Office 365용 Microsoft Defender 사용해 보기

Microsoft 365 Defender 포털의 통합 평가판 포털은 Office 365용 Microsoft Defender 대해 이전에 분리된 평가판 및 평가 환경에 대한 단일 진입점을 제공합니다. 계획 2를 완전히 커밋하기 전에 90일 동안 Office 365용 Defender 플랜 2의 기능을 사용해 볼 수 있도록 하기 위한 것입니다. 하지만 Microsoft 365 조직의 특성에 따라 평가 환경에는 차이가 있습니다.

• Microsoft 365 사서함이 이미 있지만 현재 전자 메일 보호를 위해 타사 서비스 또는 디바이스를 사용하고 있습니다. 인터넷의 메일은 Microsoft 365 조직으로 배달되기 전에 보호 서비스를 통해 흐릅니다. Microsoft 365 보호는 가능한 한 낮습니다(완전히 해제되지는 않습니다. 예를 들어 맬웨어 보호는 항상 적용됨).

  

  이러한 환경에서는 감사 모드에서만 Office 365용 Defender 시도할 수 있습니다. Office 365용 Defender 시도하기 위해 메일 흐름(MX 레코드)을 변경할 필요가 없습니다.

• Microsoft 365 조직이 이미 있습니다. 인터넷의 메일은 Microsoft 365로 직접 전달되지만 현재 구독에는 EOP(Exchange Online Protection) 또는 Office 365용 Defender 플랜 1만 있습니다.

  

  이러한 환경에서는 감사 모드 또는 차단 모드 에서 Office 365용 Defender 시도할 수 있습니다.

Microsoft 365 Defender 포털https://security.microsoft.com의 다양한 Office 365용 Defender 기능 위치에서 평가판을 시작하도록 초대됩니다. 평가판을 시작하는 중앙 집중식 위치는 평가판 페이지입니다 https://security.microsoft.com/atpEvaluation.

Office 365용 Microsoft Defender 사용하여 더 적은 시간에 더 많은 작업을 수행할 수 있는 방법에 대해 자세히 알아보려면 이 짧은 비디오를 시청하세요.

이 문서의 나머지 부분에는 감사 모드 차단 모드, 평가 구성 방법 및 기타 세부 정보 간의 차이점이 설명되어 있습니다.

평가판을 사용하는 방법에 대한 도우미 가이드는 평가판 플레이북: Office 365용 Microsoft Defender 참조하세요.

Office 365용 Defender 개요

Office 365용 Defender 포괄적인 기능을 제공하여 조직이 엔터프라이즈를 보호할 수 있도록 지원합니다. 자세한 내용은 Office 365용 Microsoft Defender 참조하세요.

이 대화형 가이드에서 Office 365용 Defender 대해 자세히 알아볼 수도 있습니다.

차단 모드 또는 감사 모드의 정책

Office 365용 Defender 평가할 때 Microsoft 365의 보호 기능을 제어하는 정책이 있습니다.

• Exchange Online Protection(EOP): 새 정책이나 특수 정책이 만들어지지 않습니다. 기존 EOP 정책은 메시지에 대해 작업할 수 있습니다(예: 정크 메일 폴더로 메시지 보내기 또는 격리).

  • 맬웨어 방지 정책
  • 인바운드 스팸 방지 보호
  • 피싱 방지 정책에서 스푸핑 방지 보호

  이러한 기능에 대한 기본 정책은 항상 켜지고, 모든 받는 사람에게 적용되며, 항상 마지막에 적용됩니다(사용자 지정 정책 이후).

• Office 365용 Defender: Office 365용 Defender 전용인 정책은 Office 365용 Defender 평가하기 위해 생성됩니다.

  • 피싱 방지 정책의 가장 보호
  • 전자 메일 메시지에 대한 안전한 첨부 파일
  • 전자 메일 메시지 및 Microsoft Teams에 대한 안전한 링크

  그러나 이러한 정책의 특성은 차단 모드 및 감사 모드에서 다릅니다.

  • 감사 모드: 일반 정책이 만들어지지만 정책은 위협을 감지 하도록만 구성됩니다. Office 365용 Defender 보고에 유해한 메시지를 검색하지만 메시지가 작동하지 않습니다(예: 검색된 메시지는 격리되지 않음).

  • 차단 모드: 정책은 미리 설정된 보안 정책에 표준 템플릿을 사용하여 만들어집니다. Office 365용 Defender 유해한 메시지를 검색 하고 조치를 취 합니다(예: 검색된 메시지는 격리됨).

