EOP에서 맬웨어 방지 보호

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Exchange Online에 사서함이 있는 Microsoft 365 조직 또는 Exchange Online 사서함이 없는 독립 실행형 EOP(Exchange Online Protection) 조직에서 전자 메일 메시지는 EOP에 의해 맬웨어로부터 자동으로 보호됩니다. 맬웨어의 주요 범주 중 일부는 다음과 같습니다.

• 다른 프로그램 및 데이터를 감염시키고 감염할 프로그램을 찾는 컴퓨터 또는 네트워크를 통해 확산되는 바이러스.
• 로그인 정보 및 개인 데이터와 같은 개인 정보를 수집하고 작성자에게 다시 보내는 스파이웨어입니다.
• 데이터를 암호화하고 이를 해독하기 위해 비용을 요구하는 랜섬웨어. 맬웨어 방지 소프트웨어는 암호화된 파일의 암호를 해독하는 데 도움이 되지 않지만 랜섬웨어와 연결된 맬웨어 페이로드를 검색할 수 있습니다.

EOP는 Windows, Linux 및 Mac에서 organization 들어오거나 나가는 알려진 모든 맬웨어를 catch하도록 설계된 다중 계층 맬웨어 보호를 제공합니다. 다음 옵션은 맬웨어 방지 보호를 제공하는 데 도움이 됩니다.

• 계층적 맬웨어 방지: 여러 맬웨어 방지 검사 엔진을 통해 알려진 위협과 알려지지 않은 위협을 모두 차단할 수 있습니다. 이러한 엔진에는 맬웨어 발생의 초기 단계에서도 보호를 제공하는 강력한 경험적 탐지가 포함되어 있습니다. 이 다중 엔진 접근 방식은 하나의 맬웨어 방지 엔진을 사용하는 것보다 훨씬 더 많은 보호를 제공하는 것으로 나타났습니다.
• 실시간 위협 대응: 일부 발생 시 맬웨어 방지 팀은 서비스에서 사용하는 검사 엔진에서 정의를 사용할 수 있더라도 위협을 감지하는 정교한 정책 규칙을 작성하기 위해 바이러스 또는 다른 형태의 맬웨어에 대한 충분한 정보를 가질 수 있습니다. 이러한 규칙은 2시간마다 글로벌 네트워크에 게시되어 organization 공격에 대한 추가 보호 계층을 제공합니다.
• 빠른 맬웨어 방지 정의 배포: 맬웨어 방지 팀은 맬웨어 방지 엔진을 개발하는 파트너와 긴밀한 관계를 유지합니다. 따라서 공개적으로 릴리스되기 전에 맬웨어 정의 및 패치를 받아서 통합할 수 있습니다. 이러한 파트너와의 연결을 통해 종종 우리 자신의 구제책도 개발할 수 있습니다. 서비스는 매시간 모든 맬웨어 방지 엔진에 대한 업데이트된 정의를 확인합니다.

EOP에서 첨부 파일에 맬웨어가 포함된 것으로 확인된 메시지는 격리됩니다^*. 받는 사람이 격리된 메시지를 보거나 상호 작용할 수 있는지 여부는 격리 정책에 의해 제어됩니다. 기본적으로 맬웨어로 인해 격리된 메시지는 관리자만 보고 해제할 수 있습니다. 사용자는 관리자가 구성하는 사용 가능한 설정에 관계없이 자체 격리된 맬웨어 메시지를 해제할 수 없습니다. 자세한 내용은 다음 문서를 참조하세요.

^* 고급 배달 정책에서 식별되는 SecOps 사서함에서 맬웨어 필터링을 건너뜁니다. 자세한 내용은 타사 피싱 시뮬레이션에 대한 고급 배달 정책 구성 및 SecOps 사서함으로의 전자 메일 배달을 참조하세요.

• 격리 정책 분석
• EOP에서 관리자로 격리된 메시지 및 파일을 관리합니다.

