파일럿 및 배포 Office 365용 Defender

적용 대상:

• Microsoft Defender XDR

이 문서에서는 organization Office 365용 Microsoft Defender 파일럿하고 배포하기 위한 워크플로를 제공합니다. 이러한 권장 사항을 사용하여 Office 365용 Microsoft Defender 개별 사이버 보안 도구 또는 Microsoft Defender XDR 엔드 투 엔드 솔루션의 일부로 온보딩할 수 있습니다.

이 문서에서는 프로덕션 Microsoft 365 테넌트가 있으며 이 환경에서 Office 365용 Microsoft Defender 파일럿하고 배포하고 있다고 가정합니다. 이 방법은 전체 배포를 위해 파일럿 중에 구성하는 모든 설정 및 사용자 지정을 유지 관리합니다.

Office 365용 Defender 위반으로 인한 비즈니스 피해를 방지하거나 줄여 제로 트러스트 아키텍처에 기여합니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위반 비즈니스로 인한 비즈니스 손상 방지 또는 감소를 참조하세요.

Microsoft Defender XDR 대한 엔드 투 엔드 배포

인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR 구성 요소를 배포하는 데 도움이 되는 시리즈의 문서 3/6입니다.

이 시리즈의 문서는 엔드 투 엔드 배포의 다음 단계에 해당합니다.

단계	링크
대답. 파일럿 시작	파일럿 시작
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포	- Defender for Identity 파일럿 및 배포 - 파일럿 및 배포 Office 365용 Defender(이 문서) - 엔드포인트용 Defender 파일럿 및 배포 - 파일럿 및 배포 Microsoft Defender for Cloud Apps
C. 위협 조사 및 대응	인시던트 조사 및 대응 연습

Office 365용 Defender 대한 파일럿 및 배포 워크플로

다음 다이어그램에서는 IT 환경에 제품 또는 서비스를 배포하는 일반적인 프로세스를 보여 줍니다.

먼저 제품 또는 서비스를 평가하고 organization 내에서 어떻게 작동하는지 평가합니다. 그런 다음 테스트, 학습 및 사용자 지정을 위해 프로덕션 인프라의 작은 하위 집합으로 제품 또는 서비스를 파일럿합니다. 그런 다음 전체 인프라 또는 organization 다룰 때까지 배포의 scope 점진적으로 늘입니다.

프로덕션 환경에서 Office 365용 Defender 파일럿 및 배포하기 위한 워크플로는 다음과 같습니다.

다음 단계를 따릅니다.

1. 공용 MX 레코드 감사 및 확인
2. 승인된 도메인 감사
3. 인바운드 커넥터 감사
4. 평가 활성화
5. 파일럿 그룹 만들기
6. 보호 구성
7. 기능 사용해 보기

각 배포 단계에 권장되는 단계는 다음과 같습니다.

배포 단계	설명
평가	Office 365용 Defender 제품 평가를 수행합니다.
파일럿	파일럿 그룹에 대해 1-7단계를 수행합니다.
배포 후	5단계에서 파일럿 사용자 그룹을 구성하거나 파일럿을 넘어 확장할 사용자 그룹을 추가하고 결국에는 모든 사용자 계정을 포함합니다.

Office 365용 Defender 아키텍처 및 요구 사항

다음 다이어그램에서는 타사 SMTP 게이트웨이 또는 온-프레미스 통합을 포함할 수 있는 Office 365용 Microsoft Defender 대한 기준 아키텍처를 보여 줍니다. 하이브리드 공존 시나리오(즉, 프로덕션 사서함은 온-프레미스와 온라인 모두임)에는 더 복잡한 구성이 필요하며 이 문서 또는 평가 지침에서는 다루지 않습니다.

다음 표에서는 이 그림에 대해 설명합니다.

