다음을 통해 공유

Office 365용 Microsoft Defender 마이그레이션 - 2단계: 설치


1단계: 준비.
1 단계: 준비		 2단계: 설정.
2 단계: 설정		 3단계: 온보딩.
3 단계: 온보딩
당신은 여기 있습니다!

2단계:Office 365용 Microsoft Defender 마이그레이션을 시작합니다. 이 마이그레이션 단계에는 다음 단계가 포함됩니다.

  1. 파일럿 사용자를 위한 Create 메일 그룹
  2. 사용자가 보고한 메시지 설정 구성
  3. SCL=-1 메일 흐름 규칙 유지 관리 또는 만들기
  4. 커넥터에 대한 향상된 필터링 구성
  5. 파일럿 보호 정책 Create

1단계: 파일럿 사용자를 위한 배포 그룹 Create

배포 그룹은 마이그레이션의 다음과 같은 측면에 대해 Microsoft 365에서 필요합니다.

  • SCL=-1 메일 흐름 규칙에 대한 예외: 파일럿 사용자가 Office 365용 Defender 보호를 완전히 적용하도록 하므로 들어오는 메시지를 검사하려면 Office 365용 Defender 필요합니다. Microsoft 365의 적절한 메일 그룹에서 파일럿 사용자를 정의하고 이러한 그룹을 SCL=-1 메일 흐름 규칙에 대한 예외로 구성하여 이 결과를 얻을 수 있습니다.

    온보딩 2단계: (선택 사항) 기존 보호 서비스에 의한 필터링에서 파일럿 사용자 제외에 설명된 대로 이러한 동일한 파일럿 사용자를 기존 보호 서비스에서 검사에서 제외하는 것이 좋습니다. 기존 보호 서비스에서 필터링할 가능성을 제거하고 Office 365용 Defender 독점적으로 의존하는 것은 마이그레이션이 완료된 후 발생할 작업을 가장 잘 표현하고 가장 가까운 표현입니다.

  • 특정 Office 365용 Defender 보호 기능 테스트: 파일럿 사용자의 경우에도 모든 기능을 한 번에 켜고 싶지는 않습니다. 파일럿 사용자에게 적용되는 보호 기능에 대해 단계적 접근 방식을 사용하면 문제 해결 및 조정이 더 쉬워집니다. 이 방법을 염두에 두고 다음 메일 그룹을 사용하는 것이 좋습니다.

    • 안전한 첨부 파일 파일럿 그룹: 예를 들어 MDOPilot_SafeAttachments
    • 안전한 링크 파일럿 그룹: 예를 들어 MDOPilot_SafeLinks
    • 표준 스팸 방지 및 피싱 방지 정책 설정에 대한 파일럿 그룹: 예를 들어 MDOPilot_SpamPhish_Standard
    • 엄격한 스팸 방지 및 피싱 방지 정책 설정에 대한 파일럿 그룹: 예를 들어 MDOPilot_SpamPhish_Strict

명확성을 위해 이 문서 전체에서 이러한 특정 그룹 이름을 사용하지만 사용자 고유의 명명 규칙을 자유롭게 사용할 수 있습니다.

테스트를 시작할 준비가 되면 이러한 그룹을 SCL=-1 메일 흐름 규칙에 예외로 추가합니다. Office 365용 Defender 다양한 보호 기능에 대한 정책을 만들 때 정책이 적용되는 사용자를 정의하는 조건으로 이러한 그룹을 사용합니다.

참고:

  • 표준 및 엄격한 용어는 미리 설정된 보안 정책에도 사용되는 권장 보안 설정에서 제공됩니다. 표준 및 엄격한 사전 설정 보안 정책에서 파일럿 사용자를 정의하도록 지시하는 것이 이상적이지만 그렇게 할 수는 없습니다. 이유 미리 설정된 보안 정책(특히 메시지에 대해 수행되는 작업)의 설정을 사용자 지정할 수 없기 때문입니다. 마이그레이션 테스트 중에 Office 365용 Defender 메시지에 대해 수행할 작업을 확인하고, 원하는 결과를 확인하고, 정책 구성을 조정하여 이러한 결과를 허용하거나 방지하려고 합니다.

