Office 365용 Microsoft Defender 보안 운영 가이드

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

이 문서에서는 organization Office 365용 Microsoft Defender 성공적으로 작동하기 위한 요구 사항 및 작업에 대한 개요를 제공합니다. 이러한 작업은 SOC(보안 운영 센터)가 이메일 및 공동 작업 관련 보안 위협을 보호, 감지 및 대응하는 고품질의 신뢰할 수 있는 접근 방식을 제공하는 데 도움이 됩니다.

이 가이드의 나머지에서는 SecOps 담당자에게 필요한 활동에 대해 설명합니다. 활동은 규범적인 매일, 매주, 매월 및 임시 작업으로 그룹화됩니다.

이 가이드의 도우미 문서에서는 Microsoft Defender 포털의 인시던트 페이지에 있는 Office 365용 Defender 인시던트 및 경고를 관리하는 개요를 제공합니다.

Microsoft Defender XDR 보안 운영 가이드에는 계획 및 개발에 사용할 수 있는 추가 정보가 포함되어 있습니다.

이 정보에 대한 비디오는 를 참조하세요 https://youtu.be/eQanpq9N1Ps.

일상 활동

Microsoft Defender XDR 인시던트 큐 모니터링

Microsoft Defender 포털 https://security.microsoft.com/incidents-queue 의 인시던트 페이지(인시던트 큐라고도 함)를 사용하면 Office 365용 Defender 다음 원본의 이벤트를 관리하고 모니터링할 수 있습니다.

• 경고.
• AIR(자동 조사 및 대응).

인시던트 큐에 대한 자세한 내용은 Microsoft Defender XDR 인시던트 우선 순위를 참조하세요.

인시던트 큐를 모니터링하기 위한 심사 계획은 인시던트에 대해 다음 우선 순위를 사용해야 합니다.

1. 잠재적으로 악의적인 URL 클릭이 검색되었습니다.
2. 사용자가 전자 메일 보내기를 제한했습니다.
3. 의심스러운 전자 메일 보내기 패턴이 검색되었습니다.
4. 사용자가 맬웨어 또는 피싱으로 보고한 Email여러 사용자가 이메일을 맬웨어 또는 피싱으로 보고했습니다.
5. 배달 후 제거된 악성 파일이 포함된 메시지를 Email, 배달 후 제거된 악성 URL이 포함된 메시지를Email, 배달 후 제거된 캠페인에서 메시지를 Email.
6. ETR 재정의로 인해 전달된 피시, 사용자의 정크 메일 폴더가 비활성화되어 피시가 전달되고 IP 허용 정책으로 인해 피시가 배달됨
7. ZAP가 비활성화되고 ZAP가 비활성화되어피시가 잘리지 않기 때문에 맬웨어가 잘리지 않습니다.

인시던트 큐 관리 및 책임 있는 가상 사용자는 다음 표에 설명되어 있습니다.

활동	흐름	설명	가상 사용자
에서 인시던트 큐 https://security.microsoft.com/incidents-queue의 인시던트 심사	매일	Office 365용 Defender 모든 중간 및 높은 심각도 인시던트가 심사되는지 확인합니다.	보안 운영 팀
인시던트에 대한 대응 작업을 조사하고 수행합니다.	매일	모든 인시던트 조사 및 권장 또는 수동 응답 작업을 적극적으로 수행합니다.	보안 운영 팀
인시던트 해결.	매일	인시던트가 수정된 경우 인시던트를 resolve. 인시던트 해결은 연결된 모든 활성 경고와 관련된 활성 경고를 해결합니다.	보안 운영 팀
인시던트 분류.	매일	인시던트 를 true 또는 false로 분류합니다. 실제 경고의 경우 위협 유형을 지정합니다. 이 분류는 보안 팀이 위협 패턴을 보고 organization 보호하는 데 도움이 됩니다.	보안 운영 팀

가양성 및 거짓 부정 검색 관리

Office 365용 Defender 다음 위치에서 가양성(양호한 메일이 잘못된 것으로 표시됨) 및 거짓 부정(잘못된 메일 허용)을 관리합니다.

