.

     받는 사람 조건을 한 번만 사용할 수 있지만 조건에는 여러 값이 포함될 수 있습니다.

     • 동일한 조건의 여러 값은 OR 논리(예: <recipient1> 또는<recipient2>)를 사용합니다. 받는 사람이 지정된 값과 일치하는 경우 정책이 적용됩니다.

     • 다양한 유형의 조건은 AND 논리를 사용합니다. 받는 사람은 정책이 적용되도록 지정된 모든 조건과 일치해야 합니다. 예를 들어 다음 값을 사용하여 조건을 구성합니다.

       • 사용자: romain@contoso.com
       • 그룹: 임원

       이 정책은 그가 임원 그룹의 구성원이기도 한 경우에만 적용 romain@contoso.com 됩니다. 그렇지 않으면 정책이 적용되지 않습니다.

   포함할 사용자 선택 대화 상자에서 완료되면 계속을 선택합니다.

4. 평가가 설정되면 진행률 대화 상자가 나타납니다. 설정이 완료되면 완료를 선택합니다.

Office 365용 Defender 평가 또는 평가판 관리

감사 모드에서 평가 또는 평가판을 설정한 후 의 Office 365용 Microsoft Defender 평가 페이지는 https://security.microsoft.com/atpEvaluation Office 365용 Defender 계획 2 시도 결과에 대한 중앙 위치입니다.

의 Microsoft Defender 포털에서 https://security.microsoft.comEmail & 협업>정책 & 규칙>위협 정책>으로 이동하여 기타 섹션에서 평가 모드를 선택합니다. 또는 Office 365용 Microsoft Defender 평가 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/atpEvaluation.

Office 365용 Microsoft Defender 평가 페이지에서 사용할 수 있는 작업은 다음 하위 섹션에 설명되어 있습니다.

평가 설정 관리

의 Office 365용 Microsoft Defender 평가 페이지에서 https://security.microsoft.com/atpEvaluation평가 설정 관리를 선택합니다.

열리는 MDO 평가 설정 관리 플라이아웃에서 다음 정보와 설정을 사용할 수 있습니다.

• 평가가 켜지는지 여부는 플라이아웃의 맨 위에 표시됩니다(평가 켜기 또는 평가 끄기). 이 정보는 Office 365용 Microsoft Defender 평가 페이지에서도 사용할 수 있습니다.

  끄기 또는 켜기 작업을 사용하면 평가 정책을 끄거나 켤 수 있습니다.

• 평가에 남은 일수는 플라이아웃의 맨 위에 표시됩니다(남은 nn일).

• 검색 기능 섹션: 토글을 사용하여 다음 Office 365용 Defender 보호를 켜거나 끕니다.

  • 안전한 링크
  • 안전한 첨부 파일
  • 피싱 방지

• 사용자, 그룹 및 도메인 섹션: 사용자, 그룹 및 도메인 편집 을 선택하여 감사 모드에서 평가 또는 평가판 설정의 앞부분에서 설명한 대로 평가 또는 평가판이 적용되는 사람을 변경합니다.

• 가장 설정 섹션:

  • 피싱 방지 평가 정책에서 가장 보호가 구성되지 않은 경우 가장 보호 적용을 선택하여 가장 보호를 구성합니다.

    • 사용자 가장 보호를 위한 내부 및 외부 사용자(보낸 사람)입니다.
    • 도메인 가장 보호를 위한 사용자 지정 도메인입니다.
    • 가장 보호에서 제외할 신뢰할 수 있는 보낸 사람 및 도메인입니다.

    이 단계는 기본적으로 Microsoft Defender 포털을 사용하여 피싱 방지 정책을 만드는 5단계의 가장 섹션에 설명된 것과 동일합니다.

  • 피싱 방지 평가 정책에서 가장 보호가 구성된 경우 이 섹션에서는 다음의 가장 보호 설정을 보여줍니다.

    • 사용자 가장 보호
    • 도메인 가장 보호
    • 신뢰할 수 있는 가장된 보낸 사람 및 도메인

    설정을 수정하려면 가장 설정 편집을 선택합니다.

