Office 365용 Microsoft Defender 마이그레이션 - 2단계: 설정
적용 대상:
 1 단계: 준비 |
 2 단계: 설정 |
 3 단계: 온보딩 |
|---|---|---|
| 당신은 여기 있습니다! |
2단계 시작: Office 365용 Microsoft Defender 마이그레이션 설정! 이 마이그레이션 단계에는 다음 단계가 포함됩니다.
- 파일럿 사용자를 위한 메일 그룹 만들기
- 사용자 메시지 보고를 위한 사용자 제출 구성
- SCL=-1 메일 흐름 규칙 유지 관리 또는 만들기
- 커넥터에 대한 향상된 필터링 구성
- 파일럿 보호 정책 만들기
1단계: 파일럿 사용자를 위한 메일 그룹 만들기
배포 그룹은 마이그레이션의 다음과 같은 측면에 대해 Microsoft 365에 필요합니다.
SCL=-1 메일 흐름 규칙에 대한 예외: 파일럿 사용자가 Office 365용 Defender 보호의 모든 효과를 얻을 수 있도록 Office 365용 Defender 들어오는 메시지를 검사해야 합니다. 이렇게 하려면 Microsoft 365의 적절한 배포 그룹에서 파일럿 사용자를 정의하고 이러한 그룹을 SCL=-1 메일 흐름 규칙의 예외로 구성합니다.
온보딩 2단계에서 설명한 대로(선택 사항) 기존 보호 서비스에 의한 필터링에서 파일럿 사용자를 제외하려면 기존 보호 서비스에서 검사에서 이러한 동일한 파일럿 사용자를 제외하는 것이 좋습니다. 기존 보호 서비스로 필터링할 가능성을 제거하고 Office 365용 Defender 단독으로 사용하는 것이 마이그레이션이 완료된 후 발생할 작업을 가장 잘 표현하고 가장 가깝게 표현합니다.
특정 Office 365용 Defender 보호 기능 테스트: 파일럿 사용자의 경우에도 모든 기능을 한 번에 켜고 싶지는 않습니다. 파일럿 사용자에게 적용되는 보호 기능에 대해 단계적 접근 방식을 사용하면 문제 해결 및 조정이 훨씬 쉬워집니다. 이 방법을 염두에 두고 다음 배포 그룹을 사용하는 것이 좋습니다.
- 안전한 첨부 파일 파일럿 그룹: 예를 들어 MDOPilot_SafeAttachments
- 안전 링크 파일럿 그룹: 예를 들어 MDOPilot_SafeLinks
- 표준 스팸 방지 및 피싱 방지 정책 설정에 대한 파일럿 그룹: 예: MDOPilot_SpamPhish_Standard
- 엄격한 스팸 방지 및 피싱 방지 정책 설정에 대한 파일럿 그룹: 예를 들어 MDOPilot_SpamPhish_Strict
명확성을 위해 이 문서 전체에서 이러한 특정 그룹 이름을 사용하지만 사용자 고유의 명명 규칙을 자유롭게 사용할 수 있습니다.
테스트를 시작할 준비가 되면 이러한 그룹을 SCL=-1 메일 흐름 규칙에 예외로 추가합니다. Office 365용 Defender 다양한 보호 기능에 대한 정책을 만들 때 정책이 적용되는 사용자를 정의하는 조건으로 이러한 그룹을 사용합니다.
참고:
표준 및 Strict라는 용어는 미리 설정된 보안 정책에도 사용되는 권장 보안 설정에서 제공됩니다. 표준 및 엄격한 사전 설정 보안 정책에서 파일럿 사용자를 정의하도록 지시하는 것이 가장 좋지만 그렇게 할 수는 없습니다. 이유 미리 설정된 보안 정책(특히 메시지에 대해 수행되는 작업)의 설정을 사용자 지정할 수 없기 때문입니다. 마이그레이션 테스트 중에 Office 365용 Defender 메시지에 대해 수행할 작업을 확인하고, 수행하려는 작업을 확인하고, 정책 구성을 조정하여 이러한 결과를 허용하거나 방지할 수 있습니다.
