Office 365용 Microsoft Defender 캠페인

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

Office 365용 Microsoft Defender 플랜 2를 사용하는 Microsoft 365 조직에서 캠페인 기능은 조정된 피싱 및 맬웨어 이메일 공격을 식별하고 분류합니다. Microsoft에서 이메일 공격을 개별 캠페인으로 분류하면 다음을 수행할 수 있습니다.

  • 전자 메일 공격을 효율적으로 조사하고 대응합니다.
  • organization 대상으로 하는 이메일 공격의 scope 더 잘 이해합니다.
  • 전자 메일 위협을 방지하는 의사 결정자에게 Office 365용 Microsoft Defender 가치를 표시합니다.

캠페인 기능을 사용하면 전자 메일 공격의 전반적인 그림을 인간보다 빠르고 완전히 볼 수 있습니다.

Office 365용 Microsoft Defender 캠페인이 organization 대상으로 하는 조정된 이메일 공격을 이해하는 데 어떻게 도움이 되는지에 대한 이 짧은 비디오를 시청하세요.

캠페인이란 무엇입니까?

캠페인은 하나 이상의 조직에 대해 조율된 전자 메일 공격입니다. 자격 증명 및 회사 데이터를 훔치는 Email 공격은 크고 수익성이 높은 산업입니다. 공격을 중지하는 기술이 증가함에 따라 공격자는 지속적인 성공을 보장하기 위해 메서드를 수정합니다.

Microsoft는 전체 서비스에서 방대한 양의 피싱 방지, 스팸 방지 및 맬웨어 방지 데이터를 적용하여 캠페인을 식별합니다. 여러 요인에 따라 공격 정보를 분석하고 분류합니다. 예시:

  • 공격 원본: 원본 IP 주소 및 보낸 사람 전자 메일 도메인입니다.
  • 메시지 속성: 메시지의 콘텐츠, 스타일 및 톤입니다.
  • 메시지 받는 사람: 받는 사람이 관련된 방식입니다. 예를 들어 받는 사람 도메인, 받는 사람 작업 기능(관리자, 임원 등), 회사 유형(대형, 소규모, 공용, 비공개 등) 및 산업 등이 있습니다.
  • 공격 페이로드: 메시지의 악의적인 링크, 첨부 파일 또는 기타 페이로드입니다.

캠페인은 수명이 짧거나 활성 기간과 비활성 기간이 있는 며칠, 몇 주 또는 몇 달에 걸쳐 있을 수 있습니다. 특히 organization 대해 캠페인을 시작하거나 organization 여러 회사에서 더 큰 캠페인의 일부가 될 수 있습니다.

필수 라이선스 및 사용 권한

  • 캠페인 기능은 Office 365용 Defender 플랜 2(추가 기능 라이선스 또는 Microsoft 365 E5 같은 구독에 포함)가 있는 조직에서 사용할 수 있습니다.
  • 이 문서에 설명된 대로 캠페인에 대한 정보를 보려면 권한을 할당받아야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.
    • MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)(협업>을 Email & 경우Office 365용 Defender 권한은 활성입니다. PowerShell이 아닌 Defender 포털에만 영향을 줍니다. 보안 작업/원시 데이터(전자 메일 & 공동 작업)/Email 메시지 헤더(읽기).

    • Microsoft Defender 포털에서 공동 작업 권한 Email & 조직 관리, 보안 관리자 또는 보안 읽기 권한자 역할 그룹의 멤버 자격입니다.

    • Microsoft Entra 권한: 전역 관리자*, 보안 관리자 또는 보안 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 필요한 권한 권한을 제공합니다.

      중요

      * 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

Microsoft Defender 포털의 캠페인 페이지

의 Microsoft Defender 포털https://security.microsoft.com에서 캠페인 페이지를 열려면 Email & 공동 작업 캠페인으로> 이동합니다. 또는 캠페인 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/campaigns.

캠페인 페이지는 다음 요소로 구성됩니다.

