Office 365용 Microsoft Defender 시작

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Office 365용 Microsoft Defender 포함되거나 추가 기능 구독으로 포함된 새 Microsoft 365 조직에서 이 문서에서는 EOP(Exchange Online Protection)및 Office 365용 Defender 수행해야 하는 구성 단계를 설명합니다. organization 초기 날짜입니다.

Microsoft 365 organization 만들거나 Office 365용 Defender 추가하는 순간부터 기본 보호 수준을 포함하지만 이 문서의 단계에서는 EOP 및 Office 365용 Defender 전체 보호 기능을 구현할 수 있는 실행 가능한 계획을 제공합니다. 단계를 완료한 후 이 문서를 사용하여 Microsoft 365에 대한 투자를 최대화하고 있음을 경영진에게 표시할 수도 있습니다.

EOP 및 Office 365용 Defender 구성하는 단계는 다음 다이어그램에 설명되어 있습니다.

팁

이 문서의 도우미로 에서 Office 365용 Microsoft Defender 자동화된 설치 가이드https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor를 사용하는 것이 좋습니다. 이 가이드에서는 사용자 환경에 따라 환경을 사용자 지정합니다. 자동화된 설치 기능을 로그인하고 활성화하지 않고 모범 사례를 검토하려면 의 Microsoft 365 설치 포털로 https://setup.microsoft.com/defender/office-365-setup-guide이동합니다.

요구 사항

Email 위협 방지 기능은 EOP를 통해 클라우드 사서함이 있는 모든 Microsoft 365 구독에 포함됩니다. Office 365용 Defender 추가 보호 기능이 포함되어 있습니다. EOP의 기능, 계획 1에 대한 Office 365용 Defender 및 Office 365용 Defender 플랜 2의 기능에 대한 자세한 비교는 Office 365용 Microsoft Defender 개요를 참조하세요.

역할 및 사용 권한

EOP 및 Office 365용 Defender 기능을 구성하려면 권한이 필요합니다. 다음 표에서는 이 문서의 단계를 수행하는 데 필요한 사용 권한을 나열합니다(이 권한만으로는 충분하지만 모두 필요하지는 않음).

역할 또는 역할 그룹	자세히 알아보기
Microsoft Entra 전역 관리자	기본 제공 역할 Microsoft Entra
Email & 협업 역할 그룹의 조직 관리	Office 365용 Microsoft Defender 역할 그룹
Microsoft Entra 보안 관리자	기본 제공 역할 Microsoft Entra
Email & 협업 역할 그룹의 보안 관리자	Office 365용 Microsoft Defender 공동 작업 권한 Email &
Exchange Online 조직 관리	Exchange Online의 사용 권한

1단계: Microsoft 365 도메인에 대한 전자 메일 인증 구성

요약: 모든 사용자 지정 Microsoft 365 도메인(주차된 도메인 및 하위 도메인 포함)에 대해 SPF, DKIM 및 DMARC 레코드를 순서대로 구성합니다. 필요한 경우 신뢰할 수 있는 ARC 실러를 구성합니다.

세부 정보

Email 인증(전자 메일 유효성 검사라고도 함)은 전자 메일 메시지가 합법적이고, 변경되지 않았으며, 보낸 사람의 전자 메일 도메인에 대한 예상 원본에서 제공되는지 확인하는 표준 그룹입니다. 자세한 내용은 EOP에서 Email 인증을 참조하세요.

Microsoft 365에서 전자 메일에 하나 이상의 사용자 지정 도메인 (예: contoso.com)을 사용한다는 가정 하에 진행합니다. 따라서 전자 메일에 사용하는 각 사용자 지정 도메인에 대해 특정 전자 메일 인증 DNS 레코드를 만들어야 합니다.

Microsoft 365의 전자 메일에 사용하는 각 사용자 지정 도메인에 대한 DNS 등록 기관 또는 DNS 호스팅 서비스에서 다음 이메일 인증 DNS 레코드를 Create.

• SPF(보낸 사람 정책 프레임워크): SPF TXT 레코드는 도메인의 보낸 사람이 보낸 전자 메일의 유효한 원본을 식별합니다. 자세한 내용은 스푸핑 방지를 위해 SPF 설정을 참조하세요.

