Microsoft 365에서 배달된 악성 전자 메일 조사

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

구독에 포함되거나 추가 기능으로 구매한 Office 365용 Microsoft Defender Microsoft 365 조직에는 Explorer(위협 Explorer라고도 함) 또는 실시간 검색이 있습니다. 이러한 기능은 보안 운영(SecOps) 팀이 위협을 조사하고 대응하는 데 도움이 되는 강력한 거의 실시간 도구입니다. 자세한 내용은 Office 365용 Microsoft Defender 위협 Explorer 및 실시간 검색 정보를 참조하세요.

위협 Explorer 및 실시간 검색을 통해 organization 사용자를 위험에 빠뜨리는 활동을 조사하고 organization 보호하기 위한 조치를 취할 수 있습니다. 예시:

• 메시지를 찾아 삭제합니다.
• 악의적인 전자 메일 보낸 사람의 IP 주소를 식별합니다.
• 추가 조사를 위해 인시던트를 시작합니다.

이 문서에서는 위협 Explorer 및 실시간 검색을 사용하여 받는 사람 사서함에서 악성 전자 메일을 찾는 방법을 설명합니다.

팁

수정 절차로 직접 이동하려면 Office 365 전달된 악성 전자 메일 수정을 참조하세요.

위협 Explorer 및 실시간 검색을 사용하는 다른 전자 메일 시나리오는 다음 문서를 참조하세요.

• 위협 Explorer 위협 헌팅 및 Office 365용 Microsoft Defender 실시간 검색
• Office 365용 Microsoft Defender 위협 Explorer 및 실시간 검색을 사용하여 보안 Email

시작하기 전에 알아야 할 사항은 무엇인가요?

• 위협 Explorer Office 365용 Defender 플랜 2에 포함되어 있습니다. 실시간 검색은 Office용 Defender 플랜 1에 포함됩니다.

  • 위협 Explorer 및 실시간 검색의 차이점은 위협 Explorer 정보 및 Office 365용 Microsoft Defender 실시간 검색에 설명되어 있습니다.
  • Office 365용 Defender 플랜 2와 Office용 Defender 플랜 1의 차이점은 Office 365용 Defender 플랜 1과 플랜 2 치트 시트에 설명되어 있습니다.

• 하나 이상의 사용 가능한 값을 선택해야 하는 필터 속성의 경우 모든 값이 선택된 필터 조건의 속성을 사용하면 필터 조건에서 속성을 사용하지 않는 것과 같은 결과가 발생합니다.

• 위협 Explorer 및 실시간 검색에 대한 권한 및 라이선스 요구 사항은 위협 Explorer 및 실시간 검색에 대한 권한 및 라이선스를 참조하세요.

배달된 의심스러운 이메일 찾기

1. 다음 단계 중 하나를 사용하여 위협 Explorer 또는 실시간 검색을 엽니다.

   • 위협 Explorer: 의 Defender 포털에서 https://security.microsoft.comEmail & 보안>Explorer 이동합니다. 또는 Explorer 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/threatexplorerv3.
   • 실시간 검색: 의 Defender 포털에서 https://security.microsoft.comEmail & 보안>실시간 검색으로 이동합니다. 또는 실시간 검색 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/realtimereportsv3.

2. Explorer 또는 실시간 검색 페이지에서 적절한 보기를 선택합니다.

   • 위협 Explorer: 모든 전자 메일 보기가 선택되어 있는지 확인합니다.
   • 실시간 검색: 맬웨어 보기 가 선택되었는지 확인하거나 피싱 보기를 선택합니다.

3. 날짜/시간 범위를 선택합니다. 기본값은 어제와 오늘입니다.

   

4. 다음 대상 속성 및 값 중 일부 또는 전부를 사용하여 하나 이상의 필터 조건을 Create. 전체 지침은 위협 Explorer 속성 필터 및 실시간 검색을 참조하세요. 예시:

   • 배달 작업: 기존 정책 또는 검색으로 인해 전자 메일에서 수행되는 작업입니다. 유용한 값은 다음과 같습니다.

