위협 탐색기의 위협 헌팅 및 Office 365용 Microsoft Defender의 실시간 검색

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Office 365 플랜 2용 Microsoft Defender XDR에서 무료로 기능을 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 Office 365용 90일 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Office 365용 Microsoft Defender가 구독에 포함되거나 추가 기능으로 구매한 Microsoft 365 조직에는 탐색기 ( 위협 탐색기라고도 함) 또는 실시간 검색이 있습니다. 이러한 기능은 보안 운영(SecOps) 팀이 위협을 조사하고 대응하는 데 도움이 되는 강력한 거의 실시간 도구입니다. 자세한 내용은 Office 365용 Microsoft Defender의 위협 탐색기 및 실시간 검색 정보를 참조하세요.

위협 탐색기 또는 실시간 검색을 통해 다음 작업을 수행할 수 있습니다.

• Microsoft 365 보안 기능으로 탐지된 맬웨어를 확인합니다.
• 피싱 URL을 보고 평결 데이터를 클릭합니다.
• 자동화된 조사 및 대응 프로세스를 시작합니다(위협 탐색기만 해당).
• 악의적인 전자 메일을 조사합니다.
• 기타.

Office 365용 Defender를 사용하여 전자 메일 및 공동 작업 기반 위협을 헌팅하고 조사하는 방법을 알아보려면 이 짧은 비디오를 시청하세요.

팁

Microsoft Defender XDR의 고급 헌팅은 KQL(Kusto 쿼리 언어)을 사용하지 않는 사용하기 쉬운 쿼리 작성기를 지원합니다. 자세한 내용은 단계별 모드를 사용하여 쿼리 빌드를 참조하세요.

이 문서에서는 다음 정보를 사용할 수 있습니다.

• 위협 탐색기 및 실시간 검색의 일반적인 연습
• 위협 탐색기 및 실시간 검색을 사용하는 위협 헌팅 환경
• 위협 탐색기의 확장된 기능

팁

위협 탐색기 및 실시간 검색을 사용하는 전자 메일 시나리오는 다음 문서를 참조하세요.

• Office 365용 Microsoft Defender에서 위협 탐색기 및 실시간 검색을 사용하여 전자 메일 보안
• Microsoft 365에서 배달된 악성 전자 메일 조사

QR 코드에 포함된 악의적인 URL을 기반으로 공격을 헌팅하는 경우 위협 탐색기 또는 실시간 검색의 모든 이메일, 맬웨어 및 피싱 보기에서 URL 원본 필터 값 QR 코드를 사용하면 QR 코드에서 추출된 URL을 사용하여 전자 메일 메시지를 검색할 수 있습니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

• 위협 탐색기는 Office 365용 Defender 플랜 2에 포함되어 있습니다. 실시간 검색은 Office용 Defender 플랜 1에 포함됩니다.

  • 위협 탐색기와 실시간 검색의 차이점은 위협 탐색기 정보 및 Office 365용 Microsoft Defender의 실시간 검색에 설명되어 있습니다.
  • Office 365용 Defender 플랜 2와 Office용 Defender 플랜 1의 차이점은 Office 365용 Defender 플랜 1과 플랜 2 치트 시트에 설명되어 있습니다.

• 위협 탐색기 및 실시간 검색에 대한 권한 및 라이선스 요구 사항은 위협 탐색기에 대한 권한 및 라이선스 및 실시간 검색을 참조하세요.

위협 탐색기 및 실시간 검색 연습

위협 탐색기 또는 실시간 검색은 Microsoft Defender 포털https://security.microsoft.com의 이메일 & 공동 작업 섹션에서 사용할 수 있습니다.

• 실시간 검색 은 Office 365용 Defender 플랜 1에서 사용할 수 있습니다. 실시간 검색 페이지는 에서 https://security.microsoft.com/realtimereportsv3직접 사용할 수 있습니다.

  

• 위협 탐색기는Office 365용 Defender 플랜 2에서 사용할 수 있습니다. 탐색기 페이지는 에서 https://security.microsoft.com/threatexplorerv3직접 사용할 수 있습니다.