• DomainKeys DKIM(식별 메일): DKIM은 아웃바운드 메시지를 서명하고 메시지 전달에서 유지되는 메시지 헤더에 서명을 저장합니다. 지침은 DKIM을 사용하여 사용자 지정 도메인에서 보낸 아웃바운드 전자 메일의 유효성 검사를 참조하세요.

• DMARC(도메인 기반 메시지 인증, 보고 및 규칙): DMARC는 대상 전자 메일 서버가 SPF 및 DKIM 검사에 실패한 사용자 지정 도메인의 메시지로 수행할 작업을 결정하는 데 도움이 됩니다. DMARC 레코드에 DMARC 정책(p=reject 또는 p=quarantine) 및 DMARC 보고서 대상(집계 및 포렌식 보고서)을 포함해야 합니다. 자세한 내용은 DMARC를 사용하여 전자 메일 유효성 검사를 참조하세요.

• ARC(인증된 수신 체인): Microsoft 365로 배달하기 전에 전송 중인 인바운드 메시지를 수정하는 타사 서비스를 사용하는 경우 수정된 메시지가 Microsoft 365에서 전자 메일 인증 검사에 자동으로 실패하지 않도록 서비스를 신뢰할 수 있는 ARC Sealer (지원되는 경우)로 식별할 수 있습니다. 자세한 내용은 신뢰할 수 있는 ARC 실러 구성을 참조하세요.

전자 메일에 *.onmicrosoft.com 도메인(Microsoft Online Email 라우팅 주소 또는 MOERA 도메인이라고도 함)을 사용하는 경우 다음을 수행할 수 있는 작업은 거의 없습니다.

• SPF: *.onmicrosoft.com 도메인에 대해 SPF 레코드가 이미 구성되어 있습니다.
• DKIM: DKIM 서명은 *.onmicrosoft.com 도메인을 사용하여 아웃바운드 메일에 대해 이미 구성되어 있지만 수동으로 사용자 지정할 수도 있습니다.
• DMARC: 여기에 설명된 대로 *.onmicrosoft.com 도메인에 대한 DMARC 레코드를 수동으로 설정해야 합니다.

2단계: 보호 정책 구성

요약: 모든 수신자에 대해 표준 및/또는 엄격한 사전 설정 보안 정책을 켜고 사용합니다. 또는 비즈니스에 필요한 경우 대신 사용자 지정 보호 정책을 만들고 사용하지만 구성 분석기를 사용하여 주기적으로 검사.

세부 정보

상상할 수 있듯이 EOP 및 Office 365용 Defender 많은 보호 정책을 사용할 수 있습니다. 다음과 같은 세 가지 기본 유형의 보호 정책이 있습니다.

• 기본 정책: 이러한 정책은 organization 만들어지는 순간부터 존재합니다. organization 모든 수신자에게 적용되며 정책을 끌 수 없으며 정책이 적용되는 사람을 수정할 수 없습니다. 그러나 사용자 지정 정책과 마찬가지로 정책에서 보안 설정을 수정할 수 있습니다. 기본 정책의 설정은 EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정의 표에 설명되어 있습니다.

• 사전 설정된 보안 정책: 사전 설정 보안은 실제로 EOP에서 사용 가능한 대부분의 보호 정책을 포함하고 특정 보호 수준에 맞게 조정된 설정이 있는 Office 365용 Defender 프로필입니다. 미리 설정된 보안 정책은 다음과 같습니다.

  • 엄격한 사전 설정 보안 정책입니다.
  • 표준 미리 설정된 보안 정책입니다.
  • 기본 제공 보호.

  표준 및 엄격한 미리 설정된 보안 정책은 기본적으로 켜기 전까지 꺼집니다. EOP 보호 기능에 대한 수신자 조건 및 예외(사용자, 그룹 구성원, 도메인 또는 모든 수신자)를 지정하고 표준 및 엄격한 사전 설정된 보안 정책 내에서 보호 기능을 Office 365용 Defender.