    따라서 미리 설정된 보안 정책을 사용하는 대신 표준 및 엄격한 미리 설정된 보안 정책의 설정과 유사한 설정을 사용하여 사용자 지정 정책을 수동으로 만들지만 경우에 따라 다른 경우도 있습니다.

  • 표준 또는 엄격한 권장 값과 크게 다른 설정을 실험하려는 경우 이러한 시나리오에서 파일럿 사용자에 대한 추가 및 특정 메일 그룹을 만들고 사용하는 것이 좋습니다. Configuration Analyzer를 사용하여 설정이 얼마나 안전한지 확인할 수 있습니다. 지침은 EOP 및 Office 365용 Microsoft Defender 보호 정책에 대한 구성 분석기를 참조하세요.

    대부분의 조직에서 가장 좋은 방법은 권장 표준 설정과 밀접하게 일치하는 정책으로 시작하는 것입니다. 사용 가능한 시간 프레임에서 수행할 수 있는 만큼 관찰 및 피드백을 수행한 후 나중에 더 공격적인 설정으로 이동할 수 있습니다. 가장 보호 및 정크 Email 폴더로 배달 및 격리로 배달하려면 사용자 지정이 필요할 수 있습니다.

    사용자 지정된 정책을 사용하는 경우 마이그레이션에 대한 권장 설정이 포함된 정책 앞에 적용되었는지 확인합니다. 사용자가 동일한 유형의 여러 정책(예: 피싱 방지)으로 식별되는 경우 해당 유형의 정책 중 하나만 사용자에게 적용됩니다(정책의 우선 순위 값에 따라). 자세한 내용은 전자 메일 보호의 순서 및 우선 순위를 참조하세요.

2단계: 사용자가 보고한 메시지 설정 구성

사용자가 Office 365용 Defender 가양성 또는 거짓 부정을 보고하는 기능은 마이그레이션의 중요한 부분입니다.

Exchange Online 사서함을 지정하여 사용자가 악의적이거나 악의적이지 않다고 보고하는 메시지를 받을 수 있습니다. 자세한 내용은 사용자 보고 설정을 참조하세요. 이 사서함은 사용자가 Microsoft에 제출한 메시지의 복사본을 받거나 사서함이 Microsoft에 보고하지 않고 메시지를 가로챌 수 있습니다(보안 팀은 메시지를 수동으로 분석하고 직접 제출할 수 있음). 그러나 가로채기 접근 방식은 서비스가 자동으로 조정하고 학습하는 것을 허용하지 않습니다.

또한 파일럿의 모든 사용자에게 Office 365용 Defender 잘못된 판결을 받은 메시지를 보고하는 지원되는 방법이 있는지 확인해야 합니다. 이러한 옵션은 다음과 같습니다.

이 단계의 중요성을 과소평가하지 마세요. 사용자가 보고한 메시지의 데이터는 마이그레이션 전후에 일관되고 일관된 최종 사용자 환경을 확인하는 데 필요한 피드백 루프를 제공합니다. 이 피드백은 정보에 입각한 정책 구성 결정을 내리고 마이그레이션이 원활하게 진행되었다는 데이터 지원 보고서를 관리에 제공하는 데 도움이 됩니다.

전체 organization 경험을 기반으로 하는 데이터에 의존하는 대신 둘 이상의 마이그레이션으로 인해 단일 부정적인 사용자 환경을 기반으로 감정적인 추측이 발생했습니다. 또한 피싱 시뮬레이션을 실행한 경우 사용자의 피드백을 사용하여 조사가 필요할 수 있는 위험한 항목이 표시되면 알려줄 수 있습니다.