• 제출 페이지(관리자 제출)입니다.
• 테넌트 허용/차단 목록
• 위협 탐색기

자세한 내용은 이 문서의 뒷부분에 있는 가양성 및 가음성 검색 관리 섹션을 참조하세요.

가양성 및 거짓 부정 관리 및 책임 있는 가상 사용자는 다음 표에 설명되어 있습니다.

활동	흐름	설명	가상 사용자
에서 https://security.microsoft.com/reportsubmissionMicrosoft에 가양성 및 거짓 부정을 제출합니다.	매일	잘못된 이메일, URL 및 파일 검색을 보고하여 Microsoft에 신호를 제공합니다.	보안 운영 팀
관리자 제출 세부 정보를 분석합니다.	매일	Microsoft에 제출하는 경우 다음 요소를 이해합니다. 가양성 또는 가음성으로 인한 원인입니다. 제출 시 Office 365용 Defender 구성의 상태입니다. Office 365용 Defender 구성을 변경해야 하는지 여부입니다.	보안 운영 팀 보안 관리
의 테넌트 허용/차단 목록에 https://security.microsoft.com/tenantAllowBlockList블록 항목을 추가합니다.	매일	테넌트 허용/차단 목록을 사용하여 필요에 따라 거짓 부정 URL, 파일 또는 보낸 사람 검색에 대한 블록 항목을 추가합니다.	보안 운영 팀
격리에서 가양성 을 해제합니다.	매일	받는 사람이 메시지가 잘못 격리되었음을 확인한 후 사용자에 대한 릴리스 요청을 해제하거나 승인할 수 있습니다. 사용자가 격리된 메시지(릴리스 또는 요청 릴리스 포함)에 대해 수행할 수 있는 작업을 제어하려면 격리 정책을 참조하세요.	보안 운영 팀 메시징 팀

배달된 메일을 생성한 피싱 및 맬웨어 캠페인 검토

활동	흐름	설명	가상 사용자
이메일 캠페인을 검토합니다.	매일	에서 https://security.microsoft.com/campaignsorganization 대상으로 한 이메일 캠페인을 검토합니다. 받는 사람에게 메시지가 전달되는 캠페인에 초점을 맞춥니다. 사용자 사서함에 있는 캠페인에서 메시지를 제거합니다. 이 작업은 캠페인에 인시던트의 작업, ZAP(0시간 자동 제거) 또는 수동 수정으로 아직 수정되지 않은 이메일이 포함된 경우에만 필요합니다.	보안 운영 팀

주간 활동

Office 365용 Defender 보고서에서 이메일 검색 추세 검토

Office 365용 Defender 다음 보고서를 사용하여 organization 이메일 검색 추세를 검토할 수 있습니다.

• 메일 흐름 상태 보고서
• 위협 방지 상태 보고서

활동	흐름	설명	가상 사용자
다음에서 이메일 검색 보고서를 검토합니다. https://security.microsoft.com/reports/TPSAggregateReportATP https://security.microsoft.com/mailflowStatusReport?viewid=type	매주	좋은 전자 메일에 비해 맬웨어, 피싱 및 스팸에 대한 이메일 검색 추세를 검토합니다. 시간에 따른 관찰을 통해 위협 패턴을 보고 Office 365용 Defender 정책을 조정해야 하는지 여부를 결정할 수 있습니다.	보안 관리 보안 운영 팀

위협 분석을 사용하여 새로운 위협 추적 및 대응

위협 분석을 사용하여 활성 추세 위협을 검토합니다.

활동	흐름	설명	가상 사용자
에서 위협 분석의 https://security.microsoft.com/threatanalytics3위협을 검토합니다.	매주	위협 분석은 다음 항목을 포함하여 자세한 분석을 제공합니다. IOC. 활성 위협 행위자와 해당 캠페인에 대한 헌팅 쿼리 인기 있는 새로운 공격 기술. 중요한 취약성. 일반적인 공격 표면. 널리 퍼진 맬웨어.	보안 운영 팀 위협 헌팅 팀

맬웨어 및 피싱에 대한 상위 대상 사용자 검토

위협 Explorer 모든 전자 메일, 맬웨어 및 피싱 보기의 세부 정보 영역에서 상위 대상 사용자 탭(보기)을 사용하여 맬웨어 및 피싱 전자 메일의 상위 대상인 사용자를 검색하거나 확인합니다.