콜아웃	설명
1	외부 보낸 사람용 호스트 서버는 일반적으로 메시지를 릴레이할 대상 서버를 제공하는 MX 레코드에 대한 공용 DNS 조회를 수행합니다. 이 조회는 EXO(Exchange Online) 직접 또는 EXO에 대해 릴레이하도록 구성된 SMTP 게이트웨이일 수 있습니다.
2	Exchange Online Protection 인바운드 연결을 협상하고 유효성을 검사하고 메시지 헤더 및 콘텐츠를 검사하여 필요한 추가 정책, 태그 지정 또는 처리를 결정합니다.
3	Exchange Online Office 365용 Microsoft Defender 통합되어 고급 위협 방지, 완화 및 수정을 제공합니다.
4	악성, 차단 또는 격리되지 않은 메시지는 처리되고 정크 메일, 사서함 규칙 또는 기타 설정과 관련된 사용자 기본 설정이 평가되고 트리거되는 EXO의 받는 사람에게 전달됩니다.
5	온-프레미스 Active Directory 통합은 Microsoft Entra Connect를 사용하여 메일 사용 개체와 계정을 동기화하고 프로비전하여 Microsoft Entra ID 궁극적으로 Exchange Online 수 있습니다.
6	온-프레미스 환경을 통합하는 경우 메일 관련 특성, 설정 및 구성의 지원되는 관리 및 관리에 Exchange 서버를 사용하는 것이 가장 좋습니다.
7	Office 365용 Microsoft Defender XDR(확장 검색 및 응답)을 위해 Microsoft Defender XDR 신호를 공유합니다.

온-프레미스 통합은 일반적이지만 선택 사항입니다. 환경이 클라우드 전용인 경우 이 지침도 작동합니다.

성공적인 Office 365용 Defender 평가 또는 프로덕션 파일럿을 사용하려면 다음 필수 구성 요소가 필요합니다.

• 모든 받는 사람 사서함은 현재 Exchange Online.
• 공용 MX 레코드는 EOP 또는 타사 SMTP(Simple Mail Transfer Protocol) 게이트웨이로 직접 확인되어 인바운드 외부 전자 메일을 EOP에 직접 릴레이합니다.
• 기본 전자 메일 도메인은 Exchange Online 신뢰할 수 있는 도메인으로 구성됩니다.
• DBEB( 디렉터리 기반 에지 차단 )를 적절하게 배포하고 구성했습니다. 자세한 내용은 Directory-Based Edge 차단을 사용하여 잘못된 받는 사람에게 보낸 메시지 거부를 참조하세요.

중요

이러한 요구 사항을 적용할 수 없거나 여전히 하이브리드 공존 시나리오에 있는 경우 Office 365용 Microsoft Defender 평가에는 이 지침에서 완전히 다루지 않는 더 복잡하거나 고급 구성이 필요할 수 있습니다.

1단계: 공용 MX 레코드 감사 및 확인

Office 365용 Microsoft Defender 효과적으로 평가하려면 테넌트와 연결된 EOP(Exchange Online Protection) instance 통해 인바운드 외부 전자 메일을 릴레이하는 것이 중요합니다.

1. 의 M365 관리 포털에서 https://admin.microsoft.com... 필요한 경우 모두 표시하고 설정을 확장한 다음 도메인을 선택합니다. 또는 도메인 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/Domains.
2. 도메인 페이지에서 검사 상자 이외의 항목에서 아무 곳이나 클릭하여 확인된 전자 메일 도메인을 선택합니다.
3. 열리는 도메인 세부 정보 플라이아웃에서 DNS 레코드 탭을 선택합니다. EOP 테넌트에서 생성되고 할당된 MX 레코드를 기록해 둡다.
4. 외부(공용) DNS 영역에 액세스하고 이메일 도메인과 연결된 기본 MX 레코드를 검사.
   • 공용 MX 레코드가 현재 할당된 EOP 주소(예: contoso-com.mail.protection.outlook.com)와 일치하는 경우 더 이상 라우팅 변경이 필요하지 않습니다.
   • 공용 MX 레코드가 현재 타사 또는 온-프레미스 SMTP 게이트웨이로 확인되면 추가 라우팅 구성이 필요할 수 있습니다.
   • 공용 MX 레코드가 현재 온-프레미스 Exchange로 확인되는 경우 일부 수신자 사서함이 아직 EXO로 마이그레이션되지 않은 하이브리드 모델에 있을 수 있습니다.