  • 페이지 맨 위에 있는 필터/쿼리 작성기입니다.
  • 사용 가능한 피벗을 사용하여 다양한 방식으로 차트를 구성할 수 있는 차트 영역입니다. 기본적으로 차트는 해당 피벗이 선택되지 않은 것처럼 보이지만 캠페인 유형 피벗을 사용합니다.
  • 기본적으로 캠페인 탭으로 설정된 세부 정보 영역

Microsoft Defender 포털의 캠페인을 보여 주는 스크린샷

  • 캠페인 데이터 또는 매우 제한된 데이터가 표시되지 않는 경우 날짜 범위 또는 필터를 변경 해 보세요.

  • 에서 위협 Explorerhttps://security.microsoft.com/threatexplorerv3캠페인에 대한 동일한 정보를 볼 수도 있습니다.

    • 캠페인 보기.
    • 차트 아래의 세부 정보 영역에 있는 모든 전자 메일 보기 >캠페인 탭입니다.
    • 차트 아래의 세부 정보 영역에 있는 맬웨어 보기 >캠페인
    • 차트 아래의 세부 정보 영역에 있는 피싱 보기 >캠페인 탭입니다.
  • 엔드포인트용 Microsoft Defender 구독이 있는 경우 캠페인 정보가 엔드포인트용 Microsoft Defender 연결됩니다.

캠페인 페이지의 차트 영역

캠페인 페이지에서 차트 영역에는 일일 받는 사람 수를 보여 주는 막대 그래프가 표시됩니다. 기본적으로 그래프는 맬웨어피싱 데이터를 모두 표시합니다.

차트 및 세부 정보 테이블에 표시된 정보를 필터링하려면 필터를 변경 합니다.

캠페인 유형을 선택한 다음 드롭다운 목록에서 다음 값 중 하나를 선택하여 차트의 organization 변경합니다.

  • 캠페인 이름
  • 캠페인 하위 유형
  • 보낸 사람 도메인
  • 보낸 사람 IP
  • 배달 작업
  • 검색 기술
  • 전체 URL
  • URL 도메인
  • URL 도메인 및 경로

차트 데이터 내보내기를 사용하여 차트의 데이터를 CSV 파일로 내보냅니다.

세부 정보 영역의 크기를 최대화하는 페이지에서 차트를 제거하려면 다음 단계 중 하나를 수행합니다.

  • 페이지 위쪽에서 차트 보기>목록 보기를 선택합니다.
  • 차트와 세부 정보 테이블의 보기 사이에 목록 보기 표시를 선택합니다.

캠페인 페이지의 세부 정보 영역

차트 및 세부 정보 테이블에 표시된 정보를 필터링하려면 필터를 변경 합니다.

캠페인 페이지의 차트 아래 캠페인 탭은 세부 정보 표에 다음 정보를 표시합니다.

