Office 365용 Microsoft Defender 위협 탐색기를 사용하여 전자 메일 보안
팁
Office 365 플랜 2의 Microsoft 365 Defender 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft 365 Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록할 수 있는 사용자 및 평가판 약관에 대해 알아봅니 다.
적용 대상:
이 문서의 내용
참고
위협 탐색기(탐색기), 이메일 보안 및 탐색기 및 실시간 검색(예: 도구 간의 차이점 및 이를 작동하는 데 필요한 권한)에 대한 3개 문서 시리즈의 일부입니다. 이 시리즈의 다른 두 문서는 위협 탐색기와 위협 탐색기의 위협 헌팅 및 실시간 검색입니다.
이 문서에서는 Microsoft 365 보안 기능으로 전자 메일에서 검색된 맬웨어 및 피싱 시도를 보고 조사하는 방법을 설명합니다.
전자 메일에서 검색된 맬웨어 보기
Microsoft 365 기술로 정렬된 전자 메일에서 검색된 맬웨어를 보려면 탐색기의 이메일 > 맬웨어 보기(또는 실시간 검색)를 사용합니다. 맬웨어는 기본 보기이므로 탐색기를 여는 즉시 맬웨어를 선택할 수 있습니다.
Microsoft 365 Defender 포털에서 https://security.microsoft.com메일 & 공동 작업 으로 이동한 다음 탐색기 또는 실시간 검색을 선택합니다. 페이지로 직접 이동하려면 다음을 사용 https://security.microsoft.com/threatexplorer 하거나 https://security.microsoft.com/realtimereports.
이 예제에서는 탐색기를 사용합니다.
여기에서 보기에서 시작하여 탐색기 연습에 따라 조사(필요한 경우)할 특정 시간 프레임을 선택하고 필터를 집중합니다.
보기 드롭다운 목록에서 전자 메일 > 맬웨어 가 선택되어 있는지 확인합니다.
발신자를 클릭한 다음 드롭다운 목록에서 기본 > 검색 기술을 선택합니다.
이제 검색 기술을 보고서의 필터로 사용할 수 있습니다.
옵션을 선택한 다음 새로 고침 을 클릭하여 해당 필터를 적용합니다(브라우저 창을 새로 고치지 않음).
보고서는 새로 고쳐서 선택한 기술 옵션을 사용하여 맬웨어가 전자 메일에서 검색한 결과를 표시합니다. 여기에서 추가 분석을 수행할 수 있습니다.
탐색기에서 메시지를 정리로 보고
탐색기에서 보고서 정리 옵션을 사용하여 메시지를 가양성으로 보고할 수 있습니다.
Microsoft 365 Defender 포털에서 전자 메일 & 공동 작업 > 탐색기 로 이동한 다음 보기 드롭다운 목록에서 피시가 선택되었는지 확인합니다.
전자 메일 탭에 있는지 확인한 다음, 보고된 메시지 목록에서 새로 보고하려는 메시지를 선택합니다.
작업을 클릭하여 옵션 목록을 확장합니다.
옵션 목록을 아래로 스크롤하여 새 제출 시작 섹션으로 이동한 다음 보고서 정리 를 선택합니다. 플라이아웃이 나타납니다.
슬라이더를 켜기로 전환 합니다. 드롭다운 목록에서 메시지를 제거할 일 수를 지정하고 필요한 경우 메모를 추가한 다음 제출 을 선택합니다.
피싱 URL 보기 및 평결 데이터 클릭
허용, 차단 및 재정의된 URL 목록을 포함하여 전자 메일의 URL을 통해 피싱 시도를 볼 수 있습니다. 클릭한 URL을 식별하려면 금고 링크를 구성해야 합니다. 클릭 시간 보호 및 금고 링크의 클릭 평결 로깅에 대한 금고 링크 정책을 설정했는지 확인합니다.
Microsoft 365 Defender 포털에서 https://security.microsoft.com메일 & 공동 작업 으로 이동한 다음 탐색기 또는 실시간 검색을 선택합니다. 페이지로 직접 이동하려면 다음을 사용 https://security.microsoft.com/threatexplorer 하거나 https://security.microsoft.com/realtimereports.
이 예제에서는 탐색기를 사용합니다.
보기 드롭다운 목록에서 전자 메일 > 피시를 선택합니다.
발신자를 클릭한 다음 드롭다운 목록에서 URL > 클릭 평결 을 선택합니다.