활동	흐름	설명	가상 사용자
의 위협 Explorer 상위 대상 사용자 탭을 https://security.microsoft.com/threatexplorer검토합니다.	매주	정보를 사용하여 이러한 사용자에 대한 정책 또는 보호를 조정해야 하는지 여부를 결정합니다. 영향을 받는 사용자를 우선 순위 계정에 추가하여 다음과 같은 이점을 얻을 수 있습니다. 인시던트가 영향을 줄 때 추가 가시성. 임원 메일 흐름 패턴(우선 순위 계정 보호)에 대한 맞춤형 추론입니다. 우선 순위 계정 보고서에 대한 문제 Email	보안 관리 보안 운영 팀

organization 대상으로 하는 상위 맬웨어 및 피싱 캠페인 검토

캠페인 보기는 organization 대한 맬웨어 및 피싱 공격을 보여줍니다. 자세한 내용은 Office 365용 Microsoft Defender의 캠페인 보기를 참조하세요.

활동	흐름	설명	가상 사용자
에서 https://security.microsoft.com/campaigns캠페인 보기를 사용하여 사용자에게 영향을 주는 맬웨어 및 피싱 공격을 검토합니다.	매주	공격 및 기술과 Office 365용 Defender 식별하고 차단할 수 있었던 것에 대해 알아봅니다. 캠페인에 대한 자세한 내용은 캠페인 보기에서 위협 보고서 다운로드 를 사용합니다.	보안 운영 팀

임시 활동

전자 메일 수동 조사 및 제거

활동	흐름	설명	가상 사용자
사용자 요청에 따라 에서 위협 Explorer https://security.microsoft.com/threatexplorer 잘못된 전자 메일을 조사하고 제거합니다.	임시	위협 Explorer 트리거 조사 작업을 사용하여 지난 30일 동안의 모든 전자 메일에서 자동 조사 및 응답 플레이북을 시작합니다. 수동으로 조사를 트리거하면 다음을 포함하여 중앙에서 시간과 노력을 절약할 수 있습니다. 루트 조사. 위협을 식별하고 상관 관계를 지정하는 단계입니다. 이러한 위협을 완화하기 위한 권장 조치입니다. 자세한 내용은 예제: 사용자가 보고한 피시 메시지가 조사 플레이북을 시작합니다.를 참조하세요. 또는 위협 Explorer 사용하여 강력한 검색 및 필터링 기능으로 전자 메일을 수동으로 조사하고 동일한 위치에서 직접 수동 응답 작업을 수행할 수 있습니다. 사용 가능한 수동 작업: 받은 편지함으로 이동 정크로 이동 삭제된 항목으로 이동 일시 삭제 하드 삭제.	보안 운영 팀

사전 대응식 위협 탐지

활동	흐름	설명	가상 사용자
다음에서 위협에 대한 정기적인 사전 예방적 헌팅: https://security.microsoft.com/threatexplorer https://security.microsoft.com/v2/advanced-hunting .	임시	위협 Explorer 및 고급 헌팅을 사용하는 위협에 대한 Search.	보안 운영 팀 위협 헌팅 팀
헌팅 쿼리를 공유합니다.	임시	더 빠른 수동 위협 헌팅 및 수정을 위해 보안 팀 내에서 자주 사용되는 유용한 쿼리를 적극적으로 공유합니다. 고급 헌팅에서위협 추적기 및 공유 쿼리를 사용합니다.	보안 운영 팀 위협 헌팅 팀
에서 https://security.microsoft.com/custom_detection사용자 지정 검색 규칙을 Create.	임시	사전 헌팅에서 Office 365용 Defender 데이터를 기반으로 이벤트, 패턴 및 위협을 사전에 모니터링하는 사용자 지정 검색 규칙을 Create. 검색 규칙에는 일치하는 조건에 따라 경고를 생성하는 고급 헌팅 쿼리가 포함되어 있습니다.	보안 운영 팀 위협 헌팅 팀