MDO 평가 설정 관리 플라이아웃에서 완료되면 닫기를 선택합니다.

표준 보호로 변환

평가 또는 평가판의 경우 다음 방법 중 하나를 사용하여 감사 모드 (평가 정책)에서 차단 모드 (표준 미리 설정된 보안 정책)로 전환할 수 있습니다.

• Office 365용 Microsoft Defender 평가 페이지에서표준 보호로 변환을 선택합니다.
• MDO 평가 설정 관리 플라이아웃: Office 365용 Microsoft Defender 평가 페이지에서 평가 설정 관리를 선택합니다. 열리는 세부 정보 플라이아웃에서 표준 보호로 변환을 선택합니다.

표준 보호로 변환을 선택한 후 열리는 대화 상자에서 정보를 읽은 다음, 계속을 선택합니다.

보안 정책 사전 설정 페이지에서 표준 보호 적용 마법사로 이동합니다. 평가판 또는 평가판에서 포함되고 제외된 받는 사람 목록은 표준 미리 설정된 보안 정책에 복사됩니다. 자세한 내용은 Microsoft Defender 포털을 사용하여 사용자에게 표준 및 엄격한 사전 설정 보안 정책 할당을 참조하세요.

• 표준 사전 설정 보안 정책의 보안 정책은 평가 정책보다 우선 순위가 높습니다. 즉, 표준 사전 설정 보안의 정책은 모두 존재하고 켜져 있더라도 항상 평가 정책 앞에 적용됩니다.
• 차단 모드에서 감사 모드로 자동 이동하는 방법은 없습니다. 수동 단계는 다음과 같습니다.

  1. 의 사전 설정 보안 정책 페이지에서 https://security.microsoft.com/presetSecurityPolicies표준 미리 설정된 보안 정책을 끕니다.

  2. 의 Office 365용 Microsoft Defender 평가 페이지에서 https://security.microsoft.com/atpEvaluation평가 값이 표시되는지 확인합니다.

     평가 해제가 표시되면 평가 설정 관리를 선택합니다. 열리는 MDO 평가 설정 관리 플라이아웃에서 켜기를 선택합니다.

  3. 평가 설정 관리를 선택하여 열리는 평가 설정 세부 정보 MDO 관리 플라이아웃의 사용자, 그룹 및 도메인 섹션에서 평가가 적용되는지 확인합니다.

평가 또는 평가판에 대한 Office 365용 Defender

이 섹션에서는 감사 모드 및 차단 모드에서 사용할 수 있는 보고서에 대해 설명합니다.

차단 모드에 대한 보고서

차단 모드에 대한 특수 보고서가 생성되지 않으므로 Office 365용 Defender 사용할 수 있는 표준 보고서를 사용합니다. 특히 다음 목록에 설명된 대로 Office 365용 Defender 기능(예: 안전한 링크 또는 안전한 첨부 파일) 또는 Office 365용 Defender 검색으로 필터링할 수 있는 보고서에만 적용되는 보고서를 찾고 있습니다.

• 메일 흐름 상태 보고서의 메일 흐름 보기:

  • 피싱 방지 정책에 의해 사용자 가장 또는 도메인 가장으로 검색된 메시지가 가장 블록에 표시됩니다.
  • 안전한 첨부 파일 정책 또는 안전한 링크 정책에 의해 파일 또는 URL이 폭발하는 동안 검색된 메시지가 폭발 블록에 표시됩니다.

• 위협 방지 상태 보고서:

  값으로 보호됨 MDO 위협 방지 상태 보고서의 많은 보기를 필터링하여 Office 365용 Defender 효과를 확인할 수 있습니다.

  • 개요별 데이터 보기

  • 검색 기술별 Email > 피싱 및 차트 분석으로 데이터 보기

    • 캠페인에서 검색된 메시지는 캠페인에 표시됩니다.
    • 안전한 첨부 파일에 의해 감지된 메시지는 파일 폭발 및 파일 폭발 평판에 표시됩니다.
    • 피싱 방지 정책에서 사용자 가장 보호로 검색된 메시지는 가장 도메인, 가장 사용자 및 사서함 인텔리전스 가장에 표시됩니다.
    • 안전한 링크에서 검색된 메시지는 URL 폭발 및 URL 폭발 평판에 표시됩니다.