  Office 365용 Defender 기본 제공 보호는 기본적으로 모든 수신자에 대한 기본 안전한 첨부 파일 및 안전한 링크 보호를 제공하기 위해 설정됩니다. 수신자 예외를 지정하여 보호를 받지 못하는 사용자를 식별할 수 있습니다.

  Office 365용 Defender 조직의 표준 및 엄격한 사전 설정 보안 정책에서 사용자 및 도메인 가장 보호에 대한 항목 및 선택적 예외를 구성해야 합니다. 다른 모든 설정은 권장되는 표준 및 엄격한 값에 잠깁니다(대부분은 동일합니다). EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정의 표에서 표준 및 Strict 값을 볼 수 있으며 여기에서 Standard와 Strict의 차이점을 확인할 수 있습니다.

  EOP 및 Office 365용 Defender 새로운 보호 기능이 추가되고 보안 환경이 변경되면 미리 설정된 보안 정책의 설정이 권장 설정으로 자동으로 업데이트됩니다.

• 사용자 지정 정책: 대부분의 사용 가능한 보호 정책의 경우 원하는 수의 사용자 지정 정책을 만들 수 있습니다. 받는 사람 조건 및 예외(사용자, 그룹 구성원 또는 도메인)를 사용하여 사용자에게 정책을 적용할 수 있으며 설정을 사용자 지정할 수 있습니다.

이전 정보와 관련된 보호 정책은 다음 표에 요약되어 있습니다.

	기본 정책	보안 정책 미리조정	사용자 지정 정책
EOP 보호 정책:
맬웨어 방지	✔	✔	✔
스팸 방지	✔	✔	✔
피싱 방지(스푸핑 방지)	✔	✔	✔
아웃바운드 스팸	✔		✔
연결 필터링	✔¹
Office 365용 Defender 정책:
피싱 방지(스푸핑 보호) 플러스: 가장 보호 고급 피싱 임곗값	✔²	✔²	✔
안전한 링크	³	✔	✔
안전한 첨부 파일	³	✔	✔
일반 동작
기본적으로 보호가 켜지나요?	✔	⁴
보호에 대한 조건/예외를 구성하나요?		✔⁵	✔
보안 설정을 사용자 지정?	✔	⁶	✔
보호 설정이 자동으로 업데이트된가요?		✔

1 IP 허용 목록 또는 IP 차단 목록에는 기본 항목이 없으므로 설정을 사용자 지정하지 않는 한 기본 연결 필터 정책이 효과적으로 아무 작업도 수행하지 않습니다.

² 구성될 때까지 Office 365용 Defender 사용자 가장 또는 도메인 가장 보호에 대한 항목 또는 선택적 예외가 없습니다.

Office 365용 Defender 기본 안전한 첨부 파일 또는 안전한 링크 정책은 없지만 기본 제공 보호는 항상 켜져 있는 기본 안전한 첨부 파일 및 안전한 링크 보호를 제공합니다.

기본 제공 보호(Office 365용 Defender 안전한 첨부 파일 및 안전한 링크 보호)는 기본적으로 켜져 있는 유일한 미리 설정된 보안 정책입니다.

표준 및 엄격한 사전 설정 보안 정책의 경우 EOP 및 Office 365용 Defender 보호에 대해 별도의 수신자 조건 및 선택적 예외를 구성할 수 있습니다. Office 365용 Defender 기본 제공 보호의 경우 보호에서 받는 사람 예외만 구성할 수 있습니다.

미리 설정된 보안 정책에서 사용자 지정할 수 있는 유일한 보안 설정은 Office 365용 Defender 표준 및 엄격한 사전 설정 보안 정책의 사용자 가장 보호 및 도메인 가장 보호에 대한 항목 및 선택적 예외입니다.

보호 정책의 우선 순위

보호 정책을 적용하는 방법은 사용자에 대한 보안 설정을 구성하는 방법을 결정할 때 중요한 고려 사항입니다. 기억해야 할 중요한 점은 다음과 같습니다.

