다음을 통해 공유


테넌트 허용/차단 목록을 사용하여 파일 허용 또는 차단

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서 관리자는 테넌트 허용/차단 목록에서 파일에 대한 항목을 만들고 관리할 수 있습니다. 테넌트 허용/차단 목록에 대한 자세한 내용은 테 넌트 허용/차단 목록에서 허용 및 블록 관리를 참조하세요.

이 문서에서는 관리자가 Microsoft Defender 포털 및 Exchange Online PowerShell에서 파일에 대한 항목을 관리하는 방법을 설명합니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • 에서 Microsoft Defender 포털을 https://security.microsoft.com엽니다. 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList. 제출 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/reportsubmission.

  • Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하세요. 독립 실행형 EOP PowerShell에 연결하려면 Exchange Online Protection PowerShell에 연결을 참조하세요.

  • 파일의 SHA256 해시 값을 사용하여 파일을 지정합니다. Windows에서 파일의 SHA256 해시 값을 찾으려면 명령 프롬프트에서 다음 명령을 실행합니다.

    certutil.exe -hashfile "<Path>\<Filename>" SHA256
    

    예제 값은 입니다 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. pHash(Perceptual Hash) 값은 지원되지 않습니다.

  • 파일에 대한 항목 제한:

    • Exchange Online Protection: 허용 항목의 최대 수는 500개이고 최대 블록 항목 수는 500개(총 1,000개 파일 항목)입니다.
    • Office 365용 Defender 플랜 1: 허용 항목의 최대 수는 1000개이고 최대 블록 항목 수는 1000개(총 파일 항목 2000개)입니다.
    • Office 365용 Defender 계획 2: 허용 항목의 최대 수는 5000개이고 최대 블록 항목 수는 10000개(총 15,000개 파일 항목)입니다.
  • 파일 항목에 최대 64자를 입력할 수 있습니다.

  • 항목은 5분 이내에 활성화되어야 합니다.

  • 이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

    • MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)(협업>을 Email & 경우Exchange Online 권한 권한은 활성입니다. PowerShell이 아닌 Defender 포털에만 영향을 줍니다. 권한 부여 및 설정/보안 설정/검색 튜닝(관리) 또는 권한 부여 및 설정/보안 설정/핵심 보안 설정(읽기).

    • Exchange Online 권한:

      • 테넌트 허용/차단 목록: 다음 역할 그룹 중 하나의 멤버 자격에서 항목을 추가하고 제거합니다.
        • 조직 관리 또는 보안 관리자 (보안 관리자 역할).
        • 보안 연산자 (테넌트 AllowBlockList Manager).
      • 테넌트 허용/차단 목록에 대한 읽기 전용 액세스: 다음 역할 그룹 중 하나의 멤버 자격:
        • 전역 읽기 권한자
        • 보안 읽기 권한자
        • 보기 전용 구성
        • View-Only Organization Management
    • Microsoft Entra 권한: 전역 관리자, 보안 관리자*, 전역 읽기 권한자 또는 보안 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 대한 필요한 권한 권한을 제공합니다.

      중요

      * 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

  • 파일 탭은 Microsoft Defender XDR 또는 엔드포인트용 Microsoft Defender 플랜 2가 있는 조직에서만 제출 페이지에서 사용할 수 있습니다. 파일 탭에서 파일을 제출하는 방법에 대한 자세한 내용과 지침은 엔드포인트용 Microsoft Defender 파일 제출을 참조하세요.

파일에 대한 허용 항목 만들기

테넌트 허용/차단 목록에서 파일에 대한 허용 항목을 직접 만들 수 없습니다. 불필요한 허용 항목은 시스템에 의해 필터링되었을 악성 전자 메일에 organization 노출합니다.

대신 의 제출 페이지에서 https://security.microsoft.com/reportsubmission?viewid=emailAttachmentEmail 첨부 파일 탭을 사용합니다. 차단된 파일이 클린 확인되면 테넌트 허용/차단 Lists 페이지의 파일 탭에서 이 파일에 대한 허용 항목을 추가하도록 허용을 선택할 수 있습니다. 지침은 Microsoft에 좋은 전자 메일 첨부 파일 제출을 참조하세요.

