다음을 통해 공유


Office 365용 Defender 파일럿 및 배포

적용 대상:

  • Microsoft Defender XDR

이 문서에서는 조직에서 Office 365용 Microsoft Defender를 파일럿하고 배포하기 위한 워크플로를 제공합니다. 이러한 권장 사항을 사용하여 Office 365용 Microsoft Defender를 개별 사이버 보안 도구 또는 Microsoft Defender XDR을 사용하는 엔드 투 엔드 솔루션의 일부로 온보딩할 수 있습니다.

이 문서에서는 프로덕션 Microsoft 365 테넌트가 있으며 이 환경에서 Office 365용 Microsoft Defender를 파일럿하고 배포하고 있다고 가정합니다. 이 방법은 전체 배포를 위해 파일럿 중에 구성하는 모든 설정 및 사용자 지정을 유지 관리합니다.

Office 365용 Defender는 위반으로 인한 비즈니스 피해를 방지하거나 줄여 제로 트러스트 아키텍처에 기여합니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위반 비즈니스로 인한 비즈니스 손상 방지 또는 줄이기 시나리오를 참조하세요.

Microsoft Defender XDR용 엔드 투 엔드 배포

인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR의 구성 요소를 배포하는 데 도움이 되는 시리즈의 문서 6 중 3입니다.

파일럿 및 Microsoft Defender XDR 프로세스 배포의 Office 365용 Microsoft Defender를 보여 주는 다이어그램

이 시리즈의 문서는 엔드 투 엔드 배포의 다음 단계에 해당합니다.

단계 링크
대답. 파일럿 시작 파일럿 시작
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포 - Defender for Identity 파일럿 및 배포

- Office 365용 Defender 파일럿 및 배포 (이 문서)

- 엔드포인트용 Defender 파일럿 및 배포

- 클라우드용 Microsoft Defender 앱 파일럿 및 배포
C. 위협 조사 및 대응 인시던트 조사 및 대응 연습

Office 365용 Defender에 대한 파일럿 및 배포 워크플로

다음 다이어그램에서는 IT 환경에 제품 또는 서비스를 배포하는 일반적인 프로세스를 보여 줍니다.

파일럿, 평가 및 전체 배포 채택 단계의 다이어그램

먼저 제품 또는 서비스를 평가하고 조직 내에서 어떻게 작동하는지 평가합니다. 그런 다음 테스트, 학습 및 사용자 지정을 위해 프로덕션 인프라의 작은 하위 집합으로 제품 또는 서비스를 파일럿합니다. 그런 다음 전체 인프라 또는 조직이 적용될 때까지 배포 범위를 점진적으로 늘입니다.

프로덕션 환경에서 Office 365용 Defender를 파일럿하고 배포하기 위한 워크플로는 다음과 같습니다.

Office 365용 Microsoft Defender를 파일럿하고 배포하는 단계를 보여 주는 다이어그램

다음 단계를 따릅니다.

  1. 공용 MX 레코드 감사 및 확인
  2. 승인된 도메인 감사
  3. 인바운드 커넥터 감사
  4. 평가 활성화
  5. 파일럿 그룹 만들기
  6. 보호 구성
  7. 기능 사용해 보기

각 배포 단계에 권장되는 단계는 다음과 같습니다.

배포 단계 설명
평가 Office 365용 Defender에 대한 제품 평가를 수행합니다.
파일럿 파일럿 그룹에 대해 1-7단계를 수행합니다.
배포 후 5단계에서 파일럿 사용자 그룹을 구성하거나 파일럿을 넘어 확장할 사용자 그룹을 추가하고 결국에는 모든 사용자 계정을 포함합니다.

Office 365용 Defender 아키텍처 및 요구 사항

다음 다이어그램에서는 타사 SMTP 게이트웨이 또는 온-프레미스 통합을 포함할 수 있는 Office 365용 Microsoft Defender의 기준 아키텍처를 보여 줍니다. 하이브리드 공존 시나리오(즉, 프로덕션 사서함은 온-프레미스와 온라인 모두임)에는 더 복잡한 구성이 필요하며 이 문서 또는 평가 지침에서는 다루지 않습니다.

Office 365용 Microsoft Defender 아키텍처에 대한 다이어그램

다음 표에서는 이 그림에 대해 설명합니다.

