EOP에서 스푸핑 인텔리전스 인사이트

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서는 인바운드 전자 메일 메시지가 스푸핑으로부터 자동으로 보호됩니다. EOP는 피싱에 대한 organization 전반적인 방어의 일환으로 스푸핑 인텔리전스를 사용합니다. 자세한 내용은 EOP에서 스푸핑 방지 보호를 참조하세요.

발신자가 이메일 주소를 스푸핑하면 조직의 도메인 중 하나에 있는 사용자 또는 조직에 이메일을 보내는 외부 도메인의 사용자인 것처럼 보입니다. 스팸 또는 피싱 메일을 보내기 위해 보낸 사람을 스푸핑하는 공격자는 차단해야 합니다. 그러나 합법적인 보낸 사람이 스푸핑하는 시나리오가 있습니다. 예를 들면

  • 내부 도메인 스푸핑에 대한 합법적인 시나리오:

    • 타사 발신자가 회사의 도메인을 사용하여 회사 설문 조사를 위해 회사 직원에게 대량 메일을 보냅니다.
    • 외부 회사가 귀하를 대신하여 광고 또는 제품 업데이트를 생성하고 보냅니다.
    • 보조자는 조직 내의 다른 사람을 위해 정기적으로 전자 메일을 보내야 합니다.
    • 내부 애플리케이션이 이메일 알림을 보냅니다.
  • 외부 도메인 스푸핑에 대한 합법적인 시나리오:

    • 보낸 사람은 메일 그룹(토론 목록이라고도 함)에 있고 메일 그룹은 원래 보낸 사람의 전자 메일을 메일 그룹의 모든 참가자에게 전달합니다.
    • 외부 회사가 다른 회사를 대신하여 이메일을 보냅니다(예: 자동화된 보고서 또는 SaaS(Software-as-a-Service) 회사).

Microsoft Defender 포털에서 스푸핑 인텔리전스 인사이트를 사용하여 인증되지 않은 전자 메일(SPF, DKIM 또는 DMARC 검사를 통과하지 않는 도메인의 메시지)을 합법적으로 보내는 스푸핑된 보낸 사람을 신속하게 식별하고 해당 보낸 사람을 수동으로 허용할 수 있습니다.

알려진 보낸 사람이 알려진 위치에서 스푸핑된 메시지를 보내도록 허용하면 가양성(잘못된 것으로 표시된 양호한 전자 메일)을 줄일 수 있습니다. 허용된 스푸핑된 보낸 사용자를 모니터링하여 안전하지 않은 메시지가 organization 도착하지 못하도록 추가 보안 계층을 제공합니다.

마찬가지로 스푸핑 인텔리전스 인사이트를 사용하여 스푸핑 인텔리전스에서 허용한 스푸핑된 보낸 사람에 대해 검토하고 해당 발신자를 수동으로 차단할 수 있습니다.

이 문서의 나머지 부분에는 Microsoft Defender 포털 및 PowerShell(Exchange Online Exchange Online 사서함이 있는 Microsoft 365 조직용 PowerShell, Exchange Online 없는 조직의 독립 실행형 EOP PowerShell에서 스푸핑 인텔리전스 인사이트를 사용하는 방법에 대해 설명합니다Exchange Online 사서함).

참고

  • 스푸핑 인텔리전스에서 검색된 스푸핑된 발신자만 스푸핑 인텔리전스 인사이트에 나타납니다. 인사이트에서 허용 또는 차단 평결을 재정의하면 스푸핑된 보낸 사람이 의 테넌트 허용/차단 Lists 페이지의 https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem스푸핑된 보낸 사람 탭에만 표시되는 수동 허용 또는 차단 항목이 됩니다. 스푸핑 인텔리전스에 의해 탐지되기 전에 스푸핑 발신자에 대한 허용 또는 차단 항목을 수동으로 만들 수도 있습니다. 자세한 내용은 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람 을 참조하세요.

  • 테넌트 허용/차단 목록의 스푸핑 인텔리전스 인사이트 및 스푸핑된 보낸 사람 탭은 보안 & 규정 준수 센터의 스팸 방지 정책 페이지에서 사용할 수 있었던 스푸핑 인텔리전스 정책의 기능을 대체합니다.

  • 스푸핑 인텔리전스 인사이트는 7일 분량의 데이터를 보여 줍니다. Get-SpoofIntelligenceInsight cmdlet은 30일 분량의 데이터를 표시합니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

Microsoft Defender 포털에서 스푸핑 인텔리전스 인사이트 찾기

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com규칙 섹션에서 Email & 협업>정책 & 규칙>위협 정책>테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 스푸핑된 보낸 사람 탭을 선택합니다.