3단계: SCL=-1 메일 흐름 규칙 유지 관리 또는 만들기

인바운드 전자 메일은 Microsoft 365 앞에 있는 다른 보호 서비스를 통해 라우팅되므로 들어오는 모든 메일의 SCL(스팸 신뢰도 수준)을 값 -1(스팸 필터링 무시)으로 설정하는 메일 흐름 규칙(전송 규칙이라고도 함)이 이미 Exchange Online 있을 수 있습니다. 대부분의 타사 보호 서비스는 서비스를 사용하려는 Microsoft 365 고객을 위해 이 SCL=-1 메일 흐름 규칙을 권장합니다.

Microsoft 필터링 스택(예: IP 허용 목록)을 재정의하는 다른 메커니즘을 사용하는 경우 Microsoft 365로의 모든 인바운드 인터넷 메일이 타사 보호 서비스에서 제공되는 SCL=-1 메일 흐름 규칙을 사용하도록 전환하는 것이 좋습니다(인터넷에서 Microsoft 365로 직접 메일 흐름 없음).

SCL=-1 메일 흐름 규칙은 다음과 같은 이유로 마이그레이션하는 동안 중요합니다.

  • 위협 Explorer(Explorer)을 사용하여 기존 보호 서비스의 결과에 영향을 주지 않고 Microsoft 스택의 어떤 기능이 메시지에 작동했는지 확인할 수 있습니다.

  • SCL=-1 메일 흐름 규칙에 대한 예외를 구성하여 Microsoft 365 필터링 스택으로 보호되는 사용자를 점진적으로 조정할 수 있습니다. 예외는 이 문서의 뒷부분에서 권장하는 파일럿 배포 그룹의 멤버입니다.

    MX 레코드를 Microsoft 365로 단독 전환하기 전 또는 그 동안에는 이 규칙을 사용하지 않도록 설정하여 organization 모든 수신자에 대해 Microsoft 365 보호 스택을 완전히 보호합니다.

자세한 내용은 메일 흐름 규칙을 사용하여 Exchange Online 메시지에서 SCL(스팸 신뢰도 수준) 설정을 참조하세요.

참고:

  • 인터넷 메일이 기존 보호 서비스를 통해 Microsoft 365로 직접 전달되도록 허용하려는 경우 SCL=-1 메일 흐름 규칙(스팸 필터링을 우회하는 메일)을 기존 보호 서비스를 통해서만 전달된 메일로 제한해야 합니다. Microsoft 365의 사용자 사서함에 필터링되지 않은 인터넷 메일이 방문하지 않도록 합니다.

    기존 보호 서비스에서 이미 검사한 메일을 올바르게 식별하려면 SCL=-1 메일 흐름 규칙에 조건을 추가할 수 있습니다. 예시:

    • 클라우드 기반 보호 서비스의 경우: organization 고유한 헤더 및 헤더 값을 사용할 수 있습니다. 헤더가 있는 메시지는 Microsoft 365에서 검사되지 않습니다. 헤더가 없는 메시지는 Microsoft 365에서 검색됩니다.
    • 온-프레미스 보호 서비스 또는 디바이스의 경우: 원본 IP 주소를 사용할 수 있습니다. 원본 IP 주소의 메시지는 Microsoft 365에서 검사하지 않습니다. 원본 IP 주소에서 보낸 메시지가 Microsoft 365에서 검색됩니다.

  • MX 레코드에만 의존하여 메일 필터링 여부를 제어하지 마세요. 보낸 사람이 MX 레코드를 쉽게 무시하고 Microsoft 365로 직접 전자 메일을 보낼 수 있습니다.

4단계: 커넥터에 대한 향상된 필터링 구성

가장 먼저 해야 할 일은 기존 보호 서비스에서 Microsoft 365로의 메일 흐름에 사용되는 커넥터에서 커넥터에 대한 향상된 필터링 ( 목록 건너뛰기라고도 함)을 구성하는 것입니다. 인바운드 메시지 보고서를 사용하여 커넥터를 식별할 수 있습니다.