Office 365용 Defender 정책 구성 검토

활동	흐름	설명	가상 사용자
에서 Office 365용 Defender 정책의 구성을 https://security.microsoft.com/configurationAnalyzer검토합니다.	임시 매월	구성 분석기를 사용하여 기존 정책 설정을 Office 365용 Defender 권장 표준 또는 엄격한 값과 비교합니다. 구성 분석기는 organization 보안 상태를 낮출 수 있는 우발적이거나 악의적인 변경 내용을 식별합니다. 또는 PowerShell 기반 ORCA 도구를 사용할 수 있습니다.	보안 관리 메시징 팀
에서 Office 365용 Defender 검색 재정의를 검토합니다.https://security.microsoft.com/reports/TPSMessageOverrideReportATP	임시 매월	위협 방지 상태 보고서에서시스템별 데이터 보기 재정의 > 차트 분석 보기를 사용하여 피싱으로 검색되었지만 정책 또는 사용자 재정의 설정으로 인해 전달된 전자 메일을 검토합니다. 악의적인 것으로 확인된 전자 메일의 배달을 방지하기 위해 재정의를 적극적으로 조사, 제거 또는 미세 조정합니다.	보안 관리 메시징 팀

스푸핑 및 가장 검색 검토

활동	흐름	설명	가상 사용자
에서 스푸핑 인텔리전스 인사이트 및 가장 검색 인사이트를 검토합니다. https://security.microsoft.com/spoofintelligence https://security.microsoft.com/impersonationinsight .	임시 매월	스푸핑 인텔리전스 인사이트 및 가장 인사이트를 사용하여 스푸핑 및 가장 검색에 대한 필터링을 조정합니다.	보안 관리 메시징 팀

우선 순위 계정 멤버 자격 검토

활동	흐름	설명	가상 사용자
에서 https://security.microsoft.com/securitysettings/userTags우선 순위 계정으로 정의된 사용자를 검토합니다.	임시	조직의 변경 내용으로 우선 순위 계정 의 멤버 자격을 최신 상태로 유지하여 해당 사용자에게 다음과 같은 이점을 얻을 수 있습니다. 보고서의 가시성 향상. 인시던트 및 경고 필터링. 임원 메일 흐름 패턴(우선 순위 계정 보호)에 대한 맞춤형 추론입니다. 다른 사용자가 가져올 사용자 지정 사용자 태그 를 사용합니다. 보고서의 가시성 향상. 인시던트 및 경고 필터링.	보안 운영 팀

부록

Office 365용 Microsoft Defender 도구 및 프로세스에 대해 알아보기

보안 운영 및 대응 팀 구성원은 Office 365용 Defender 도구와 기능을 기존 조사 및 응답 프로세스에 통합해야 합니다. 새로운 도구와 기능에 대해 배우는 데는 시간이 걸릴 수 있지만 온보딩 프로세스의 중요한 부분입니다. SecOps 및 이메일 보안 팀 구성원이 Office 365용 Defender 대해 알아보는 가장 간단한 방법은 에서 https://aka.ms/mdoninjaNinja 학습 콘텐츠의 일부로 사용할 수 있는 학습 콘텐츠를 사용하는 것입니다.

콘텐츠는 수준당 여러 모듈이 있는 다양한 기술 수준(기본 사항, 중간 및 고급)에 대해 구성됩니다.

특정 작업에 대한 짧은 비디오는 Office 365용 Microsoft Defender YouTube 채널에서도 사용할 수 있습니다.

Office 365용 Defender 활동 및 작업에 대한 권한

Microsoft Defender 포털 및 PowerShell에서 Office 365용 Defender 관리하기 위한 권한은 RBAC(역할 기반 액세스 제어) 권한 모델을 기반으로 합니다. RBAC는 대부분의 Microsoft 365 서비스에서 사용하는 것과 동일한 권한 모델입니다. 자세한 내용은 Microsoft Defender 포털의 권한을 참조하세요.

참고

Microsoft Entra ID PIM(Privileged Identity Management)은 SecOps 담당자에게 필요한 권한을 할당하는 방법이기도 합니다. 자세한 내용은 PRIVILEGED IDENTITY MANAGEMENT(PIM) 및 Office 365용 Microsoft Defender 사용하는 이유를 참조하세요.

