Microsoft Defender for Office 365
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상
경고에 대한 자동화된 조사 동안 microsoft Defender for Office 365 원본 전자 메일을 위협에 대해 분석하고 원본 전자 메일과 관련된 다른 전자 메일과 잠재적으로 공격의 일부를 식별합니다. 이 분석은 전자 메일 공격이 단일 전자 메일로 구성되지는 않습니다.
자동화된 조사의 전자 메일 분석은 원본 전자 메일의 특성을 사용하여 조직에서 보내고 받은 전자 메일을 쿼리하는 전자 메일 클러스터를 식별합니다. 이는 분석가가 탐색기 또는 고급 헌팅에서 관련 전자 메일을 찾은 보안 작업 분석가와 비슷합니다. 공격자가 일반적으로 보안 검색을 방지하기 위해 전자 메일 매개 변수를 모핑하기 때문에 일치하는 전자 메일을 식별하는 데 여러 개의 쿼리가 사용됩니다. 클러스터링 분석은 다음 검사를 수행하여 조사에 관련된 전자 메일을 처리하는 방법을 파악합니다.
- 전자 메일 분석은 보낸 사람 값(IP 주소, 보내는 도메인) 및 콘텐츠(제목, 클러스터 ID)의 특성을 사용하여 관련 전자 메일을 찾기 위해 전자 메일의 쿼리(클러스터)를 만듭니다.
- 원본 전자 메일의 URL 및 파일을 분석할 때 일부가 악성(즉, 맬웨어 또는 피싱)으로 식별되는 경우 악의적인 URL 또는 파일이 포함된 전자 메일의 쿼리 또는 클러스터도 생성됩니다.
- 전자 메일 클러스터링 분석은 클러스터의 일치 전자 메일과 관련된 위협을 계산하여 전자 메일이 악성인지, 의심스러운지 또는 명확한 위협이 없는지 여부를 판단합니다. 쿼리와 일치하는 전자 메일 클러스터에 충분한 양의 스팸, 일반 피싱, 높은 신뢰도 피싱 또는 맬웨어 위협이 있는 경우 전자 메일 클러스터는 해당 위협 유형을 적용합니다.
- 또한 전자 메일 클러스터링 분석은 전자 메일 클러스터에 있는 원본 전자 메일 및 전자 메일의 최신 배달 위치를 확인하여 전자 메일이 잠재적으로 제거가 필요하거나 이미 수정 또는 금지되어 있는지 식별하는 데 도움이 됩니다. 이 분석은 공격자가 악성 콘텐츠를 모핑하고 보안 정책 및 보호가 사서함마다 다를 수 있기 때문에 중요합니다. 이 기능을 통해 하나 이상의 악성 전자 메일이 ZAP(제로 아워 자동 삭제)를 통해 검색 및 제거된 경우에도 악의적인 콘텐츠가 사서함에 남아 있을 수 있는 상황이 있습니다.
- 맬웨어, 높은 신뢰도 피싱, 악성 파일 또는 악의적인 URL 위협으로 인해 악의적인 것으로 간주되는 전자 메일 클러스터는 클라우드 사서함(받은 편지함 또는 정크 폴더)에 여전히 있는 경우 전자 메일을 소프트 삭제하기 위한 보류 중인 작업을 얻게 됩니다. 악의적인 전자 메일 또는 전자 메일 클러스터가 "사서함에 없음"(차단, 분리, 실패, 소프트 삭제 등) 또는 "On-premises/External"(클라우드 사서함에 없음)만 있는 경우 이를 제거하기 위해 보류 중인 작업이 설정되지 않습니다.
- 전자 메일 클러스터 중 악성으로 확인된 전자 메일 클러스터가 있는 경우 클러스터에서 식별된 위협은 조사에 관련된 원래 전자 메일에 다시 적용됩니다. 이 동작은 전자 메일 헌팅 결과를 사용하여 일치하는 전자 메일을 기반으로 원본 전자 메일의 결과를 확인하는 보안 운영 분석가와 유사합니다. 이렇게 하면 원본 전자 메일의 URL, 파일 또는 원본 전자 메일 표시기가 검색 여부에 관계없이 시스템에서 개인화, 모핑, 공격 또는 기타 공격자 기술을 통해 검색을 방지하는 악성 전자 메일을 식별할 수 있습니다.
- 사용자 손상 조사에서는 사서함에서 생성되는 잠재적인 전자 메일 문제를 식별하기 위해 추가 전자 메일 클러스터가 만들어집니다. 이 프로세스에는 클린 전자 메일 클러스터(사용자의 좋은 전자 메일, 잠재적인 데이터 유출 및 잠재적인 명령/제어 전자 메일), 의심스러운 전자 메일 클러스터(스팸 또는 일반 피싱을 포함하는 전자 메일) 및 악성 전자 메일 클러스터(맬웨어 또는 높은 신뢰도 피싱이 포함된 전자 메일)가 포함됩니다. 이러한 전자 메일 클러스터는 보안 운영 분석가 데이터를 제공하여 손상으로부터 해결해야 할 다른 문제를 파악하고, 원본 경고를 트리거한 전자 메일(예: 사용자 전송 제한을 트리거한 피싱/스팸)을 확인할 수 있습니다.
