테넌트 허용/차단 목록에서 허용 및 차단 관리

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

중요

타사 공격 시뮬레이션 학습의 일부인 피싱 URL을 허용하려면 고급 배달 구성 을 사용하여 URL을 지정합니다. 테넌트 허용/차단 목록을 사용하지 마세요.

Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서는 EOP 또는 Office 365용 Microsoft Defender 필터링 평결. 예를 들어 좋은 메시지가 잘못된 메시지(가양성)로 표시되거나 잘못된 메시지가 (거짓 부정)을 통해 허용될 수 있습니다.

Microsoft Defender 포털의 테넌트 허용/차단 목록을 사용하면 Office 365용 Defender 또는 EOP 필터링 평결을 수동으로 재정의할 수 있습니다. 이 목록은 외부 보낸 사람의 들어오는 메시지에 대한 메일 흐름 중에 사용됩니다.

테넌트 허용/차단 목록은 organization 내의 내부 메시지에 적용되지 않습니다. 그러나 도메인 및 전자 메일 주소에 대한 차단 항목은 organization 사용자가 차단된 도메인 및 주소로 전자 메일을 보내지 못하도록 차단합니다.

테넌트 허용/차단 목록은 정책 & 규칙위협 정책>테넌트 허용/차단Lists>규칙 섹션의 Microsoft Defender 포털 https://security.microsoft.com> 에서 사용할 수 있습니다. 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

사용 및 구성 지침은 다음 문서를 참조하세요.

• 도메인 및 전자 메일 주소 및스푸핑된 보낸 사람: 테넌트 허용/차단 목록을 사용하여 전자 메일 허용 또는 차단
• 파일: 테넌트 허용/차단 목록을 사용하여 파일 허용 또는 차단
• URL: 테넌트 허용/차단 목록을 사용하여 URL을 허용하거나 차단합니다.

이러한 문서에는 Microsoft Defender 포털 및 PowerShell의 프로시저가 포함되어 있습니다.

테넌트 허용/차단 목록의 차단 항목

참고

테넌트 허용/차단 목록에서 블록 항목이 허용 항목보다 우선합니다.

에서 제출 페이지( 관리자 제출이라고도 함) https://security.microsoft.com/reportsubmission 를 사용하여 Microsoft에 거짓 부정으로 보고할 때 다음 유형의 항목에 대한 블록 항목을 만듭니다.

• 도메인 및 전자 메일 주소:

  • 이러한 보낸 사람의 Email 메시지는 높은 신뢰도 피싱으로 표시된 다음 격리로 이동됩니다.
  • organization 사용자는 이러한 차단된 도메인 및 주소로 전자 메일을 보낼 수 없습니다. 다음과 같은 배달 못 함 보고서(NDR 또는 반송 메시지라고도 함) 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 를 받습니다. 전체 메시지는 하나의 받는 사람 전자 메일 주소 또는 도메인만 블록 항목에 정의되어 있더라도 메시지의 모든 내부 및 외부 받는 사람에 대해 차단됩니다.

  팁

  특정 보낸 사람으로부터 스팸만 차단하려면 스팸 방지 정책의 차단 목록에 이메일 주소 또는 도메인을 추가합니다. 보낸 사람으로부터 모든 전자 메일을 차단하려면 테넌트 허용/차단 목록에서 도메인 및 전자 메일 주소를 사용합니다.

• 파일: 이러한 차단된 파일이 포함된 Email 메시지는 맬웨어로 차단됩니다. 차단된 파일이 포함된 메시지는 격리됩니다.

• URL: 이러한 차단된 URL을 포함하는 Email 메시지는 높은 신뢰도 피싱으로 차단됩니다. 차단된 URL이 포함된 메시지는 격리됩니다.

테넌트 허용/차단 목록에서 다음 유형의 항목에 대한 블록 항목을 직접 만들 수도 있습니다.

• 도메인 및 전자 메일 주소, 파일 및 URL.

• 스푸핑된 보낸 사람: 스푸핑 인텔리전스에서 기존 허용 평결을 수동으로 재정의하는 경우 차단된 스푸핑된 보낸 사람이 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에만 표시되는 수동 블록 항목이 됩니다.

기본적으로 도메인 및 전자 메일 주소, 파일 및 URL 에 대한 항목은 30일 후에 만료되지만 최대 90일 동안 만료되거나 만료되지 않도록 설정할 수 있습니다. 스푸핑된 보낸 사람의 차단 항목은 만료되지 않습니다.

테넌트 허용/차단 목록의 항목 허용

대부분의 경우 테넌트 허용/차단 목록에 허용 항목을 직접 만들 수 없습니다.

• 도메인 및 전자 메일 주소, 파일 및 URL: 테넌트 허용/차단 목록에 직접 허용 항목을 만들 수 없습니다. 대신 에서 https://security.microsoft.com/reportsubmission제출 페이지를 사용하여 Microsoft에 이메일, 전자 메일 첨부 파일 또는 URL을 차단해서는 안 됨(가양성)으로 보고합니다.