  • 이름
  • 샘플 제목: 캠페인의 메시지 중 하나에 대한 제목 줄입니다. 캠페인의 모든 메시지에 반드시 동일한 주제가 있는 것은 아닙니다.
  • 대상: (organization 캠페인 수신자 수) / (서비스의 모든 조직에서 캠페인의 총 수신자 수)에 의해 계산된 백분율입니다. 이 값은 캠페인이 organization(더 높은 값)로만 전달되는 정도와 서비스의 다른 조직(낮은 값)을 대상으로 하는 정도를 나타냅니다.
  • 형식: 이 값은 피싱 또는 맬웨어입니다.
  • 하위 형식: 이 값에는 캠페인에 대한 자세한 내용이 포함되어 있습니다. 예시:
    • 피싱: 사용 가능한 경우 이 캠페인에 의해 피싱되는 브랜드입니다. 예를 들어 , Microsoft, 365Unknown, Outlook, 또는 DocuSign입니다. 검색이 Office 365용 Defender 기술에 의해 구동되면 접두사 ATP-가 하위 형식 값에 추가됩니다.
    • 맬웨어: 예를 들어 W32/<MalwareFamilyName> 또는 VBS/<MalwareFamilyName>입니다.
  • 태그: 사용자 태그에 대한 자세한 내용은 사용자 태그를 참조하세요.
  • 받는 사람: 이 캠페인을 대상으로 하는 사용자 수입니다.
  • 받은 편지함: 받은 편지함에서 이 캠페인에서 메시지를 받은 사용자 수입니다(정크 Email 폴더로 배달되지 않음).
  • 클릭: 피싱 메시지에서 URL을 선택하거나 첨부 파일을 연 사용자 수입니다.
  • 클릭 속도: 피싱 캠페인에서 "받은편지함 클릭"으로 계산 / 백분율입니다. 이 값은 캠페인의 효과를 나타내는 지표입니다. 즉, 받는 사람이 메시지를 피싱으로 식별할 수 있었기 때문에 페이로드 URL을 피했을까요? 클릭 속도 는 맬웨어 캠페인에 사용되지 않습니다.
  • 방문: 실제로 페이로드 웹 사이트를 통해 만든 사용자 수입니다. 클릭된 값이 있지만 안전한 링크가 웹 사이트에 대한 액세스를 차단한 경우 이 값은 0입니다.

해당 열을 기준으로 정렬할 열 머리글을 선택합니다. 열을 제거하려면 열 사용자 지정을 선택합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

내보내기를 사용하여 세부 정보 테이블의 데이터를 CSV 파일로 내보냅니다.

캠페인 페이지의 차트 아래 캠페인 원본 탭에는 세계 지도의 메시지 원본이 표시됩니다.

캠페인 페이지의 필터

캠페인 페이지의 맨 위에는 특정 캠페인을 찾고 격리하는 데 도움이 되는 몇 가지 필터 설정이 있습니다. 선택한 필터는 차트 및 세부 정보 테이블에 영향을 줍니다.

기본적으로 보기는 어제와 오늘까지 필터링됩니다. 날짜 필터를 변경하려면 날짜 범위를 선택한 다음, 최대 30일 전 의 시작 날짜종료 날짜 값을 선택합니다.

캠페인 페이지의 캠페인 필터입니다.

하나 이상의 메시지 또는 캠페인 속성으로 결과를 필터링할 수도 있습니다. 기본 구문은 다음과 같습니다.

<속성>< 속성 값 또는 값 | 같지 않음 중><하나라도 같음>

  • 캠페인 유형 드롭다운 목록에서 메시지 또는 캠페인 속성을 선택합니다(캠페인 유형은 선택한 기본값임).
  • 입력해야 하는 속성 값은 속성에 완전히 종속됩니다. 일부 속성은 여러 값이 쉼표로 구분된 자유형 텍스트를 허용하고 일부 속성은 목록에서 선택한 여러 값을 허용합니다.

사용 가능한 속성 및 관련 값은 다음 표에 설명되어 있습니다.

속성 유형
기본
캠페인 유형 하나 이상의 값을 선택합니다.
  • 맬웨어
  • 피싱
캠페인 이름 텍스트. 여러 값을 쉼표로 구분합니다.
캠페인 하위 유형 텍스트. 여러 값을 쉼표로 구분합니다.
보낸 사람 주소 텍스트. 여러 값을 쉼표로 구분합니다.
받는 사람 텍스트. 여러 값을 쉼표로 구분합니다.
보낸 사람 도메인 텍스트. 여러 값을 쉼표로 구분합니다.
받는 사람 도메인 텍스트. 여러 값을 쉼표로 구분합니다.
제목 텍스트. 여러 값을 쉼표로 구분합니다.
보낸 사람 표시 이름 텍스트. 여러 값을 쉼표로 구분합니다.
주소에서 보낸 사람 메일 텍스트. 여러 값을 쉼표로 구분합니다.
도메인에서 보낸 사람 메일 텍스트. 여러 값을 쉼표로 구분합니다.
맬웨어 패밀리 텍스트. 여러 값을 쉼표로 구분합니다.
태그 텍스트. 여러 값을 쉼표로 구분합니다.