  • 검색 기술별 Email > 맬웨어 및 차트 분석으로 데이터 보기

    • 캠페인에서 검색된 메시지는 캠페인에 표시됩니다.
    • 안전한 첨부 파일에 의해 감지된 메시지는 파일 폭발 및 파일 폭발 평판에 표시됩니다.
    • 안전한 링크에서 검색된 메시지는 URL 폭발 및 URL 폭발 평판에 표시됩니다.

  • 검색 기술별 스팸 및 차트 분석 Email > 데이터 보기

    안전한 링크에서 검색된 메시지는 URL 악성 평판에 표시됩니다.

  • 정책 유형별 차트 분석

    안전한 첨부 파일에 의해 검색된 메시지가 안전한 첨부 파일에 표시됨

  • 콘텐츠 > 맬웨어로 데이터 보기

    SharePoint, OneDrive 및 Microsoft Teams용 안전한 첨부 파일에서 검색된 악성 파일이 MDO 폭발에 나타납니다.

• 상위 보낸 사람 및 받는 사람 보고서

  상위 맬웨어 수신자(MDO)에 대한 데이터 표시 및 상위 피싱 받는 사람(MDO)에 대한 데이터 표시

• URL 보호 보고서

감사 모드에 대한 보고서

감사 모드에서는 다음 목록에 설명된 대로 평가 정책의 검색을 표시하는 보고서를 찾고 있습니다.

• Email 엔터티 페이지에는 잘못된 첨부 파일, 스팸 URL + 맬웨어, 피싱 URL 및 Office 365용 Defender 평가에서 검색된 가장 메시지에 대한 분석 탭의 메시지 검색 세부 정보에 다음 배너가 표시됩니다.

  

• 의 Office 365용 Microsoft Defender 평가 페이지는 https://security.microsoft.com/atpEvaluation Office 365용 Defender 사용할 수 있는 표준 보고서의 검색을 통합합니다. 이 페이지의 보고서는 주로 평가: 예 에 의해 필터링되어 평가 정책에 의한 검색만 표시하지만 대부분의 보고서는 추가 명확한 필터를 사용합니다.

  기본적으로 페이지의 보고서 요약에는 지난 30일 동안의 데이터가 표시되지만 30일을 선택하고 30일 미만의 추가 값 중에서 선택하여 날짜 범위를 필터링할 수 있습니다.

  • 24시간
  • 7일
  • 14일
  • 사용자 지정 날짜 범위

  날짜 범위 필터는 카드 세부 정보 보기를 선택할 때 페이지 및 기본 보고서의 보고서 요약에 표시되는 데이터에 영향을 줍니다.

  다운로드를 선택하여 차트 데이터를 .csv 파일에 다운로드합니다.

  • Office 365용 Microsoft Defender 평가 페이지의 다음 보고서에는 위협 방지 상태 보고서의 특정 보기에서 필터링된 정보가 포함되어 있습니다.

    • Email 링크:
      • 보고서 보기: 검색 기술별 피싱 및 차트 분석 Email > 데이터 보기
      • 검색 필터: URL 폭발 평판 및 URL 폭발.
    • 전자 메일의 첨부 파일:
      • 보고서 보기: 검색 기술별 피싱 및 차트 분석 Email > 데이터 보기
      • 검색 필터: 파일 폭발 및 파일 폭발 평판.
    • 가장
      • 보고서 보기: 검색 기술별 피싱 및 차트 분석 Email > 데이터 보기
      • 검색 필터: 가장 사용자, 가장 도메인 및 사서함 인텔리전스 가장.
    • 첨부 파일 링크
      • 보고서 보기: 검색 기술별 Email > 맬웨어 및 차트 분석으로 데이터 보기
      • 검색 필터: URL 폭발 및 URL 폭발 평판.
    • 포함된 맬웨어
      • 보고서 보기: 검색 기술별 Email > 맬웨어 및 차트 분석으로 데이터 보기
      • 검색 필터: 파일 폭발 및 파일 폭발 평판.
    • 스푸핑된 보낸 사람:
      • 보고서 보기: 검색 기술별 피싱 및 차트 분석 Email > 데이터 보기
      • 검색 필터: 조직 내 스푸핑, 스푸핑 외부 도메인 및 스푸핑 DMARC.