다음 권한(역할 및 역할 그룹)은 Office 365용 Defender 사용할 수 있으며 보안 팀 구성원에게 액세스 권한을 부여하는 데 사용할 수 있습니다.

• Microsoft Entra ID: Office 365용 Defender 포함하여 모든 Microsoft 365 서비스에 대한 권한을 할당하는 중앙 집중식 역할입니다. Microsoft Defender 포털에서 Microsoft Entra 역할 및 할당된 사용자를 볼 수 있지만 직접 관리할 수는 없습니다. 대신 에서 Microsoft Entra 역할 및 멤버https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F를 관리합니다. 보안 팀에서 가장 자주 사용하는 역할은 다음과 같습니다.

  • 보안 관리자
  • 보안 읽기 권한자

• Exchange Online 및 Email & 협업: Office 365용 Microsoft Defender 관련 권한을 부여하는 역할 및 역할 그룹입니다. 다음 역할은 Microsoft Entra ID 사용할 수 없지만 보안 팀에 중요할 수 있습니다.

  • 미리 보기 역할(Email & 공동 작업): 조사 활동의 일환으로 전자 메일 메시지를 미리 보거나 다운로드해야 하는 팀 구성원에게 이 역할을 할당합니다. 사용자가 위협 Explorer(Explorer) 또는 실시간 검색 및 Email엔터티 페이지를 사용하여 클라우드 사서함에서 전자 메일 메시지를 미리 보거나 다운로드할 수 있습니다.

    기본적으로 미리 보기 역할은 다음 역할 그룹에만 할당됩니다.

    • 데이터 조사자
    • eDiscovery 매니저

    해당 역할 그룹에 사용자를 추가하거나 미리 보기 역할이 할당된 새 역할 그룹을 만들고 사용자를 사용자 지정 역할 그룹에 추가할 수 있습니다.

  • Search 및 제거 역할(Email & 공동 작업): AIR에서 권장하는 악의적인 메시지 삭제를 승인하거나 위협 Explorer 같은 헌팅 환경에서 메시지에 대한 수동 작업을 수행합니다.

    기본적으로 Search 및 제거 역할은 다음 역할 그룹에만 할당됩니다.

    • 데이터 조사자
    • 조직 관리

    해당 역할 그룹에 사용자를 추가하거나 Search 및 제거 역할이 할당된 새 역할 그룹을 만들고 사용자를 사용자 지정 역할 그룹에 추가할 수 있습니다.

  • 테넌트 AllowBlockList 관리자(Exchange Online): 테넌트 허용/차단 목록에서 허용 및 차단 항목을 관리합니다. URL, 파일(파일 해시 사용) 또는 보낸 사람 차단은 배달된 악성 메일을 조사할 때 수행할 유용한 응답 작업입니다.

    기본적으로 이 역할은 Microsoft Entra ID 아닌 Exchange Online 보안 운영자 역할 그룹에만 할당됩니다. Microsoft Entra ID doesn에서보안 운영자 역할의 멤버 자격을 사용하면 테넌트 허용/차단 목록 항목을 관리할 수 없습니다.

    Microsoft Entra ID 보안 관리자 또는 조직 관리 역할의 구성원 또는 Exchange Online 해당 역할 그룹은 테넌트 허용/차단 목록에서 항목을 관리할 수 있습니다.

SIEM/SOAR 통합

Office 365용 Defender 프로그래밍 방식 API 집합을 통해 대부분의 데이터를 노출합니다. 이러한 API는 워크플로를 자동화하고 Office 365용 Defender 기능을 최대한 활용하는 데 도움이 됩니다. 데이터는 Microsoft Defender XDR API를 통해 사용할 수 있으며 Office 365용 Defender 기존 SIEM/SOAR 솔루션에 통합하는 데 사용할 수 있습니다.

• 인시던트 API: Office 365용 Defender 경고 및 자동화된 조사는 Microsoft Defender XDR 인시던트에서 활성 부분입니다. 보안 팀은 전체 공격 scope 및 영향을 받는 모든 자산을 함께 그룹화하여 중요한 사항에 집중할 수 있습니다.