• 보호 기능에는 구성할 수 없는 처리 순서가 있습니다. 예를 들어 들어오는 메시지는 스팸 전에 항상 맬웨어에 대해 평가됩니다.
• 특정 기능의 보호 정책(스팸 방지, 맬웨어 방지, 피싱 방지 등)은 특정 우선 순위 순서로 적용됩니다(나중에 우선 순위에 대한 자세한 내용).
• 사용자가 의도적으로 또는 의도치 않게 특정 기능의 여러 정책에 포함된 경우 사용자가 정의된 해당 기능에 대한 첫 번째 보호 정책(우선 순위에 따라)은 항목(메시지, 파일, URL 등)에 대한 작업을 결정합니다.
• 첫 번째 보호 정책이 사용자의 특정 항목에 적용되면 해당 기능에 대한 정책 처리가 중지됩니다. 해당 기능의 보호 정책은 해당 사용자 및 특정 항목에 대해 더 이상 평가되지 않습니다.

우선 순위는 미리 설정된 보안 정책 및 기타 정책에 대한 우선 순위 순서에 자세히 설명되어 있지만 여기서는 간략하게 요약됩니다.

1. 사전 설정된 보안 정책의 보호 정책:
   1. 엄격한 사전 설정 보안 정책입니다.
   2. 표준 미리 설정된 보안 정책입니다.
2. 특정 기능의 사용자 지정 보호 정책(예: 맬웨어 방지 정책). 각 사용자 지정 정책에는 동일한 기능의 다른 보호 정책과 관련하여 정책이 적용되는 순서를 결정하는 우선 순위 값이 있습니다.
   1. 우선 순위 값이 0인 사용자 지정 정책입니다.
   2. 우선 순위 값이 1인 사용자 지정 정책입니다.
   3. 그리고 등등.
3. 특정 기능(예: 맬웨어 방지) 또는 Office 365용 Defender 기본 제공 보호(안전한 링크 및 안전한 첨부 파일)의 기본 보호 정책입니다.

이전 표를 참조하여 특정 보호 정책이 우선 순위 순서로 표시되는 방식을 확인합니다. 예를 들어 맬웨어 방지 정책은 각 수준에 있습니다. 아웃바운드 스팸 정책은 사용자 지정 정책 및 기본 정책 수준에서 사용할 수 있습니다. 연결 필터 정책은 기본 정책 수준에서만 사용할 수 있습니다.

혼동과 의도하지 않은 정책 적용을 방지하려면 다음 지침을 사용합니다.

• 각 수준에서 명확한 그룹 또는 받는 사람 목록을 사용합니다. 예를 들어 표준 및 엄격한 사전 설정 보안 정책에 다른 그룹 또는 받는 사람 목록을 사용합니다.
• 필요에 따라 각 수준에서 예외를 구성합니다. 예를 들어 표준 및 엄격한 사전 설정 보안 정책에 대한 예외로 사용자 지정 정책이 필요한 받는 사람을 구성합니다.
• 상위 수준에서 식별되지 않은 나머지 받는 사람은 기본 정책 또는 Office 365용 Defender 기본 제공 보호(안전한 링크 및 안전한 첨부 파일)를 받습니다.

이 정보로 무장하면 organization 보호 정책을 구현하는 가장 좋은 방법을 결정할 수 있습니다.

보호 정책 전략 결정

이제 다양한 유형의 보호 정책 및 정책 적용 방법을 알게 되었으므로 EOP 및 Office 365용 Defender 사용하여 organization 사용자를 보호하는 방법을 결정할 수 있습니다. 귀하의 결정은 필연적으로 다음 스펙트럼 내 어딘가에 있습니다.

• 표준 미리 설정된 보안 정책만 사용합니다.
• 표준 및 엄격한 사전 설정 보안 정책을 사용합니다.
• 미리 설정된 보안 정책 및 사용자 지정 정책을 사용합니다.
• 사용자 지정 정책만 사용합니다.

기본 정책(및 Office 365용 Defender 기본 제공 보호)은 organization 모든 받는 사람(표준 또는 엄격한 사전 설정된 보안 정책 또는 사용자 지정 정책에 정의되지 않은 사람)을 자동으로 보호합니다. 따라서 아무 것도 수행하지 않더라도 organization 모든 수신자는 EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정에 설명된 대로 기본 보호를 받습니다.