  

위협 탐색기에는 실시간 검색과 동일한 정보와 기능이 포함되어 있지만 다음과 같은 추가 기능이 있습니다.

• 더 많은 보기.
• 쿼리를 저장하는 옵션을 포함하여 추가 속성 필터링 옵션입니다.
• 위협 헌팅 및 수정 작업.

Office 365용 Defender 플랜 1과 플랜 2의 차이점에 대한 자세한 내용은 Office 365용 Defender 플랜 1과 플랜 2 치트 시트를 참조하세요.

페이지 맨 위에 있는 탭(보기)을 사용하여 조사를 시작합니다.

위협 탐색기 및 실시간 검색에서 사용 가능한 보기는 다음 표에 설명되어 있습니다.

보기	위협 탐색기	실시간 탐지	설명
모든 전자 메일	✔		위협 탐색기의 기본 보기입니다. 외부 사용자가 조직으로 보낸 모든 전자 메일 메시지 또는 조직의 내부 사용자 간에 전송된 전자 메일에 대한 정보입니다.
맬웨어	✔	✔	실시간 검색에 대한 기본 보기입니다. 맬웨어가 포함된 전자 메일 메시지에 대한 정보입니다.
피싱	✔	✔	피싱 위협이 포함된 전자 메일 메시지에 대한 정보입니다.
캠페인	✔		Office 365용 Defender 플랜 2가 조정된 피싱 또는 맬웨어 캠페인의 일부로 식별된 악의적인 전자 메일에 대한 정보입니다.
콘텐츠 맬웨어	✔	✔	다음 기능에 의해 검색된 악성 파일에 대한 정보: SharePoint, OneDrive 및 Microsoft Teams의 기본 제공 바이러스 보호 Sharepoint, OneDrive 및 Microsoft Teams용 안전한 첨부 파일
URL 클릭	✔		사용자가 전자 메일 메시지, Teams 메시지, SharePoint 파일 및 OneDrive 파일의 URL을 클릭하는 방법에 대한 정보입니다.

보기에서 날짜/시간 필터 및 사용 가능한 필터 속성을 사용하여 결과를 구체화합니다.

• 필터를 만드는 지침은 위협 탐색기의 속성 필터 및 실시간 검색을 참조하세요.
• 각 보기에 사용 가능한 필터 속성은 다음 위치에 설명되어 있습니다.
  • 위협 탐색기의 모든 전자 메일 보기에서 필터링 가능한 속성
  • 위협 탐색기 및 실시간 검색의 맬웨어 보기에서 필터링 가능한 속성
  • 위협 탐색기 및 실시간 검색의 피시 보기에서 필터링 가능한 속성
  • 위협 탐색기의 캠페인 보기에서 필터링 가능한 속성
  • 위협 탐색기 및 실시간 검색의 콘텐츠 맬웨어 보기에서 필터링 가능한 속성
  • URL의 필터링 가능한 속성은 위협 탐색기에서 보기를 클릭합니다.

팁

필터를 만들거나 업데이트한 후 새로 고침 을 선택해야 합니다. 필터는 차트의 정보 및 보기의 세부 정보 영역에 영향을 줍니다.

위협 탐색기 또는 실시간 검색의 포커스를 레이어로 구체화하여 단계를 더 쉽게 추적할 수 있습니다.

• 첫 번째 계층은 사용 중인 보기입니다.
• 두 번째는 해당 보기에서 사용 중인 필터입니다.

예를 들어 위협 탐색기에서 문제를 찾기 위해 맬웨어 보기를 사용하고 받는 사람 필터 포커스를 사용했습니다.

또한 표시 옵션을 테스트해야 합니다. 다른 대상 그룹(예: 관리)은 동일한 데이터의 다른 프레젠테이션에 더 잘 반응하거나 더 나빠질 수 있습니다.

예를 들어 위협 탐색기 모든 전자 메일 보기에서 페이지 아래쪽의 세부 정보 영역에서 전자 메일 원본 및 캠페인 보기(탭)를 사용할 수 있습니다.