사용자 태그에 대한 자세한 내용은 사용자 태그를 참조하세요.
배달 작업 하나 이상의 값을 선택합니다.
  • 차단됨
  • 배달됨
  • 정크에 배달됨
  • 대체
추가 작업 하나 이상의 값을 선택합니다.
방향성 하나 이상의 값을 선택합니다.
  • 인바운드
  • Intra-irg
  • 아웃바운드
검색 기술 하나 이상의 값을 선택합니다.
  • 고급 필터: 기계 학습을 기반으로 하는 신호입니다.
  • 맬웨어 방지 보호
  • 대량 전자 메일
  • 캠페인
  • 도메인 평판
  • 파일 폭발: 안전한 첨부 파일이 폭발 분석 중에 악성 첨부 파일을 감지했습니다.
  • 파일 폭발 평판: 이전에 다른 Microsoft 365 조직에서 안전한 첨부 파일 폭발에 의해 검색된 파일 첨부 파일입니다.
  • 파일 신뢰도: 메시지에는 이전에 다른 Microsoft 365 조직에서 악성으로 식별된 파일이 포함되어 있습니다.
  • 지문 일치: 메시지는 이전에 검색된 악성 메시지와 유사합니다.
  • 일반 필터
  • 가장 브랜드: 잘 알려진 브랜드의 발신자 가장.
  • 가장 도메인: 피싱 방지 정책에서 보호를 위해 소유하거나 지정한 보낸 사람 도메인의 가장
  • 가장 사용자
  • IP 평판
  • 사서함 인텔리전스 가장: 피싱 방지 정책의 사서함 인텔리전스에서 가장 검색.
  • 혼합 분석 검색: 여러 필터가 메시지 평결에 기여했습니다.
  • 스푸핑 DMARC: 메시지가 DMARC 인증에 실패했습니다.
  • 외부 도메인 스푸핑: organization 외부에 있는 도메인을 사용하여 보낸 사람 전자 메일 주소 스푸핑
  • 조직 내 스푸핑: organization 내부 도메인을 사용하여 보낸 사람 전자 메일 주소 스푸핑
  • URL 폭발: 안전한 링크 가 폭발 분석 중에 메시지에서 악의적인 URL을 검색했습니다.
  • URL 폭발 평판
  • URL 악성 평판: 이전에 다른 Microsoft 365 조직에서 안전한 링크 폭발에 의해 검색된 URL입니다.
원래 배달 위치 하나 이상의 값을 선택합니다.
  • 지운 편지함 폴더
  • 떨어졌다
  • 실패
  • 받은 편지함/폴더
  • 정크 메일 폴더
  • 온-프레미스/외부
  • 격리
  • 알 수 없음
최신 배달 위치 원래 배달 위치와 동일한 값
시스템 재정의 하나 이상의 값을 선택합니다.
  • 사용자 정책에 의해 허용됨
  • 사용자 정책에 의해 차단됨
  • organization 정책에서 허용됨
  • organization 정책에 의해 차단됨
  • organization 정책에 의해 차단된 파일 확장자
  • 없음
시스템 재정의 원본 하나 이상의 값을 선택합니다.
  • 타사 필터
  • 관리 시작한 시간 이동(ZAP)
  • 파일 형식별 맬웨어 방지 정책 블록
  • 스팸 방지 정책 설정
  • 연결 정책
  • Exchange 전송 규칙 (메일 흐름 규칙)
  • 온-프레미스 organization 인해 건너뛴 필터링
  • 정책에서 IP 지역 필터
  • 정책의 언어 필터
  • 피싱 시뮬레이션
  • 격리 릴리스
  • SecOPs 사서함
  • 보낸 사람 주소 목록(관리자 재정의)
  • 보낸 사람 주소 목록(사용자 재정의)
  • 보낸 사람 도메인 목록(관리자 재정의)
고급
인터넷 메시지 ID 텍스트. 여러 값을 쉼표로 구분합니다.