콜아웃 설명
1 외부 보낸 사람용 호스트 서버는 일반적으로 메시지를 릴레이할 대상 서버를 제공하는 MX 레코드에 대한 공용 DNS 조회를 수행합니다. 이 조회는 EXO(Exchange Online) 직접 또는 EXO에 대해 릴레이하도록 구성된 SMTP 게이트웨이일 수 있습니다.
2 Exchange Online Protection은 인바운드 연결을 협상하고 유효성을 검사하고 메시지 헤더 및 콘텐츠를 검사하여 필요한 추가 정책, 태그 지정 또는 처리를 확인합니다.
3 Exchange Online은 Office 365용 Microsoft Defender와 통합되어 고급 위협 방지, 완화 및 수정을 제공합니다.
4 악성, 차단 또는 격리되지 않은 메시지는 처리되고 정크 메일, 사서함 규칙 또는 기타 설정과 관련된 사용자 기본 설정이 평가되고 트리거되는 EXO의 받는 사람에게 전달됩니다.
5 Microsoft Entra Connect를 사용하여 온-프레미스 Active Directory와의 통합을 사용하도록 설정하여 메일 사용이 가능한 개체와 계정을 Microsoft Entra ID 및 궁극적으로 Exchange Online에 동기화 및 프로비전할 수 있습니다.
6 온-프레미스 환경을 통합하는 경우 메일 관련 특성, 설정 및 구성의 지원되는 관리 및 관리에 Exchange 서버를 사용하는 것이 가장 좋습니다.
7 Office 365용 Microsoft Defender는 XDR(확장 검색 및 응답)을 위해 Microsoft Defender XDR에 신호를 공유합니다.

온-프레미스 통합은 일반적이지만 선택 사항입니다. 환경이 클라우드 전용인 경우 이 지침도 작동합니다.

Office 365용 Defender 평가 또는 프로덕션 파일럿에 성공하려면 다음 필수 구성 요소가 필요합니다.

  • 모든 받는 사람 사서함은 현재 Exchange Online에 있습니다.
  • 공용 MX 레코드는 EOP 또는 타사 SMTP(Simple Mail Transfer Protocol) 게이트웨이로 직접 확인되어 인바운드 외부 전자 메일을 EOP에 직접 릴레이합니다.
  • 기본 전자 메일 도메인은 Exchange Online에서 신뢰할 수 있는 도메인으로 구성됩니다.
  • DBEB( 디렉터리 기반 에지 차단 )를 적절하게 배포하고 구성했습니다. 자세한 내용은 Directory-Based Edge 차단을 사용하여 잘못된 받는 사람에게 보낸 메시지 거부를 참조하세요.

중요

이러한 요구 사항을 적용할 수 없거나 여전히 하이브리드 공존 시나리오에 있는 경우 Office 365용 Microsoft Defender 평가에는 이 지침에서 완전히 다루지 않는 더 복잡하거나 고급 구성이 필요할 수 있습니다.

1단계: 공용 MX 레코드 감사 및 확인

Office 365용 Microsoft Defender를 효과적으로 평가하려면 테넌트와 연결된 EOP(Exchange Online Protection) 인스턴스를 통해 인바운드 외부 전자 메일을 릴레이하는 것이 중요합니다.

  1. 의 M365 관리 포털에서 https://admin.microsoft.com... 필요한 경우 모두 표시하고 설정을 확장한 다음 도메인을 선택합니다. 또는 도메인 페이지로 직접 이동하려면 를 사용합니다 https://admin.microsoft.com/Adminportal/Home#/Domains.
  2. 도메인 페이지에서 확인란 이외의 항목에서 아무 곳이나 클릭하여 확인된 전자 메일 도메인을 선택합니다.
  3. 열리는 도메인 세부 정보 플라이아웃에서 DNS 레코드 탭을 선택합니다. EOP 테넌트에서 생성되고 할당된 MX 레코드를 기록해 둡다.
  4. 외부(공용) DNS 영역에 액세스하고 이메일 도메인과 연결된 기본 MX 레코드를 확인합니다.
    • 공용 MX 레코드가 현재 할당된 EOP 주소(예: contoso-com.mail.protection.outlook.com)와 일치하는 경우 더 이상 라우팅 변경이 필요하지 않습니다.
    • 공용 MX 레코드가 현재 타사 또는 온-프레미스 SMTP 게이트웨이로 확인되면 추가 라우팅 구성이 필요할 수 있습니다.
    • 공용 MX 레코드가 현재 온-프레미스 Exchange로 확인되는 경우 일부 수신자 사서함이 아직 EXO로 마이그레이션되지 않은 하이브리드 모델에 있을 수 있습니다.