또한 초기 결정에 영원히 갇혀 있지 않다는 것을 깨닫는 것도 중요합니다. 권장 설정 테이블의 정보와 Standard 및 Strict의 비교 테이블을 통해 정보에 입각한 결정을 내릴 수 있습니다. 그러나 필요, 결과 또는 상황이 변경되면 나중에 다른 전략으로 전환하는 것은 어렵지 않습니다.

그렇지 않은 경우를 나타내는 매력적인 비즈니스 요구가 없으면 organization 모든 사용자에 대한 표준 사전 설정 보안 정책부터 시작하는 것이 좋습니다. 사전 설정된 보안 정책은 Microsoft 365 데이터 센터의 수년간의 관찰을 기반으로 하는 설정으로 구성되며 대부분의 조직에 적합한 선택이어야 합니다. 또한 보안 환경의 위협에 맞게 정책이 자동으로 업데이트됩니다.

미리 설정된 보안 정책에서 모든 수신자 옵션을 선택하여 organization 모든 받는 사람에게 보호를 쉽게 적용할 수 있습니다.

표준 사전 설정 보안 정책에 일부 사용자와 나머지 사용자를 표준 사전 설정 보안 정책에 포함하려는 경우 다음 방법을 사용하여 이 문서의 앞부분에서 설명한 대로 우선 순위 순서 를 고려해야 합니다.

• 각 미리 설정된 보안 정책에서 명확한 그룹 또는 받는 사람 목록을 사용합니다.

  또는

• 표준 미리 설정된 보안 정책의 설정을 엄격한 사전 설정된 보안 정책의 예외로 가져와야 하는 받는 사람을 구성합니다.

다음 보호 기능 구성은 미리 설정된 보안 정책의 영향을 받지 않습니다(미리 설정된 보안 정책을 사용하고 이러한 보호 설정을 독립적으로 구성할 수도 있음).

• 아웃바운드 스팸 정책(사용자 지정 및 기본값)
• 기본 연결 필터 정책(IP 허용 목록 및 IP 차단 목록)
• SharePoint, OneDrive 및 Microsoft Teams용 안전한 첨부 파일을 전역적으로 켜기
• 안전한 문서를 전역적으로 켜고 구성합니다(Office 365용 Defender 포함되지 않은 라이선스(예: Microsoft 365 A5 또는 Microsoft 365 E5 Security)에서만 사용 가능하고 의미 있음)

미리 설정된 보안 정책을 켜고 구성하려면 EOP 및 Office 365용 Microsoft Defender 보안 정책 사전 설정을 참조하세요.

사전 설정된 보안 정책 대신 사용자 지정 정책을 사용하기로 결정하는 것은 궁극적으로 다음과 같은 비즈니스 요구 사항에 따라 결정됩니다.

• 사용자는 미리 설정된 보안 정책의 수정할 수 없는 설정과 다른 보안 설정이 필요합니다(정크 대 격리 또는 그 반대의 경우, 안전 팁 없음, 사용자 지정 수신자에게 알림 등).
• 사용자는 미리 설정된 보안 정책에서 구성되지 않은 설정(예: 특정 국가 또는 스팸 방지 정책의 특정 언어에서 전자 메일 차단)이 필요합니다.
• 사용자는 미리 설정된 보안 정책에서 수정할 수 없는 설정과 다른 격리 환경 이 필요합니다. 격리 정책은 메시지가 격리된 이유와 수신자에게 격리된 메시지에 대해 알림을 받는지 여부에 따라 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의합니다. 기본 최종 사용자 격리 환경은 여기 표에 요약되어 있으며 표준 및 엄격한 사전 설정 보안 정책에 사용되는 격리 정책은 여기 표에 설명되어 있습니다.

EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정의 정보를 사용하여 사용자 지정 정책 또는 기본 정책의 사용 가능한 설정과 표준 및 엄격한 미리 설정된 보안 정책에 구성된 설정을 비교합니다.

특정 기능에 대한 여러 사용자 지정 정책(예: 맬웨어 방지 정책)에 대한 디자인 지침은 다음과 같습니다.