  3. 스푸핑된 보낸 사람 탭에서 스푸핑 인텔리전스 인사이트는 다음과 같습니다.

    피싱 방지 정책 페이지의 스푸핑 인텔리전스 인사이트

    인사이트에는 두 가지 모드가 있습니다.

    • 인사이트 모드: 스푸핑 인텔리전스를 사용하도록 설정하면 지난 7일 동안 스푸핑 인텔리전스에서 검색된 메시지 수를 인사이트에 표시합니다.
    • What if mode: 스푸핑 인텔리전스를 사용하지 않도록 설정한 경우 인사이트는 지난 7일 동안 스푸핑 인텔리전스에 의해 검색 메시지 수를 보여 줍니다.

스푸핑 인텔리전스 검색에 대한 정보를 보려면 스푸핑 인텔리전스 인사이트에서 스푸핑 활동 보기를 선택하여 스푸핑 인텔리전스 인사이트 페이지로 이동합니다.

스푸핑 검색에 대한 정보 보기

참고

스푸핑 인텔리전스에서 검색된 스푸핑된 보낸 사람만 이 페이지에 표시됩니다.

스푸핑 인텔리전스 인사이트 페이지는 https://security.microsoft.com/spoofintelligence테넌트 허용/차단 Lists 페이지의 스푸핑된 보낸 사람 탭에서 스푸핑 인텔리전스 인사이트에서 스푸핑 활동 보기를 선택할 때 사용할 수 있습니다.

스푸핑 인텔리전스 인사이트 페이지에서 사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 다음 열을 사용할 수 있습니다.

  • 스푸핑된 사용자: 이메일 클라이언트의 보낸 사람 상자에 표시되는 스푸핑된 사용자의 도메인입니다. 보낸 사용자 주소를 주소라고도 합니다 5322.From .
  • 인프라 보내기: 인프라라고도 합니다. 전송 인프라는 다음 값 중 하나입니다.
    • 원본 이메일 서버 IP 주소의 역방향 DNS 조회(PTR 레코드)에서 찾은 도메인입니다.
    • 원본 IP 주소에 PTR 레코드가 없는 경우 전송 인프라는 <원본 IP>/24(예: 192.168.100.100/24)로 식별됩니다.
    • 확인된 DKIM 도메인
  • 메시지 수: 스푸핑된 도메인 지난 7일 이내에 organization 보내는 인프라의 조합에서 보낸 메시지 수입니다.
  • 마지막으로 본 날짜: 스푸핑된 도메인이 포함된 전송 인프라에서 메시지를 받은 마지막 날짜입니다.
  • 스푸핑 형식: 다음 값 중 하나입니다.
    • 내부: 스푸핑된 발신자는 organization 속한 도메인(허용된 도메인)에 있습니다.
    • 외부: 스푸핑된 발신자가 외부 도메인에 있습니다.
  • 작업: 이 값은 허용 또는차단됨입니다.
    • 허용됨: 도메인에서 명시적 이메일 인증에 실패하여 SPF, DKIMDMARC를 검사하지 못했습니다. 그러나 도메인이 암시적 이메일 인증 검사(복합 인증)를 통과했습니다. 그 결과 메시지에 대한 스푸핑 방지 조치가 취해지지 않았습니다.
    • 차단됨: 스푸핑된 도메인 전송 인프라의 조합에서 보낸 메시지는 스푸핑 인텔리전스에 의해 잘못된 것으로 표시됩니다. 스푸핑된 메시지에 대해 수행되는 작업은 기본 피싱 방지 정책 또는 사용자 지정 피싱 방지 정책(기본값은 정크 Email 폴더로 메시지 이동)에 의해 제어됩니다. 자세한 내용은 Office 365용 Microsoft Defender에서 피싱 방지 정책 구성을 참조하세요.

스푸핑된 보낸 사람 목록을 일반에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.

항목을 필터링하려면 필터를 선택합니다. 다음 필터는 열리는 필터 플라이아웃에서 사용할 수 있습니다.

  • 스푸핑 유형: 사용 가능한 값은 내부외부 값입니다.
  • 작업: 사용 가능한 값은 허용차단입니다.

필터 플라이아웃을 마쳤으면 적용을 선택합니다. 필터를 지우려면 필터 지우기를 선택합니다.

검색 상자와 해당 값을 사용하여 특정 항목을 찾습니다.