  • 실시간 URL 클릭 보호는 평가: 예로 필터링된 URL 보호 보고서에서 URL로 데이터 보기 보호 작업을 사용합니다.

    URL 보호 보고서에서 애플리케이션별 URL 클릭으로 데이터 보기는Office 365용 Microsoft Defender 평가 페이지에 표시되지 않지만 평가: 예로 필터링할 수도 있습니다.

필요한 사용 권한

Microsoft 365용 Defender 평가판 또는 평가판을 설정하려면 Microsoft Entra ID 다음 권한이 필요합니다.

• 평가 또는 평가판:보안 관리자 또는 전역 관리자 역할의 멤버 자격을 Create 수정하거나 삭제합니다.
• 감사 모드에서 평가 정책 및 보고서 보기: 보안 관리자 또는 보안 읽기 권한 자 역할의 멤버 자격.

Microsoft Defender 포털의 Microsoft Entra 권한에 대한 자세한 내용은 Microsoft Defender 포털에서 Microsoft Entra 역할을 참조하세요.

질문과 대답

Q: 평가판 라이선스를 수동으로 받거나 활성화해야 하나요?

대답: 아니요. 평가판은 이전에 설명한 대로 필요한 경우 Office 365용 Defender 플랜 2 라이선스를 자동으로 프로비전합니다.

Q: 평가판을 연장할 어떻게 할까요? 있나요?

A: 평가판 확장을 참조하세요.

Q: 평가판이 만료된 후 내 데이터는 어떻게 되나요?

A: 평가판이 만료되면 30일 동안 평가판 데이터(이전에는 없었던 Office 365용 Defender 기능의 데이터)에 액세스할 수 있습니다. 이 30일 기간이 지나면 Office 365용 Defender 평가판과 연결된 모든 정책 및 데이터가 삭제됩니다.

Q: organization Office 365용 Defender 평가판을 몇 번이나 사용할 수 있나요?

A: 최대 2회입니다. 첫 번째 평가판이 만료되는 경우 만료 날짜 이후 30일 이상 기다려야 Office 365용 Defender 평가판에 다시 등록할 수 있습니다. 두 번째 평가판 후에는 다른 평가판에 등록할 수 없습니다.

Q: 감사 모드에서는 Office 365용 Defender 메시지에 대해 작동하는 시나리오가 있나요?

A: 예. 서비스 보호를 위해 어떤 프로그램이나 SKU의 누구도 맬웨어 또는 서비스에 의한 높은 신뢰도 피싱으로 분류된 메시지에 대한 조치를 끄거나 우회할 수 없습니다.

Q: 정책은 어떤 순서로 평가됩니까?

A: 사전 설정된 보안 정책 및 기타 정책은 우선 순위 순서를 참조하세요.

Office 365용 Defender 평가 및 평가판과 관련된 정책 설정

감사 모드의 정책

경고

Office 365용 Defender 평가와 연결된 개별 보안 정책을 만들거나 수정하거나 제거하지 마세요. 평가에 대한 개별 보안 정책을 만드는 데 지원되는 유일한 방법은 Microsoft Defender 포털에서 처음으로 평가 또는 평가판을 감사 모드로 시작하는 것입니다.

앞에서 설명한 대로 평가 또는 평가판에 대한 감사 모드를 선택하면 메시지에 대해 관찰하지만 조치를 취하지 않는 데 필요한 설정이 있는 평가 정책이 자동으로 생성됩니다.