메시지 헤더의 메시지 ID 헤더 필드에서 사용할 수 있습니다. 예제 값은 (꺾쇠 괄호 참고)입니다 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> .
네트워크 메시지 ID 텍스트. 여러 값을 쉼표로 구분합니다.

메시지 헤더의 X-MS-Exchange-Organization-Network-Message-Id 헤더 필드에서 사용할 수 있는 GUID 값입니다.
보낸 사람 IP 텍스트. 여러 값을 쉼표로 구분합니다.
첨부 파일 SHA256 텍스트. 여러 값을 쉼표로 구분합니다.

파일의 SHA256 해시 값을 찾으려면 PowerShell Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256에서 다음 명령을 실행합니다.
클러스터 ID 텍스트. 여러 값을 쉼표로 구분합니다.
경고 ID 텍스트. 여러 값을 쉼표로 구분합니다.
경고 정책 ID 텍스트. 여러 값을 쉼표로 구분합니다.
캠페인 ID 텍스트. 여러 값을 쉼표로 구분합니다.
ZAP URL 신호 텍스트. 여러 값을 쉼표로 구분합니다.
URL
URL 도메인 텍스트. 여러 값을 쉼표로 구분합니다.
URL 도메인 및 경로 텍스트. 여러 값을 쉼표로 구분합니다.
URL 텍스트. 여러 값을 쉼표로 구분합니다.
URL 경로 텍스트. 여러 값을 쉼표로 구분합니다.
평결 클릭 하나 이상의 값을 선택합니다.
  • 허용됨
  • 차단 재정의
  • 차단됨
  • 오류
  • 실패
  • 없음
  • 보류 중인 판결
  • 보류 중인 판결이 무시됨
파일
첨부 파일 이름 텍스트. 여러 값을 쉼표로 구분합니다.

1 이 속성 필터를 사용하지 않거나 선택한 값이 없는 이 속성 필터를 사용하지 않으면 모든 값이 선택된 이 속성 필터를 사용하는 것과 같은 결과가 발생합니다.

캠페인 유형 드롭다운에서 속성을 선택한 후 등수 또는 같지 않음을 선택한 다음 속성 상자에 값을 입력하거나 선택하면 필터 쿼리가 필터 영역 아래에 표시됩니다.

선택한 캠페인 필터를 보여 주는 스크린샷

조건을 더 추가하려면 다른 속성/값 쌍을 선택한 다음 AND 또는 OR을 선택합니다. 필요한 만큼 이 단계를 반복합니다.

기존 속성/값 쌍을 제거하려면 항목 옆에 있는 를 선택합니다 .

필터 쿼리 빌드가 완료되면 새로 고침을 선택합니다.

필터 쿼리를 저장하려면 쿼리저장 쿼리 저장> 선택합니다. 열리는 쿼리 플라이아웃 저장 에서 다음 설정을 구성합니다.

  • 쿼리 이름: 고유한 값을 입력합니다.
  • 다음 값 중 하나를 선택합니다.
    • 정확한 날짜: 날짜 범위를 선택합니다.
    • 상대 날짜: 1~30일을 선택합니다.
  • 이 쿼리 추적

쿼리 저장 플라이아웃을 마쳤으면 저장을 선택한 다음 확인 대화 상자에서 확인을 선택합니다.

캠페인 페이지로 돌아가면 저장된 쿼리 저장 쿼리>설정을 선택하여 저장된 필터를 로드할 수 있습니다.

캠페인 세부 정보

이름 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 세부 정보 테이블에서 항목을 선택하면 캠페인에 대한 세부 정보가 포함된 플라이아웃이 열립니다.

캠페인 세부 정보 플라이아웃에 표시되는 내용은 다음 하위 섹션에 설명되어 있습니다.

캠페인 정보

캠페인 세부 정보 플라이아웃의 맨 위에서 다음 캠페인 정보를 사용할 수 있습니다.