• 이벤트 스트리밍 API: 실시간 이벤트 및 경고를 발생하는 단일 데이터 스트림으로 전송할 수 있습니다. Office 365용 Defender 지원되는 이벤트 유형은 다음과 같습니다.

  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo

  이벤트에는 지난 30일 동안 모든 전자 메일(조직 내 메시지 포함)을 처리하는 데이터가 포함됩니다.

• 사전 헌팅 API: 제품 간 위협 헌팅을 허용합니다.

• 위협 평가 API: 스팸, 피싱 URL 또는 맬웨어 첨부 파일을 Microsoft에 직접 보고하는 데 사용할 수 있습니다.

Office 365용 Defender 인시던트 및 원시 데이터를 Microsoft Sentinel에 연결하려면 Microsoft Defender XDR(M365D) 커넥터를 사용할 수 있습니다.

다음 "헬로 월드" 예제를 사용하여 Microsoft Defender API에 대한 API 액세스를 테스트할 수 있습니다. Microsoft Defender XDR REST API에 대한 헬로 월드.

SIEM 도구 통합에 대한 자세한 내용은 siEM 도구와 Microsoft Defender XDR 통합을 참조하세요.

Office 365용 Defender 가양성 및 가음성 해결

사용자가 보고한 메시지 및 전자 메일 메시지의 관리자 제출은 기계 학습 검색 시스템에 중요한 긍정적인 강화 신호입니다. 제출은 공격을 검토, 심사, 신속하게 학습 및 완화하는 데 도움이 됩니다. 가양성 및 거짓 부정을 적극적으로 보고하는 것은 감지 중에 실수가 발생할 때 Office 365용 Defender 피드백을 제공하는 중요한 활동입니다.

조직에는 사용자가 보고한 메시지를 구성하는 여러 옵션이 있습니다. 구성에 따라 사용자가 Microsoft에 가양성 또는 거짓 부정을 제출할 때 보안 팀이 더 적극적으로 참여할 수 있습니다.

• 사용자가 보고한 설정이 다음 설정 중 하나로 구성된 경우 분석을 위해 사용자가 보고한 메시지가 Microsoft로 전송됩니다.

  • 보고된 메시지를 Microsoft에만 보냅니다.
  • Microsoft 및 내 보고 사서함에 보고된 메시지를 보냅니다.

  보안 팀 구성원은 운영 팀이 사용자가 보고하지 않은 가양성 또는 거짓 부정을 발견할 때 추가 임시 관리자 제출 을 수행해야 합니다.

• 사용자가 보고한 메시지가 organization 사서함으로만 메시지를 보내도록 구성된 경우 보안 팀은 관리자 제출을 통해 사용자가 보고한 가양성 및 거짓 부정을 Microsoft에 적극적으로 보내야 합니다.

사용자가 메시지를 피싱으로 보고하면 Office 365용 Defender 경고를 생성하고 경고는 AIR 플레이북을 트리거합니다. 인시던트 논리는 가능한 경우 이 정보를 다른 경고 및 이벤트와 상호 연결합니다. 이러한 정보 통합은 보안 팀이 사용자가 보고한 메시지를 심사, 조사 및 응답하는 데 도움이 됩니다.

서비스의 제출 파이프라인은 사용자가 메시지를 보고하고 관리자가 메시지를 제출할 때 긴밀하게 통합된 프로세스를 따릅니다. 이 프로세스에는 다음이 포함됩니다.

• 노이즈 감소.
• 자동화된 심사.
• 보안 분석가 및 인간 파트너 기계 학습 기반 솔루션별 채점

자세한 내용은 Office 365용 Defender - Microsoft Tech Community 메일 보고를 참조하세요.

보안 팀 구성원은 에서 https://security.microsoft.comMicrosoft Defender 포털의 여러 위치에서 제출을 수행할 수 있습니다.

• 관리 제출: 제출 페이지를 사용하여 의심스러운 스팸, 피싱, URL 및 파일을 Microsoft에 제출합니다.

• 다음 메시지 작업 중 하나를 사용하여 위협 Explorer 직접

  • 보고서 클린
  • 보고서 피싱
  • 맬웨어 보고
  • 보고서 스팸

  최대 10 개의 메시지를 선택하여 대량 제출을 수행할 수 있습니다. 이러한 메서드를 사용하여 만든 관리 제출은 제출 페이지의 해당 탭에 표시됩니다.