• 사용자 지정 정책의 사용자는 우선 순위로 인해 표준 또는 엄격한 사전 설정 보안 정책에 포함될 수 없습니다.
• 우선 순위가 높은 정책에 더 적은 사용자를 할당하고 더 많은 사용자를 낮은 우선 순위 정책에 할당합니다.
• 우선 순위가 낮은 정책(기본 정책 포함)보다 더 엄격하거나 더 특수한 설정을 갖도록 우선 순위가 높은 정책을 구성합니다.

사용자 지정 정책을 사용하기로 결정한 경우 구성 분석기를 사용하여 정책의 설정을 표준 및 엄격한 미리 설정된 보안 정책의 권장 설정과 주기적으로 비교합니다.

3단계: 관리자에게 권한 할당

요약: Azure Active Directory의 보안 관리자 역할을 다른 관리자, 전문가 및 지원 센터 담당자에게 할당하여 EOP 및 Office 365용 Defender 작업을 수행할 수 있습니다.

세부 정보

이 배포 가이드의 모든 작업을 수행하기 위해 Microsoft 365에 등록하는 데 사용한 초기 계정을 이미 사용하고 있을 것입니다. 해당 계정은 Microsoft 365의 모든 위치에서 관리자(특히 Azure Active Directory(Azure AD)의 전역 관리자 역할의 구성원임)이며 거의 모든 작업을 수행할 수 있습니다. 필요한 권한은 이 문서의 앞부분에서 역할 및 권한에 대해 설명했습니다.

그러나 이 단계의 목적은 나중에 EOP 및 Office 365용 Defender 기능을 관리하는 데 도움이 되도록 다른 관리자를 구성하는 것입니다. 원하지 않는 것은 글로벌 관리자 권한이 있는 많은 사람들이 필요하지 않은 것입니다. 예를 들어 계정을 삭제/만들거나 다른 사용자를 전역 관리자로 만들어야 할까요? 최소 권한의 개념(작업을 수행하는 데 필요한 권한만 할당하고 그 이상은 할당하지 않음)을 따르는 것이 좋습니다.

EOP 및 Office 365용 Defender 작업에 대한 권한을 할당하는 경우 다음 옵션을 사용할 수 있습니다.

• Microsoft Entra 권한: 이러한 권한은 Microsoft 365(Exchange Online, SharePoint Online, Microsoft Teams 등)의 모든 워크로드에 적용됩니다.
• Exchange Online 권한: EOP 및 Office 365용 Defender 대부분의 작업은 Exchange Online 권한을 사용하여 사용할 수 있습니다. Exchange Online 권한만 할당하면 다른 Microsoft 365 워크로드에서 관리 액세스가 방지됩니다.
• Microsoft Defender 포털에서 협업 권한 Email &: EOP 및 Office 365용 Defender 일부 보안 기능의 관리는 Email & 협업 권한과 함께 사용할 수 있습니다. 예시:
  • 구성 분석기
  • 격리 관리 및 격리 정책 관리
  • 관리 제출 및 사용자 보고 메시지 검토
  • 사용자 태그

간단히 하기 위해 EOP 및 Office 365용 Defender 설정을 구성해야 하는 다른 사용자를 위해 Azure AD 보안 관리자 역할을 사용하는 것이 좋습니다.

자세한 내용은 사용자에게 Microsoft Entra 역할 할당 및 Azure Active Directory 전역 역할을 사용하여 Microsoft Defender XDR 대한 액세스 관리를 참조하세요.

4단계: 우선 순위 계정 및 사용자 태그

요약: 보고서 및 조사에서 더 쉽게 식별할 수 있도록 organization 적절한 사용자를 식별하고 태그를 우선 순위 계정으로 지정하고 Office 365용 Defender 우선 순위 계정 보호를 받습니다. Office 365용 Defender 플랜 2에서 사용자 지정 사용자 태그를 만들고 적용하는 것이 좋습니다.

세부 정보

Office 365용 Defender 우선 순위 계정을 사용하면 보고서 및 조사에서 쉽게 식별할 수 있도록 최대 250명의 고가용성 사용자에 태그를 지정할 수 있습니다. 또한 이러한 우선 순위 계정은 일반 직원에게 도움이 되지 않는 추가 추론을 받습니다. 자세한 내용은 우선 순위 계정 관리 및 모니터링 및Office 365용 Microsoft Defender 우선 순위 계정 보호 구성 및 검토를 참조하세요.