Office 365용 Defender 인터넷 메시지가 실제로 어디에서 왔는지 확인하려면 커넥터에 대한 향상된 필터링이 필요합니다. 커넥터에 대한 향상된 필터링은 Microsoft 필터링 스택(특히 스푸핑 인텔리전스위협 ExplorerAIR(자동 조사 & 응답)의 위반 후 기능의 정확도를 크게 향상시킵니다.

커넥터에 대한 향상된 필터링을 올바르게 사용하도록 설정하려면 인바운드 메일을 Microsoft 365로 라우팅하는 **all** 타사 서비스 및/또는 온-프레미스 전자 메일 시스템 호스트의 공용 IP 주소를 추가해야 합니다.

커넥터에 대한 향상된 필터링이 작동하는지 확인하려면 들어오는 메시지에 다음 헤더 중 하나 또는 둘 다 포함되어 있는지 확인합니다.

  • X-MS-Exchange-SkipListedInternetSender
  • X-MS-Exchange-ExternalOriginalInternetSender

5단계: 파일럿 보호 정책 Create

프로덕션 정책을 만들어 모든 사용자에게 적용되지 않더라도 위협 Explorer 같은 위반 후 기능을 테스트하고 보안 대응 팀의 프로세스에 Office 365용 Defender 통합을 테스트할 수 있습니다.

중요

정책의 범위는 사용자, 그룹 또는 도메인으로 지정할 수 있습니다. 세 가지 모두 일치하는 사용자만 정책의 scope 속하므로 한 정책에서 세 가지를 모두 혼합하지 않는 것이 좋습니다. 파일럿 정책의 경우 그룹 또는 사용자를 사용하는 것이 좋습니다. 프로덕션 정책의 경우 도메인을 사용하는 것이 좋습니다. 사용자의 기본 전자 메일 도메인 사용자가 정책의 scope 속하는지 여부를 결정하는 것을 이해하는 것이 매우 중요합니다. 따라서 사용자의 보조 도메인에 대한 MX 레코드를 전환하는 경우 해당 주 도메인에도 정책이 적용되는지 확인합니다.

Create 파일럿 안전한 첨부 파일 정책

안전한 첨부 파일은 MX 레코드를 전환하기 전에 사용하도록 설정하고 테스트하는 가장 쉬운 Office 365용 Defender 기능입니다. 안전한 첨부 파일에는 다음과 같은 이점이 있습니다.

  • 최소 구성.
  • 가양성의 매우 낮은 확률.
  • 항상 켜져 있고 SCL=-1 메일 흐름 규칙의 영향을 받지 않는 맬웨어 방지 보호와 유사한 동작입니다.

권장 설정은 권장 안전한 첨부 파일 정책 설정을 참조하세요. 표준 및 엄격한 권장 사항은 동일합니다. 정책을 만들려면 안전한 첨부 파일 정책 설정을 참조하세요. 그룹 MDOPilot_SafeAttachments 정책의 조건(정책이 적용되는 사람)으로 사용해야 합니다.

참고

기본 제공 보호 사전 설정 보안 정책은 안전한 첨부 파일 정책에 정의되지 않은 모든 수신자에게 안전한 첨부 파일 보호를 제공합니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 보안 정책 사전 설정을 참조하세요.

참고

이미 래핑되거나 다시 작성된 링크는 래핑 또는 다시 쓰기를 지원하지 않습니다. 현재 보호 서비스가 전자 메일 메시지의 링크를 이미 래핑하거나 다시 작성하는 경우 파일럿 사용자에 대해 이 기능을 해제해야 합니다. 이러한 문제가 발생하지 않도록 하는 한 가지 방법은 안전한 링크 정책에서 다른 서비스의 URL 도메인을 제외하는 것입니다.

