다음을 통해 공유


소개

지금까지 허용 목록은 이메일이 악의적임을 나타내는 신호를 무시하도록 Exchange Online Protection 사용하도록 설정되었습니다. 공급업체는 IP, 도메인 및 보낸 사람 주소를 불필요하게 재정의하도록 요청하는 것이 일반적입니다. 공격자는 이 실수를 활용하는 것으로 알려져 있으며 불필요한 허용 목록 항목이 있는 것은 보안 허점입니다. 이 단계별 가이드에서는 고급 헌팅을 사용하여 잘못 구성된 재정의를 식별하고 제거하여 organization 보안 상태를 높일 수 있도록 안내합니다.

필요한 항목

  • Office 365용 Microsoft Defender 플랜 2(E5 플랜에 포함되거나 aka.ms/trymdo 평가판)
  • 충분한 권한(보안 읽기 권한자 역할)
  • 다음 절차를 수행하는 데 5-10분이 걸립니다.

아래 모든 쿼리에 대한 일반적인 단계

  1. 보안 포털에 로그인하고 고급 헌팅으로 이동합니다.
  2. 쿼리 상자에 KQL 쿼리를 입력하고 쿼리 실행을 누릅니다.
  3. 결과에 표시된 경우 개별 전자 메일에 대해 NetworkMessageId 하이퍼링크를 누르면 플라이아웃이 로드되므로, 분석 탭에서 전자 메일과 일치하는 전송 규칙과 같은 추가 세부 정보를 제공하는 전자 메일 엔터티 페이지에 쉽게 액세스할 수 있습니다.
  4. 또한 오프라인에서 조작/분석을 위해 내보내 기를 눌러 결과를 내보낼 수도 있습니다.

OrgLevelActionUserLevelAction으로 변경하면 관리자가 아닌 사용자가 재정의한 전자 메일 경고를 검색할 수 있으며 유용한 인사이트가 될 수도 있습니다.

쿼리

상위 재정의 원본

이 쿼리를 사용하여 가장 불필요한 재정의가 있는 위치를 찾습니다. 이 쿼리는 재정의가 필요한 검색 없이 재정의된 전자 메일을 찾습니다.

EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes

재정의된 상위 위협 유형

이 쿼리를 사용하여 검색된 가장 재정의된 위협 유형을 찾습니다. 이 쿼리는 검색된 위협이 재정의된 전자 메일, DMARC 또는 스푸핑이 있는 전자 메일을 찾습니다. 재정의 의 필요성을 제거하기 위해 수정할 수 있는 이메일 인증 문제를 나타냅니다.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods

재정의된 상위 IP

이 쿼리는 재정의를 요구하는 검색 없이 IP로 재정의된 이메일을 찾습니다.

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_

재정의된 상위 도메인

이 쿼리는 재정의를 요구하는 검색 없이 도메인을 전송하여 재정의된 이메일을 찾습니다. (SenderMailFromDomain으로 변경하여 5321.MailFrom을 검사)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_

재정의된 상위 보낸 사람

이 쿼리는 재정의가 필요한 검색 없이 주소를 전송하여 재정의된 전자 메일을 찾습니다. (SenderMailFromAddress로 변경하여 5321.MailFrom을 검사)

EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_

자세히 알아보기

고급 헌팅을 시작하기 위한 몇 가지 기본 쿼리와 함께 이 문서가 유용하다는 것을 알게 되었으면 하며, 아래 문서를 검사 자세히 알아보세요.

고급 헌팅: 개요 - 고급 헌팅에 대해 자세히 알아봅니다.

인증: Exchange Online Protection Email 인증에 대해 자세히 알아봅니다.