  기본값 및 권장 선택은 조직의 모든 사용자에게 이러한 Office 365용 Defender 정책의 범위를 지정하는 것입니다. 그러나 설치하는 동안 또는 설치 후에 정책 할당을 특정 사용자, 그룹 또는 전자 메일 도메인으로 변경할 수 있습니다.

참고:

• 안전한 링크는 메일 흐름에서 URL을 폭발합니다. 특정 URL이 폭발하지 않도록 하려면 테넌트 허용/차단 목록을 사용합니다. 자세한 내용은 테넌트 허용/차단 목록 관리를 참조하세요.
• 안전한 링크는 전자 메일 메시지 본문에 URL 링크를 래핑하지 않습니다.
• 평가 정책 설정은 이 문서의 뒷부분에 있는 평가 정책 설정 섹션에 설명되어 있습니다.

감사 모드에서 평가 설정

1. 평가 시작을 클릭합니다.

2. 보호 켜기 대화 상자에서 [아니요]를 선택하고 보고만 하려면 [계속]을 클릭합니다.

3. 포함할 사용자 선택 대화 상자에서 다음 설정을 구성합니다.

   • 모든 사용자: 기본 및 권장 옵션입니다.

   • 사용자 선택: 이 옵션을 선택하는 경우 평가가 적용되는 내부 받는 사람을 선택해야 합니다.

     • 사용자: 지정된 사서함, 메일 사용자 또는 메일 연락처입니다.
     • 그룹:
       • 지정 메일 그룹 또는 메일 사용 가능 보안 그룹원들입니다.
       • 지정된 Microsoft 365 그룹.
       • 도메인: 조직에서 지정한 허용 도메인의 모든 받는 사람입니다.

     적절한 상자를 클릭하고, 값 입력을 시작하고, 결과에서 원하는 값을 선택합니다. 이 프로세스를 필요한 만큼 반복합니다. 기존 값을 제거하려면 제거를 클릭합니다. 값 옆에 있습니다.

     사용자 또는 그룹의 경우 대부분의 식별자(이름, 표시 이름, 별칭, 전자 메일 주소, 계정 이름 등)를 사용할 수 있지만 해당 표시 이름은 결과에 표시됩니다. 사용자의 경우 별표(*)만 입력하여 사용 가능한 모든 값을 확인합니다.

   참고

   평가 설정을 완료한 후 이러한 선택 항목을 변경할 수 있습니다.

   완료되면 계속 을 클릭합니다.

4. 메일 흐름 이해 도움말 대화 상자에서 다음 옵션을 구성합니다.

   • Microsoft와 데이터 공유: 이 옵션은 기본적으로 선택되어 있지만 원하는 경우 확인란의 선택을 취소할 수 있습니다.

   • 다음 옵션 중 하나는 도메인에 대한 MX 레코드 검색에 따라 자동으로 선택됩니다.

     • 타사 및/또는 온-프레미스 서비스 공급자를 사용하고 있습니다. Microsoft 365 이외의 다른 곳에 있는 도메인 지점의 MX 레코드입니다. 이 옵션을 선택하려면 다음 을 클릭한 후 다음과 같은 추가 설정이 필요합니다.

       1. 타사 또는 온-프레미스 설정 대화 상자에서 다음 설정을 구성합니다.

          • 타사 서비스 공급자를 선택합니다. 다음 값 중 하나를 선택합니다.

            • 바라쿠다
            • IronPort
            • Mimecast
            • Proofpoint
            • 소포 스
            • Symantec
            • 추세 Micro
            • 기타

          • 이 평가를 적용할 커넥터: Microsoft 365로의 메일 흐름에 사용되는 커넥터를 선택합니다.

            커넥터에 대한 향상된 필터링 ( 건너뛰기 목록 이라고도 함)은 지정한 커넥터에 자동으로 구성됩니다.

            타사 서비스 또는 디바이스가 Microsoft 365 앞에 있는 경우 커넥터에 대한 향상된 필터링은 인터넷 메시지의 원본을 올바르게 식별하고 Microsoft 필터링 스택의 정확도를 크게 향상시킵니다(특히 스 푸핑 인텔리전스뿐만 아니라 위협 탐색기의 위반 후 기능 및 AIR(자동 조사 & 응답).

          • 메시지가 전달하는 각 게이트웨이 IP 주소를 나열합니다. 이 설정은 타사 서비스 공급자를 선택 하기 위해 기타 를 선택한 경우에만 사용할 수 있습니다. 타사 보호 서비스 또는 디바이스에서 Microsoft 365로 메일을 보내는 데 사용하는 IP 주소의 쉼표로 구분된 목록을 입력합니다.