안전 링크의 가양성 가능성도 매우 낮지만 안전한 첨부 파일보다 적은 수의 파일럿 사용자에서 이 기능을 테스트하는 것이 좋습니다. 이 기능은 사용자 환경에 영향을 주므로 사용자를 교육하는 계획을 고려해야 합니다.

권장 설정은 안전한 링크 정책 설정을 참조하세요. 표준 및 엄격한 권장 사항은 동일합니다. 정책을 만들려면 안전한 링크 정책 설정을 참조하세요. 그룹 MDOPilot_SafeLinks 정책의 조건(정책이 적용되는 사람)으로 사용해야 합니다.

참고

기본 제공 보호 사전 설정 보안 정책은 안전한 링크 정책에 정의되지 않은 모든 수신자에게 안전한 링크 보호를 제공합니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 보안 정책 사전 설정을 참조하세요.

파일럿 스팸 방지 정책 Create

파일럿 사용자를 위한 두 가지 스팸 방지 정책을 Create.

  • 표준 설정을 사용하는 정책입니다. 그룹 MDOPilot_SpamPhish_Standard 정책의 조건(정책이 적용되는 사람)으로 사용합니다.
  • 엄격한 설정을 사용하는 정책입니다. 그룹 MDOPilot_SpamPhish_Strict 정책의 조건(정책이 적용되는 사람)으로 사용합니다. 이 정책은 표준 설정이 있는 정책보다 우선 순위가 더 높아야 합니다(낮은 수).

권장되는 표준 및 엄격한 설정은 권장 스팸 방지 정책 설정을 참조하세요. 정책을 만들려면 스팸 방지 정책 구성을 참조하세요.

파일럿 피싱 방지 정책 Create

파일럿 사용자를 위한 두 가지 피싱 방지 정책을 Create.

  • 아래에 설명된 대로 가장 검색 작업을 제외하고 표준 설정을 사용하는 정책입니다. 그룹 MDOPilot_SpamPhish_Standard 정책의 조건(정책이 적용되는 사람)으로 사용합니다.
  • 아래에 설명된 대로 가장 검색 작업을 제외하고 엄격한 설정을 사용하는 정책입니다. 그룹 MDOPilot_SpamPhish_Strict 정책의 조건(정책이 적용되는 사람)으로 사용합니다. 이 정책은 표준 설정이 있는 정책보다 우선 순위가 더 높아야 합니다(낮은 수).

스푸핑 검색의 경우 권장되는 표준 작업은 받는 사람의 정크 Email 폴더로 메시지 이동이며 권장되는 엄격한 작업은 메시지 격리입니다. 스푸핑 인텔리전스 인사이트를 사용하여 결과를 관찰합니다. 재정의는 다음 섹션에서 설명합니다. 자세한 내용은 EOP의 스푸핑 인텔리전스 인사이트를 참조하세요.

가장 검색의 경우 파일럿 정책에 권장되는 표준 및 엄격한 작업을 무시합니다. 대신 다음 설정에 대해 아무 작업도 적용하지 않음 값을 사용합니다.

  • 메시지가 사용자 가장으로 검색되는 경우
  • 메시지가 가장된 도메인으로 검색되는 경우
  • 사서함 인텔리전스가 가장한 사용자를 검색하는 경우

가장 인사이트를 사용하여 결과를 관찰합니다. 자세한 내용은 Office 365용 Defender 가장 인사이트를 참조하세요.

스푸핑 보호를 조정하고(허용 및 차단 조정) 각 가장 보호 작업을 켜서 메시지를 격리하거나 정크 Email 폴더로 이동합니다(표준 또는 엄격한 권장 사항에 따라). 결과를 관찰하고 필요에 따라 설정을 조정합니다.

자세한 내용은 다음 문서를 참조하세요.

다음 단계

축하합니다! Office 365용 Microsoft Defender 마이그레이션설정 단계를 완료했습니다.