Office 365용 Defender 플랜 2에서는 사용자 지정 사용자 태그를 만들고 적용하여 보고서 및 조사에서 특정 사용자 그룹을 쉽게 식별할 수 있습니다. 자세한 내용은 Office 365용 Microsoft Defender 사용자 태그를 참조하세요.

우선 순위 계정으로 태그를 지정할 적절한 사용자를 식별하고 사용자 지정 사용자 태그를 만들고 적용해야 하는지 여부를 결정합니다.

5단계: 사용자가 보고한 메시지 설정 검토 및 구성

요약: 사용자가 Outlook에서 가양성 및 거짓 부정을 보고할 수 있도록 보고서 메시지 또는 보고서 피싱 추가 기능 또는 지원되는 타사 도구를 배포하여 Defender 포털의 제출 페이지의 사용자 보고 탭에서 관리자가 보고한 메시지를 사용할 수 있도록 합니다. 보고된 메시지가 지정된 보고 사서함, Microsoft 또는 둘 다로 이동되도록 organization 구성합니다.

세부 정보

EOP 및 Office 365용 Defender 보호 설정을 모니터링하고 조정하려면 잘못된 메시지(가양성) 또는 잘못된 메시지 허용(거짓 부정)으로 표시된 좋은 메시지를 보고하는 사용자의 기능이 중요합니다.

사용자 메시지 보고의 중요한 부분은 다음과 같습니다.

• 사용자가 메시지를 보고하려면 어떻게 해야 하나요?: 클라이언트가 다음 방법 중 하나를 사용하므로 보고된 메시지가 Defender 포털https://security.microsoft.com/reportsubmission?viewid=user의 제출 페이지의 사용자 보고 탭에 표시되는지 확인합니다.

• 웹용 Outlook 기본 제공 보고서 단추(이전의 Outlook Web App 또는 OWA)입니다.

• Outlook 및 웹용 Outlook 대한 Microsoft 보고서 메시지 또는 보고서 피싱 추가 기능입니다.

• 지원되는 메시지 제출 형식을 사용하는 타사 보고 도구입니다.

• 사용자가 보고한 메시지는 어디로 이동합니까?: 다음과 같은 옵션이 있습니다.

  • 지정된 보고 사서함 및 Microsoft로 이동합니다(기본값임).
  • 지정된 보고 사서함에만 해당합니다.
  • Microsoft에만 해당합니다.

  사용자가 보고한 메시지를 수집하는 데 사용되는 기본 사서함은 전역 관리자의 사서함(organization 초기 계정)입니다. 사용자가 보고한 메시지를 organization 보고 사서함으로 이동하려면 사용할 단독 사서함을 만들고구성해야 합니다.

  사용자가 보고한 메시지도 분석을 위해 Microsoft로 이동하도록 할지(또는 지정된 보고 사서함으로의 배달과 함께) 사용자에게 달려 있습니다.

  사용자가 보고한 메시지를 지정된 보고 사서함으로만 이동하려면 관리자는 의 Defender 포털https://security.microsoft.com/reportsubmission?viewid=user에 있는 제출 페이지의 사용자 보고 탭에서 분석을 위해 사용자가 보고한 메시지를 Microsoft에 수동으로 제출해야 합니다.

  사용자가 보고한 메시지를 Microsoft에 제출하는 것은 필터를 학습하고 개선할 수 있도록 하는 것이 중요합니다.

사용자가 보고한 메시지 설정에 대한 자세한 내용은 사용자 보고 설정을 참조하세요.

6단계: 항목 차단 및 허용

요약: Office 365용 Defender 메시지, 파일 및 URL을 차단하고 허용하는 절차를 숙지합니다.

세부 정보

Defender 포털의 다음 위치에서 메시지 보낸 사람, 파일 및 URL을 차단하고 (일시적으로) 허용하는 방법을 숙지해야 합니다.

