Exchange Online Protection의 대량 보낸 사람 인사이트

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

참고

이 문서에 설명된 기능은 현재 미리 보기로 제공되며, 모든 조직에서 사용할 수 없으며 변경될 수 있습니다.

Exchange Online 또는 Exchange Online 사서함이 없는 독립 실행형 EOP(Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서는 Microsoft Defender 포털의 대량 보낸 사람 인사이트를 통해 스팸 방지 정책의 현재 대량 임계값 수준에서 대량으로 식별된 전자 메일의 양을 확인하고 대량 발신자 임계값의 변경 내용과 대량 보낸 사람의 품질에 따라 식별된 대량 전자 메일과 허용되는 대량 전자 메일을 시뮬레이션할 수 있습니다.

EOP는 대량 보낸 사람의 인바운드 메시지에 BCL(대량 불만 수준) 값을 할당합니다. BCL 값이 높을수록 대량 메시지가 스팸일 가능성이 더 높다는 것을 나타냅니다. 스팸 방지 정책의 대량 전자 메일 임계값은 지정된 BCL 값을 사용하여 메시지를 대량으로 식별하고 조치를 취합니다. BCL에 대한 자세한 내용은 EOP의 BCL(대량 불만 수준)을 참조하세요.

대량 보낸 사람 인사이트는 다음과 같은 기능을 제공합니다.

• 지난 60일 동안 모든 BCL 수준(1~9)에서 대량으로 식별되는 메일의 양을 확인합니다.
• 대량 전자 메일 임계값에 대한 변경 내용을 시뮬레이션하고 BCL 임계값을 설정할 수 있는 기본 스팸 방지 또는 사용자 지정 스팸 방지 정책에 의해 대량으로 식별되는 메시지 수와 배달될 메시지 수에 대한 결과를 확인합니다. 표준 또는 엄격한 사전 설정 보안 정책에서는 BCL 임계값을 설정할 수 없습니다.
• 보낸 사람의 품질에 따른 필터링을 포함하여 대량 전자 메일 임계값의 영향을 받은 메시지 보낸 사람 정보를 봅니다.

이 문서에서는 Microsoft Defender 포털에서 대량 보낸 사람 인사이트를 사용하는 방법을 설명합니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

• 에서 Microsoft Defender 포털을 https://security.microsoft.com엽니다. 대량 보낸 사람 인사이트 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/senderinsights.

• Microsoft 365 도메인의 MX 레코드가 타사 서비스 또는 디바이스를 가리키는 경우 대량 시뮬레이션 및 검색이 제대로 작동하지 않을 수 있습니다.

• 이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

  • Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)(Office 365용메일 & 협업> Defender 권한이 활성 상태인 경우) PowerShell이 아닌 Defender 포털에만 영향을 줍니다. 권한 부여 및 설정/보안 설정/핵심 보안 설정(관리) 또는 권한 부여 및 설정/보안 설정/핵심 보안 설정(읽기).

  • Exchange Online 권한:

    • 정책 추가, 수정 및 삭제: 조직 관리 또는 보안 관리자 역할 그룹의 멤버 자격입니다.
    • 정책에 대한 읽기 전용 액세스: 전역 읽기 권한자, 보안 읽기 권한자 또는 보기 전용 조직 관리 역할 그룹의 멤버 자격입니다.

  • Microsoft Entra 권한: 다음 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 필요한 권한 및 권한을 제공합니다.

    • 정책 추가, 수정 및 삭제: 조직 관리^* 또는 보안 관리자 역할의 멤버 자격.
    • 정책에 대한 읽기 전용 액세스: 전역 읽기 권한자 또는 보안 읽기 권한자 역할의 멤버 자격입니다.

    중요

    ^* 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

• 스팸 방지 정책에 대한 권장 설정은 EOP 스팸 방지 정책 설정을 참조하세요.

팁

수신자가 표준 또는 엄격한 사전 설정 보안 정책에 포함된 경우 기본 또는 사용자 지정 스팸 방지 정책의 설정은 무시됩니다. 자세한 내용은 전자 메일 보호의 순서 및 우선 순위를 참조하세요.