맬웨어 방지 정책에는 일반적인 첨부 파일 필터도 포함되어 있습니다. 지정된 파일 형식이 포함된 메시지는 자동으로 맬웨어로 식별됩니다. 자세한 내용은 이 문서의 뒷부분에 있는 맬웨어 방지 정책의 일반적인 첨부 파일 필터 섹션을 참조하세요.

맬웨어 방지 보호에 대한 자세한 내용은 맬웨어 방지 방지 FAQ를 참조하세요.

기본 맬웨어 방지 정책을 구성하고 사용자 지정 맬웨어 방지 정책을 생성, 수정 및 제거하려면 맬웨어 방지 정책 구성을 참조하세요. 표준 및 엄격한 사전 설정 보안 정책에서 맬웨어 방지 정책 설정은 EOP 맬웨어 방지 정책 설정에 설명된 대로 이미 구성되고 수정할 수 없습니다.

팁

맬웨어 판결에 동의하지 않는 경우 Microsoft에 메시지 첨부 파일을 가양성(잘못된 것으로 표시된 좋은 첨부 파일) 또는 거짓 부정(잘못된 첨부 파일 허용)으로 보고할 수 있습니다. 자세한 내용은 의심스러운 전자 메일 또는 파일을 Microsoft에 어떻게 할까요? 보고를 참조하세요.

맬웨어 방지 정책

맬웨어 방지 정책은 맬웨어 검색에 대한 구성 가능한 설정 및 알림 옵션을 제어합니다. 맬웨어 방지 정책의 중요한 설정은 다음 하위 섹션에서 설명합니다.

맬웨어 방지 정책의 받는 사람 필터

받는 사람 필터는 조건 및 예외를 사용하여 정책이 적용되는 내부 수신자를 식별합니다. 사용자 지정 정책에는 하나 이상의 조건이 필요합니다. 조건 및 예외는 기본 정책에서 사용할 수 없습니다(기본 정책은 모든 받는 사람에게 적용됨). 조건 및 예외에 대해 다음 받는 사람 필터를 사용할 수 있습니다.

• 사용자: organization 하나 이상의 사서함, 메일 사용자 또는 메일 연락처
• 그룹:
  • 지정된 메일 그룹 또는 메일 사용 보안 그룹의 구성원입니다(동적 메일 그룹은 지원되지 않음).
  • 지정된 Microsoft 365 그룹.
• 도메인: Microsoft 365에서 구성된 허용 도메인 중 하나 이상. 받는 사람의 기본 메일 주소 지정된 도메인에 있습니다.

조건 또는 예외는 한 번만 사용할 수 있지만 조건 또는 예외에는 여러 값이 포함될 수 있습니다.

• 동일한 조건 또는 예외의 여러 값은 OR 논리(예: <recipient1> 또는<recipient2>)를 사용합니다.

  • 조건: 받는 사람이 지정된 값과 일치하는 경우 정책이 적용됩니다.
  • 예외: 받는 사람이 지정된 값과 일치하는 경우 정책이 적용되지 않습니다.

• 다른 유형의 예외는 OR 논리(예<: recipient1 또는 group1 또는 domain1><>>의 멤버)를 사용합니다.< 받는 사람이 지정된 예외 값과 일치하는 경우 정책이 적용되지 않습니다.

• 다양한 유형의 조건은 AND 논리를 사용합니다. 받는 사람은 정책이 적용되도록 지정된 모든 조건과 일치해야 합니다. 예를 들어 다음 값을 사용하여 조건을 구성합니다.

  • 사용자: romain@contoso.com
  • 그룹: 임원

  이 정책은 그가 임원 그룹의 구성원이기도 한 경우에만 적용 romain@contoso.com 됩니다. 그렇지 않으면 정책이 적용되지 않습니다.

맬웨어 방지 정책의 일반적인 첨부 파일 필터

이메일을 통해 전송해서는 안 되는 특정 형식의 파일(예: 실행 파일)이 있습니다. 어쨌든 모든 파일을 차단해야 할 때 이러한 유형의 파일을 맬웨어에 대해 검사하는 것을 귀찮게하는 이유는 무엇입니까? 일반적인 첨부 파일 필터가 들어오는 위치입니다. 지정하는 파일 형식은 자동으로 맬웨어로 식별됩니다.