     • 배달됨: Email 사용자의 받은 편지함 또는 사용자가 메시지에 액세스할 수 있는 다른 폴더로 배달됩니다.
     • 정크: Email 사용자가 메시지에 액세스할 수 있는 사용자의 정크 Email 폴더 또는 지운 편지함 폴더로 배달됩니다.
     • 차단됨: 격리되었거나, 배달에 실패했거나, 삭제된 메시지를 Email.

   • 원래 배달 위치: 시스템 또는 관리자(예: ZAP 또는 격리로 이동)에 의한 자동 또는 수동 배달 후 작업 이전에 전자 메일이 이동한 위치입니다. 유용한 값은 다음과 같습니다.

     • 삭제된 항목 폴더
     • 삭제됨: 메일 흐름의 어딘가에서 메시지가 손실되었습니다.
     • 실패: 메시지가 사서함에 도달하지 못했습니다.
     • 받은 편지함/폴더
     • 정크 메일 폴더
     • 온-프레미스/외부: 사서함이 Microsoft 365 organization 없습니다.
     • 격리
     • 알 수 없음: 예를 들어 배달 후 받은 편지함 규칙은 받은 편지함 또는 정크 Email 폴더 대신 기본 폴더(예: 초안 또는 보관)로 메시지를 이동했습니다.

   • 마지막 배달 위치: 시스템 또는 관리자가 자동 또는 수동 배달 후 작업을 수행한 후 전자 메일이 종료된 위치입니다. 원래 배달 위치에서 동일한 값을 사용할 수 있습니다.

   • 방향성: 유효한 값은 다음과 같습니다.

     • 인바운드
     • 조직 내
     • 아웃바운드

     이 정보는 스푸핑 및 가장을 식별하는 데 도움이 될 수 있습니다. 예를 들어 내부 도메인 보낸 사람의 메시지는 인바운드가 아닌 조직 내여야 합니다.

   • 추가 작업: 유효한 값은 다음과 같습니다.

     • 자동화된 수정(Office 365용 Defender 플랜 2)
     • 동적 배달: 자세한 내용은 안전한 첨부 파일 정책의 동적 배달을 참조하세요.
     • 수동 수정
     • 없음
     • 격리 릴리스
     • 다시 처리됨: 메시지가 소급하여 양선으로 식별되었습니다.
     • ZAP: 자세한 내용은 Office 365용 Microsoft Defender ZAP(0시간 자동 제거)를 참조하세요.

   • 기본 재정의: organization 또는 사용자 설정이 차단되거나 허용된 메시지를 허용하거나 차단한 경우 값은 다음과 같습니다.

     • organization 정책에서 허용됨
     • 사용자 정책에 의해 허용됨
     • organization 정책에 의해 차단됨
     • 사용자 정책에 의해 차단됨
     • 없음

     이러한 범주는 기본 재정의 원본 속성에 의해 더 구체화됩니다.

   • 기본 재정의 원본 차단되거나 허용된 메시지를 허용하거나 차단한 organization 정책 또는 사용자 설정의 유형입니다. 값은 다음과 같습니다.