스팸 방지 정책의 대량 임계값 은 메시지를 대량으로 식별하는 데 사용되는 BCL 임계값을 결정합니다. 예를 들어 대량 임계값 7은 BCL 값이 7, 8 또는 9인 메시지가 대량으로 식별됨을 의미합니다. 대량 메시지는 스팸 방지 정책(예: 정크 메일 폴더, 격리 또는 삭제 메시지로 메시지 이동)에서 충족되거나 초과된 BCL(대량 준수 수준)에 따라 결정됩니다. 간단히 하기 위해 메시지를 대량으로 식별하고 이에 대한 조치를 취하는 것을 대량 보낸 사람 인사이트에서 차단이라고 합니다.

Microsoft Defender 포털에서 대량 보낸 사람 인사이트 열기

대량 보낸 사람 인사이트는 다음 위치에서 사용할 수 있습니다.

• 기본 스팸 방지 정책 또는 사용자 지정 스팸 방지 정책의 속성에서 다음을 수행합니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com정책 섹션에서이메일 & 협업>정책 & 규칙>위협 방지 정책>으로 이동합니다. 또는 스팸 방지 정책 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/antispam.

  2. 스팸 방지 정책 페이지에서 사용자 지정 스팸 방지 정책(유형 값은 사용자 지정 스팸 방지 정책) 또는 첫 번째 열 옆에 있는 확인란 이외의 행의 아무 곳이나 클릭하여 스팸 방지 인바운드 정책(기본값)이라는 기본 스팸 방지 정책을 선택합니다.

  3. 열리는 세부 정보 플라이아웃에서 스팸 속성 섹션의 대량 전자 메일 임계값 & 아래쪽에 있는 스팸 임계값 및 속성 편집을 선택합니다.

  4. 열리는 스팸 임계값 및 속성 플라이아웃에서 대량 보낸 사람 인사이트에는 지난 60일 동안 조직의 모든 스팸 방지 정책에서 검색한 모든 대량 전자 메일에 대한 다음 정보가 포함됩니다.

     • 기본적으로 인사이트는 현재 BCL 임계값에서 차단되고 허용된 대량 메시지 수를 표시합니다.

       

     • 더 많은 대량 메일을 차단하기 위해 BCL 임계값을 줄이면 새 BCL 임계값에서 차단되고 허용되는 대량 메시지 수가 인사이트에 표시됩니다.

       

     • 더 많은 대량 전자 메일을 허용하도록 BCL 임계값을 늘리면 새 BCL 임계값에서 차단되고 허용되는 대량 메시지 수가 인사이트에 표시됩니다.

       

• 이메일 & 협업 보고서 및 인사이트 페이지에서 다음을 수행합니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com보고서>이메일 & 공동 작업 섹션 >메일 & 협업 보고서 및 인사이트로 이동합니다. 또는 메일 & 공동 작업 보고서 및 인사이트 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/emailandcollabreport.

  2. 메일 & 협업 보고서 및 인사이트 페이지에서 메일 & 협업 인사이트 섹션으로 이동하여 대량 보낸 사람 인사이트를 찾습니다.

  

대량 검색 및 보낸 사람에 대한 자세한 정보를 보려면 대량 보낸 사람 인사이트 보기 또는 세부 정보 보기를 선택하여 대량 보낸 사람 인사이트 페이지를 엽니다.

대량 보낸 사람 인사이트 페이지 보기

대량 보낸 사람 인사이트 페이지는 다음 방법을 사용하여 사용할 수 있습니다.

• 에서 직접.https://security.microsoft.com/senderinsights
• 스팸 임계값에서대량 보낸 사람 인사이트 보기를 선택하면 의 스팸 방지 정책 페이지에서 https://security.microsoft.com/antispam사용자 지정 스팸 방지 정책 또는 기본 스팸 방지 정책의 세부 정보에서 속성 플라이아웃이 표시됩니다.
• 의 이메일 & 협업 보고서 및 인사이트 페이지에서 대량 보낸 사람 인사이트 카드에서 https://security.microsoft.com/emailandcollabreport세부 정보 보기를 선택하면

시뮬레이션을 실행하기 전에 페이지 중간에 있는 테이블의 값은 다음 값을 나타냅니다.

