Office 365용 Defender 가장 인사이트
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
가장 은 전자 메일 메시지의 보낸자가 실제 또는 예상 보낸 사람의 전자 메일 주소와 유사한 경우입니다. 공격자는 피싱 또는 기타 유형의 공격에 가장된 보낸 사람 전자 메일 주소를 사용하여 받는 사람의 신뢰를 얻는 경우가 많습니다. 두 가지 기본 유형의 가장이 있습니다.
- 도메인 가장: 도메인의 미묘한 차이를 포함합니다. 예를 들어 lila@ćóntoso.com 가장합니다 lila@contoso.com.
- 사용자 가장: 전자 메일 별칭의 미묘한 차이를 포함합니다. 예를 들어 는 를 rnichell@contoso.com 가장합니다 michelle@contoso.com.
가장된 도메인은 종종 실제 등록된 도메인이지만 속이려는 의도를 가지고 있기 때문에 도메인 가장은 도메인 스푸핑과 다릅니다. 가장된 도메인의 보낸 메시지는 메시지를 스푸핑 시도(SPF, DKIM 및 DMARC)로 식별하는 정기적인 이메일 인증 검사를 전달할 수 있습니다.
가장 보호는 Office 365용 Microsoft Defender 전용인 피싱 방지 정책 설정의 일부입니다. 이러한 설정에 대한 자세한 내용은 Office 365용 Microsoft Defender 피싱 방지 정책의 가장 설정을 참조하세요.
관리자는 Microsoft Defender 포털에서 가장 인사이트를 사용하여 피싱 방지 정책의 가장 보호에 지정된 가장된 보낸 사람 또는 보낸 사람 도메인의 메시지를 신속하게 식별할 수 있습니다.
시작하기 전에 알아야 할 사항은 무엇인가요?
에서 Microsoft Defender 포털을 https://security.microsoft.com엽니다. 피싱 방지 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/antiphishing. 가장 인사이트 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/impersonationinsight.
이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.
MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)(협업>을 Email & 경우Office 365용 Defender 권한은 활성입니다. PowerShell이 아닌 Defender 포털에만 영향을 줍니다. 권한 부여 및 설정/보안 설정/핵심 보안 설정(관리) 또는 권한 부여 및 설정/보안 설정/핵심 보안 설정(읽기).
Microsoft Defender 포털에서 공동 작업 권한 Email &: 다음 역할 그룹의 멤버 자격:
- 조직 관리
- 보안 관리자
- 보안 읽기 권한자
- 전역 읽기 권한자
Microsoft Entra 권한: 전역 관리자, 보안 관리자*, 보안 읽기 권한자 또는 전역 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 필요한 권한과 권한을 제공합니다.
중요
* 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
Office 365용 Microsoft Defender 피싱 방지 정책에서 가장 보호를 사용하도록 설정하고 구성합니다. 가장 보호는 기본적으로 사용하도록 설정되지 않습니다. 자세한 내용은 Office 365용 Microsoft Defender 피싱 방지 정책 구성 및 Microsoft Defender 포털을 사용하여 사용자에게 표준 및 엄격한 사전 설정 보안 정책 할당을 참조하세요.
라이선스 요구 사항에 대한 자세한 내용은 라이선스 조건을 참조하세요.
Microsoft Defender 포털에서 가장 인사이트 열기
의 Microsoft Defender 포털에서 https://security.microsoft.com정책 섹션에서Email & 협업>정책 & 규칙>위협 정책>피싱 방지로 이동합니다. 또는 피싱 방지 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/antiphishing.
피싱 방지 페이지에서 가장 인사이트는 다음과 같습니다.
인사이트에는 두 가지 모드가 있습니다.
- 인사이트 모드: 피싱 방지 정책에서 가장 보호가 활성화되고 구성된 경우 인사이트는 지난 7일 동안 가장된 도메인 및 가장된 사용자(보낸 사람)에서 검색된 메시지 수를 표시합니다. 표시된 숫자는 모든 피싱 방지 정책에서 검색된 모든 가장 시도의 총 수입니다.
- What if 모드: 모든 활성 피싱 방지 정책에서 가장 보호를 사용하도록 설정하고 구성하지 않은 경우 인사이트는 지난 7일 동안 가장 보호로 검색 된 메시지 수를 보여 줍니다.
가장 검색에 대한 정보를 보려면 가장 인사이트에서 가장 보기 를 선택하여 가장 인사이트 페이지로 이동합니다.
도메인 가장 검색에 대한 정보 보기
에서 가장 인사이트 페이지는 피싱 방지 페이지의 https://security.microsoft.com/impersonationinsight 가장 인사이트에서 가장 보기를 선택할 때 사용할 수 있습니다.
가장 인사이트 페이지에서 도메인 탭이 선택되어 있는지 확인합니다.