• 스푸핑된 보낸 사람:

  • 스푸핑 인텔리전스가 이미 메시지를 스푸핑으로 차단한 경우 의 제출 페이지를 https://security.microsoft.com/reportsubmission 사용하여 Microsoft에 메일 을 차단해서는 안 됨(가양성)으로 보고합니다.
  • 스푸핑 인텔리전스가 메시지를 스푸핑으로 식별하고 차단하기 전에 테넌트 허용/차단 목록의 스푸핑된 보낸 사람 탭에서 스푸핑된 발신자에 대한 허용 항목을 사전에 만들 수 있습니다.

다음 목록에서는 제출 페이지에서 Microsoft에 가양성으로 보고할 때 테넌트 허용/차단 목록에서 발생하는 상황에 대해 설명 합니다 .

• 첨부 파일 및 URL Email: 허용 항목이 만들어지고 항목이 테넌트 허용/차단 목록의 파일 또는 URL 탭에 각각 표시됩니다.

  가양성으로 보고된 URL의 경우 원래 URL의 변형이 포함된 후속 메시지를 허용합니다. 예를 들어 제출 페이지를 사용하여 잘못 차단된 URL www.contoso.com/abc을 보고합니다. organization 나중에 URL이 포함된 메시지를 수신하는 경우(예: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5또는 www.contoso.com/abc/whatever) URL에 따라 메시지가 차단되지 않습니다. 즉, 동일한 URL의 여러 변형을 Microsoft에 보고할 필요가 없습니다.

• Email: EOP 또는 Office 365용 Defender 필터링 스택에 의해 메시지가 차단된 경우 테넌트 허용/차단 목록에 허용 항목이 생성될 수 있습니다.

  • 스 푸핑 인텔리전스에 의해 메시지가 차단된 경우 보낸 사람의 허용 항목이 만들어지고 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에 항목이 나타납니다.
  • Office 365용 Defender 사용자(또는 그래프) 가장 보호에 의해 메시지가 차단된 경우 테넌트 허용/차단 목록에 허용 항목이 만들어지지 않습니다. 대신 도메인 또는 보낸 사람이 메시지를 검색한 피싱 방지 정책의 신뢰할 수 있는 보낸 사람 및 도메인 섹션에 추가됩니다.
  • 파일 기반 필터로 인해 메시지가 차단된 경우 파일에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 파일 탭에 항목이 나타납니다.
  • URL 기반 필터로 인해 메시지가 차단된 경우 URL에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 URL 탭에 항목이 나타납니다.
  • 다른 이유로 메시지가 차단된 경우 보낸 사람 전자 메일 주소 또는 도메인에 대한 허용 항목이 만들어지고 테넌트 허용/차단 목록의 도메인 & 주소 탭에 항목이 표시됩니다.
  • 필터링으로 인해 메시지가 차단되지 않은 경우 아무 곳에도 허용 항목이 만들어지지 않습니다.

기본적으로 도메인 및 전자 메일 주소, 파일 및 URL에 대한 항목이 30일 동안 존재하도록 허용합니다. 이러한 30일 동안 Microsoft는 허용 항목에서 학습하여 항목을 제거하거나 자동으로 확장합니다. Microsoft가 제거된 허용 항목에서 알게 되면 메시지의 다른 항목이 악성으로 검색되지 않는 한 해당 엔터티를 포함하는 메시지가 배달됩니다. 기본적으로 스푸핑된 보낸 사람의 항목은 만료되지 않습니다.

중요

Microsoft에서는 허용 항목을 직접 만들 수 없습니다. 불필요한 허용 항목은 시스템에 의해 필터링되었을 수 있는 악의적인 전자 메일에 organization 노출합니다.

Microsoft는 의 제출 페이지에서 https://security.microsoft.com/reportsubmission허용 항목 만들기를 관리합니다. 허용 항목은 메시지가 악의적이라고 판단한 필터에 따라 메일 흐름 중에 추가됩니다. 예를 들어 보낸 사람 전자 메일 주소와 메시지의 URL이 잘못된 것으로 확인되면 보낸 사람(전자 메일 주소 또는 도메인) 및 URL에 대한 허용 항목이 만들어집니다.

엔터티가 다시 발견되면(메일 흐름 또는 클릭 시간 동안) 해당 엔터티와 연결된 모든 필터를 건너뜁니다.

메일 흐름 중에 허용된 엔터티가 포함된 메시지가 필터링 스택에서 다른 검사를 통과하면 메시지가 배달됩니다. 예를 들어 메시지가 전자 메일 인증 검사, URL 필터링 및 파일 필터링을 통과하면 허용된 보낸 사람 전자 메일 주소의 메시지가 배달됩니다.

허용 또는 차단 항목을 추가한 후 예상되는 사항

제출 페이지에 허용 항목을 추가하거나 테넌트 허용/차단 목록에 블록 항목을 추가하면 항목이 즉시 작동하기 시작합니다(5분 이내).

Microsoft가 허용 항목에서 학습한 경우 항목이 제거됩니다. 테넌트 허용/차단 목록에서 항목 제거라는 기본 제공 경고 정책에서 불필요한 허용 항목 제거에 대한 경고가 표시됩니다.