다음을 통해 공유


위협 Explorer 수동 전자 메일 수정을 사용하는 단계

Email 수정은 관리자가 위협인 전자 메일에 대해 조치를 수행하는 데 도움이 되는 기존 기능입니다.

필요한 항목

  • Office 365용 Microsoft Defender 플랜 2(E5 플랜에 포함)
  • 충분한 권한(계정에 Search 및 제거 역할을 부여해야 합니다).

수정 Create 및 추적

  1. 위협 Explorer수정할 위협을 선택하고일시 삭제 또는 하드 삭제와 같은 옵션을 제공하는 작업 수행을 선택합니다.
  2. 측면 창이 열리고 수정 이름, 심각도 및 설명과 같은 세부 정보를 요청합니다. 정보를 검토한 후 제출을 선택합니다.
  3. 관리자가 이 작업을 승인하는 즉시 승인 ID와 Microsoft Defender XDR 알림 센터에 대한 링크가 여기에 표시됩니다. 이 페이지에서 작업을 추적할 수 있습니다.
    1. 관리 작업 경고 - 시스템 경고가 '관리자가 제출한 관리 작업'으로 경고 큐에 표시됩니다. 이는 관리자가 엔터티를 수정하는 작업을 수행했음을 나타냅니다. 작업을 수행한 관리자의 이름, 조사 링크 및 시간과 같은 세부 정보를 제공합니다. 이렇게 하면 관리자는 엔터티에서 수행되는 수정과 같은 각 중요한 작업을 인식할 수 있습니다.
    2. 관리 작업 조사 - 엔터티에 대한 분석이 관리자에 의해 이미 수행되었고 이로 인해 작업이 수행되었으므로 시스템에서 더 이상 분석이 수행되지 않습니다. 관련 경고, 수정을 위해 선택된 엔터티, 수행된 작업, 수정 상태, 엔터티 수 및 작업 승인자와 같은 세부 정보를 보여 줍니다. 이렇게 하면 관리자가 수동으로 수행된 조사 및 작업(관리자 작업 조사)을 추적할 수 있습니다.
  4. 통합 알림 센터의 작업 로그 - 일시 삭제 및 삭제된 항목 폴더로 이동과 같은 전자 메일 작업에 대한 기록 및 작업 로그는 모두 통합 알림 센터>기록 탭 아래의 중앙 보기에서 사용할 수 있습니다.
  5. 통합 알림 센터의 필터 - 수정 이름, 승인 ID, 조사 ID, 상태, 작업 원본 및 작업 유형과 같은 여러 필터가 있습니다. 통합 알림 센터에서 전자 메일 작업을 찾고 추적하는 데 유용합니다.

중요

성능을 향상시키려면 50,000개 이하의 일괄 처리로 수정해야 합니다. 예를 들어 메일이 받은 편지함, 정크 메일, 삭제됨과 같은 수정 가능 폴더에 있는 경우 최신 배달 위치를 사용하여 검색 결과의 범위를 좁혀 전자 메일 수정을 트리거합니다.

이메일 수정을 요구하는 시나리오

이메일 수정 시나리오는 다음과 같습니다.

  1. 조사의 일환으로 SecOps는 최종 사용자의 사서함에서 위협을 식별하고 문제 이메일을 지우려고 합니다.
  2. AIR(자동 조사 및 응답)에서 제안된 전자 메일 작업이 SecOps에 의해 승인되면 수정 작업이 지정된 전자 메일 또는 전자 메일 클러스터에 대해 자동으로 트리거됩니다.

두 가지 수동 전자 메일 수정 시나리오:

  1. 기본 시나리오:
    1. 전자 메일에서 수행된 수동 작업(예: 위협 Explorer 또는 고급 헌팅 사용)은 레거시 Office 365용 Defender 알림 센터(알림 센터의 Email 및 공동 작업 > 검토 > 알림 센터 - Microsoft 365 보안)에서만 볼 수 있습니다.
  2. 2단계 승인 시나리오:
    1. 2단계 승인 프로세스를 사용하여 승인 보류 중인 수동 작업(1. 이메일은 한 분석가에 의해 수정에 추가되었습니다, 2. 이메일은 다른 분석가가 검토하고 승인했습니다).

일반적인 시나리오를 고려할 때 이메일 수정은 세 가지 방법으로 트리거될 수 있습니다.

  1. 쿼리 기반 수정: 쿼리를 사용하여 모든 검색 결과를 선택합니다(최대 200,000개의 전자 메일을 제출할 수 있음).
  2. 엄선된 수정: 검사 상자를 클릭하여 전자 메일을 하나씩 선택합니다(한 번에 100개의 전자 메일을 제출할 수 있습니다).
  3. 제외를 사용하여 쿼리 기반 수정: 모든 전자 메일을 선택한 다음 몇 개의 메시지를 수동으로 제거합니다(쿼리는 최대 1,000개의 전자 메일을 포함할 수 있으며 최대 제외 수는 100개임).

다음 단계

  1. Microsoft Defender 포털로 이동하여 로그인합니다.
  2. 탐색 창에서 알림 센터를 선택합니다.
  3. 기록 탭으로 이동하여 대기 중인 승인 목록을 선택합니다. 측면 창이 열립니다.
  4. 통합 알림 센터에서 작업 상태 추적합니다.

추가 정보

전자 메일 수정에 대해 자세히 알아보세요.