사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 다음 열을 사용할 수 있습니다*.
- 보낸 사람 도메인: 전자 메일 메시지를 보내는 데 사용된 도메인인 가장 도메인입니다.
- 메시지 수: 지난 7일 동안 보낸 사람 도메인을 가장한 메시지 수입니다.
- 가장 유형: 이 값은 가장의 검색된 위치(예: 주소의 도메인)를 표시합니다.
- 가장된 도메인: 보낸 사람 도메인의 도메인과 유사해야 하는 도메인 가장 보호로 보호되는 도메인입니다.
- 도메인 유형: 이 값은 허용된 도메인에 대한 회사 도메인 또는 사용자 지정 도메인의 사용자 지정 도메인입니다.
- 정책: 가장된 도메인을 검색한 피싱 방지 정책입니다.
-
가장 허용: 다음 값 중 하나입니다.
- 예: 메시지를 검색한 피싱 방지 정책에서 도메인이 신뢰할 수 있는 도메인(가장 보호에 대한 예외)으로 구성되었습니다. 가장된 도메인의 메시지가 검색되었지만 허용되었습니다.
- 아니요: 메시지를 검색한 피싱 방지 정책에서 가장 보호를 위해 도메인이 구성되었습니다. 피싱 방지 정책에서 도메인 가장 검색에 대한 작업은 메시지에 수행됩니다.
* 모든 열을 보려면 다음 단계 중 하나 이상을 수행해야 할 수 있습니다.
- 웹 브라우저에서 가로로 스크롤합니다.
- 적절한 열의 너비를 좁힐 수 있습니다.
- 웹 브라우저를 축소합니다.
도메인 가장 검색 목록을 일반에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.
검색 상자와 쉼표로 구분된 값 목록을 사용하여 특정 도메인 가장 검색을 찾습니다.
내보내기를 사용하여 도메인 가장 검색 목록을 CSV 파일로 내보냅니다.
도메인 가장 검색에 대한 세부 정보 보기
의 가장 인사이트 페이지의 도메인 탭에서 https://security.microsoft.com/impersonationinsight?type=Domain검사 상자가 아닌 행의 아무 곳이나 클릭하여 가장 검색 중 하나를 선택합니다.
다음 정보는 세부 정보 플라이아웃에서 사용할 수 있습니다.
왜 우리는 이것을 잡았는가?
무엇을 해야 합니까?
도메인 요약: 가장으로 검색된 도메인입니다.
Whois 데이터: 도메인에 대한 정보를 포함합니다.
- 보낸 사람 위치
- 도메인 생성 날짜
- 도메인 만료 날짜
- 등록자
Explorer 조사: 발신자에 대한 추가 세부 정보를 보려면 위협 Explorer 또는 실시간 검색을 여는 링크를 선택합니다.
보낸 사람의 Email: 이 섹션에서는 도메인의 보낸 사람의 유사한 메시지에 대한 다음 정보를 보여줍니다.
- 날짜
- 받는 사람
- 제목
- 보낸 사람
- 보낸 사람 IP
- 배달 작업
팁
세부 정보 플라이아웃을 벗어나지 않고 다른 도메인 가장 항목에 대한 세부 정보를 보려면 플라이아웃 맨 위에 이전 항목 및 다음 항목을 사용합니다.
검색된 도메인의 보낸 사람이 도메인 가장으로 식별되지 않도록 하려면 다음 하위 섹션을 참조하세요.
향후 도메인 가장 검사에서 검색된 도메인의 보낸 사람 제외
의 가장 인사이트 페이지의 도메인 탭에서 https://security.microsoft.com/impersonationinsight?type=Domain다음 단계를 사용하여 검색된 도메인의 보낸 사람이 도메인 가장으로 식별되지 않도록 제외합니다.
검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다.
열리는 세부 정보 플라이아웃에서 가장 선택 정책을 사용하여 플라이 아웃 맨 위에 있는 가장 허용 목록 설정을 수정하고 에 추가 합니다. 이러한 설정은 함께 작동하여 메시지를 도메인 가장으로 잘못 식별 한 정책의 신뢰할 수 있는 보낸 사람 및 도메인 목록에 도메인을 추가합니다.
드롭다운 목록에서 피싱 방지 정책을 선택합니다. 메시지 검색을 담당하는 피싱 방지 정책이 도메인 탭의 정책 값에 표시됩니다.
토글을 켜 기로 밀어 선택한 정책 의 신뢰할 수 있는 보낸 사람 및 도메인 목록에 도메인 을 추가합니다.
신뢰할 수 있는 보낸 사람 및 도메인 목록에서 도메인을 제거하려면 토글을 다시 로 밉니다.
세부 정보 플라이아웃을 마치면 닫기를 선택합니다.