• BCL(대량 불만 수준): 가능한 BCL 값 범위(1~9)입니다.
• 모든 전자 메일: 각 BCL 값(일부는 0일 수 있음)에서 식별된 총 메시지 수입니다.
• 현재 BCL 임계값에서 배달됨: 각 BCL 값에 대해 배달된 메시지 수(대량으로 식별되지 않음)입니다.
  • BCL 값이 현재 대량 전자 메일 임계값 보다 작으면 메시지가 배달되었습니다(대량으로 식별되지 않음).
    • 현재 BCL 임계값에서 배달됨 및 모든 전자 메일 값은 동일합니다.
    • 현재 BCL 임계값에서 배달됨 값은 현재 구성 값으로 배달된 이메일과 일치합니다.
  • BCL 값이 현재 대량 전자 메일 임계값 보다 크거나 같으면 메시지가 대량으로 식별되고 차단되었습니다.
    • BCL 값 에 대한 현재 BCL 임계값에서 배달 됨 값은 0입니다.
    • 모든 전자 메일 값은 현재 BCL 임계값으로 식별된 이메일과 일치합니다.
• 새 BCL 임계값으로 배달됨: 시뮬레이션을 실행한 후 대량 전자 메일로 식별되지 않은 메시지 수입니다. 시뮬레이션을 실행하기 전에 값은 의미가 없습니다.

시뮬레이션을 실행하려면 페이지에서 다음 요소를 사용합니다.

• 수정할 수 없는 현재 대량 전자 메일 임계값 슬라이더는 대량 보낸 사람 인사이트 페이지로 이동한 방법에 따라 현재 BCL 임계값을 표시합니다.
  • 직접: BCL 임계값은 7입니다.
  • 스팸 방지 정책의 속성에서: BCL 임계값은 스팸 방지 정책의 현재 값입니다.
• 새 대량 메일 임계값 슬라이더를 사용하면 배달되거나 차단된 메시지에 대한 BCL 임계값을 늘리고 줄이는 효과를 시뮬레이션할 수 있습니다.
• 시뮬레이션 보낸 사람 품질 임계값 슬라이더는 BCL 업데이트 시뮬레이션에 사용할 양수/불량 보낸 사람 신뢰도 임계값을 지정합니다. 값이 높을수록 신뢰할 수 있는 보낸 사람 기반의 시뮬레이션된 BCL 임계값 결과를 나타냅니다. 보낸 사람의 시뮬레이션 발신자 품질 임계값 은 다음 요소를 기반으로 합니다.
  • 보낸 사람과의 과거 상호 작용.
  • 보낸 사람으로부터의 메시지 빈도입니다.
  • 보낸 사람 메시지에 대한 관리자 또는 사용자 피드백입니다.

새 대량 메일 임계값 및 시뮬레이션 보낸 사람 품질 임계값을 선택한 후 시뮬레이션을 선택합니다.

• 페이지는 현재 및 새로운 시뮬레이션된 BCL 임계값 수준에 대해 차단된 메시지 수와 허용되는 메시지 수로 업데이트됩니다.
• 페이지 아래쪽은 대량으로 식별되는 보낸 사람 정보로 업데이트됩니다.

대량 보낸 사람 인사이트 페이지에서 대량 보낸 사람 정보 보기

페이지 맨 아래에 있는 대량 보낸 사람 세부 정보 테이블에는 메시지가 대량으로 식별된 대량 보낸 사용자에 대한 데이터가 포함되어 있습니다.

시뮬레이션을 실행하기 전에 현재 대량 전자 메일 임계값 및 시뮬레이션 보낸 사람 품질 임계값 값이 이미 대량 전자 메일 식별을 초래한 경우 대량 보낸 사람 인사이트 페이지를 처음 열 때 테이블에 보낸 사람 데이터가 포함될 수 있습니다.

그렇지 않으면 보낸 사람이 시뮬레이션을 실행한 후 현재 대량 전자 메일 임계값 및 시뮬레이션 보낸 사람 품질 임계값 을 기반으로 보낸 사람 세부 정보 테이블에 포함됩니다.

보낸 사람 세부 정보 테이블의 항목에 대해 다음 열을 항상 사용할 수 있습니다.

• 보낸 사람: 보낸 사람의 전자 메일 주소입니다.
• BCL
• 시뮬레이션 보낸 사람 품질 임계값

보낸 사람 세부 정보 테이블의 나머지 열은 시뮬레이션을 실행한 후 현재 대량 메일 임계값 과 새 대량 전자 메일 임계값 간의 관계에 따라 달라집니다.