• 의 테넌트 허용/차단 목록입니다https://security.microsoft.com/tenantAllowBlockList.
• 의 제출 페이지 https://security.microsoft.com/reportsubmission입니다.
• 의 스푸핑 인텔리전스 인사이트 페이지https://security.microsoft.com/spoofintelligence입니다.

일반적으로 허용보다 블록을 만드는 것이 더 쉽습니다. 불필요한 허용 항목이 시스템에 의해 필터링되었을 악성 전자 메일에 organization 노출하기 때문입니다.

• 블록:

  • 테넌트 허용/차단 목록의 해당 탭에서 도메인 및 전자 메일 주소, 파일 및 URL 에 대한 블록 항목을 만들고 제출 페이지에서 분석을 위해 Microsoft에 항목을 제출할 수 있습니다 . Microsoft에 항목을 제출하면 해당 블록 항목도 테넌트 허용/차단 목록에 만들어집니다.

    팁

    organization 사용자는 테넌트 허용/차단 목록의 블록 항목에 지정된 도메인 또는 전자 메일 주소로 전자 메일을 보낼 수도 없습니다.

  • 스푸핑 인텔리전스로 차단된 메시지는 스푸핑 인텔리전스 페이지에 표시됩니다. 허용 항목을 블록 항목으로 변경하면 보낸 사람이 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에서 수동 블록 항목이 됩니다. 스푸핑된 보낸 사람 탭에서 아직 스푸핑되지 않은 보낸 사람의 블록 항목을 사전에 만들 수도 있습니다.

• 허용:

  • 테넌트 허용/차단 목록의 해당 탭에서 도메인 및 전자 메일 주소, 파일 및 URL 에 대한 허용 항목을 직접 만들 수 없습니다. 대신 제출 페이지를 사용하여 항목을 Microsoft에 보고합니다. Microsoft에 항목을 보고할 때 항목을 허용하도록 선택할 수 있습니다. 그러면 테넌트 허용/차단 목록에 해당 임시 허용 항목이 만들어집니다.

  • 스푸핑 인텔리전스에서 허용하는 메시지는 스푸핑 인텔리전스 페이지에 표시됩니다. 블록 항목을 허용 항목으로 변경하면 보낸 사람이 테넌트 허용/차단 목록 의 스푸핑된 보낸 사람 탭에서 수동 허용 항목이 됩니다. 스푸핑된 보낸 사람 탭에서 아직 스푸핑되지 않은 보낸 사람의 허용 항목을 사전에 만들 수도 있습니다.

자세한 내용은 다음 문서를 참조하세요.

• 테넌트 허용/차단 목록을 사용하여 전자 메일 허용 또는 차단
• 테넌트 허용/차단 목록을 사용하여 파일 허용 또는 차단
• 테넌트 허용/차단 목록을 사용하여 URL 허용 또는 차단
• 제출 페이지를 사용하여 의심스러운 스팸, 피싱, URL, 합법적인 전자 메일 차단 및 전자 메일 첨부 파일을 Microsoft에 제출합니다.
• 스푸핑 인텔리전스 평결 재정의

7단계: 공격 시뮬레이션 훈련 사용하여 피싱 시뮬레이션 시작

Office 365용 Defender 플랜 2에서 공격 시뮬레이션 훈련 시뮬레이션된 피싱 메시지를 사용자에게 보내고 응답 방식에 따라 학습을 할당할 수 있습니다. 다음 옵션을 사용할 수 있습니다.

• 기본 제공 또는 사용자 지정 페이로드를 사용하는 개별 시뮬레이션
• 여러 페이로드 및 자동화된 예약을 사용하여 실제 피싱 공격에서 가져온 시뮬레이션 자동화입니다.
• 캠페인을 시작하고 사용자가 학습이 할당되기 전에 시뮬레이션된 피싱 메시지에서 링크를 클릭하거나 첨부 파일을 다운로드할 때까지 기다릴 필요가 없는 교육 전용 캠페인입니다.

자세한 내용은 공격 시뮬레이션 훈련 사용을 참조하세요.

8단계: 조사 및 응답

초기 설정이 완료되었으므로 Office 365용 Microsoft Defender 보안 운영 가이드의 정보를 사용하여 organization 위협을 모니터링하고 조사합니다.