따라서 미리 설정된 보안 정책을 사용하는 대신, 표준 및 엄격한 미리 설정된 보안 정책의 설정과 매우 유사한 설정을 사용하여 사용자 지정 정책을 수동으로 만들지만 경우에 따라 다릅니다.
표준 또는 Strict 권장 값과 크게 다른 설정을 실험하려는 경우 이러한 시나리오에서 파일럿 사용자에 대한 추가 및 특정 배포 그룹을 만들고 사용하는 것이 좋습니다. Configuration Analyzer를 사용하여 설정의 보안을 확인할 수 있습니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 보호 정책에 대한 구성 분석기를 참조하세요.
대부분의 조직에서 가장 좋은 방법은 권장 표준 설정에 밀접하게 부합하는 정책으로 시작하는 것입니다. 사용 가능한 시간 프레임에서 수행할 수 있는 만큼의 관찰 및 피드백 후에는 나중에 더 공격적인 설정으로 이동할 수 있습니다. 가장 보호 및 정크 Email 폴더로 배달 및 격리에 배달하려면 사용자 지정이 필요할 수 있습니다.
사용자 지정된 정책을 사용하는 경우 마이그레이션에 대한 권장 설정이 포함된 정책 앞에 적용되었는지 확인합니다. 사용자가 동일한 형식의 여러 정책(예: 피싱 방지)으로 식별되는 경우 해당 유형의 정책 중 하나만 사용자에게 적용됩니다(정책의 우선 순위 값에 따라). 자세한 내용은 전자 메일 보호의 순서 및 우선 순위를 참조하세요.
2단계: 사용자 메시지 보고를 위한 사용자 제출 구성
사용자가 Office 365용 Defender 가양성 또는 거짓 부정을 식별하는 기능은 마이그레이션의 중요한 부분입니다.
Exchange Online 사서함을 지정하여 사용자가 악의적이거나 악의적이지 않다고 보고하는 메시지를 받을 수 있습니다. 자세한 지침은 사용자가 보고한 메시지 설정을 참조하세요. 이 사서함은 사용자가 Microsoft에 제출한 메시지의 복사본을 받거나, Microsoft에 보고하지 않고 메시지를 가로챌 수 있습니다(보안 팀은 메시지를 수동으로 분석하고 제출할 수 있음). 그러나 이 가로채기 접근 방식은 서비스가 자동으로 조정하고 학습하는 것을 허용하지 않습니다.
또한 파일럿의 모든 사용자에게 사용자 제출과 호환되는 지원되는 메시지 보고 앱이 Outlook에 설치되어 있는지 확인해야 합니다. 이러한 앱은 다음과 같습니다.
- 보고서 메시지 추가 기능
- 보고서 피싱 추가 기능
- 여기에 설명된 대로 지원되는 타사 보고 도구입니다.
이 단계의 중요성을 과소평가하지 마세요. 사용자 제출의 데이터는 마이그레이션 전후에 좋은 일관된 최종 사용자 환경을 확인하는 데 필요한 피드백 루프를 제공합니다. 이 피드백은 정보에 입각한 정책 구성 결정을 내릴 뿐만 아니라 마이그레이션이 원활하게 진행되었다는 데이터 지원 보고서를 관리에 제공하는 데 도움이 됩니다.
전체 조직의 환경에서 지원되는 데이터에 의존하는 대신 둘 이상의 마이그레이션으로 인해 단일 부정적인 사용자 환경을 기반으로 정서적 추측이 발생했습니다. 또한 피싱 시뮬레이션을 실행한 경우 사용자의 피드백을 사용하여 조사가 필요할 수 있는 위험한 항목이 표시되면 사용자에게 알릴 수 있습니다.