  • 캠페인 ID: 고유한 캠페인 식별자입니다.
  • 활동: 캠페인의 기간 및 활동입니다.
  • 선택한 날짜 범위 필터(또는 타임라인 선택한 날짜 범위 필터에 대한 다음 데이터)입니다.
    • 영향
    • 메시지: 받는 사람의 총 수입니다.
    • 받은 편지함: 정크 Email 폴더가 아닌 받은 편지함으로 배달된 메시지 수입니다.
    • 클릭 링크: 피싱 메시지에서 페이로드 URL을 선택한 사용자 수입니다.
    • 방문 링크: URL을 방문한 사용자 수입니다.
    • Targeted(%): (organization 캠페인 수신자 수) / (서비스의 모든 조직에서 캠페인의 총 수신자 수)에 의해 계산된 백분율입니다. 이 값은 캠페인의 전체 수명 동안 계산되며 날짜 필터에 따라 변경되지 않습니다.
  • 다음 섹션에 설명된 대로 캠페인 흐름에 대한 시작 날짜/시간 및 종료 데이터/시간 필터입니다.
  • 캠페인 활동의 대화형 타임라인: 타임라인 캠페인의 전체 수명 동안의 활동을 보여줍니다. 그래프의 데이터 요소를 마우스로 가리키면 검색된 메시지 수를 확인할 수 있습니다.

캠페인 정보

캠페인 흐름

캠페인 세부 정보 플라이아웃의 중간에 캠페인에 대한 중요한 세부 정보가 수평 흐름 다이어그램( Sankey 다이어그램이라고 함)에 표시됩니다. 이러한 세부 정보는 캠페인의 요소와 organization 미치는 잠재적 영향을 이해하는 데 도움이 됩니다.

흐름 다이어그램에 표시되는 정보는 이전 섹션에 설명된 대로 타임라인 날짜 범위 필터에 의해 제어됩니다.

사용자 URL 클릭이 포함되지 않은 캠페인 세부 정보

다이어그램에서 가로 대역을 마우스로 가리키면 관련 메시지의 수(예: 특정 원본 IP의 메시지, 지정된 보낸 사람 도메인을 사용하는 원본 IP의 메시지 등)가 표시됩니다.

흐름도에는 다음과 같은 정보가 포함됩니다.

  • 보낸 사람 IP

  • 보낸 사람 도메인

  • 필터 평결: 평결 값은 스팸 방지 메시지 헤더에 설명된 대로 사용 가능한 피싱 및 스팸 필터링 평결과 관련이 있습니다. 사용 가능한 값은 다음 표에 설명되어 있습니다.

    스팸 필터 평결 설명
    허용됨 SFV:SKN
    <br/ SFV:SKI
    스팸 필터링으로 평가되기 전에 메시지가 스팸이 아닌 것으로 표시되었거나 필터링을 건너뛰는 것으로 표시되었습니다. 예를 들어 메시지는 메일 흐름 규칙(전송 규칙이라고도 함)에 의해 스팸이 아닌 것으로 표시되었습니다.
    <br/ 다른 이유로 스팸 필터링을 건너뛴 메시지입니다. 예를 들어 보낸 사람과 받는 사람이 동일한 organization 있는 것처럼 보입니다.
    차단됨 SFV:SKS 스팸 필터링을 통해 평가되기 전에 메시지가 스팸으로 표시되었습니다. 예를 들어 메일 흐름 규칙에 의한 것입니다.
    감지함 SFV:SPM 메시지가 스팸 필터링에 의해 스팸으로 표시되었습니다.
    검색되지 않음 SFV:NSPM 스팸 필터링으로 메시지가 스팸이 아닌 것으로 표시되었습니다.
    릴리스됨 SFV:SKQ 메시지가 격리에서 해제되었기 때문에 스팸 필터링을 건너뛰었다.
    테넌트 Allow 허용 SFV:SKA 스팸 방지 정책의 설정 때문에 메시지가 스팸 필터링을 건너뛰었다. 예를 들어 보낸 사람이 허용된 보낸 사람 목록 또는 허용된 도메인 목록에 있었습니다.
    테넌트 블록² SFV:SKA 스팸 방지 정책의 설정으로 인해 스팸 필터링으로 인해 메시지가 차단되었습니다. 예를 들어 보낸 사람이 허용된 보낸 사람 목록 또는 허용된 도메인 목록에 있었습니다.
    User Allow 허용 SFV:SFE 보낸 사람이 사용자의 수신 허용 보낸 사람 목록에 있었기 때문에 메시지가 스팸 필터링을 건너뛰었다.
    사용자 Block² SFV:BLK 보낸 사람이 사용자의 보낸 사람 차단 목록에 있었기 때문에 스팸 필터링에 의해 메시지가 차단되었습니다.
    보내 겠 해당 없음 0시간 자동 제거(ZAP)는 배달된 메시지를 정크 Email 폴더 또는 격리로 이동했습니다. 스팸 방지 정책에서 작업을 구성합니다.