제출의 허용 항목은 메시지가 악의적이라고 판단한 필터에 따라 메일 흐름 중에 추가됩니다. 예를 들어 보낸 사람 전자 메일 주소와 메시지의 URL이 악의적인 것으로 확인되면 보낸 사람(전자 메일 주소 또는 도메인) 및 URL에 대한 허용 항목이 만들어집니다.

메일 흐름 또는 클릭 시간 동안 허용 항목에 엔터티가 포함된 메시지가 필터링 스택에서 다른 검사를 통과하면 메시지가 전달됩니다(허용된 엔터티와 연결된 모든 필터는 건너뜁니다). 예를 들어 메시지가 전자 메일 인증 검사, URL 필터링 및 파일 필터링을 통과하면 허용된 보낸 사람 전자 메일 주소의 메시지도 허용된 보낸 사람에게 전달됩니다.

기본적으로 도메인 및 전자 메일 주소, 파일URL에 대한 허용 항목은 필터링 시스템에서 엔터티가 클린 것을 확인한 후 허용 항목이 제거된 후 45일 동안 유지됩니다. 또는 항목을 만든 후 최대 30일까지 만료되도록 허용 항목을 설정할 수 있습니다. 스푸핑된 보낸 사람의 항목이 만료되지 않도록 허용합니다.

클릭하는 동안 파일 허용 항목은 파일 엔터티와 연결된 모든 필터를 재정의하여 사용자가 파일에 액세스할 수 있도록 합니다.

파일에 대한 블록 항목 만들기

이러한 차단된 파일이 포함된 Email 메시지는 맬웨어로 차단됩니다. 차단된 파일이 포함된 메시지는 격리됩니다.

파일에 대한 블록 항목을 만들려면 다음 방법 중 하나를 사용합니다.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 파일에 대한 블록 항목을 만듭니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 테넌트 허용/차단 Lists 페이지에서 파일 탭을 선택합니다.

  3. 파일 탭에서 차단을 선택합니다.

  4. 열리는 파일 차단 플라이아웃에서 다음 설정을 구성합니다.

    • 파일 해시 추가: 줄당 최대 20개의 SHA256 해시 값을 입력합니다.

    • 블록 항목 제거 후: 다음 값 중에서 선택합니다.

      • 1일
      • 7일
      • 30일 (기본값)
      • 만료되지 않음
      • 특정 날짜: 최대값은 오늘부터 90일입니다.
    • 선택 사항: 파일을 차단하는 이유에 대한 설명 텍스트를 입력합니다.

    파일 차단 플라이아웃을 마쳤으면 추가를 선택합니다.

파일 탭으로 돌아가면 항목이 나열됩니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 파일에 대한 블록 항목을 만듭니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

다음은 만료되지 않는 지정된 파일에 대한 블록 항목을 추가하는 예제입니다.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

자세한 구문 및 매개 변수 정보는 New-TenantAllowBlockListItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 파일에 대한 항목을 볼 수 있습니다.

의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙>위협 정책>테넌트 허용/차단 Lists규칙 섹션으로 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

파일 탭을 선택합니다.

파일 탭에서 사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 다음 열을 사용할 수 있습니다.

  • : 파일 해시입니다.
  • 작업: 사용 가능한 값은 허용 또는 차단입니다.
  • 수정한 날짜:
  • 마지막 업데이트
  • 마지막으로 사용한 날짜: 필터링 시스템에서 항목을 마지막으로 사용하여 평결을 재정의한 날짜입니다.
  • 제거 날짜: 만료 날짜입니다.
  • 참고

항목을 필터링하려면 필터를 선택합니다. 다음 필터는 열리는 필터 플라이아웃에서 사용할 수 있습니다.

  • 작업: 사용 가능한 값은 허용차단입니다.
  • 만료되지 않음: 또는
  • 마지막 업데이트: 날짜 부터 날짜를 선택합니다.
  • 마지막으로 사용한 날짜: FromTo 날짜를 선택합니다.
  • 제거 대상: 날짜 에서및 대상을 선택합니다.