2단계: 허용된 도메인 감사

1. 의 EAC(Exchange 관리 센터)에서 https://admin.exchange.microsoft.com메일 흐름을 확장한 다음 수락된 도메인을 클릭합니다. 또는 허용된 도메인 페이지로 직접 이동하려면 를 사용합니다 https://admin.exchange.microsoft.com/#/accepteddomains.
2. 허용된 도메인 페이지에서 기본 전자 메일 도메인의 도메인 유형 값을 기록해 둡니다.
   • 도메인 유형이 신뢰할 수 있는 것으로 설정된 경우 organization 대한 모든 받는 사람 사서함이 현재 Exchange Online 상주하는 것으로 간주됩니다.
   • 도메인 유형이 InternalRelay로 설정된 경우 일부 수신자 사서함이 여전히 온-프레미스에 있는 하이브리드 모델에 있을 수 있습니다.

3단계: 인바운드 커넥터 감사

1. 의 EAC(Exchange 관리 센터)에서 https://admin.exchange.microsoft.com메일 흐름을 확장한 다음 커넥터를 클릭합니다. 또는 https://admin.exchange.microsoft.com/#/connectors을 통해 커넥터 페이지로 바로 이동하세요.
2. 커넥터 페이지에서 다음 설정을 사용하여 커넥터를 기록해 둡니다.
   • From 값은 타사 SMTP 게이트웨이와 상관 관계가 있을 수 있는 파트너 조직입니다.
   • From 값은 아직 하이브리드 시나리오에 있음을 나타낼 수 있는 조직입니다.

4단계: 평가 활성화

여기의 지침을 사용하여 Microsoft Defender 포털에서 Office 365용 Microsoft Defender 평가를 활성화합니다.

자세한 내용은 Office 365용 Microsoft Defender 시도를 참조하세요.

1. 의 Microsoft Defender 포털에서 https://security.microsoft.comEmail & 협업을> 확장하여 정책 & 규칙을> 선택하고 위협 정책을>기타 섹션으로 스크롤한 다음 평가 모드를 선택합니다. 또는 평가 모드 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/atpEvaluation.

2. 평가 모드 페이지에서 평가 시작을 클릭합니다.

   

3. 보호 켜기 대화 상자에서 아니요, 보고만을 선택하고계속을 클릭합니다.

   

4. 포함할 사용자 선택 대화 상자에서 모든 사용자를 선택한 다음 계속을 클릭합니다.

   

5. 메일 흐름 이해 도움말 대화 상자에서 도메인에 대한 MX 레코드 검색에 따라 다음 옵션 중 하나가 자동으로 선택됩니다.

   • Microsoft Exchange Online만 사용하고 있습니다. 도메인에 대한 MX 레코드는 Microsoft 365를 가리킵니다. 구성할 항목이 없으므로 마침을 클릭합니다.

     

   • 타사 및/또는 온-프레미스 서비스 공급자를 사용하고 있습니다. 예정된 화면에서 해당 솔루션의 메일을 수락하는 인바운드 커넥터와 함께 공급업체 이름을 선택합니다. 또한 타사 보호 서비스 또는 디바이스에서 들어오는 메시지에 대한 스팸 필터링을 건너뛰는 Exchange Online 메일 흐름 규칙(전송 규칙이라고도 함)이 필요한지 결정합니다. 완료되면 마침을 클릭합니다.

5단계: 파일럿 그룹 만들기

Office 365용 Microsoft Defender 파일럿하는 경우 전체 organization 정책을 사용하도록 설정하고 적용하기 전에 특정 사용자를 파일럿하도록 선택할 수 있습니다. 배포 그룹을 만들면 배포 프로세스를 관리하는 데 도움이 될 수 있습니다. 예를 들어 Office 365용 Defender 사용자 - 표준 보호, Office 365용 Defender 사용자 - 엄격한 보호, Office 365용 Defender 사용자 - 사용자 지정 보호 등의 그룹을 만듭니다.Office 365용 Defender 사용자 - 예외입니다.