    허용된 메시지가 서비스에 의해 차단되었을 가능성이 높으므로 스팸 방지 정책을 검토합니다.

    ² 이러한 메시지는 배달되지 않고 격리되어야 하므로 스팸 방지 정책을 검토합니다.

  • 메시지 대상: 사용자가 메시지에서 페이로드 URL을 선택하지 않은 경우에도 받는 사람(받은 편지함 또는 정크 Email 폴더로) 배달된 메시지를 조사합니다. 격리된 메시지를 격리에서 제거할 수도 있습니다. 자세한 내용은 EOP에서 격리된 전자 메일 메시지를 참조하세요.

    • 폴더 삭제됨
    • 떨어졌다
    • 외부: 수신자는 하이브리드 환경의 온-프레미스 전자 메일 organization 있습니다.
    • 실패
    • 전달
    • 받은 편지함
    • 정크 메일 폴더
    • 격리
    • 알 수 없음
  • URL 클릭: 이러한 값은 다음 섹션에서 설명합니다.

참고

10개 이상의 항목을 포함하는 모든 계층에서 상위 10개 항목이 표시되고 나머지는 기타 항목에 함께 번들로 제공됩니다.

URL 클릭

피싱 메시지가 받는 사람의 받은 편지함 또는 정크 Email 폴더에 전달되면 항상 사용자가 페이로드 URL을 선택할 가능성이 있습니다. URL을 선택하지 않는 것은 성공의 작은 척도이지만 피싱 메시지가 처음에 사서함에 전달된 이유를 결정해야 합니다.

사용자가 피싱 메시지에서 페이로드 URL을 선택한 경우 작업은 캠페인 세부 정보 보기에서 다이어그램의 URL 클릭 영역에 표시됩니다.

  • 허용됨
  • BlockPage: 수신자가 페이로드 URL을 선택했지만 organization 안전한 링크 정책에 의해 악성 웹 사이트에 대한 액세스가 차단되었습니다.
  • BlockPageOverride: 수신자가 메시지에서 페이로드 URL을 선택했습니다. 안전한 링크가 이를 중지하려고 했지만 블록을 재정의할 수 있었습니다. 안전한 링크 정책을 검사하여 사용자가 안전한 링크 평결을 재정의하고 악성 웹 사이트로 계속 이동할 수 있는 이유를 확인합니다.
  • PendingDetonationPage: Office 365용 Microsoft Defender 안전한 첨부 파일이 가상 환경에서 페이로드 URL을 열고 조사하고 있습니다.
  • PendingDetonationPageOverride: 수신자가 페이로드 폭발 프로세스를 재정의하고 결과를 기다리지 않고 URL을 열 수 있었습니다.

탭에 표시되는 정보는 캠페인 정보 섹션에 설명된 대로 캠페인 세부 정보 플라이아웃의 날짜 범위 필터에 의해 제어됩니다.