• 새 대량 메일 임계값 은 현재 대량 전자 메일 임계값과 같습니다.

  • 잠재적 가양성
  • 잠재적인 가음성

  결과를 필터링하려면 모든 보낸 사람 , 다음 값 중 하나를 차례로 선택합니다.

  • 잠재적 가양성: 잠재적 가양 성 이 True 인 보낸 사람만 표시됩니다.
  • 잠재적인 가음성: 잠재적 거짓 부정 이 True 인 보낸 사람만 표시됩니다.

  

• 새 대량 메일 임계값 이 현재 대량 전자 메일 임계값보다 작습니다.

  • 새 보낸 사람 차단됨
  • 잠재적 가양성

  결과를 필터링하려면 모든 보낸 사람 , 다음 값 중 하나를 차례로 선택합니다.

  • 새 보낸 사람이 차단됨: 새 보낸 사람이 차단된 보낸 사람 만 True 로 표시됩니다.
  • 잠재적 가양성: 잠재적 가양 성 이 True 인 보낸 사람만 표시됩니다.

  

• 새 대량 메일 임계값 이 현재 대량 전자 메일 임계값보다 큽다.

  • 새 보낸 사람 허용됨
  • 잠재적인 가음성

  결과를 필터링하려면 모든 보낸 사람 , 다음 값 중 하나를 차례로 선택합니다.

  • 새 보낸 사람 허용: 새 보낸 사람이 허용되는 보낸 사람 만 True 로 표시됩니다.
  • 잠재적인 가음성: 잠재적 거짓 부정 이 True 인 보낸 사람만 표시됩니다.

  

항목 목록을 보통에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.

검색 상자와 해당 값을 사용하여 테이블에서 특정 보낸 사용자를 찾습니다.

내보내기를 사용하여 현재 표시된 보낸 사람 목록을 CSV 파일에 저장합니다. 기본 파일 이름은 대량 보낸 사람 인사이트 - Microsoft Defender.csv 기본 위치이며 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 파일이 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: 대량 보낸 사람 인사이트 - Microsoft Defender(1).csv).

대량 보낸 사람 인사이트 페이지에서 대량 발신자에 대한 자세한 정보 보기

대량 보낸 사람 인사이트 페이지의 맨 아래에 있는 보낸 사람 세부 정보 테이블에서 특정 보낸 사람 세부 정보에 대한 세부 정보를 보려면 첫 번째 열 옆의 확인란이 아닌 행의 아무 곳이나 클릭합니다. 열리는 보낸 사람 세부 정보 플라이아웃에는 보낸 사람 관련 다음 정보가 포함됩니다.

• 보낸 사람: 보낸 사람의 전자 메일 주소입니다.
• 메시지: 보낸 사람의 메시지 수입니다.
• 받은 편지함의 메시지: 사용자 받은 편지함으로 배달된 보낸 사람의 메시지 수입니다.
• 격리 또는 정크 메일의 메시지: 사용자 정크 메일 폴더로 배달되거나 격리된 보낸 사람의 메시지 수입니다.
• 관리자 설정: 테넌트 허용/차단 목록 유효한 값의 관리 허용 및 블록에의해 발신자가 허용되거나 차단되는지 여부는 다음과 같습니다.
  • 허용: 메시지 보낸 사람에게 허용 항목이 있습니다.
  • 차단: 메시지 보낸 사람에게 블록 항목이 있습니다.
• 사용자가 허용한 메시지: 사용자 사서함에 수신 허용 보낸 사람 목록을 추가한 보낸 사람의 메시지 수입니다.
• 사용자 차단 메시지: 사용자 사서함에 보낸 사람 차단 목록을 추가한 보낸 사람의 메시지 수입니다.
• 가양성 제출: 실수로 차단된 좋은 메일로 전송된 보낸 사람의 메시지 수입니다.
• 거짓 부정 제출: 실수로 잘못된 메일로 전송된 보낸 사람의 메시지 수입니다.
• 사용자가 정크 메일에서 받은 편지함으로 이동
• 사용자가 받은 편지함에서 정크 메일로 이동
• 사용자가 삭제한 메시지
• 관리자 격리된 메시지
• 관리자가 받은 편지함에서 정크 메일로 전자 메일 이동
• 관리자가 메시지를 삭제함