• 일부 대상 그룹의 경우 이메일 원본 탭의 세계 지도는 검색된 위협이 얼마나 널리 퍼져 있는지 보여주는 더 나은 작업을 수행할 수 있습니다.

  

• 다른 사용자는 캠페인 탭의 표에서 정보를 전달하는 데 더 유용한 세부 정보를 찾을 수 있습니다.

  

다음 결과에 이 정보를 사용할 수 있습니다.

• 보안 및 보호의 필요성을 표시합니다.
• 나중에 모든 작업의 효과를 보여 줍니다.

전자 메일 조사

위협 탐색기 또는 실시간 검색의 모든 전자 메일, 맬웨어 또는 피싱 보기에서 전자 메일 메시지 결과는 차트 아래 세부 정보 영역의 전자 메일 탭(보기)에 있는 표에 표시됩니다.

의심스러운 전자 메일 메시지가 표시되면 표에 있는 항목의 제목 값을 클릭합니다. 열리는 세부 정보 플라이아웃에는 플라이아웃 맨 위에 있는 메일 엔터티 열기가 포함 됩니다.

전자 메일 엔터티 페이지는 메시지와 해당 내용에 대해 알아야 할 모든 것을 함께 끌어와 메시지가 위협인지 여부를 확인할 수 있습니다. 자세한 내용은 메일 엔터티 페이지 개요를 참조하세요.

전자 메일 수정

전자 메일 메시지가 위협이라고 판단되면 다음 단계는 위협을 수정하는 것입니다. 작업 수행을 사용하여 위협 탐색기 또는 실시간 검색에서 위협을 수정합니다.

작업 수행 은 위협 탐색기의 모든 전자 메일, 맬웨어 또는 피싱 보기 또는 차트 아래 세부 정보 영역의 이메일 탭(보기)에서 실시간 검색에서 사용할 수 있습니다.

• 첫 번째 열 옆에 있는 확인란을 선택하여 테이블에서 하나 이상의 항목을 선택합니다. 작업 수행 은 탭에서 직접 사용할 수 있습니다.

  

  팁

  작업 수행 은 메시지 작업 드롭다운 목록을 대체합니다.

  100개 이하의 항목을 선택하는 경우 작업 수행 마법사에서 메시지에 대해 여러 작업을 수행할 수 있습니다.

  101~200,000개의 항목을 선택하면 작업 수행 마법사에서 다음 작업만 사용할 수 있습니다.

  • 위협 탐색기: 사서함으로 이동 및 수정 제안 은 사용할 수 있지만 상호 배타적입니다(하나 또는 다른 항목을 선택할 수 있음).
  • 실시간 검색: 테넌트 허용/차단 목록에서 검토 및 해당 허용/차단 항목을 만들기 위해 Microsoft에 제출 만 사용할 수 있습니다.

• 표에 있는 항목의 제목 값을 클릭합니다. 열리는 세부 정보 플라이아웃에는 플라이아웃 맨 위에 있는 작업 수행이 포함 됩니다.

  

작업 수행 마법사

작업 수행을 선택하면 플라이아웃에서 작업 수행 마법사가 열립니다. Office 365용 Defender 계획 2 및 Office 365용 Defender 계획 1의 작업 수행 마법사에서 사용할 수 있는 작업은 다음 표에 나와 있습니다.

작업	Defender for Office 365 플랜 2	Defender for Office 365 플랜 1
사서함 폴더로 이동	✔¹
일부 또는 모든 원본 받는 사람에게 격리된 메시지 해제²	✔
검토를 위해 Microsoft에 제출	✔	✔
테넌트 허용/차단 목록의 항목 허용 또는 차단	✔	✔
자동화된 조사 시작	✔
수정 제안	✔

1 이 작업을 수행하려면 메일 & 공동 작업 권한의 검색 및 제거 역할이 필요합니다. 기본적으로 이 역할은 데이터 조사 자 및 조직 관리 역할 그룹에만 할당됩니다. 해당 역할 그룹에 사용자를 추가하거나 검색 및 제거 역할이 할당된 새 역할 그룹을 만들고 사용자를 사용자 지정 역할 그룹에 추가할 수 있습니다.