2단계: 허용된 도메인 감사

  1. 의 EAC(Exchange 관리 센터)에서 https://admin.exchange.microsoft.com메일 흐름을 확장한 다음 수락된 도메인을 클릭합니다. 또는 허용된 도메인 페이지로 직접 이동하려면 를 사용합니다 https://admin.exchange.microsoft.com/#/accepteddomains.
  2. 허용된 도메인 페이지에서 기본 전자 메일 도메인의 도메인 유형 값을 기록해 둡니다.
    • 도메인 유형이 신뢰할 수 있는 것으로 설정된 경우 조직의 모든 받는 사람 사서함이 현재 Exchange Online에 상주하는 것으로 간주됩니다.
    • 도메인 유형이 InternalRelay로 설정된 경우 일부 수신자 사서함이 여전히 온-프레미스에 있는 하이브리드 모델에 있을 수 있습니다.

3단계: 인바운드 커넥터 감사

  1. 의 EAC(Exchange 관리 센터)에서 https://admin.exchange.microsoft.com메일 흐름을 확장한 다음 커넥터를 클릭합니다. 또는 https://admin.exchange.microsoft.com/#/connectors을 통해 커넥터 페이지로 바로 이동하세요.
  2. 커넥터 페이지에서 다음 설정을 사용하여 커넥터를 기록해 둡니다.
    • From 값은 타사 SMTP 게이트웨이와 상관 관계가 있을 수 있는 파트너 조직입니다.
    • From 값은 아직 하이브리드 시나리오에 있음을 나타낼 수 있는 조직입니다.

4단계: 평가 활성화

여기의 지침을 사용하여 Microsoft Defender 포털에서 Office 365용 Microsoft Defender 평가를 활성화합니다.

자세한 내용은 Office 365용 Microsoft Defender 사용해 보기를 참조하세요.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com메일 & 협업을> 확장하고 정책 & 규칙을> 선택하여 위협 정책을>다른 항목 섹션으로 스크롤한 다음 평가 모드를 선택합니다. 또는 평가 모드 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/atpEvaluation.

  2. 평가 모드 페이지에서 평가 시작을 클릭합니다.

    평가 모드 페이지 및 클릭할 평가 시작 단추의 스크린샷.

  3. 보호 켜기 대화 상자에서 아니요, 보고만을 선택하고계속을 클릭합니다.

    보호 켜기 대화 상자와 아니요, 보고 옵션만 선택할 수 있는 스크린샷

  4. 포함할 사용자 선택 대화 상자에서 모든 사용자를 선택한 다음 계속을 클릭합니다.

    포함할 사용자 선택 대화 상자 및 선택할 모든 사용자 옵션의 스크린샷.

  5. 메일 흐름 이해 도움말 대화 상자에서 도메인에 대한 MX 레코드 검색에 따라 다음 옵션 중 하나가 자동으로 선택됩니다.

    • Microsoft Exchange Online만 사용하고 있습니다. 도메인에 대한 MX 레코드는 Microsoft 365를 가리킵니다. 구성할 항목이 없으므로 마침을 클릭합니다.

      Microsoft Exchange Online 사용 옵션만 선택한 메일 흐름 이해 도움말 대화 상자의 스크린샷

    • 타사 및/또는 온-프레미스 서비스 공급자를 사용하고 있습니다. 예정된 화면에서 해당 솔루션의 메일을 수락하는 인바운드 커넥터와 함께 공급업체 이름을 선택합니다. 또한 타사 보호 서비스 또는 디바이스에서 들어오는 메시지에 대한 스팸 필터링을 건너뛰는 Exchange Online 메일 흐름 규칙(전송 규칙이라고도 함)이 필요한지 결정합니다. 완료되면 마침을 클릭합니다.

5단계: 파일럿 그룹 만들기

Office 365용 Microsoft Defender를 파일럿하는 경우 전체 조직에 정책을 사용하도록 설정하고 적용하기 전에 특정 사용자를 파일럿하도록 선택할 수 있습니다. 배포 그룹을 만들면 배포 프로세스를 관리하는 데 도움이 될 수 있습니다. 예를 들어 Office 365 사용자용 Defender - 표준 보호, Office 365 사용자용 Defender - Strict Protection, Office 365 사용자용 Defender - 사용자 지정 보호 또는 Office 365 사용자용 Defender - 예외와 같은 그룹을 만듭니다.

