Office 365용 Microsoft Defender 대한 위협 탐색기의 위협 헌팅

  • 아티클
  • 읽는 데 10분 걸림

Office 365 플랜 2의 Microsoft 365 Defender 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft 365 Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록할 수 있는 사용자 및 평가판 약관에 대해 알아봅니 .

적용 대상:

이 문서의 내용

참고

위협 탐색기(탐색기), 이메일 보안탐색기 및 실시간 검색(예: 도구 간의 차이점 및 이를 작동하는 데 필요한 권한)에 대한 3개 문서 시리즈의 일부입니다. 이 시리즈의 다른 두 문서는 위협 탐색기와 위협 탐색기를 사용한 이메일 보안 및 실시간 검색입니다.

적용 대상

조직에 Office 365용 Microsoft Defender 권한이 있는 경우 탐색기 또는 실시간 검색을 사용하여 위협을 감지하고 수정할 수 있습니다.

Microsoft 365 Defender 포털에서 https://security.microsoft.com메일 & 공동 작업 으로 이동한 다음 탐색기 또는 실시간 검색을 선택합니다. 페이지로 직접 이동하려면 다음을 사용 https://security.microsoft.com/threatexplorer 하거나 https://security.microsoft.com/realtimereports.

다음 도구를 사용하여 다음을 수행할 수 있습니다.

  • Microsoft 365 보안 기능에서 검색된 맬웨어 참조
  • 피싱 URL 보기 및 평결 데이터 클릭
  • 탐색기의 보기에서 자동화된 조사 및 응답 프로세스 시작
  • 악성 전자 메일 조사 등

자세한 내용은 위협 탐색기를 사용하여 전자 메일 보안을 참조하세요.

이 짧은 비디오를 시청하여 Office 365용 Microsoft Defender 사용하여 이메일 및 공동 작업 기반 위협을 사냥하고 조사하는 방법을 알아봅니다.

위협 탐색기 연습

Office 365용 Microsoft Defender 플랜 1과 플랜 2의 두 가지 구독 계획이 있습니다. 수동으로 작동하는 위협 헌팅 도구는 서로 다른 이름 및 다른 기능으로 두 계획 모두에 존재합니다.

Office 365용 Defender 계획 1은 계획 2에서 위협 탐색기(탐색 기라고도 함) 헌팅 도구의 하위 집합인 실시간 검색 을 사용합니다. 이 문서 시리즈에서는 대부분의 예제가 전체 위협 탐색기를 사용하여 만들어졌습니다. 관리자는 실시간 검색의 단계를 테스트하여 적용되는 위치를 확인해야 합니다.

탐색기에 이동한 후에는 기본적으로 맬웨어 페이지에 도착하지만 보기 드롭다운을 사용하여 옵션에 익숙해집니다. 피시를 사냥하거나 위협 캠페인을 파헤치려면 해당 보기를 선택합니다.

위협 탐색기의 뷰 드롭다운

보안 작업(Sec Ops) 사용자가 보려는 데이터를 선택하면 범위가 사용자 제출 과 같은 좁은 보기인지 아니면 모든 전자 메일 과 같은 더 넓은 보기인지에 관계없이 보낸 사람 단추를 사용하여 추가로 필터링할 수 있습니다. 새로 고침을 선택하여 필터링 작업을 완료해야 합니다.

위협 탐색기의 보낸 사람 단추

탐색기 또는 실시간 검색에서 포커스를 구체화하는 작업은 레이어에서 생각할 수 있습니다. 첫 번째는 보기 입니다. 두 번째는 필터링된 포커스 로 간주할 수 있습니다. 예를 들어 다음과 같은 결정을 기록하여 위협을 찾는 데 수행한 단계를 되짚어 볼 수 있습니다. 탐색기에서 문제를 찾으려면 받는 사람 필터 포커스가 있는 맬웨어 보기를 선택했습니다. 이렇게 하면 단계를 더 쉽게 추적할 수 있습니다.