표시되는 옵션에서 차단 및 차단 재정 의와 같은 하나 이상의 옵션을 선택한 다음 새로 고침 (브라우저 창을 새로 고치지 않음)을 클릭합니다.
보고서가 새로 고쳐지고 보고서 아래 의 URL 탭에 두 개의 서로 다른 URL 테이블이 표시됩니다.
상위 URL 은 필터링한 메시지의 URL이며 각 URL에 대한 전자 메일 배달 작업 개수입니다. 피싱 전자 메일 보기에서 이 목록에는 일반적으로 합법적인 URL이 포함됩니다. 공격자는 메시지에서 좋은 URL과 잘못된 URL을 혼합하여 배달하려고 시도하지만 악의적인 링크가 더 흥미로울 수 있습니다. URL 테이블은 총 전자 메일 수를 기준으로 정렬되지만 보기를 간소화하기 위해 이 열은 숨겨집니다.
맨 위 클릭은 클릭된 금고 링크로 래핑된 URL이며 총 클릭 횟수별로 정렬됩니다. 보기를 간소화하기 위해 이 열도 표시되지 않습니다. 열별 총 개수는 클릭된 각 URL에 대한 금고 링크 클릭 결과 수를 나타냅니다. 피싱 전자 메일 보기에서 이러한 URL은 일반적으로 의심스럽거나 악의적인 URL입니다. 그러나 보기에는 위협이 아니지만 피싱 메시지에 있는 URL이 포함될 수 있습니다. 래핑 해제된 링크의 URL 클릭은 여기에 표시되지 않습니다.
두 URL 테이블은 배달 작업 및 위치별로 피싱 전자 메일 메시지의 상위 URL을 표시합니다. 표에는 경고에도 불구하고 차단되거나 방문한 URL 클릭이 표시되므로 사용자에게 잘못된 링크가 표시되고 사용자가 클릭한 것을 확인할 수 있습니다. 여기에서 추가 분석을 수행할 수 있습니다. 예를 들어 차트 아래에서 조직의 환경에서 차단된 전자 메일 메시지의 상위 URL을 볼 수 있습니다.
자세한 정보를 보려면 URL을 선택합니다.
참고
URL 플라이아웃 대화 상자에서 전자 메일 메시지에 대한 필터링이 제거되어 사용자 환경에서 URL 노출의 전체 보기를 표시합니다. 이렇게 하면 탐색기에서 우려되는 전자 메일 메시지를 필터링하고 잠재적인 위협인 특정 URL을 찾은 다음 탐색기 보기 자체에 URL 필터를 추가하지 않고도 환경의 URL 노출에 대한 이해를 확장할 수 있습니다(URL 세부 정보 대화 상자를 통해).
클릭 평결 해석
전자 메일 또는 URL 플라이아웃, 상위 클릭 및 필터링 환경에서 다른 클릭 평결 값이 표시됩니다.
- 없음: URL에 대한 평결을 캡처할 수 없습니다. 사용자가 URL을 클릭했을 수 있습니다.
- 허용: 사용자가 URL로 이동할 수 있었습니다.
- 차단: 사용자가 URL로 이동하지 못하도록 차단되었습니다.
- 보류 중인 판결: 사용자에게 폭발 보류 중인 페이지가 표시되었습니다.
- 차단된 재정의: 사용자가 URL로 직접 이동하지 못하도록 차단되었습니다. 그러나 사용자는 블록을 오버로드하여 URL로 이동합니다.
- 보류 중인 판결은 무시됩니다. 사용자에게 폭발 페이지가 표시되었습니다. 그러나 사용자는 URL에 액세스하기 위해 메시지를 오버로드합니다.
- 오류: 사용자에게 오류 페이지가 표시되었거나 판결을 캡처할 때 오류가 발생했습니다.
- 실패: 판결을 캡처하는 동안 알 수 없는 예외가 발생했습니다. 사용자가 URL을 클릭했을 수 있습니다.
자동화된 조사 및 대응 시작
참고
자동화된 조사 및 대응 기능은 Office 365용 Microsoft Defender 계획 2 및 Office 365 E5 사용할 수 있습니다.
자동화된 조사 및 대응 을 통해 보안 운영 팀이 사이버 공격을 조사하고 완화하는 데 소요된 시간과 노력을 절약할 수 있습니다. 보안 플레이북을 트리거할 수 있는 경고를 구성하는 것 외에도 탐색기의 보기에서 자동화된 조사 및 응답 프로세스를 시작할 수 있습니다. 자세한 내용은 예제: 보안 관리자가 탐색기에서 조사를 트리거합니다.