'표준' 및 'Strict'가 이러한 그룹에 사용되는 용어인 이유는 분명하지 않을 수 있지만, Office 365용 Defender 보안 사전 설정에 대해 자세히 알아보면 분명해집니다. 명명 그룹 '사용자 지정' 및 '예외'는 자체적인 것으로, 대부분의 사용자가 표준 적이고 엄격해야 하지만 사용자 지정 및 예외 그룹은 위험 관리와 관련하여 중요한 데이터를 수집합니다.

메일 그룹은 Exchange Online에서 직접 만들고 정의하거나 온-프레미스 Active Directory에서 동기화할 수 있습니다.

  1. 받는 사람 관리자 역할이 부여되었거나 그룹 관리 권한이 위임된 계정을 사용하여 EAC(Exchange Admin Center) https://admin.exchange.microsoft.com 에 로그인합니다.

  2. 받는 사람>그룹으로 이동합니다.

     그룹 메뉴 항목의 스크린샷.

  3. 그룹 페이지에서 그룹 추가 아이콘을 선택합니다.그룹을 추가합니다.

    그룹 추가 옵션의 스크린샷

  4. 그룹 유형에 대해 배포를 선택한 다음 , 다음을 클릭합니다.

    그룹 유형 선택 섹션의 스크린샷.

  5. 그룹에 이름 및 선택적 설명을 지정하고 다음을 클릭합니다.

    기본 사항 설정 섹션의 스크린샷.

  6. 나머지 페이지에서 소유자를 할당하고, 그룹에 구성원을 추가하고, 전자 메일 주소, 참가-출발 제한 및 기타 설정을 설정합니다.

6단계: 보호 구성

Office 365용 Defender의 일부 기능은 기본적으로 구성되고 켜져 있지만 보안 작업은 기본값에서 보호 수준을 높이려고 할 수 있습니다.

일부 기능은 아직 구성 되지 않았습니다 . 보호를 구성하기 위한 다음 옵션이 있습니다(나중에 쉽게 변경할 수 있음).

  • 미리 설정된 보안 정책에 사용자 할당: 사전 설정 보안 정책은 모든 기능에서 균일한 수준의 보호를 신속하게 할당하는 데 권장되는 방법입니다. 표준 또는 엄격한 보호 중에서 선택할 수 있습니다. Standard 및 Strict에 대한 설정은 여기 표에 설명되어 있습니다. Standard와 Strict의 차이점은 여기에 있는 표에 요약되어 있습니다.

    미리 설정된 보안 정책의 장점은 데이터 센터의 관찰에 따라 Microsoft의 권장 설정을 사용하여 가능한 한 빨리 사용자 그룹을 보호합니다. 새 보호 기능이 추가되고 보안 환경이 변경되면 미리 설정된 보안 정책의 설정이 권장 설정으로 자동으로 업데이트됩니다.

    미리 설정된 보안 정책의 단점은 미리 설정된 보안 정책에서 거의 모든 보안 설정을 사용자 지정할 수 없다는 것입니다(예: 작업을 정크에서 격리로 또는 그 반대로 변경할 수 없음). 예외는 수동으로 구성해야 하는 사용자 가장 및 도메인 가장 보호에 대한 항목 및 선택적 예외입니다.

    또한 미리 설정된 보안 정책은 항상 사용자 지정 정책 앞에 적용됩니다. 따라서 사용자 지정 정책을 만들고 사용하려면 이러한 사용자 지정 정책의 사용자를 미리 설정된 보안 정책에서 제외해야 합니다.

  • 사용자 지정 보호 정책 구성: 환경을 직접 구성하려면 EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정의 기본값, 표준 및 엄격한 설정을 비교합니다. 사용자 지정 빌드가 벗어나는 위치의 스프레드시트를 유지합니다.

    구성 분석기를 사용하여 사용자 지정 정책의 설정을 표준 및 엄격한 값과 비교할 수도 있습니다.

미리 설정된 보안 정책과 사용자 지정 정책을 선택하는 방법에 대한 자세한 내용은 보호 정책 전략 결정을 참조하세요.

미리 설정된 보안 정책 할당

평가의 일부로 특정 파일럿 사용자 또는 정의된 그룹에 할당하여 EOP 및 Office 365용 Defender에서 미리 설정된 보안 정책 으로 시작하는 것이 좋습니다. 사전 설정 정책은 기준 표준 보호 템플릿 또는 독립적으로 할당할 수 있는 보다 적극적인 Strict 보호 템플릿을 제공합니다.