Sec Ops에서 태그를 사용하여 높은 가치의 대상을 고려하는 계정을 표시하는 경우 태그 필터 포커스를 사용하여 피싱 보기와 같은 선택을 할 수 있습니다 (사용되는 경우 날짜 범위 포함). 이는 시간 범위 동안 높은 가치의 사용자 대상을 대상으로 한 피싱 시도를 보여 줍니다(예: 특정 피싱 공격이 업계에서 많이 발생하는 날짜).

날짜 범위 컨트롤을 사용하여 날짜 범위에서 구체화할 수 있습니다. 여기서 검색 기술 필터 포커스가 있는 맬웨어 보기에서 탐색기를 볼 수 있습니다. 하지만 Sec Ops 팀이 깊이 파고들 수 있는 고급 필터 단추입니다.

위협 탐색기의 고급 필터

고급 필터 를 클릭하면 Sec Ops 사냥꾼이 직접 쿼리를 작성할 수 있는 패널이 표시되므로 참조해야 하는 정보를 포함하거나 제외할 수 있습니다. 탐색기 페이지의 차트와 테이블 모두 결과를 반영합니다.

쿼리의 결과

열 옵션 단추를 사용하여 가장 유용한 테이블에 대한 정보를 가져옵니다.

열 옵션 단추가 강조 표시됨

열에서 사용 가능한 옵션

동일한 mien에서 디스플레이 옵션을 테스트해야 합니다. 다른 청중은 동일한 데이터의 다른 프레젠테이션에 잘 반응합니다. 일부 시청자의 경우 이메일 원본 맵은 바로 옆에 있는 캠페인 표시 옵션보다 위협이 광범위하거나 신중하다는 것을 표시할 수 있습니다. Sec Ops는 이러한 디스플레이를 사용하여 보안 및 보호의 필요성을 강조하는 점을 가장 잘 만들거나 나중에 비교하여 작업의 효과를 입증할 수 있습니다.

전자 메일 원본 맵

캠페인 표시 옵션

전자 메일 조사

의심스러운 전자 메일이 표시되면 이름을 클릭하여 오른쪽의 플라이아웃을 확장합니다. 여기서는 Sec Ops에서 전자 메일 엔터티 페이지를 볼 수 있는 배너를 사용할 수 있습니다.

전자 메일 엔터티 페이지는 세부 정보, 첨부 파일, 장치 에서 찾을 수 있지만 더 구성된 데이터를 포함하는 콘텐츠를 함께 가져옵니다. 여기에는 DMARC 결과, 복사 옵션이 있는 전자 메일 헤더의 일반 텍스트 표시, 안전하게 폭파된 첨부 파일에 대한 평결 정보 및 삭제된 파일(연락처가 있는 IP 주소 및 페이지 또는 파일의 스크린샷 포함)이 포함됩니다. URL 및 해당 평결도 보고된 유사한 세부 정보와 함께 나열됩니다.

이 단계에 도달하면 이메일 엔터티 페이지가 마지막 단계인 수정 에 중요합니다.

전자 메일 엔터티 페이지

폭발된 첨부 파일의 결과, 포함된 URL에 대한 결과 및 안전한 전자 메일 미리 보기를 포함하여 풍부한 전자 메일 엔터티 페이지( 분석 탭에서 아래 참조)에 대해 자세히 알아보려면 여기를 클릭하세요.

전자 메일 엔터티 페이지의 분석 탭

전자 메일 수정

Sec Ops 사용자가 전자 메일이 위협이라고 판단하면 다음 탐색기 또는 실시간 검색 단계에서 위협을 처리하고 수정합니다. 이 작업은 위협 탐색기로 돌아가서 문제 전자 메일에 대한 확인란을 선택하고 작업 단추를 사용하여 수행할 수 있습니다 .

위협 탐색기의 작업 단추

여기서 분석가는 메일을 스팸, 피싱 또는 맬웨어로 보고하거나, 받는 사람에게 연락하거나, 자동 조사 및 응답(또는 AIR) 플레이북 트리거를 포함할 수 있는 추가 조사(계획 2가 있는 경우)와 같은 작업을 수행할 수 있습니다. 또는 메일을 깨끗한 것으로 보고할 수도 있습니다.