사용자 가장 검색에 대한 정보 보기
에서 가장 인사이트 페이지는 피싱 방지 페이지의 https://security.microsoft.com/impersonationinsight 가장 인사이트에서 가장 보기를 선택할 때 사용할 수 있습니다.
가장 인사이트 페이지에서 사용자 탭을 선택합니다.
사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 다음 열을 사용할 수 있습니다*.
- 보낸 사람: 전자 메일 메시지를 보낸 가장 발신자의 이메일 주소입니다.
- 메시지 수: 지난 7일 동안 가장한 보낸 사람의 메시지 수입니다.
- 가장 유형: 예를 들어 표시 이름의 사용자입니다.
- 가장된 사용자: 보낸 사람의 전자 메일 주소와 유사한 가장 보호로 보호되는 보낸 사람의 표시 이름 및 전자 메일 주소입니다.
- 사용자 유형: 적용된 보호 유형(예: 보호된 사용자 또는 사서함 인텔리전스)입니다.
- 정책: 가장된 발신자를 검색한 피싱 방지 정책입니다.
-
가장 허용: 다음 값 중 하나입니다.
- 예: 메시지를 검색한 피싱 방지 정책에서 발신자가 신뢰할 수 있는 사용자(가장 보호에 대한 예외)로 구성되었습니다. 가장된 보낸 사람에서 보낸 메시지가 검색되었지만 허용되었습니다.
- 아니요: 메시지를 감지한 피싱 방지 정책에서 발신자가 가장 보호를 위해 구성되었습니다. 피싱 방지 정책에서 사용자 가장 검색에 대한 작업은 메시지에 수행됩니다.
* 모든 열을 보려면 다음 단계 중 하나 이상을 수행해야 할 수 있습니다.
- 웹 브라우저에서 가로로 스크롤합니다.
- 적절한 열의 너비를 좁힐 수 있습니다.
- 웹 브라우저를 축소합니다.
사용자 가장 검색 목록을 일반에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.
검색 상자와 쉼표로 구분된 값 목록을 사용하여 특정 사용자 가장 검색을 찾습니다.
내보내기를 사용하여 사용자 가장 검색 목록을 CSV 파일로 내보냅니다.
사용자 가장 검색에 대한 세부 정보 보기
의 가장 인사이트 페이지의 사용자 탭에서 https://security.microsoft.com/impersonationinsight?type=User검사 상자가 아닌 행의 아무 곳이나 클릭하여 가장 검색 중 하나를 선택합니다.
다음 정보는 세부 정보 플라이아웃에서 사용할 수 있습니다.
왜 우리는 이것을 잡았는가?
무엇을 해야 합니까?
보낸 사람 요약: 가장으로 검색된 보낸 사람입니다.
Explorer 조사: 발신자에 대한 추가 세부 정보를 보려면 위협 Explorer 또는 실시간 검색을 여는 링크를 선택합니다.
보낸 사람 Email: 이 섹션에서는 보낸 유사한 메시지에 대한 다음 정보를 보여줍니다.
- 날짜
- 받는 사람
- 제목
- 보낸 사람
- 보낸 사람 IP
- 배달 작업
팁
세부 정보 플라이아웃을 벗어나지 않고 다른 사용자 가장 항목에 대한 세부 정보를 보려면 플라이아웃 맨 위에 이전 항목과 다음 항목을 사용합니다.
검색된 발신자가 사용자 가장으로 식별되지 않도록 하려면 다음 하위 섹션을 참조하세요.
향후 사용자 가장 검사에서 검색된 보낸 사람 제외
의 가장 인사이트 페이지의 사용자 탭에서 https://security.microsoft.com/impersonationinsight?type=User다음 단계를 사용하여 검색된 보낸 사람이 사용자 가장으로 식별되지 않도록 합니다.
검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다.
열리는 세부 정보 플라이아웃에서 가장 선택 정책을 사용하여 플라이 아웃 맨 위에 있는 가장 허용 목록 설정을 수정하고 에 추가 합니다. 이러한 설정은 메시지를 사용자 가장으로 잘못 식별한 정책 의 신뢰할 수 있는 보낸 사람 및 도메인 목록에 발신자를 추가하기 위해 함께 작동합니다.
드롭다운 목록에서 피싱 방지 정책을 선택합니다. 메시지 검색을 담당하는 피싱 방지 정책이 도메인 탭의 정책 값에 표시됩니다.
토글을 켜기로 밀어 선택한 정책의 신뢰할 수 있는 보낸 사람 및 도메인 목록에 발신자를 추가합니다.
신뢰할 수 있는 보낸 사람 및 도메인 목록에서 보낸 사용자를 제거하려면 토글을 다시 로 밉니다.
세부 정보 플라이아웃을 마치면 닫기를 선택합니다.