예를 들어 수신자가 정의된 EOP 표준 보호 그룹의 구성원인 경우 파일럿 평가에 대한 EOP 조건을 적용한 다음, 그룹에 계정을 추가하거나 그룹에서 계정을 제거하여 관리할 수 있습니다.

마찬가지로 받는 사람이 정의된 Office 365 표준 보호 그룹의 구성원 인 경우 파일럿 평가를 위한 Office 365용 Defender 조건을 적용한 다음 그룹을 통해 계정을 추가하거나 제거하여 관리할 수 있습니다.

전체 지침은 Microsoft Defender 포털을 사용하여 사용자에게 표준 및 엄격한 사전 설정 보안 정책 할당을 참조하세요.

사용자 지정 보호 정책 구성

미리 정의된 표준 또는 Office 365용 Strict Defender 정책 템플릿은 파일럿 사용자에게 권장 기준 보호를 제공합니다. 그러나 평가의 일부로 사용자 지정 보호 정책을 빌드하고 할당할 수도 있습니다.

사전 설정된 보안 정책 및 기타 정책의 우선 순위 순서에 설명된 대로 이러한 보호 정책이 적용 및 적용될 때 적용되는 우선 순위를 인식하는 것이 중요합니다.

보호 정책 구성의 설명과 표는 구성해야 하는 항목에 대한 편리한 참조를 제공합니다.

7단계: 기능 사용해 보기

파일럿을 설정하고 구성했으므로 Microsoft Defender for Microsoft 365에 고유한 보고, 모니터링 및 공격 시뮬레이션 도구에 익숙해지는 것이 좋습니다.

기능 설명 추가 정보
위협 탐색기 위협 탐색기는 보안 운영 팀이 위협을 조사하고 대응할 수 있도록 도와주는 강력한 실시간 도구이며, Office 365의 전자 메일 및 파일에서 검색된 맬웨어 및 피싱에 대한 정보와 조직에 대한 기타 보안 위협 및 위험을 표시합니다. 위협 탐색기 정보
공격 시뮬레이션 교육 Microsoft Defender 포털에서 공격 시뮬레이션 교육을 사용하여 실제 공격이 환경에 영향을 미치기 전에 취약한 사용자를 식별하고 찾는 데 도움이 되는 조직에서 현실적인 공격 시나리오를 실행할 수 있습니다. 공격의 신나는 교육 사용 시작
보고서 대시보드 왼쪽 탐색 메뉴에서 보고서를 클릭하고 전자 메일 & 공동 작업 제목을 확장합니다. 이메일 & 공동 작업 보고서는 '제출로 이동'과 같은 단추를 통해 조치를 취할 수 있는 보안 추세와 추세를 표시하는 기타 보안 추세를 파악하는 방법에 관한 것입니다. 이러한 메트릭은 자동으로 생성됩니다. Microsoft Defender 포털에서 전자 메일 보안 보고서 보기

Microsoft Defender 포털에서 Office 365용 Defender 보고서 보기

SIEM 통합

Office 365용 Defender를 Microsoft Sentinel 또는 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel을 사용하면 조직 전체에서 보안 이벤트를 보다 포괄적으로 분석하고 효과적이고 즉각적인 대응을 위해 플레이북을 빌드할 수 있습니다.

SIEM 통합을 사용하는 Office 365용 Microsoft Defender의 아키텍처를 보여 주는 다이어그램

Microsoft Sentinel에는 Office 365용 Defender 커넥터가 포함되어 있습니다. 자세한 내용은 Office 365용 Microsoft Defender에서 경고 연결을 참조하세요.

Office 365용 Microsoft Defender는 Office 365 활동 관리 API를 사용하여 다른 SIEM 솔루션에 통합할 수도 있습니다. 일반 SIEM 시스템과의 통합에 대한 자세한 내용은 일반 SIEM 통합을 참조하세요.

다음 단계

Office 365용 Microsoft Defender 보안 운영 가이드의 정보를 SecOps 프로세스에 통합합니다.

Microsoft Defender XDR의 엔드 투 엔드 배포를 위한 다음 단계

파일럿을 사용하여 Microsoft Defender XDR의 엔드 투 엔드 배포를 계속하고 엔드포인트용 Defender를 배포합니다.

파일럿 및 Microsoft Defender XDR 프로세스 배포의 엔드포인트용 Microsoft Defender를 보여 주는 다이어그램

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.