     • 타사 필터
     • 관리 시작된 시간 이동
     • 파일 형식별 맬웨어 방지 정책 블록: 맬웨어 방지 정책의 일반적인 첨부 파일 필터
     • 안티스팜 정책 설정
     • 연결 정책: 연결 필터링 구성
     • Exchange 전송 규칙 (메일 흐름 규칙)
     • 배타적 모드(사용자 재정의): 사서함 의 safelist 컬렉션에 있는 내 수신 허용 보낸 사람 및 도메인 목록의 주소와 안전한 메일 그룹 설정의 유일한 신뢰 전자 메일 입니다.
     • 온-프레미스 organization 인해 건너뛴 필터링
     • 정책의 IP 지역 필터: 이러한 국가에서스팸 방지 정책에서 필터링합니다.
     • 정책의 언어 필터: 스팸 방지 정책의 특정 언어 포함 필터입니다.
     • 피싱 시뮬레이션: 고급 배달 정책에서 타사 피싱 시뮬레이션 구성
     • 격리 릴리스: 격리된 전자 메일 해제
     • SecOps 사서함: 고급 배달 정책에서 SecOps 사서함 구성
     • 보낸 사람 주소 목록(관리 재정의): 스팸 방지 정책에서 허용된 보낸 사람 목록 또는 차단된 보낸 사람 목록입니다.
     • 보낸 사람 주소 목록(사용자 재정의): 사서함의 안전 목록 컬렉션에 있는 보낸 사람 차단 목록에 있는 보낸 사람 전자 메일 주소입니다.
     • 보낸 사람 도메인 목록(관리 재정의): 스팸 방지 정책의 허용된 도메인 목록 또는 차단된 도메인 목록입니다.
     • 보낸 사람 도메인 목록(사용자 재정의): 사서함의 안전 목록 컬렉션에 있는 차단된 보낸 사람 목록의 보낸 사람 도메인입니다.
     • 테넌트 허용/차단 목록 파일 블록: 파일에 대한 Create 차단 항목
     • 테넌트 허용/차단 목록 보낸 사람 전자 메일 주소 블록: Create 도메인 및 전자 메일 주소에 대한 항목을 차단합니다.
     • 테넌트 허용/차단 목록 스푸핑 블록: 스푸핑된 보낸 사람의 Create 블록 항목
     • 테넌트 허용/차단 목록 URL 블록: URL에 대한 Create 블록 항목
     • 신뢰할 수 있는 연락처 목록(사용자 재정의): 사서함의 safelist 컬렉션에 있는 내 연락처의 메일 신뢰 설정입니다.
     • 테넌트 허용/차단 목록 파일 블록: 파일에 대한 Create 차단 항목
     • 신뢰할 수 있는 도메인(사용자 재정의): 사서함의 safelist 컬렉션에 있는 수신 허용 보낸 사람 목록의 보낸 사람 도메인입니다.
     • 신뢰할 수 있는 받는 사람(사용자 재정의): 사서함의 안전 목록 컬렉션에 있는 수신자 메일 주소 또는 수신자 목록의 도메인입니다.
     • 신뢰할 수 있는 보낸 사람만(사용자 재정의): 안전한 Lists 전용: 수신 허용 보낸 사람 목록 또는 수신 허용 받는 사람 목록에 있는 사용자 또는 도메인의 메일만 사서함의safelist 컬렉션에 있는 받은 편지함 설정으로 배달됩니다.

   • 원본 재정의: 기본 재정의 원본과 동일한 사용 가능한 값입니다.

     팁

     모든 전자 메일, 맬웨어 및 피싱 보기의 세부 정보 영역에 있는 Email 탭(보기)에서 해당 재정의 열의 이름은 시스템 재정의 및 시스템 재정의 원본입니다.

   • URL 위협: 유효한 값은 다음과 같습니다.

     • 맬웨어
     • 피싱
     • 스팸

5. 날짜/시간 및 속성 필터 구성이 완료되면 새로 고침을 선택합니다.

모든 전자 메일, 맬웨어 또는 피싱 보기의 세부 정보 영역에 있는 Email 탭(보기)에는 의심스러운 전자 메일을 조사하는 데 필요한 세부 정보가 포함되어 있습니다.

예를 들어 Email 탭(보기)에서 배달 작업, 원래 배달 위치 및 마지막 배달 위치 열을 사용하여 영향을 받는 메시지가 어디로 갔는지 전체 그림을 가져옵니다. 값은 4단계에서 설명했습니다.

내보내기를 사용하여 필터링되거나 필터링되지 않은 최대 200,000개의 결과를 CSV 파일로 선택적으로 내보냅니다.

배달된 악성 전자 메일 수정

배달된 악성 전자 메일 메시지를 식별한 후 받는 사람 사서함에서 제거할 수 있습니다. 자세한 내용은 Microsoft 365에서 배달된 악성 전자 메일 수정을 참조하세요.

관련 문서

Office 365에서 배달된 악성 전자 메일 수정

Office 365용 Microsoft Defender

Office 365용 Defender 대한 보고서 보기