기본 파일 형식 목록은 기본 맬웨어 방지 정책, 사용자가 만든 사용자 지정 맬웨어 방지 정책 및 표준 및 엄격한 사전 설정 보안 정책의 맬웨어 방지 정책에 사용됩니다.

Microsoft Defender 포털에서 추가 파일 형식 목록에서 선택하거나 Microsoft Defender 포털에서 맬웨어 방지 정책을 만들거나 수정할 때 고유한 값을 추가할 수 있습니다.

• 기본 파일 형식: ace, ani, apk, app, appx, arj, bat, cab, cmd, com, deb, dex, dll, docm, elf, exe, hta, img, iso, jar, jnlp, kext, lha, lib, library, lnk, lzh, macho, msc, msi, msix, msp, mst, pif, ppa, ppam, reg, rev, scf, scr, sct, sys, uif, vb, vbe, vbs, vxd, wsc, wsf, wsh, xll, xz, z.

• Defender 포털에서 선택할 추가 파일 형식: 7z, 7zip, a, accdb, accde, action, ade, adp, appxbundle, asf, asp, aspx, avi, bas, bin, bundle, bz, bz2, bzip2, caction, cer, chm, command, cpl, crt, csh, css, der, dgz, dmg, doc, docx, dos, dot, dotm, dtox [sic], dylib, font, fxp, gadget, gz, gzip, hlp, Hta, htm, html, imp, inf, ins, ipa, isp, its, js, jse, ksh, Lnk, lqy, mad, maf, mag, mam, maq, mar, mas, mat, mau, mav, maw, mda, mdb, mde, mdt, mdw, mdz, mht, mhtml, mscompress, msh, msh1, msh1xml, msh2, msh2xml, mshxml, msixbundle, o, obj, odp, ods, odt, one, onenote, ops, os2, package, pages, pbix, pcd, pdb, pdf, php, pkg, plg, plugin, pps, ppsm, ppsx, ppt, pptm, pptx, prf, prg, ps1, ps1xml, ps2, ps2xml, psc1, psc2, pst, pub, py, rar, rpm, rtf, scpt, service, sh, shb, shs, shtm, shx, so, tar, tarz, terminal, tgz, tmp, tool, url, vhd, vsd, vsdm, vsdx, vsmacros, vss, vssx, vst, vstm, vstx, vsw, w16, workflow, ws, xhtml, xla, xlam, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xnk, zi, zip, zipx.

일반적인 첨부 파일 필터에서 파일이 검색되면 NDR(배달 못 한 보고서)으로 메시지를 거부 하거나 메시지를 격리하도록 선택할 수 있습니다.

공통 첨부 파일 필터의 True 형식 일치

일반적인 첨부 파일 필터는 파일 이름 확장명과 관계없이 최상의 실제 형식 일치를 사용하여 파일 형식을 검색합니다. True 형식 일치는 파일 특성을 사용하여 실제 파일 형식(예: 파일의 선행 및 후행 바이트)을 결정합니다. 예를 들어 파일 이름 확장명으로 파일 이름이 바뀐 txt 경우 exe 일반적인 첨부 파일 필터는 파일을 파일로 exe 검색합니다.

일반적인 첨부 파일 필터의 True 형식 일치는 다음 파일 형식을 지원합니다.