          작업을 마친 후 다음 을 클릭합니다.

       2. Exchange 메일 흐름 규칙 대화 상자에서 타사 보호 서비스 또는 디바이스에서 들어오는 메시지에 대한 스팸 필터링을 건너뛰는 Exchange Online 메일 흐름 규칙(전송 규칙이라고도 함)이 필요한지 결정합니다.

          보호 서비스의 모든 인바운드 메일이 (대부분) Microsoft 365 필터링을 우회할 수 있도록 허용하는 SCL=-1 메일 흐름 규칙이 이미 Exchange Online 있을 수 있습니다. 많은 보호 서비스는 해당 서비스를 사용하는 Microsoft 365 고객을 위해 이 SCL(스팸 신뢰도 수준) 메일 흐름 규칙 방법을 권장합니다.

          이전 단계에서 설명한 대로 커넥터에 대한 향상된 필터링은 보호 서비스의 메일 원본으로 지정하는 커넥터에 자동으로 구성됩니다.

          보호 서비스에서 들어오는 메일에 대한 SCL=-1 규칙 없이 커넥터에 대한 향상된 필터링을 설정하면 스푸핑 인텔리전스와 같은 EOP 보호 기능의 검색 기능이 크게 향상되고 새로 검색된 메시지(예: 정크 메일 폴더로 이동 또는 격리로 이동)의 배달에 영향을 줄 수 있습니다. 이 영향은 EOP 정책으로 제한됩니다. 앞에서 설명한 대로 Office 365용 Defender 정책이 감사 모드로 만들어집니다.

          SCL=-1 메일 흐름 규칙을 만들거나 기존 규칙을 검토하려면 페이지에서 Exchange로 이동 관리 센터 단추를 클릭합니다. 자세한 내용은 메일 흐름 규칙을 사용하여 Exchange Online 메시지에서 SCL(스팸 신뢰도 수준)을 설정하는 방법을 참조하세요.

          완료되면 마침 을 클릭합니다.

     • Microsoft Exchange Online 사용 중: 도메인에 대한 MX 레코드는 Microsoft 365를 가리킵니다. 구성할 항목이 없으므로 마침 을 클릭합니다.

5. 평가가 설정되면 진행률 대화 상자가 나타납니다. 설정이 완료되면 완료 를 클릭합니다.

차단 모드에서 평가 설정

1. 평가 시작을 클릭합니다.

2. 보호 켜기 대화 상자에서 예를 선택하고 위협을 차단하여 조직을 보호 한 다음 계속 을 클릭합니다.

3. 포함할 사용자 선택 대화 상자에서 다음 설정을 구성합니다.

   • 모든 사용자: 기본 및 권장 옵션입니다.

   • 사용자 선택: 이 옵션을 선택하는 경우 평가가 적용되는 내부 받는 사람을 선택해야 합니다.

     • 사용자: 지정된 사서함, 메일 사용자 또는 메일 연락처입니다.
     • 그룹:
       • 지정 메일 그룹 또는 메일 사용 가능 보안 그룹원들입니다.
       • 지정된 Microsoft 365 그룹.
     • 도메인: 조직에서 지정한 허용 도메인의 모든 받는 사람입니다.

     적절한 상자를 클릭하고, 값 입력을 시작하고, 결과에서 원하는 값을 선택합니다. 이 프로세스를 필요한 만큼 반복합니다. 기존 값을 제거하려면 제거를 클릭합니다. 값 옆에 있습니다.

     사용자 또는 그룹의 경우 대부분의 식별자(이름, 표시 이름, 별칭, 전자 메일 주소, 계정 이름 등)를 사용할 수 있지만 해당 표시 이름은 결과에 표시됩니다. 사용자의 경우 별표(*)만 입력하여 사용 가능한 모든 값을 확인합니다.

   참고

   평가 설정을 완료한 후 이러한 선택 항목을 변경할 수 있습니다.

   완료되면 계속 을 클릭합니다.

4. 평가가 설정되면 진행률 대화 상자가 나타납니다. 설치가 완료되면 완료 를 클릭합니다.

감사 모드에서 보고

• 위협 방지 상태 보고서는 다음 보기에서 Office 365용 Defender 의한 검색을 보여 줍니다.