캠페인 세부 정보 플라이아웃의 탭을 사용하면 캠페인을 추가로 조사할 수 있습니다. 다음 탭을 사용할 수 있습니다.

  • URL 클릭: 사용자가 메시지에서 페이로드 URL을 선택하지 않은 경우 이 섹션은 비어 있습니다. 사용자가 URL을 선택할 수 있는 경우 다음 값이 채워집니다.

    • 사용자*
    • 태그
    • URL*
    • 클릭 시간
    • 평결 클릭
  • 보낸 사람 IP

    • 보낸 사람 IP*
    • 총 개수
    • 받은 편지함
    • 받은 편지함 없음
    • SPF 통과: 발신자가 SPF(보낸 사람 정책 프레임워크)에 의해 인증되었습니다. SPF 유효성 검사를 통과하지 않는 발신자는 인증되지 않은 보낸 사람 또는 메시지가 합법적인 보낸 사람에게 스푸핑 중임을 나타냅니다.
  • 보낸 사람

    • 보낸 사람: 이 주소는 SMTP MAIL FROM 명령의 실제 보낸 사람 주소로, 사용자가 전자 메일 클라이언트에서 볼 수 있는 보낸 사람: 전자 메일 주소일 필요는 없습니다.
    • 총 개수
    • 받은 편지함
    • 받은 편지함 없음
    • DKIM 통과: 보낸 이 도메인 키 식별 메일(DKIM)에 의해 인증되었습니다. DKIM 유효성 검사를 통과하지 않는 발신자는 인증되지 않은 보낸 사람 또는 메시지가 합법적인 보낸 사람에게 스푸핑 중임을 나타냅니다.
    • DMARC 통과: 보낸 사람에게 도메인 기반 메시지 인증, 보고 및 규칙(DMARC)이 인증되었습니다. DMARC 유효성 검사를 통과하지 않는 발신자는 인증되지 않은 보낸 사람 또는 메시지가 합법적인 보낸 사람에게 스푸핑 중임을 나타냅니다.
  • 첨부 파일

    • 파일 이름
    • SHA256
    • 맬웨어 패밀리
    • 총 개수
  • URL

    • URL*
    • 합계

* 이 값을 선택하면 캠페인 세부 정보 보기 위에 지정된 항목(사용자, URL 등)에 대한 자세한 정보가 포함된 새 플라이아웃이 열립니다. 캠페인 세부 정보 플라이아웃으로 돌아가려면 새 플라이아웃에서 완료 를 선택합니다.

각 탭에서 열 머리글을 선택하여 해당 열을 기준으로 정렬합니다. 열을 제거하려면 열 사용자 지정을 선택합니다. 기본적으로 각 탭에서 사용 가능한 모든 열이 선택됩니다.

추가 작업

캠페인 세부 정보 플라이아웃 하단의 작업을 통해 캠페인에 대한 세부 정보를 조사하고 기록할 수 있습니다.

  • 이 캠페인이 이러한 메시지를 정확하게 그룹화했다고 생각하십니까?에서 또는 아니요를 선택합니다.
  • 메시지 탐색: 위협 Explorer 기능을 사용하여 드롭다운 목록에서 다음 값 중 하나를 선택하여 캠페인을 추가로 조사합니다.
    • 모든 메시지: 캠페인 ID 값을 검색 필터로 사용하여 새 위협 Explorer 검색 탭을 엽니다.
    • 받은 편지함 메시지: 캠페인 ID배달 위치: 받은 편지함을 검색 필터로 사용하여 새 위협 Explorer 검색 탭을 엽니다.
    • 내부 메시지: 캠페인 ID방향성: 조직 내를 검색 필터로 사용하여 새 위협 Explorer 검색 탭을 엽니다.
  • 위협 보고서 다운로드: 캠페인 세부 정보를 Word 문서(기본적으로 이름이 CampaignReport.docx)로 다운로드합니다. 다운로드에는 선택한 날짜 필터뿐만 아니라 캠페인의 전체 수명 동안의 세부 정보가 포함됩니다.