이러한 정책 및 해당 설정을 보려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

설정은 다음 표에도 설명되어 있습니다.

피싱 방지 평가 정책 설정

설정	값
이름	평가 정책
AdminDisplayName	평가 정책
AuthenticationFailAction	MoveToJmf
DmarcQuarantineAction	격리
DmarcRejectAction	거부
사용	True
EnableFirstContactSafetyTips	거짓
EnableMailboxIntelligence	True
EnableMailboxIntelligenceProtection	True
EnableOrganizationDomainsProtection	거짓
EnableSimilarDomainsSafetyTips	거짓
EnableSimilarUsersSafetyTips	거짓
EnableSpoofIntelligence	True
EnableSuspiciousSafetyTip	거짓
EnableTargetedDomainsProtection	거짓
EnableTargetedUserProtection	거짓
EnableUnauthenticatedSender	True
EnableUnusualCharactersSafetyTips	거짓
EnableViaTag	True
ExcludedDomains	{}
ExcludedSenders	{}
HonorDmarcPolicy	True
ImpersonationProtectionState	수동
Isdefault	거짓
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	빈
RecommendedPolicyType	평가
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

안전한 첨부 파일 평가 정책 설정

설정	값
이름	평가 정책
작업	허용
ActionOnError	True*
AdminDisplayName	평가 정책
ConfidenceLevelThreshold	80
사용	True
EnableOrganizationBranding	거짓
IsBuiltInProtection	거짓
Isdefault	거짓
OperationMode	지연
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	평가
리디렉션	거짓
RedirectAddress	빈
ScanTimeout	30

^* 이 매개 변수는 더 이상 사용되지 않으며 더 이상 사용되지 않습니다.

안전한 링크 평가 정책 설정

설정	값
이름	평가 정책
AdminDisplayName	평가 정책
AllowClickThrough	True
CustomNotificationText	빈
DeliverMessageAfterScan	True
DisableUrlRewrite	True
DoNotRewriteUrls	{}
EnableForInternalSenders	거짓
EnableOrganizationBranding	거짓
EnableSafeLinksForEmail	True
EnableSafeLinksForOffice	True
EnableSafeLinksForTeams	True
IsBuiltInProtection	거짓
LocalizedNotificationTextList	{}
RecommendedPolicyType	평가
ScanUrls	True
TrackClicks	True

PowerShell을 사용하여 감사 모드에서 평가 또는 평가판에 대한 수신자 조건 및 예외 구성

Office 365용 Defender 평가 정책과 연결된 규칙은 받는 사람 조건 및 평가에 대한 예외를 제어합니다.

평가와 연결된 규칙을 보려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-ATPEvaluationRule

Exchange Online PowerShell을 사용하여 평가가 적용되는 사용자를 수정하려면 다음 구문을 사용합니다.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

다음은 SecOps(지정된 보안 작업) 사서함에 대한 평가에서 예외를 구성하는 예제입니다.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

PowerShell을 사용하여 감사 모드에서 평가판 또는 평가판 켜기 또는 끄기

감사 모드에서 평가를 켜거나 끄려면 평가와 연결된 규칙을 사용하거나 사용하지 않도록 설정합니다. 평가 규칙의 State 속성 값은 규칙이 사용 또는 사용 안 함인지 여부를 표시합니다.

다음 명령을 실행하여 평가가 현재 사용하도록 설정되어 있는지 여부를 확인합니다.

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

다음 명령을 실행하여 계산이 켜져 있는 경우 평가를 끕니다.

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

다음 명령을 실행하여 해제된 경우 평가를 켭니다.

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

차단 모드의 정책

앞에서 설명한 대로 차단 모드 정책은 미리 설정된 보안 정책에 표준 템플릿을 사용하여 만들어집니다.

Exchange Online PowerShell을 사용하여 표준 미리 설정된 보안 정책과 연결된 개별 보안 정책을 보고 미리 설정된 보안 정책에 대한 수신자 조건 및 예외를 보고 구성하려면 Exchange Online PowerShell의 보안 정책 미리 설정을 참조하세요.