7zip, ace, adoc, ani, arc, arj, asf, asice, avi, bmp, bz, bz2, cab, cda, chm, deb, dex, dll, dmg, doc, docm, docx, dot, dotm, dotx, dwg, eml, eps, epub, excelml, exe, fluid, gif, gzip, heic, heif, html, hyper, icon, ics, infopathml, jar, javabytecode, jnlp, jpeg, json, lib, lnk, lzh, lzma, macho, mhtml, mp3, mp4, mpeg, mpp, msaccess, mscompress, msg, msp, musx, nws, obd, obj, obt, odbcexcel, odc, odf, odg, odi, odm, odp, ods, odt, one, otc, otf, otg, oth, oti, otp, ots, ott, pal, pcx, pdf, pfb, pfile, pif, png, pointpub, pot, potm, potx, powerpointml, ppam, pps, ppsm, ppsx, ppt, pptm, pptx, ps, pub, qcp, quicktime, rar, rar4, riff, rmi, rpm, rpmsg, rtf, smime, swf, tar, tiff, tlb, tnef, ttf, txt, vcf, vcs, vdw, vdx, vsd, vsdm, vsdx, vss, vssm, vssx, vst, vstm, vstx, vsx, vtt, vtx, wav, webp, whiteboard, wmf, woff, woff2, word2, wordml, xar, xlam, xlb, xlc, xls, xlsb, xlsm, xlsx, xlt, xltm, xltx, xml, xps, xz, z, zip, zoo

true 형식 일치가 실패하거나 파일 형식에 대해 지원되지 않는 경우 간단한 확장 일치가 사용됩니다.

맬웨어 방지 정책의 ZAP(0시간 자동 제거)

맬웨어용 ZAP는 Exchange Online 사서함에 전달된 후 맬웨어가 포함된 것으로 확인된 메시지를 격리합니다. 기본적으로 맬웨어에 대한 ZAP는 켜져 있으며, 그대로 두는 것이 좋습니다. 자세한 내용은 맬웨어에 대한 ZAP(0시간 자동 제거)를 참조하세요.

맬웨어 방지 정책에서 정책 격리

격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 기본적으로 수신자는 맬웨어로 격리된 메시지에 대한 알림을 받지 못하며, 사용자는 관리자가 구성하는 사용 가능한 설정에 관계없이 자체 격리된 맬웨어 메시지를 해제할 수 없습니다. 자세한 내용은 격리 정책 분석을 참조하세요.

맬웨어 방지 정책에서 알림 관리

내부 또는 외부 보낸 사람의 메시지에서 검색된 맬웨어에 대한 알림을 받을 추가 받는 사람(관리자)을 지정할 수 있습니다. 내부 및 외부 알림에 대한 보낸 사람 주소, 제목 및 메시지 텍스트를 사용자 지정할 수 있습니다.

이러한 설정은 기본적으로 기본 맬웨어 방지 정책 또는 표준 또는 엄격한 사전 설정 보안 정책에서 구성되지 않습니다.

팁

관리 알림은 맬웨어로 분류된 첨부 파일에 대해서만 전송됩니다.

맬웨어 방지 정책에 할당된 격리 정책은 수신자가 맬웨어로 격리된 메시지에 대한 메일 알림 받을지 여부를 결정합니다.

맬웨어 방지 정책의 우선 순위

설정된 경우 표준 및 엄격한 사전 설정 보안 정책은 사용자 지정 맬웨어 방지 정책 또는 기본 정책 전에 적용됩니다(Strict는 항상 우선). 여러 사용자 지정 맬웨어 방지 정책을 만드는 경우 적용되는 순서를 지정할 수 있습니다. 첫 번째 정책이 적용된 후 정책 처리가 중지됩니다(해당 수신자에 대한 가장 높은 우선 순위 정책).

우선 순위 및 여러 정책을 평가하는 방법에 대한 자세한 내용은 미리 설정된 보안 정책 및 기타 정책의 전자 메일 보호 순서 및 우선 순위 및 우선 순위를 참조하세요.

기본 맬웨어 방지 정책

모든 organization 기본 제공 맬웨어 방지 정책인 Default에는 다음과 같은 속성이 있습니다.

• 그 정책이 기본 정책(IsDefault 속성의 값은 True)이고, 기본 정책은 삭제할 수 없습니다.
• 정책은 organization 모든 받는 사람에게 자동으로 적용되며 해제할 수 없습니다.
• 정책은 항상 마지막으로 적용됩니다( 우선 순위 값은 가장 낮 으며 변경할 수 없음).