유사성 및 악의적인 엔터티 쿼리를 통한 전자 메일 클러스터링 분석을 통해 공격으로부터 하나의 전자 메일만 식별된 경우에도 전자 메일 문제를 완전히 식별하고 정리할 수 있습니다. 전자 메일 클러스터 세부 정보 사이드 패널 보기의 링크를 사용하여 탐색기 또는 고급 헌팅에서 쿼리를 열어 심층 분석을 수행하고 필요한 경우 쿼리를 변경할 수 있습니다. 이 기능을 사용하면 전자 메일 클러스터의 쿼리가 너무 좁거나 너무 광범위할 경우(관련 없는 전자 메일을 포함하여) 수동 구체화 및 수정을 사용할 수 있습니다.
다음은 조사에서 전자 메일 분석에 대한 추가 개선 사항입니다.
AIR 조사에서 고급 배달 항목(SecOps 사서함 및 PhishEDU 메시지)을 무시합니다.
전자 메일 클러스터링 분석 중에 모든 클러스터링 쿼리는 고급 배달 정책에서 보안 작업 사서함으로 설정된 보안 사서함을 무시합니다. 마찬가지로, 전자 메일 클러스터링 쿼리는 고급 배달 정책에 구성된 피싱 시뮬레이션(교육) 메시지를 무시합니다. 클러스터링 특성을 보다 간단하고 쉽게 읽을 수 있도록 SecOps 및 PhishEdu 제외 값이 쿼리에 모두 표시되지 않습니다. 이러한 제외를 통해 위협 분석 중에 위협 인텔리전스 및 운영 사서함(SecOps 사서함) 및 피싱 시뮬레이션(PhishEdu)이 무시되고 수정 중에 제거되지 않습니다.
참고
전자 메일 클러스터 세부 정보에서 탐색기에서 볼 전자 메일 클러스터를 열면 PhishEdu 및 SecOps 사서함 필터가 탐색기에서 적용되지만 표시되지 않습니다. 탐색기 필터, 날짜 또는 페이지 내에서 쿼리를 새로 고치면 PhishEdu/SecOps 필터 제외가 제거되고 이러한 필터와 일치하는 전자 메일이 다시 표시됩니다. 브라우저 새로 고침 함수를 사용하여 탐색기 페이지를 새로 고치면 원래 쿼리 필터(PhishEdu/SecOps 필터 포함)가 다시 로드되지만 이후에 변경한 내용이 모두 제거됩니다.
AIR 업데이트 보류 중인 전자 메일 작업 상태
조사 전자 메일 분석은 조사 당시 전자 메일 위협 및 위치를 계산하여 조사 증거 및 작업을 생성합니다. 이 데이터는 조사 외부의 작업이 조사에 관련된 전자 메일에 영향을 주는 경우 부실하고 기한이 지난 것일 수 있습니다. 예를 들어 보안 작업 수동 헌팅 및 수정은 조사에 포함된 전자 메일을 정리할 수 있습니다. 마찬가지로 병렬 조사 또는 ZAP(제로 아워 자동 제거) 자동 검역 작업에서 승인된 삭제 작업이 전자 메일을 제거한 것일 수 있습니다. 또한 전자 메일 배달 후 지연된 위협 감지로 인해 조사의 전자 메일 쿼리/클러스터에 포함된 위협 수가 변경될 수 있습니다.
조사 작업이 최신 상태이면 보류 중인 작업이 있는 모든 조사에서 전자 메일 분석 쿼리를 주기적으로 다시 실행하여 전자 메일 위치 및 위협을 업데이트합니다.
- 전자 메일 클러스터 데이터가 변경될 때 위협 및 최신 배달 위치 수가 업데이트됩니다.
- 보류 중인 작업이 있는 전자 메일 또는 전자 메일 클러스터가 사서함에 더 이상 없는 경우 보류 중인 작업이 취소되고 악의적인 전자 메일/클러스터가 수정된 것으로 간주합니다.
- 모든 조사 위협이 위에서 언급한 대로 수정되거나 취소되면 조사는 수정된 상태로 전환되고 원래 경고가 해결됩니다.
전자 메일 및 전자 메일 클러스터에 대한 인시던트 증거 표시
인시던트에 대한 증거 및 응답 탭의 전자 메일 기반 증거에 다음 정보가 표시됩니다.
그림의 번호가 매겨진 콜아웃에서 다음을 합니다.
관리 센터 외에 재구성 작업을 수행할 수 있습니다.
악성 판정이 있는 전자 메일 클러스터에 대해 수정 조치를 취할 수 있습니다(의심스러운 것은 아미라).
전자 메일 스팸 판정의 경우 피싱은 높은 신뢰도 및 일반 피싱으로 분할됩니다.
악성 판정의 경우 위협 범주는 맬웨어, 높은 신뢰도 피싱, 악성 URL 및 악성 파일입니다.
의심스러운 판정의 경우 위협 범주는 스팸 및 일반 피싱입니다.
전자 메일 수 기준은 최신 배달 위치를 기반으로 하며 사서함 및 사서함이 아닌 사서함의 전자 메일 카운터를 포함합니다.
최신 데이터에 대해 업데이트될 수 있는 쿼리 날짜 및 시간을 포함합니다.
인시던트의 엔터티 탭에 있는 전자 메일 또는 전자 메일 클러스터 의 경우 금지된 것은 이 항목(메일 또는 클러스터)에 대한 사서함에 악성 전자 메일이 없음을 나타냅니다. 예를 들면 다음과 같습니다.
이 예에서 전자 메일은 악성이지만 사서함에는 없습니다.