3단계: SCL=-1 메일 흐름 규칙 유지 관리 또는 만들기
인바운드 전자 메일은 Microsoft 365 앞에 있는 다른 보호 서비스를 통해 라우팅되므로 들어오는 모든 메일의 SCL(스팸 신뢰도 수준)을 값 -1(스팸 필터링 우회)으로 설정하는 메일 흐름 규칙(전송 규칙이라고도 함)이 이미 Exchange Online 있을 가능성이 큽니다. 대부분의 타사 보호 서비스는 해당 서비스를 사용하려는 Microsoft 365 고객을 위해 이 SCL=-1 메일 흐름 규칙을 권장합니다.
Microsoft 필터링 스택(예: IP 허용 목록)을 재정의하는 다른 메커니즘을 사용하는 경우 Microsoft 365로의 모든 인바운드 인터넷 메일이 타사 보호 서비스에서 제공되는 한 SCL=-1 메일 흐름 규칙을 사용하도록 전환하는 것이 좋습니다(인터넷에서 Microsoft 365로 직접 메일 흐름 없음).
SCL=-1 메일 흐름 규칙은 다음과 같은 이유로 마이그레이션하는 동안 중요합니다.
위협 탐색기를 사용하여 기존 보호 서비스의 결과에 영향을 주지 않고 Microsoft 스택의 어떤 기능이 메시지에 작동 했는지 확인할 수 있습니다.
SCL=-1 메일 흐름 규칙에 대한 예외를 구성하여 Microsoft 365 필터링 스택으로 보호되는 사용자를 점진적으로 조정할 수 있습니다. 예외는 이 문서의 뒷부분에서 권장하는 파일럿 배포 그룹의 구성원입니다.
MX 레코드를 Microsoft 365로 전환하기 전이나 중단하는 동안 조직의 모든 받는 사람에 대해 Microsoft 365 보호 스택의 전체 보호를 설정하려면 이 규칙을 사용하지 않도록 설정합니다.
자세한 내용은 메일 흐름 규칙을 사용하여 Exchange Online 메시지에서 SCL(스팸 신뢰도 수준)을 설정하는 방법을 참조하세요.
참고:
인터넷 메일이 기존 보호 서비스를 통해 Microsoft 365로 동시에 전송되도록 허용하려는 경우 SCL=-1 메일 흐름 규칙(스팸 필터링을 우회하는 메일)을 기존 보호 서비스를 통해서만 전달된 메일로 제한해야 합니다. Microsoft 365의 사용자 사서함에 필터링되지 않은 인터넷 메일이 방문하지 않도록 합니다.
기존 보호 서비스에서 이미 검사한 메일을 올바르게 식별하려면 SCL=-1 메일 흐름 규칙에 조건을 추가할 수 있습니다. 예시:
- 클라우드 기반 보호 서비스의 경우: 조직에 고유한 헤더 및 헤더 값을 사용할 수 있습니다. 헤더가 있는 메시지는 Microsoft 365에서 검사되지 않습니다. 헤더가 없는 메시지는 Microsoft 365에서 검색됩니다.
- 온-프레미스 보호 서비스 또는 디바이스의 경우: 원본 IP 주소를 사용할 수 있습니다. 원본 IP 주소의 메시지는 Microsoft 365에서 검사되지 않습니다. 원본 IP 주소에서 전송되지 않은 메시지는 Microsoft 365에서 검색됩니다.
메일 필터링 여부를 제어하기 위해 MX 레코드에만 의존하지 마세요. 보낸 사람이 MX 레코드를 쉽게 무시하고 Microsoft 365로 직접 전자 메일을 보낼 수 있습니다.
4단계: 커넥터에 대한 향상된 필터링 구성
가장 먼저 해야 할 일은 기존 보호 서비스에서 Microsoft 365로의 메일 흐름에 사용되는 커넥터에서 커넥터에 대한 향상된 필터링 ( 건너뛰기 목록 이라고도 함)을 구성하는 것입니다. 인바운드 메시지 보고서를 사용하여 커넥터를 식별할 수 있습니다.