² 이 옵션은 받은 편지함을 이동 위치로 선택할 때 격리된 메시지에 사용할 수 있습니다.

1 이 작업은 검토를 위해 Microsoft에 제출에서 사용할 수 있습니다.

작업 수행 마법사는 다음 목록에 설명되어 있습니다.

1. 응답 작업 선택 페이지에서 다음 옵션을 사용할 수 있습니다.

   • 모든 응답 작업 표시: 이 옵션은 위협 탐색기에서만 사용할 수 있습니다.

     기본적으로 메시지의 최신 배달 위치 값에 따라 일부 작업을 사용할 수 없거나 회색으로 표시됩니다. 사용 가능한 모든 응답 작업을 표시하려면 토글을 켜기로 슬라이드합니다.

   • 사서함 폴더로 이동: 표시되는 사용 가능한 값 중 하나를 선택합니다.

     • 정크: 메시지를 정크 메일 폴더로 이동합니다.

     • 받은 편지함: 메시지를 받은 편지함으로 이동합니다. 이 값을 선택하면 다음 옵션도 표시될 수 있습니다.

       • 보낸 편지함 폴더로 다시 이동: 내부 보낸 사람에서 메시지를 보내고 메시지가 일시 삭제된 경우(복구 가능한 항목\삭제 폴더로 이동) 이 옵션을 선택하면 메시지를 보낸 편지함 폴더로 다시 이동하려고 합니다. 이 옵션은 이전에 사서함 폴더> 일시삭제된 항목으로 이동을 선택하고 메시지에서 보낸 사람의 복사본 삭제를 선택한 경우 실행 취소 작업입니다.

       • 최신 배달 위치 속성에 대한 격리 값이 있는 메시지의 경우 받은 편지함을 선택하면 격리에서 메시지가 해제되므로 다음 옵션도 사용할 수 있습니다.

         • 전자 메일의 원래 받는 사람 중 하나 이상에게 릴리스: 이 값을 선택하면 격리된 메시지의 원래 받는 사람을 선택하거나 선택 취소할 수 있는 상자가 나타납니다.
         • 모든 받는 사람에게 릴리스

     • 삭제된 항목: 메시지를 지운 편지함 폴더로 이동합니다.

     • 일시 삭제된 항목: 메시지를 복구 가능한 항목\삭제 폴더로 이동합니다. 이 폴더는 삭제된 항목 폴더에서 메시지를 삭제하는 것과 같습니다. 이 메시지는 사용자 및 관리자가 복구할 수 있습니다.

       보낸 사람의 복사본 삭제: 내부 발신자가 메시지를 보낸 경우 보낸 사람의 보낸 편지함 폴더에서 메시지를 일시 삭제해 보세요.

     • 하드 삭제된 항목: 삭제된 메시지를 제거합니다. 관리자는 단일 항목 복구를 사용하여 하드 삭제된 항목을 복구할 수 있습니다. 영구 삭제 및 일시 삭제된 항목에 대한 자세한 내용은 일시 삭제 및 영구 삭제 항목을 참조하세요.

   • 검토를 위해 Microsoft에 제출: 표시되는 사용 가능한 값 중 하나를 선택합니다.

     • 깨끗한지 확인했습니다. 메시지가 깨끗하다면 이 값을 선택합니다. 다음 옵션이 나타납니다.

       • 다음과 같은 메시지 허용: 이 값을 선택하면 허용 항목이 보낸 사람 및 메시지의 관련 URL 또는 첨부 파일에 대한 테넌트 허용/차단 목록에 추가됩니다. 다음 옵션도 나타납니다.
         • 항목 제거 후: 기본값은 1일이지만 7일, 30일 또는 30일 미만의 특정 날짜를 선택할 수도 있습니다.
         • 항목 참고 허용: 추가 정보가 포함된 선택적 메모를 입력합니다.

     • 깨끗해 보이 거나 의심스러운 것 같습니다. 확실하지 않은 경우 Microsoft의 평결을 원하는 경우 이러한 값 중 하나를 선택합니다.