필터 플라이아웃을 마쳤으면 적용을 선택합니다. 필터를 지우려면 필터 지우기를 선택합니다.

검색 상자와 해당 값을 사용하여 특정 항목을 찾습니다.

항목을 그룹화하려면 그룹을 선택한 다음 작업을 선택합니다. 항목을 그룹 해제하려면 없음을 선택합니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 파일에 대한 항목 보기

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

이 예제에서는 허용된 파일과 차단된 파일을 모두 반환합니다.

Get-TenantAllowBlockListItems -ListType FileHash

이 예제에서는 지정된 파일 해시 값에 대한 정보를 반환합니다.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

다음은 차단된 파일로 결과를 필터링하는 예제입니다.

Get-TenantAllowBlockListItems -ListType FileHash -Block

자세한 구문 및 매개 변수 정보는 Get-TenantAllowBlockListItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록의 파일에 대한 항목을 수정합니다.

기존 파일 항목에서 만료 날짜 및 메모를 변경할 수 있습니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 파일 탭 선택

  3. 파일 탭에서 첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 항목을 선택한 다음 나타나는 편집 작업을 선택합니다.

  4. 열리는 파일 편집 플라이아웃에서 다음 설정을 사용할 수 있습니다.

    • 차단 항목:
      • 블록 항목 제거 후: 다음 값 중에서 선택합니다.
        • 1일
        • 7일
        • 30일
        • 만료되지 않음
        • 특정 날짜: 최대값은 오늘부터 90일입니다.
      • 선택적 참고 사항
    • 항목 허용:
      • 허용 항목 제거 후: 다음 값 중에서 선택합니다.
        • 1일
        • 7일
        • 30일
        • 마지막으로 사용한 날짜 이후 45일
        • 특정 날짜: 최대값은 오늘부터 30일입니다.
      • 선택적 참고 사항

    파일 편집 플라이아웃을 마쳤으면 저장을 선택합니다.

파일 탭에 있는 항목의 세부 정보 플라이아웃에서 플라이아웃 맨 위에 있는 제출 보기를 사용하여 제출 페이지에서 해당 항목의 세부 정보로 이동합니다. 이 작업은 제출이 테넌트 허용/차단 목록에 항목을 만드는 작업을 담당한 경우에 사용할 수 있습니다.

PowerShell을 사용하여 테넌트 허용/차단 목록의 파일에 대한 기존 허용 또는 차단 항목을 수정합니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

다음은 지정된 파일 블록 항목의 만료 날짜를 변경하는 예제입니다.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

자세한 구문 및 매개 변수 정보는 Set-TenantAllowBlockListItems를 참조하세요.

Microsoft Defender 포털을 사용하여 테넌트 허용/차단 목록에서 파일에 대한 항목을 제거합니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 & 규칙위협 정책>규칙> 섹션 >테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.

  2. 파일 탭을 선택합니다.

  3. 파일 탭에서 다음 단계 중 하나를 수행합니다.

    • 첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 항목을 선택한 다음 나타나는 삭제 작업을 선택합니다.

    • 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다. 열리는 세부 정보 플라이아웃에서 플라이아웃 맨 위에서 삭제를 선택합니다.

      세부 정보 플라이아웃을 벗어나지 않고 다른 항목에 대한 세부 정보를 보려면 플라이아웃 맨 위에 있는 이전 항목다음 항목을 사용합니다.

  4. 열리는 경고 대화 상자에서 삭제를 선택합니다.

파일 탭으로 돌아가면 항목이 더 이상 나열되지 않습니다.

각 검사 상자를 선택하여 여러 항목을 선택하거나 열 머리글 옆에 있는 검사 상자를 선택하여 모든 항목을 선택할 수 있습니다.

PowerShell을 사용하여 테넌트 허용/차단 목록에서 파일에 대한 항목을 제거합니다.

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

다음은 테넌트 허용/차단 목록에서 지정된 파일 블록을 제거하는 예제입니다.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

자세한 구문 및 매개 변수 정보는 Remove-TenantAllowBlockListItems를 참조하세요.