단기적인 거짓 부정 완화를 위해 보안 팀은 테넌트 허용/차단 목록에서 파일, URL, 도메인 또는 이메일 주소에 대한 블록 항목을 직접 관리할 수 있습니다.

가양성의 단기적인 완화를 위해 보안 팀은 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소에 대한 허용 항목을 직접 관리할 수 없습니다. 대신 관리자 제출을 사용하여 전자 메일 메시지를 가양성으로 보고해야 합니다. 지침은 Microsoft에 좋은 전자 메일 보고를 참조하세요.

Office 365용 Defender 격리는 잠재적으로 위험하거나 원치 않는 메시지와 파일을 보유합니다. 보안 팀은 모든 사용자에 대해 모든 유형의 격리된 메시지를 보고, 해제하고, 삭제할 수 있습니다. 이 기능을 사용하면 가양성 메시지 또는 파일이 격리될 때 보안 팀이 효과적으로 대응할 수 있습니다.

사용자가 보고한 메시지를 Office 365용 Defender 타사 보고 도구 통합

organization 사용자가 내부적으로 의심스러운 전자 메일을 보고할 수 있는 타사 보고 도구를 사용하는 경우 Office 365용 Defender 사용자가 보고한 메시지 기능과 도구를 통합할 수 있습니다. 이 통합은 보안 팀에 다음과 같은 이점을 제공합니다.

• Office 365용 Defender AIR 기능과 통합합니다.
• 간소화된 심사.
• 조사 및 응답 시간이 단축되었습니다.

사용자가 보고한 메시지가 의 Microsoft Defender 포털에 있는 사용자 보고 설정 페이지에서 전송되는 보고 사서함을 지정합니다https://security.microsoft.com/securitysettings/userSubmission. 자세한 내용은 사용자 보고 설정을 참조하세요.

참고

• 보고 사서함은 Exchange Online 사서함이어야 합니다.
• 타사 보고 도구는 원래 보고된 메시지를 압축되지 않은 로 포함해야 합니다. EML 또는 입니다. 보고 사서함으로 전송되는 메시지의 MSG 첨부 파일입니다(원본 메시지를 보고 사서함으로 전달하지 마세요). 자세한 내용은 타사 보고 도구에 대한 메시지 제출 형식을 참조하세요.
• 보고 사서함에는 필터링 또는 변경 없이 잠재적으로 잘못된 메시지를 배달할 수 있도록 특정 필수 구성 요소가 필요합니다. 자세한 내용은 보고 사서함에 대한 구성 요구 사항을 참조하세요.

사용자가 보고한 메시지가 보고 사서함에 도착하면 Office 365용 Defender 사용자가 맬웨어 또는 피싱으로 보고한 Email 라는 경고를 자동으로 생성합니다. 이 경고는 AIR 플레이북을 시작합니다. 플레이북은 일련의 자동화된 조사 단계를 수행합니다.

• 지정된 전자 메일에 대한 데이터를 수집합니다.
• 해당 이메일과 관련된 위협 및 엔터티 (예: 파일, URL 및 받는 사람)에 대한 데이터를 수집합니다.
• 조사 결과에 따라 SecOps 팀이 수행할 권장 조치를 제공합니다.

사용자가 맬웨어 또는 피싱 경고로 보고한 Email 자동 조사 및 권장 작업은 Microsoft Defender XDR 인시던트와 자동으로 상관 관계가 지정됩니다. 이 상관 관계는 보안 팀의 심사 및 응답 프로세스를 더욱 간소화합니다. 여러 사용자가 동일하거나 유사한 메시지를 보고하는 경우 모든 사용자와 메시지는 동일한 인시던트와 상관 관계가 있습니다.

Office 365용 Defender 경고 및 조사의 데이터는 다른 Microsoft Defender XDR 제품의 경고 및 조사와 자동으로 비교됩니다.

• 엔드포인트용 Microsoft Defender
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity

관계가 발견되면 시스템은 전체 공격에 대한 가시성을 제공하는 인시던트를 만듭니다.