     • 위협임을 확인했습니다. 항목이 악의적이라고 확신하는 경우 이 값을 선택한 다음 표시되는 범주 선택 섹션에서 다음 값 중 하나를 선택합니다.

       • 피싱
       • 맬웨어
       • 스팸

       이러한 값 중 하나를 선택하면 플라이아웃 을 차단할 엔터티 선택 이 열리고, 여기서 메시지(보낸 사람 주소, 보낸 사람 도메인, URL 또는 파일 첨부 파일)와 연결된 하나 이상의 엔터티를 선택하여 테넌트 허용/차단 목록에 블록 항목으로 추가할 수 있습니다.

       차단할 항목을 선택한 후 추가를 선택하여 규칙을 차단 하여 플라이아웃을 차단할 엔터티 선택을 닫습니다. 또는 항목 없음을 선택한 다음 취소를 선택합니다.

       응답 작업 선택 페이지에서 블록 항목에 대한 만료 옵션을 선택합니다.

       • 만료 날짜: 블록 항목이 만료되는 날짜를 선택합니다.
       • 만료되지 않음

       차단된 엔터티의 수가 표시됩니다(예: 차단할 4/4 엔터티). 편집을 선택하여 추가를 다시 열어 규칙을 차단하고 변경합니다.

   • 자동화된 조사 시작: 위협 탐색기에만 해당합니다. 표시되는 다음 값 중 하나를 선택합니다.

     • 전자 메일 조사
     • 받는 사람 조사
     • 보낸 사람 조사: 이 값은 조직의 보낸 사람에게만 적용됩니다.
     • 받는 사람에게 문의

   • 수정 제안: 표시되는 다음 값 중 하나를 선택합니다.

     • 새로 만들기: 이 값은 알림 센터의 관리자가 승인해야 하는 일시 삭제 이메일 보류 중인 작업을 트리거합니다. 그렇지 않으면 이 결과를 2단계 승인이라고 합니다.

     • 기존 항목에 추가: 이 값을 사용하여 기존 수정에서 이 전자 메일 메시지에 작업을 적용합니다. 다음 수정 내용으로 전자 메일 제출 상자에서 기존 수정을 선택합니다.

       팁

       충분한 권한이 없는 SecOps 담당자는 이 옵션을 사용하여 수정을 만들 수 있지만 권한이 있는 사용자는 알림 센터에서 작업을 승인해야 합니다.

   응답 작업 선택 페이지에서 완료되면 다음을 선택합니다.

2. 대상 엔터티 선택 페이지에서 다음 옵션을 구성합니다.

   • 이름 및 설명: 고유한 설명이 포함된 이름과 선택적 설명을 입력하여 선택한 작업을 추적하고 식별합니다.

   페이지의 나머지 부분에는 영향을 받는 자산이 나열된 테이블이 있습니다. 테이블은 다음 열로 구성됩니다.

   • 영향을 받는 자산: 이전 페이지의 영향을 받는 자산입니다. 예:
     • 받는 사람 전자 메일 주소
     • 전체 테넌트
   • 작업: 이전 페이지의 자산에 대해 선택한 작업입니다. 예:
     • 검토를 위해 Microsoft에 제출의 값:
       • 정리된 보고서
       • 보고서
       • 맬웨어로 보고, 스팸으로 보고 또는 피싱으로 보고
       • 보낸 사람 차단
       • 보낸 사람 도메인 차단
       • URL 차단
       • 첨부 파일 차단
     • 자동 조사 시작의 값:
       • 전자 메일 조사
       • 받는 사람 조사
       • 보낸 사람 조사
       • 받는 사람에게 문의
     • 수정 제안의 값:
       • 새 수정 만들기
       • 기존 수정에 추가
   • 대상 엔터티: 예를 들면 다음과 같습니다.
     • 전자 메일 메시지의 네트워크 메시지 ID 값 입니다.
     • 차단된 보낸 사람 전자 메일 주소입니다.
     • 차단된 보낸 사람 도메인입니다.
     • 차단된 URL입니다.
     • 차단된 첨부 파일입니다.
   • 만료 날짜: 테넌트/허용 블록 목록의 허용 또는 차단 항목에 대해서만 값이 존재합니다. 예:
     • 블록 항목에 대해 만료되지 않습니다.
     • 허용 또는 차단 항목의 만료 날짜입니다.
   • 범위: 일반적으로 이 값은 MDO입니다.