작업 드롭다운

위협 헌팅 환경 개선

경고 ID

경고에서 위협 탐색기로 이동할 때 보기경고 ID 로 필터링됩니다. 실시간 검색에도 적용됩니다. 특정 경고와 관련된 메시지와 전자 메일 합계(개수)가 표시됩니다. 메시지가 경고의 일부인지 확인하고 해당 메시지에서 관련 경고로 이동할 수 있습니다.

마지막으로 경고 ID는 URL에 포함됩니다. 예를 들면 다음과 같습니다. https://https://security.microsoft.com/viewalerts

경고 ID에 대한 필터

세부 정보 플라이아웃의 경고 ID

평가판 테넌트에 대한 탐색기(및 실시간 검색) 데이터 보존 및 검색 제한 확장

이 변경의 일환으로 분석가는 위협 탐색기에서 30일(7일에서 증가)에 걸쳐 전자 메일 데이터를 검색하고 필터링하고 Office P1 및 P2 평가판 테넌트용 Defender 모두에 대한 실시간 검색을 필터링할 수 있습니다. 이는 보존 기본값이 이미 30일인 P1 및 P2 E5 고객 모두에 대한 프로덕션 테넌트에 영향을 주지 않습니다.

업데이트된 내보내기 제한

위협 탐색기에서 내보낼 수 있는 전자 메일 레코드 수는 이제 200,000개(9990개)입니다. 내보낼 수 있는 열 집합은 변경되지 않습니다.

위협 탐색기의 태그

참고

사용자 태그 기능은 미리 보기로 제공되며 모든 사용자가 사용할 수 없습니다. 또한 미리 보기는 변경될 수 있습니다. 릴리스 일정에 대한 자세한 내용은 Microsoft 365 로드맵을 확인하세요.

사용자 태그는 Office 365용 Microsoft Defender 특정 사용자 그룹을 식별합니다. 라이선스 및 구성을 비롯한 태그에 대한 자세한 내용은 사용자 태그를 참조하세요.

위협 탐색기에서 다음 환경에서 사용자 태그에 대한 정보를 볼 수 있습니다.

전자 메일 표 보기

분석가가 전자 메일 표의 태그 열을 보면 보낸 사람 또는 받는 사람 사서함에 적용된 모든 태그가 표시됩니다. 기본적으로 우선 순위 계정 과 같은 시스템 태그가 먼저 표시됩니다.

전자 메일 그리드 보기의 필터 태그

필터링

태그는 필터로 사용할 수 있습니다. 우선 순위 계정 중에서만 헌팅하거나 특정 사용자 태그 시나리오를 이러한 방식으로 사용합니다. 특정 태그가 있는 결과를 제외할 수도 있습니다. 태그를 다른 필터 및 날짜 범위와 결합하여 조사 범위를 좁힐 수 있습니다.

태그를 필터링합니다.

필터링되지 않은 태그

전자 메일 세부 정보 플라이아웃

보낸 사람 및 받는 사람에 대한 개별 태그를 보려면 전자 메일을 선택하여 메시지 세부 정보 플라이아웃을 엽니다. 요약 탭에서 보낸 사람과 받는 사람 태그는 별도로 표시됩니다. 보낸 사람 및 받는 사람에 대한 개별 태그에 대한 정보를 CSV 데이터로 내보낼 수 있습니다.

전자 메일 세부 정보 태그

태그 정보는 URL 클릭 플라이아웃에도 표시됩니다. 이를 보려면 피싱 또는 모든 전자 메일 보기 > URL 또는 URL 클릭 탭으로 이동합니다. 개별 URL 플라이아웃을 선택하여 해당 클릭과 연결된 태그를 포함하여 해당 URL의 클릭에 대한 추가 세부 정보를 확인합니다.

업데이트된 타임라인 보기

URL 태그

이 비디오를 시청하여 자세히 확인하세요.

확장된 기능

상위 대상 사용자

상위 맬웨어 패밀리는 맬웨어 섹션에서 가장 많은 대상 사용자를 표시합니다. 상위 대상 사용자도 피싱 및 모든 전자 메일 보기를 통해 확장됩니다. 분석가는 각 보기에서 각 사용자에 대한 시도 횟수와 함께 상위 5명의 대상 사용자를 볼 수 있습니다.