왜 '표준'과 'Strict'가 이러한 그룹에 사용되는 용어인지는 분명하지 않을 수 있지만, 보안 사전 설정에 대한 자세한 내용을 살펴볼 때 명확하게 Office 365용 Defender. 명명 그룹 '사용자 지정' 및 '예외'는 자체적인 것으로, 대부분의 사용자가 표준 적이고 엄격해야 하지만 사용자 지정 및 예외 그룹은 위험 관리와 관련하여 중요한 데이터를 수집합니다.

메일 그룹은 Exchange Online 직접 만들고 정의하거나 온-프레미스 Active Directory 동기화할 수 있습니다.

1. 받는 사람 관리자 역할이 부여되었거나 그룹 관리 권한이 위임된 계정을 사용하여 EAC(Exchange 관리 Center)https://admin.exchange.microsoft.com에 로그인합니다.

2. 받는 사람>그룹 이동합니다.

   

3. 그룹 페이지에서 그룹을 추가합니다.

   

4. 그룹 유형에 대해 배포를 선택한 다음 , 다음을 클릭합니다.

   

5. 그룹에 이름 및 선택적 설명을 지정하고 다음을 클릭합니다.

   

6. 나머지 페이지에서 소유자를 할당하고, 그룹에 구성원을 추가하고, 전자 메일 주소, 참가-출발 제한 및 기타 설정을 설정합니다.

6단계: 보호 구성

Office 365용 Defender 일부 기능은 기본적으로 구성되고 켜져 있지만 보안 작업은 기본값에서 보호 수준을 높이려고 할 수 있습니다.

일부 기능은 아직 구성 되지 않았습니다 . 보호를 구성하기 위한 다음 옵션이 있습니다(나중에 쉽게 변경할 수 있음).

• 미리 설정된 보안 정책에 사용자 할당: 사전 설정 보안 정책은 모든 기능에서 균일한 수준의 보호를 신속하게 할당하는 데 권장되는 방법입니다. 표준 또는 엄격한 보호 중에서 선택할 수 있습니다. Standard 및 Strict에 대한 설정은 여기 표에 설명되어 있습니다. Standard와 Strict의 차이점은 여기에 있는 표에 요약되어 있습니다.

  미리 설정된 보안 정책의 장점은 데이터 센터의 관찰에 따라 Microsoft의 권장 설정을 사용하여 가능한 한 빨리 사용자 그룹을 보호합니다. 새 보호 기능이 추가되고 보안 환경이 변경되면 미리 설정된 보안 정책의 설정이 권장 설정으로 자동으로 업데이트됩니다.

  미리 설정된 보안 정책의 단점은 미리 설정된 보안 정책에서 거의 모든 보안 설정을 사용자 지정할 수 없다는 것입니다(예: 작업을 정크에서 격리로 또는 그 반대로 변경할 수 없음). 예외는 수동으로 구성해야 하는 사용자 가장 및 도메인 가장 보호에 대한 항목 및 선택적 예외입니다.

  또한 미리 설정된 보안 정책은 항상 사용자 지정 정책 앞에 적용됩니다. 따라서 사용자 지정 정책을 만들고 사용하려면 이러한 사용자 지정 정책의 사용자를 미리 설정된 보안 정책에서 제외해야 합니다.

• 사용자 지정 보호 정책 구성: 환경을 직접 구성하려면 EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정에서 기본값, 표준 및 엄격한 설정을 비교합니다. 사용자 지정 빌드가 벗어나는 위치의 스프레드시트를 유지합니다.

  구성 분석기를 사용하여 사용자 지정 정책의 설정을 표준 및 엄격한 값과 비교할 수도 있습니다.

미리 설정된 보안 정책과 사용자 지정 정책을 선택하는 방법에 대한 자세한 내용은 보호 정책 전략 결정을 참조하세요.

미리 설정된 보안 정책 할당

EOP에서 미리 설정된 보안 정책으로 시작하고 평가의 일부로 특정 파일럿 사용자 또는 정의된 그룹에 할당하여 빠르게 Office 365용 Defender 것이 좋습니다. 사전 설정 정책은 기준 표준 보호 템플릿 또는 독립적으로 할당할 수 있는 보다 적극적인 Strict 보호 템플릿을 제공합니다.