   이 단계에서는 일부 작업을 실행 취소할 수도 있습니다. 예를 들어 엔터티를 Microsoft에 제출하지 않고 테넌트 허용/차단 목록에 블록 항목만 만들려는 경우 여기에서 수행할 수 있습니다.

   대상 엔터티 선택 페이지에서 완료되면 다음을 선택합니다.

3. 검토 및 제출 페이지에서 이전 선택 항목을 검토합니다.

   내보내기를 선택하여 영향을 받은 자산을 CSV 파일로 내보냅니다. 기본적으로 파일 이름은 다운로드 폴더에 있는 영향을 받는 assets.csv.

   뒤로를 선택하여 돌아가서 선택 항목을 변경합니다.

   검토 및 제출 페이지에서 완료되면 제출을 선택합니다.

팁

작업이 관련 페이지에 표시되는 데 시간이 걸릴 수 있지만 수정 속도는 영향을 받지 않습니다.

위협 탐색기 및 실시간 검색을 사용하는 위협 헌팅 환경

위협 탐색기 또는 실시간 검색은 보안 운영 팀이 위협을 효율적으로 조사하고 대응하는 데 도움이 됩니다. 다음 하위 섹션에서는 위협 탐색기 및 실시간 검색을 통해 위협을 찾는 데 어떻게 도움이 되는지 설명합니다.

경고에서 위협 헌팅

경고 페이지는 인시던트 & 경고>경고의 Defender 포털 또는 에서 https://security.microsoft.com/alerts직접 사용할 수 있습니다.

검색 원본 값이 MDO인 많은 경고에는 경고 세부 정보 플라이아웃 맨 위에서 사용할 수 있는 탐색기에서 메시지 보기 작업이 있습니다.

경고 세부 정보 플라이아웃은 첫 번째 열 옆의 확인란이 아닌 경고의 아무 곳이나 클릭할 때 열립니다. 예:

• 잠재적으로 악의적인 URL 클릭이 검색되었습니다.
• 관리자 제출 결과 완료
• 배달 후 제거된 악성 URL이 포함된 전자 메일 메시지
• 배달 후 제거된 전자 메일 메시지
• 배달 후 제거되지 않는 악성 엔터티를 포함하는 메시지
• ZAP가 비활성화되어 피시가 잘리지 않음

탐색기에서 메시지 보기를 선택하면 경고에 대해 속성 필터 경고 ID가 선택된 모든 전자 메일 보기에서 위협 탐색기가 열립니다. 경고 ID 값은 경고에 대한 고유한 GUID 값입니다(예: 89e00cdc-4312-7774-6000-08dc33a24419).

경고 ID 는 위협 탐색기 및 실시간 검색의 다음 보기에서 필터링 가능한 속성입니다.

• 위협 탐색기의 모든 전자 메일 보기입니다.
• 위협 탐색기의 맬웨어 보기 및 실시간 검색
• 위협 탐색기의 **피시 보기 및 실시간 검색

이러한 보기에서 경고 ID 는 다음 탭(보기)의 차트 아래 세부 정보 영역에서 선택 가능한 열로 사용할 수 있습니다.

• 위협 탐색기에서 모든 전자 메일 보기의 세부 정보 영역에 대한 전자 메일 보기
• 위협 탐색기 및 실시간 검색에서 맬웨어 보기의 세부 정보 영역에 대한 이메일 보기
• 위협 탐색기 및 실시간 검색에서 피싱 보기의 세부 정보 영역에 대한 이메일 보기

항목 중 하나에서 제목 값을 클릭할 때 열리는 이메일 세부 정보 플라이아웃에서경고 ID 링크는 플라이아웃의 이메일 세부 정보 섹션에서 사용할 수 있습니다. 경고 ID 링크를 선택하면 경고가 선택된 상태에서 경고 https://security.microsoft.com/viewalertsv2 보기 페이지가 열리고 경고에 대한 세부 정보 플라이아웃이 열립니다.