Office 365용 Defender 인터넷 메시지가 실제로 어디에서 왔는지 확인하려면 커넥터에 대한 향상된 필터링이 필요합니다. 커넥터에 대한 향상된 필터링은 Microsoft 필터링 스택(특히 스푸핑 인텔리전스)의 정확도와 위협 탐색기 및 AIR(자동 조사 & 응답)의 위반 후 기능을 크게 향상시킵니다.
커넥터에 대한 향상된 필터링을 올바르게 사용하도록 설정하려면 인바운드 메일을 Microsoft 365로 라우팅하는 모든** 타사 서비스 및/또는 온-프레미스 전자 메일 시스템 호스트의 **공용 IP 주소를 추가해야 합니다.
커넥터에 대한 향상된 필터링이 작동하는지 확인하려면 들어오는 메시지에 다음 헤더 중 하나 또는 둘 다를 포함하는지 확인합니다.
X-MS-Exchange-SkipListedInternetSenderX-MS-Exchange-ExternalOriginalInternetSender
5단계: 파일럿 보호 정책 만들기
프로덕션 정책을 만들어 모든 사용자에게 적용되지 않더라도 위협 탐색기와 같은 위반 후 기능을 테스트하고 보안 대응 팀의 프로세스에 Office 365용 Defender 통합하는 테스트를 수행할 수 있습니다.
중요
정책의 범위는 사용자, 그룹 또는 도메인으로 지정할 수 있습니다. 세 가지 모두와 일치하는 사용자만 정책 범위에 속하므로 세 가지 모두를 하나의 정책으로 혼합하지 않는 것이 좋습니다. 파일럿 정책의 경우 그룹 또는 사용자를 사용하는 것이 좋습니다. 프로덕션 정책의 경우 도메인을 사용하는 것이 좋습니다. 사용자의 기본 전자 메일 도메인 만 사용자가 정책 범위에 속하는지 여부를 결정하는 것을 이해하는 것이 매우 중요합니다. 따라서 사용자의 보조 도메인에 대한 MX 레코드를 전환하는 경우 해당 주 도메인도 정책의 적용을 받는지 확인합니다.
파일럿 안전한 첨부 파일 정책 만들기
안전한 첨부 파일은 MX 레코드를 전환하기 전에 사용 및 테스트하는 가장 쉬운 Office 365용 Defender 기능입니다. 안전한 첨부 파일에는 다음과 같은 이점이 있습니다.
- 최소 구성.
- 가양성의 매우 낮은 확률.
- SCL=-1 메일 흐름 규칙의 영향을 받지 않고 항상 켜지는 맬웨어 방지 보호와 유사한 동작입니다.
파일럿 사용자에 대한 안전한 첨부 파일 정책을 만듭니다.
권장 설정은 권장되는 안전한 첨부 파일 정책 설정을 참조하세요. 표준 및 엄격한 권장 사항은 동일합니다. 정책을 만들려면 안전한 첨부 파일 정책 설정을 참조하세요. 그룹 MDOPilot_SafeAttachments를 정책의 조건(정책이 적용되는 대상)으로 사용해야 합니다.
참고
기본 제공 보호 사전 설정 보안 정책은 안전한 첨부 파일 정책에 정의되지 않은 모든 받는 사람에게 안전한 첨부 파일 보호를 제공합니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 미리 설정된 보안 정책을 참조하세요.
파일럿 안전 링크 정책 만들기
참고
이미 래핑되거나 다시 작성된 링크는 래핑 또는 다시 작성할 수 없습니다. 현재 보호 서비스가 전자 메일 메시지의 링크를 이미 래핑하거나 다시 작성하는 경우 파일럿 사용자에 대해 이 기능을 해제해야 합니다. 이러한 일이 발생하지 않도록 하는 한 가지 방법은 안전 링크 정책에서 다른 서비스의 URL 도메인을 제외하는 것입니다.