예를 들어 수신자가 정의된 EOP 표준 보호 그룹의 구성원인 경우 파일럿 평가에 대한 EOP 조건을 적용한 다음, 그룹에 계정을 추가하거나 그룹에서 계정을 제거하여 관리할 수 있습니다.

마찬가지로 수신자가 정의된 Office 365용 Defender 표준 보호 그룹의 구성원인 경우 파일럿 평가에 대한 Office 365용 Defender 조건을 적용한 다음 그룹을 통해 계정을 추가하거나 제거하여 관리할 수 있습니다.

전체 지침은 Microsoft Defender 포털을 사용하여 사용자에게 표준 및 엄격한 사전 설정 보안 정책 할당을 참조하세요.

사용자 지정 보호 정책 구성

미리 정의된 표준 또는 엄격한 Office 365용 Defender 정책 템플릿은 파일럿 사용자에게 권장 기준 보호를 제공합니다. 그러나 평가의 일부로 사용자 지정 보호 정책을 빌드하고 할당할 수도 있습니다.

사전 설정된 보안 정책 및 기타 정책의 우선 순위 순서에 설명된 대로 이러한 보호 정책이 적용 및 적용될 때 적용되는 우선 순위를 인식하는 것이 중요합니다.

보호 정책 구성의 설명과 표는 구성해야 하는 항목에 대한 편리한 참조를 제공합니다.

7단계: 기능 사용해 보기

파일럿을 설정하고 구성했으므로 Microsoft 365용 Microsoft Defender 고유한 보고, 모니터링 및 공격 시뮬레이션 도구에 익숙해지는 것이 좋습니다.

기능	설명	추가 정보
위협 탐색기	위협 Explorer 보안 운영 팀이 위협을 조사하고 대응하고 Office 365 메일 및 파일에서 검색된 맬웨어 및 피싱에 대한 정보와 organization 대한 기타 보안 위협 및 위험에 대한 정보를 표시하는 데 도움이 되는 강력한 근 실시간 도구입니다.	위협 Explorer 정보
공격 시뮬레이션 교육	Microsoft Defender 포털에서 공격 시뮬레이션 훈련 사용하여 실제 공격이 환경에 영향을 미치기 전에 취약한 사용자를 식별하고 찾는 데 도움이 되는 organization 현실적인 공격 시나리오를 실행할 수 있습니다.	공격의 신나는 교육 사용 시작
보고서 dashboard	왼쪽 탐색 메뉴에서 보고서를 클릭하고 Email & 공동 작업 제목을 확장합니다. Email & 공동 작업 보고서는 '제출로 이동'과 같은 단추를 통해 조치를 취할 수 있는 보안 추세와 추세를 표시하는 보안 추세를 파악하는 방법에 관한 것입니다. 이러한 메트릭은 자동으로 생성됩니다.	Microsoft Defender 포털에서 전자 메일 보안 보고서 보기 Microsoft Defender 포털에서 Office 365용 Defender 보고서 보기

SIEM 통합

Office 365용 Defender Microsoft Sentinel 또는 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel 사용하면 organization 보안 이벤트를 보다 포괄적으로 분석하고 효과적이고 즉각적인 대응을 위해 플레이북을 빌드할 수 있습니다.

Microsoft Sentinel Office 365용 Defender 커넥터를 포함합니다. 자세한 내용은 Office 365용 Microsoft Defender 경고 연결을 참조하세요.

Office 365용 Microsoft Defender Office 365 활동 관리 API를 사용하여 다른 SIEM 솔루션에 통합할 수도 있습니다. 일반 SIEM 시스템과의 통합에 대한 자세한 내용은 일반 SIEM 통합을 참조하세요.

다음 단계

Office 365용 Microsoft Defender 보안 운영 가이드의 정보를 SecOps 프로세스에 통합합니다.

Microsoft Defender XDR 엔드 투 엔드 배포를 위한 다음 단계

파일럿을 사용하여 Microsoft Defender XDR 엔드 투 엔드 배포를 계속하고 엔드포인트용 Defender를 배포합니다.

팁

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.