위협 탐색기의 태그

Office 365용 Defender 플랜 2에서 사용자 태그를 사용하여 높은 값의 대상 계정(예: 우선 순위 계정 태그)을 표시하는 경우 해당 태그를 필터로 사용할 수 있습니다. 이 메서드는 특정 기간 동안 높은 값의 대상 계정을 대상으로 한 피싱 시도를 보여 줍니다. 사용자 태그에 대한 자세한 내용은 사용자 태그를 참조하세요.

사용자 태그는 위협 탐색기의 다음 위치에서 사용할 수 있습니다.

• 모든 전자 메일 보기:
  • 필터링 가능한 속성으로.
  • 세부 정보 영역의 전자 메일 탭(보기)에서 사용 가능한 열입니다.
  • 전자 메일 탭의 항목에서 전자 메일 세부 정보 플라이아웃(보기)
• 맬웨어 보기:
  • 필터링 가능한 속성으로.
  • 맬웨어 보기의 세부 정보 영역의 이메일 탭(보기)에서 사용 가능한 열입니다.
  • [전자 메일 탭의 항목에서 전자 메일 세부 정보 플라이아웃(보기)
• 피싱 보기:
  • 필터링 가능한 속성으로.
  • 세부 정보의 전자 메일 탭(보기)에서 사용 가능한 열입니다.
  • 전자 메일 탭의 항목에서 전자 메일 세부 정보 플라이아웃(보기)
• URL이 보기를 클릭합니다.
  • 필터링 가능한 속성으로.
  • URL 클릭 보기에 있는 세부 정보 영역의 결과 탭(보기)에 있는 사용 가능한 열입니다.

전자 메일 메시지에 대한 위협 정보

전자 메일 메시지에 대한 배달 전 및 배달 후 작업은 메시지에 영향을 주는 다양한 배달 후 이벤트에 관계없이 단일 레코드로 통합됩니다. 예:

• ZAP(0시간 자동 제거).
• 수동 수정(관리자 작업).
• 동적 배달.

모든 전자 메일, 맬웨어 또는 피싱 보기의 전자 메일 탭(보기)에서 전자 메일 세부 정보 플라이아웃은 연결된 위협과 전자 메일 메시지와 연결된 해당 검색 기술을 보여줍니다. 메시지에는 0개, 1개 또는 여러 개의 위협이 있을 수 있습니다.

• 배달 세부 정보 섹션에서 검색 기술 속성은 위협을 식별한 검색 기술을 보여줍니다. 검색 기술은 위협 탐색기 및 실시간 검색의 여러 보기에 대한 세부 정보 테이블의 차트 피벗 또는 열로도 사용할 수 있습니다.

• URL 섹션에는 메시지의 모든 URL에 대한 특정 위협 정보가 표시됩니다. 예를 들어 맬웨어, 피싱, **스팸 또는 없음입니다.

팁

평결 분석은 반드시 엔터티에 연결되지 않을 수 있습니다. 필터는 평결을 할당하기 전에 전자 메일 메시지의 콘텐츠 및 기타 세부 정보를 평가합니다. 예를 들어 전자 메일 메시지는 피싱 또는 스팸으로 분류될 수 있지만 메시지의 URL에는 피싱 또는 스팸 평결이 찍겨지지 않습니다.

플라이아웃 맨 위에서 전자 메일 엔터티 열기를 선택하여 전자 메일 메시지에 대한 전체 세부 정보를 확인합니다. 자세한 내용은 Office 365용 Microsoft Defender의 전자 메일 엔터티 페이지를 참조하세요.

위협 탐색기의 확장된 기능

다음 하위 섹션에서는 위협 탐색기에만 적용되는 필터에 대해 설명합니다.

Exchange 메일 흐름 규칙(전송 규칙)

Exchange 메일 흐름 규칙(전송 규칙이라고도 함)의 영향을 받은 메시지를 찾으려면 위협 탐색기의 모든 전자 메일, 맬웨어 및 피싱 보기(실시간 검색이 아님)에서 다음 옵션을 사용할 수 있습니다.

