Microsoft Defender for Office 365

  • 아티클
  • 읽는 데 2분 걸림

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender

고급 검색을 사용하여 전자 메일 위협 검색을 시작하고 싶으세요? 다음 방법을 사용해 보세요.

Office 365용 Microsoft Defender 문서의 시작 섹션에는 다음과 같은 논리적 초기 구성 덩어리가 있습니다.

  1. 이름에 'Anti'가 있는 모든 것을 구성합니다.
    • 맬웨어 방지
    • 피싱 방지
    • 스팸 방지
  2. 이름에 '금고'로 모든 것을 설정합니다.
    • 안전한 링크
    • 안전한 첨부 파일
  3. 작업을 방어할 때 (예: SharePoint, OneDrive 및 Teams).
  4. 제로 아워 자동 제거로 보호합니다.

링크를 통해 바로 시작하여 첫날에 구성을 시작하세요.

시작 의 마지막 단계는 ZAP라고도 하는 제로 아워 자동 제거 를 사용해 사용자를 보호하는 것입니다. 배달 후에 의심스러운 메일이나 악의적인 메일에 대한 제로 아워 자동 제거가 성공적이었는지 알아보는 것은 매우 중요할 수 있습니다.

Kusto 쿼리 언어로 빠르게 검색하여 문제를 검색할 수 있다는 점은 이러한 두 보안 센터의 수렴한 이점입니다. 보안 팀은 헌팅 고급 헌팅에서 다음 단계를 수행하여 ZAP 누락을 > 모니터링할 수 있습니다.

  1. 고급 헌팅 페이지에서 쿼리를 클릭합니다.
  2. 다음 쿼리를 쿼리 창에 복사합니다.
  3. 쿼리 실행 을 선택합니다.
EmailPostDeliveryEvents 
| where Timestamp > ago(7d)
//List malicious emails that were not zapped successfullyconverge-2-endpoints-new.png
| where ActionType has "ZAP" and ActionResult == "Error"
| project ZapTime = Timestamp, ActionType, NetworkMessageId , RecipientEmailAddress 
//Get logon activity of recipients using RecipientEmailAddress and AccountUpn
| join kind=inner IdentityLogonEvents on $left.RecipientEmailAddress == $right.AccountUpn
| where Timestamp between ((ZapTime-24h) .. (ZapTime+24h))
//Show only pertinent info, such as account name, the app or service, protocol, the target device, and type of logon
| project ZapTime, ActionType, NetworkMessageId , RecipientEmailAddress, AccountUpn, 
LogonTime = Timestamp, AccountDisplayName, Application, Protocol, DeviceName, LogonType

쿼리 패널 맨 위에 선택된 쿼리가 있는 고급 헌팅 페이지(헌팅 아래)를 표시하고 Kusto 쿼리를 실행하여 지난 7일 동안의 ZAP 작업을 캡처합니다.

이 쿼리의 데이터는 쿼리 자체 아래에 있는 결과 패널에 나타납니다. 결과에는 사용자 지정 가능한 결과 집합의 'DeviceName', 'AccountDisplayName', 'ZapTime' 같은 정보가 포함됩니다. 레코드에 대한 결과를 내보낼 수도 있습니다. 쿼리가 다시 필요하면 저장 > 다른 이름으로 저장 을 선택하고 쿼리 목록, 공유 또는 커뮤니티 쿼리에 쿼리를 추가합니다.