보안 작업 사용자는 각 전자 메일 보기에 대한 오프라인 분석을 위해 시도 횟수와 함께 대상 사용자 목록을 최대 3,000명까지 내보낼 수 있습니다. 또한 시도 횟수(예: 아래 이미지에서 13회 시도)를 선택하면 위협 탐색기에서 필터링된 보기가 열리므로 전자 메일에 대한 자세한 내용과 해당 사용자에 대한 위협을 볼 수 있습니다.

사용자가 가장 많은 대상을 지정했습니다.

Exchange 전송 규칙

보안 운영 팀은 전자 메일 그리드 보기에서 메시지에 적용되는 모든 Exchange 전송 규칙(또는 메일 흐름 규칙)을 볼 수 있습니다. 표에서 열 옵션을 선택한 다음, 열 옵션에서 Exchange 전송 규칙 추가 Exchange 전송 규칙 옵션은 전자 메일의 세부 정보 플라이아웃에도 표시됩니다.

메시지에 적용된 전송 규칙의 이름 및 GUID가 표시됩니다. 분석가는 전송 규칙의 이름을 사용하여 메시지를 검색할 수 있습니다. 이는 CONTAINS 검색이므로 부분 검색도 수행할 수 있습니다.

중요

Exchange 전송 규칙 검색 및 이름 가용성은 사용자에게 할당된 특정 역할에 따라 달라집니다. 전송 규칙 이름과 검색을 보려면 다음 역할 또는 권한 중 하나가 있어야 합니다. 그러나 아래 역할 또는 권한이 없더라도 분석가는 전자 메일 세부 정보에 전송 규칙 레이블 및 GUID 정보를 볼 수 있습니다. Email Grids, 이메일 플라이아웃, 필터 및 내보내기에서 다른 레코드 보기 환경은 영향을 받지 않습니다.

  • Exchange Online 전용 - 데이터 손실 방지: 모두
  • Exchange Online 전용 - O365SupportViewConfig: 모두
  • Microsoft Azure Active Directory 또는 Exchange Online - 보안 관리: 모두
  • Azure Active Directory 또는 Exchange Online - 보안 읽기 권한자: 모두
  • Exchange Online 전용 - 전송 규칙: 모두
  • Exchange Online 전용 - View-Only 구성: 모두

이메일 그리드, 세부 정보 플라이아웃 및 내보낸 CSV 내에서 ETR에는 아래와 같이 이름/GUID가 표시됩니다.

Exchange 전송의 규칙

인바운드 커넥터

커넥터는 Microsoft 365 또는 Office 365 조직에서 전자 메일이 이동하는 방식을 사용자 지정하는 지침 모음입니다. 이를 통해 보안 제한 또는 컨트롤을 적용할 수 있습니다. 위협 탐색기에서 전자 메일과 관련된 커넥터를 보고 커넥터 이름을 사용하여 전자 메일을 검색할 수 있습니다.

커넥터 검색은 CONTAINS 쿼리입니다. 즉, 부분 키워드 검색이 작동할 수 있습니다.

커넥터 세부 정보

필수 라이선스 및 사용 권한

탐색기 또는 실시간 검색을 사용하려면 Office 365용 Microsoft Defender 있어야 합니다.

  • 탐색기는 Office 365용 Defender 플랜 2에 포함되어 있습니다.
  • 실시간 검색 보고서는 Office 365용 Defender 플랜 1에 포함되어 있습니다.
  • Office 365용 Defender 보호해야 하는 모든 사용자에 대해 라이선스를 할당하도록 계획합니다. 탐색기 및 실시간 검색은 사용이 허가된 사용자에 대한 검색 데이터를 표시합니다.

탐색기 또는 실시간 검색을 보고 사용하려면 다음 권한이 있어야 합니다.

  • Microsoft 365 Defender 포털에서 다음을 수행합니다.
    • 조직 관리
    • 보안 관리자(Azure Active Directory 관리 센터에서 할당할 수 있음)(https://aad.portal.azure.com)
    • 보안 읽기 권한자
  • Exchange Online:
    • 조직 관리
    • 보기 전용 조직 관리
    • 보기 전용 받는 사람
    • 준수 관리

역할 및 권한에 대한 자세한 내용은 다음 리소스를 참조하세요.

추가 정보