• Exchange 전송 규칙은기본 재정의 원본, 재정의 원본 및 정책 유형 필터링 가능한 속성에 대해 선택할 수 있는 값입니다.
• Exchange 전송 규칙은 필터링 가능한 속성입니다. 규칙 이름에 부분 텍스트 값을 입력합니다.

자세한 내용은 다음 링크를 참조하세요.

• 위협 탐색기의 모든 전자 메일 보기
• 위협 탐색기의 맬웨어 보기 및 실시간 검색
• 위협 탐색기의 피싱 보기 및 실시간 검색

위협 탐색기의 모든 전자 메일, 맬웨어 및 피시 보기의 세부 정보 영역에 대한 전자 메일 탭(보기)에는 기본적으로 선택되지 않은 사용 가능한 열로 Exchange 전송 규칙도 있습니다. 이 열에는 전송 규칙의 이름이 표시됩니다. 자세한 내용은 다음 링크를 참조하세요.

• 위협 탐색기에서 모든 전자 메일 보기의 세부 정보 영역에 대한 전자 메일 보기
• 위협 탐색기 및 실시간 검색에서 맬웨어 보기의 세부 정보 영역에 대한 이메일 보기
• 위협 탐색기 및 실시간 검색에서 피싱 보기의 세부 정보 영역에 대한 이메일 보기

팁

위협 탐색기에서 이름으로 메일 흐름 규칙을 검색하는 데 필요한 권한은 위협 탐색기에 대한 권한 및 라이선스 및 실시간 검색을 참조하세요. 이메일 세부 정보 플라이아웃, 세부 정보 테이블 및 내보낸 결과에서 규칙 이름을 보려면 특별한 권한이 필요하지 않습니다.

인바운드 커넥터

인바운드 커넥터는 Microsoft 365의 전자 메일 원본에 대한 특정 설정을 지정합니다. 자세한 내용은 Exchange Online에서 커넥터를 사용하여 메일 흐름 구성을 참조하세요.

인바운드 커넥터의 영향을 받은 메시지를 찾으려면 커넥터 필터링 가능 속성을 사용하여 위협 탐색기의 모든 전자 메일, 맬웨어 및 피싱 보기(실시간 검색이 아님)에서 이름으로 커넥터를 검색할 수 있습니다. 커넥터 이름에 부분 텍스트 값을 입력합니다. 자세한 내용은 다음 링크를 참조하세요.

• 위협 탐색기의 모든 전자 메일 보기
• 위협 탐색기의 맬웨어 보기 및 실시간 검색
• 위협 탐색기의 피싱 보기 및 실시간 검색

위협 탐색기의 모든 전자 메일, 맬웨어 및 피시 보기의 세부 정보 영역에 대한 전자 메일 탭(보기)에는 기본적으로 선택되지 않은 사용 가능한 열로 커넥터가 있습니다. 이 열에는 커넥터의 이름이 표시됩니다. 자세한 내용은 다음 링크를 참조하세요.

• 위협 탐색기에서 모든 전자 메일 보기의 세부 정보 영역에 대한 전자 메일 보기
• 위협 탐색기 및 실시간 검색에서 맬웨어 보기의 세부 정보 영역에 대한 이메일 보기
• 위협 탐색기 및 실시간 검색에서 피싱 보기의 세부 정보 영역에 대한 이메일 보기

위협 탐색기 및 실시간 검색의 이메일 보안 시나리오

특정 시나리오는 다음 문서를 참조하세요.

• Office 365용 Microsoft Defender에서 위협 탐색기 및 실시간 검색을 사용하여 전자 메일 보안
• Microsoft 365에서 배달된 악성 전자 메일 조사

위협 탐색기 및 실시간 검색을 사용하는 더 많은 방법

이 문서에 설명된 시나리오 외에도 탐색기 또는 실시간 검색에 더 많은 옵션이 있습니다. 자세한 내용은 다음 문서를 참조하세요.

• 위협 방지 상태 보고서
• Microsoft Defender XDR의 자동 조사 및 응답
• 위협 탐색기에서 조사를 트리거합니다.