소개
지금까지 허용 목록은 이메일이 악의적임을 나타내는 신호를 무시하도록 Exchange Online Protection 사용하도록 설정되었습니다. 공급업체는 IP, 도메인 및 보낸 사람 주소를 불필요하게 재정의하도록 요청하는 것이 일반적입니다. 공격자는 이 실수를 활용하는 것으로 알려져 있으며 불필요한 허용 목록 항목이 있는 것은 보안 허점입니다. 이 단계별 가이드에서는 고급 헌팅을 사용하여 잘못 구성된 재정의를 식별하고 제거하여 organization 보안 상태를 높일 수 있도록 안내합니다.
필요한 항목
- Office 365용 Microsoft Defender 플랜 2(E5 플랜에 포함되거나 aka.ms/trymdo 평가판)
- 충분한 권한(보안 읽기 권한자 역할)
- 다음 절차를 수행하는 데 5-10분이 걸립니다.
아래 모든 쿼리에 대한 일반적인 단계
- 보안 포털에 로그인하고 고급 헌팅으로 이동합니다.
- 쿼리 상자에 KQL 쿼리를 입력하고 쿼리 실행을 누릅니다.
- 결과에 표시된 경우 개별 전자 메일에 대해 NetworkMessageId 하이퍼링크를 누르면 플라이아웃이 로드되므로, 분석 탭에서 전자 메일과 일치하는 전송 규칙과 같은 추가 세부 정보를 제공하는 전자 메일 엔터티 페이지에 쉽게 액세스할 수 있습니다.
- 또한 오프라인에서 조작/분석을 위해 내보내 기를 눌러 결과를 내보낼 수도 있습니다.
팁
OrgLevelAction을 UserLevelAction으로 변경하면 관리자가 아닌 사용자가 재정의한 전자 메일 경고를 검색할 수 있으며 유용한 인사이트가 될 수도 있습니다.
쿼리
상위 재정의 원본
이 쿼리를 사용하여 가장 불필요한 재정의가 있는 위치를 찾습니다. 이 쿼리는 재정의가 필요한 검색 없이 재정의된 전자 메일을 찾습니다.
EmailEvents
| where OrgLevelAction == "Allow"
| summarize count() by OrgLevelPolicy, ThreatTypes
재정의된 상위 위협 유형
이 쿼리를 사용하여 검색된 가장 재정의된 위협 유형을 찾습니다. 이 쿼리는 검색된 위협이 재정의된 전자 메일, DMARC 또는 스푸핑이 있는 전자 메일을 찾습니다. 재정의 의 필요성을 제거하기 위해 수정할 수 있는 이메일 인증 문제를 나타냅니다.
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by DetectionMethods
재정의된 상위 IP
이 쿼리는 재정의를 요구하는 검색 없이 IP로 재정의된 이메일을 찾습니다.
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderIPv4
| top 10 by count_
재정의된 상위 도메인
이 쿼리는 재정의를 요구하는 검색 없이 도메인을 전송하여 재정의된 이메일을 찾습니다. (SenderMailFromDomain으로 변경하여 5321.MailFrom을 검사)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromDomain
| top 10 by count_
재정의된 상위 보낸 사람
이 쿼리는 재정의가 필요한 검색 없이 주소를 전송하여 재정의된 전자 메일을 찾습니다. (SenderMailFromAddress로 변경하여 5321.MailFrom을 검사)
EmailEvents
| where OrgLevelAction == "Allow" and ThreatTypes != ""
|summarize count() by SenderFromAddress
| top 10 by count_
자세히 알아보기
고급 헌팅을 시작하기 위한 몇 가지 기본 쿼리와 함께 이 문서가 유용하다는 것을 알게 되었으면 하며, 아래 문서를 검사 자세히 알아보세요.
고급 헌팅: 개요 - 고급 헌팅에 대해 자세히 알아봅니다.
인증: Exchange Online Protection Email 인증에 대해 자세히 알아봅니다.