파일럿 사용자에 대한 안전 링크 정책을 만듭니다. 안전 링크의 가양성 가능성도 매우 낮지만 안전한 첨부 파일보다 적은 수의 파일럿 사용자에서 이 기능을 테스트하는 것이 좋습니다. 이 기능은 사용자 환경에 영향을 주므로 사용자를 교육하는 계획을 고려해야 합니다.
권장 설정은 권장 안전 링크 정책 설정을 참조하세요. 표준 및 엄격한 권장 사항은 동일합니다. 정책을 만들려면 안전한 링크 정책 설정을 참조하세요. 정책의 조건(정책이 적용되는 사람)으로 그룹 MDOPilot_SafeLinks 를 사용해야 합니다.
참고
기본 제공 보호 사전 설정 보안 정책은 안전한 링크 정책에 정의되지 않은 모든 받는 사람에게 Safe Links 보호를 제공합니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 미리 설정된 보안 정책을 참조하세요.
파일럿 스팸 방지 정책 만들기
파일럿 사용자를 위한 두 가지 스팸 방지 정책을 만듭니다.
- 표준 설정을 사용하는 정책입니다. 정책의 조건으로 그룹 MDOPilot_SpamPhish_Standard 를 사용합니다(정책이 적용되는 사람).
- Strict 설정을 사용하는 정책입니다. 정책의 조건으로 그룹 MDOPilot_SpamPhish_Strict 를 사용합니다(정책이 적용되는 사람). 이 정책은 표준 설정을 사용하는 정책보다 우선 순위가 더 높아야 합니다(낮은 수).
권장 표준 및 엄격한 설정은 권장 스팸 방지 정책 설정을 참조하세요. 정책을 만들려면 스팸 방지 정책 구성을 참조하세요.
파일럿 피싱 방지 정책 만들기
파일럿 사용자를 위한 두 가지 피싱 방지 정책을 만듭니다.
- 아래에 설명된 대로 가장 검색 작업을 제외하고 표준 설정을 사용하는 정책입니다. 정책의 조건으로 그룹 MDOPilot_SpamPhish_Standard 를 사용합니다(정책이 적용되는 사람).
- 아래에 설명된 대로 가장 검색 작업을 제외하고 Strict 설정을 사용하는 정책입니다. 정책의 조건으로 그룹 MDOPilot_SpamPhish_Strict 를 사용합니다(정책이 적용되는 사람). 이 정책은 표준 설정을 사용하는 정책보다 우선 순위가 더 높아야 합니다(낮은 수).
스푸핑 검색의 경우 권장되는 표준 작업은 받는 사람의 정크 Email 폴더로 메시지 이동 이며 권장되는 Strict 작업은 메시지를 격리하는 것입니다. 스푸핑 인텔리전스 인사이트를 사용하여 결과를 관찰합니다. 재정의는 다음 섹션에서 설명합니다. 자세한 내용은 EOP의 스푸핑 인텔리전스 인사이트를 참조하세요.
가장 검색의 경우 파일럿 정책에 권장되는 표준 및 엄격한 작업을 무시합니다. 대신 다음 설정에 대해 아무 작업도 적용하지 마세요 .
- 메시지가 가장된 사용자로 검색되는 경우
- 메시지가 가장된 도메인으로 검색되는 경우
- 사서함 인텔리전스에서 가장된 사용자를 검색하는 경우
가장 인사이트를 사용하여 결과를 관찰합니다. 자세한 내용은 Office 365용 Defender 가장 인사이트를 참조하세요.
스푸핑 보호(허용 및 블록 조정)를 조정하고 각 가장 보호 작업을 켜서 메시지를 격리하거나 정크 Email 폴더로 이동합니다(표준 또는 엄격한 권장 사항에 따라). 결과를 관찰하고 필요에 따라 설정을 조정할 수 있습니다.
자세한 내용은 아래 항목을 참조하세요.
다음 단계
축하합니다! Office 365용 Microsoft Defender 마이그레이션의 설정 단계를 완료했습니다.
- 3단계: 온보딩으로 진행합니다.