내보내기를 사용하여 스푸핑 검색 목록을 CSV 파일로 내보냅니다.

스푸핑 검색에 대한 세부 정보 보기

첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 목록에서 스푸핑 검색을 선택하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

  • 왜 우리는 이것을 잡았는가? 섹션: 이 발신자를 스푸핑으로 검색한 이유와 추가 정보를 위해 수행할 수 있는 작업

  • 도메인 요약 섹션: 기본 스푸핑 인텔리전스 인사이트 페이지에서 동일한 정보를 포함합니다.

  • WhoIs 데이터 섹션: 보낸 사람의 도메인에 대한 기술 정보입니다.

  • Explorer 조사 섹션: Office 365용 Defender organization 이 섹션에는 피싱 탭에서 보낸 사람에게 대한 추가 세부 정보를 볼 수 있는 위협 Explorer 열기 위한 링크가 포함되어 있습니다.

  • 유사한 이메일 섹션: 스푸핑 검색에 대한 다음 정보가 포함되어 있습니다.

    • 날짜
    • 제목
    • 받는 사람
    • 보낸 사람
    • 보낸 사람 IP

    열 사용자 지정을 선택하여 표시되는 열을 제거합니다. 완료되면 적용을 선택합니다.

세부 정보 플라이아웃을 벗어나지 않고 다른 항목에 대한 세부 정보를 보려면 플라이아웃 맨 위에 있는 이전 항목다음 항목을 사용합니다.

스푸핑 검색을 차단 허용에서 변경하거나 그 반대로 변경하려면 다음 섹션을 참조하세요.

스푸핑 인텔리전스 평결 재정의

의 스푸핑 인텔리전스 인사이트 페이지에서 https://security.microsoft.com/spoofintelligence다음 방법 중 하나를 사용하여 스푸핑 인텔리전스 평결을 재정의합니다.

  • 첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 하나 이상의 항목을 선택합니다.

    1. 표시되는 대량 작업 작업을 선택합니다.
    2. 열리는 대량 작업 플라이아웃에서 스푸핑 허용 또는 스푸핑 차단을 선택한 다음 적용을 선택합니다.
  • 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다.

    열리는 세부 정보 플라이아웃에서 플라이아웃 맨 위에 있는 스푸핑 허용 또는 스푸핑 차단 을 선택한 다음 적용을 선택합니다.

스푸핑 인텔리전스 인사이트 페이지로 돌아가면 항목이 목록에서 제거되고 의 테넌트 허용/차단 Lists 페이지의 https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem스푸핑된 보낸 사람 탭에 추가됩니다.

허용된 스푸핑 발신자 정보

스푸핑된 보낸 사람(자동으로 검색되거나 수동으로 구성됨)의 메시지는 스푸핑된 도메인 전송 인프라의 조합을 사용하는 경우에만 허용됩니다. 예를 들어 다음 스푸핑 발신자는 스푸핑이 허용됩니다.

  • 도메인: gmail.com
  • 인프라: tms.mx.com

해당 도메인/전송 인프라 쌍의 전자 메일만 스푸핑할 수 있습니다. gmail.com을 스푸핑하려는 다른 발신자는 자동으로 허용되지 않습니다. tms.mx.com에서 시작된 다른 도메인의 보낸 사람이 보낸 메시지는 여전히 스푸핑 인텔리전스로 확인되며 차단될 수 있습니다.

Exchange Online PowerShell 또는 독립 실행형 EOP PowerShell에서 스푸핑 인텔리전스 인사이트 사용

PowerShell에서는 Get-SpoofIntelligenceInsight cmdlet을 사용하여 스푸핑 인텔리전스에 의해 감지된 허용된 스푸핑된 보낸 사람 및 차단된 스푸핑된 발신자를 수 있습니다. 스푸핑된 보낸 사람이 수동으로 허용하거나 차단하려면 New-TenantAllowBlockListSpoofItems cmdlet을 사용해야 합니다. 자세한 내용은 PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 허용 항목 만들기PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 블록 항목 만들기를 참조하세요.

스푸핑 인텔리전스 인사이트에서 정보를 보려면 다음 명령을 실행합니다.

Get-SpoofIntelligenceInsight

자세한 구문 및 매개 변수 정보는 Get-SpoofIntelligenceInsight를 참조하세요.

스푸핑 및 피싱을 관리하는 다른 방법

스푸핑 및 피싱 보호에 대해 부지런히 해야 합니다. 도메인을 스푸핑하는 보낸 사람을 검사 organization 손상시키지 않도록 방지하는 관련 방법은 다음과 같습니다.