  • 검색 기술별 전자 메일 > 맬웨어 및 차트 분석으로 데이터 보기
  • 검색 기술별 전자 메일 > 피싱 및 차트 분석으로 데이터 보기

• 위협 탐색기에서 Office 365용 Defender 평가에서 검색된 메시지는 항목의 세부 정보에 다음 배너를 표시합니다.

  

Office 365용 Microsoft Defender 평가 페이지는 https://security.microsoft.com/atpEvaluation 평가에서 정책에 대한 보고를 통합합니다.

• 피싱 방지 정책의 가장 보호
• 안전한 링크
• 안전한 첨부 파일

기본적으로 차트는 지난 30일 동안의 데이터를 표시하지만 일정 아이콘을 클릭하여 날짜 범위를 필터링할 30일 미만인 다음 추가 값 중에서 선택:

• 24시간
• 7일
• 14일
• 사용자 지정 날짜 범위

다운로드 아이콘을 클릭 다운로드 하여 차트 데이터를 .csv 파일에 다운로드합니다.

필요한 사용 권한

Microsoft 365용 Defender 평가를 설정하기 위해 Azure AD 필요한 권한은 다음 목록에 설명되어 있습니다.

• 평가판 만들기, 수정 또는 삭제: 보안 관리자 또는 전역 관리자.
• 평가 정책 및 보고서 보기: 보안 관리자 또는 보안 읽기 권한자.

Microsoft 365 Defender 포털의 Azure AD 권한에 대한 자세한 내용은 Microsoft 365 Defender 포털에서 Azure AD 역할을 참조하세요.

평가 정책 설정

평가를 위해 특별히 만들어진 Office 365용 Defender 설정은 다음 표에 설명되어 있습니다.

피싱 방지 평가 정책 설정:

설정	값
AdminDisplayName	평가 정책
AuthenticationFailAction	MoveToJmf
사용	참
EnableFirstContactSafetyTips	거짓
EnableMailboxIntelligence	참
EnableMailboxIntelligenceProtection	참
EnableOrganizationDomainsProtection	거짓
EnableSimilarDomainsSafetyTips	거짓
EnableSimilarUsersSafetyTips	거짓
EnableSpoofIntelligence	참
EnableSuspiciousSafetyTip	거짓
EnableTargetedDomainsProtection	거짓
EnableTargetedUserProtection	거짓
EnableUnauthenticatedSender	참
EnableUnusualCharactersSafetyTips	거짓
EnableViaTag	참
Guid	GUID 값
ImpersonationProtectionState	수동
Isdefault	거짓
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
이름	평가 정책
PhishThresholdLevel	1
RecommendedPolicyType	평가
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
AntiPhishPolicyLevelDataList	빈
AntiSpoofEnforcementType	높음
AuthenticationSafetyTipText	빈
AuthenticationSoftPassSafetyTipText	빈
EnableAuthenticationSafetyTip	거짓
EnableAuthenticationSoftPassSafetyTip	거짓
PolicyTag	빈
SimilarUsersSafetyTipsCustomText	빈
TreatSoftPassAsAuthenticated	참
UnusualCharactersSafetyTipsCustomText	빈
ExcludedDomains	{}
ExcludedSenders	{}
TargetedDomainsToProtect	{}
TargetedUsersToProtect	{}

안전한 첨부 파일 평가 정책 설정:

설정	값
작업	허용
ActionOnError	참
AdminDisplayName	평가 정책
ConfidenceLevelThreshold	80
사용	참
EnableOrganizationBranding	거짓
Guid	GUID 값
IsBuiltInProtection	거짓
Isdefault	거짓
이름	평가 정책
OperationMode	지연
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	평가
리디렉션	거짓
RedirectAddress	{}
ScanTimeout	30

안전 링크 평가 정책 설정:

설정	값
AdminDisplayName	평가 정책
AllowClickThrough	거짓
CustomNotificationText	빈
DeliverMessageAfterScan	참
DisableUrlRewrite	참
DoNotRewriteUrls	{}
EnableForInternalSenders	거짓
EnableOrganizationBranding	거짓
EnableSafeLinksForTeams	참
Guid	GUID 값
IsBuiltInProtection	거짓
Isdefault	거짓
Isenabled	참
LocalizedNotificationTextList	{}
이름	"EvaluationPolicy"
RecommendedPolicyType	평가
ScanUrls	참
TrackClicks	참
DoNotAllowClickThrough	빈
DoNotTrackUserClicks	거짓
EnableSafeLinksForEmail	참
EnableSafeLinksForOffice	참
ExcludedUrls	{}
WhiteListedUrls	빈