Office 365용 Microsoft Defender Email 엔터티 페이지

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

구독에 포함되거나 추가 기능으로 구매한 Office 365용 Microsoft Defender 있는 Microsoft 365 조직에는 Email 엔터티 페이지가 있습니다. Microsoft Defender 포털의 Email 엔터티 페이지에는 전자 메일 메시지 및 관련 엔터티에 대한 자세한 정보가 포함되어 있습니다.

이 문서에서는 Email 엔터티 페이지의 정보와 작업을 설명합니다.

Email 엔터티 페이지에 대한 권한 및 라이선스

Email 엔터티 페이지를 사용하려면 권한이 할당되어야 합니다. 권한 및 라이선스는 위협 Explorer(Explorer) 및 실시간 검색과 동일합니다. 자세한 내용은 위협 Explorer 및 실시간 검색에 대한 권한 및 라이선스를 참조하세요.

Email 엔터티 페이지를 찾을 수 있는 위치

Defender 포털의 최상위 수준에서 Email 엔터티 페이지에 대한 직접 링크가 없습니다. 대신 전자 메일 엔터티 열기 작업은 여러 Office 365용 Defender 기능의 이메일 세부 정보 플라이아웃 맨 위에서 사용할 수 있습니다. 이 전자 메일 세부 정보 플라이아웃을 Email 요약 패널이라고 하며 Email 엔터티 페이지에 요약된 정보 하위 집합이 포함되어 있습니다. 전자 메일 요약 패널은 Office 365용 Defender 기능에서 동일합니다. 자세한 내용은 이 문서의 뒷부분에 있는 Email 요약 패널 섹션을 참조하세요.

이메일 엔터티 열기 작업이 있는 Email 요약 패널은 다음 위치에서 사용할 수 있습니다.

• 의 고급 헌팅 페이지에서 https://security.microsoft.com/v2/advanced-hunting: 전자 메일 관련 쿼리의 결과 탭에서 표에 있는 항목의 NetworkMessageId 값을 클릭합니다.

• *의 경고 페이지에서 https://security.microsoft.com/alerts: 검색 원본 값 MDO 또는 제품 이름 값이 Office 365용 Microsoft Defender 경고 의 경우 경고 이름 값을 클릭하여 항목을 선택합니다. 열리는 경고 세부 정보 페이지에서 메시지 목록 섹션에서 메시지를 선택합니다.

• 의 위협 방지 상태 보고서에서 https://security.microsoft.com/reports/TPSEmailPhishReportATP

  • 피싱을 Email > 데이터 보기 및 사용 가능한 차트 분석 선택 항목을 선택합니다. 차트 아래의 세부 정보 테이블에서 첫 번째 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 항목을 선택합니다.
  • 맬웨어 및 사용 가능한 차트 분석 선택 항목을 Email > 데이터 보기를 선택합니다. 차트 아래의 세부 정보 테이블에서 첫 번째 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 항목을 선택합니다.
  • 스팸 및 사용 가능한 차트 분석 선택 항목을 Email > 데이터 보기를 선택합니다. 차트 아래의 세부 정보 테이블에서 첫 번째 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 항목을 선택합니다.

• (위협 Explorer)의 https://security.microsoft.com/threatexplorerv3 Explorer 페이지 또는 의 실시간 검색 페이지에서 https://security.microsoft.com/realtimereportsv3 다음 방법 중 하나를 사용합니다.

  • 위협 Explorer 모든 전자 메일 보기가 선택되어 > 있는지 확인하여 세부 정보 영역의 Email 탭(보기)이 선택되어 > 있는지 확인합니다. 항목에서 제목 값을 클릭합니다.
  • 위협 Explorer 또는 실시간 검색에서 맬웨어 보기를 > 선택하여 세부 정보 영역의 Email 탭(보기)이 선택되어 > 있는지 확인합니다. 항목에서 제목 값을 클릭합니다.
  • 위협 Explorer 또는 실시간 검색에서 피싱 보기를 > 선택하여 세부 정보 영역의 Email 탭(보기)이 선택되어 > 있는지 확인하여 항목에서 제목 값을 클릭합니다.

• 의 인시던트 페이지에서 https://security.microsoft.com/incidents제품 이름 값이 Office 365용 Microsoft Defender 인시던트인 경우 인시던트 이름 값을 클릭하여 인시던트 를 선택합니다. 열리는 인시던트 세부 정보 페이지에서 증거 및 응답 탭(보기)을 선택합니다. 모든 증명 정보 탭 및 엔터티 형식 값 Email 또는 전자 메일 탭에서 검사 상자가 아닌 행의 아무 곳이나 클릭하여 항목을 선택합니다.

• 의 격리 페이지에서 https://security.microsoft.com/quarantine: Email 탭이 선택되어 > 있는지 확인하려면 검사 상자 이외의 행의 아무 곳이나 클릭하여 항목을 선택합니다.

• 의 제출 페이지에서https://security.microsoft.com/reportsubmission:

  • 전자 메일 탭 > 을 선택하면 검사 상자가 아닌 행의 아무 곳이나 클릭하여 항목을 선택합니다.
  • 사용자 보고 탭 > 을 선택하면 검사 상자가 아닌 행의 아무 곳이나 클릭하여 항목을 선택합니다.

Email 엔터티 페이지의 내용

페이지 왼쪽의 세부 정보 창에는 메시지에 대한 세부 정보가 포함된 축소 가능한 섹션이 포함되어 있습니다. 이러한 섹션은 페이지에 있는 한 일정하게 유지됩니다. 사용 가능한 섹션은 다음과 같습니다.

• 태그 섹션. 보낸 사람 또는 받는 사람에게 할당된 사용자 태그(우선 순위 계정 포함)를 표시합니다. 사용자 태그에 대한 자세한 내용은 Office 365용 Microsoft Defender 사용자 태그를 참조하세요.

• 검색 세부 정보 섹션:

  • 원래 위협

  • 원래 배달 위치:

    • 지운 편지함 폴더
    • 떨어졌다
    • 배달 실패
    • 받은 편지함 폴더
    • 정크 Email 폴더
    • 외부:
    • 격리
    • 알 수 없음

  • 최신 위협

  • 최신 배달 위치: 메시지의 시스템 작업(예: ZAP) 또는 메시지의 관리자 작업(예: 지운 편지함으로 이동) 이후의 메시지 위치입니다. 메시지에 대한 사용자 작업(예: 메시지 삭제 또는 보관)이 표시되지 않으므로 이 값이 메시지의 현재 위치를 보장하지는 않습니다.

    팁

    원래 배달 위치최신 배달 위치/ 및/또는 배달 작업에알 수 없음 값이 있는 시나리오가 있습니다. 예시:

    • 메시지가 배달되었지만(배달 작업은배달됨) 받은 편지함 규칙에서 받은 편지함 또는 정크 Email 폴더(예: 초안 또는 보관 폴더)가 아닌 기본 폴더로 메시지를 이동했습니다.
    • ZAP는 배달 후 메시지를 이동하려고 했지만 메시지를 찾을 수 없습니다(예: 사용자가 메시지를 이동하거나 삭제함).

  • 검색 기술:

    • 고급 필터: 기계 학습을 기반으로 하는 피싱 신호입니다.
    • 캠페인: 캠페인의 일부로 식별된 메시지입니다.
    • 파일 폭발: 안전한 첨부 파일이 폭발 분석 중에 악성 첨부 파일을 감지했습니다.
    • 파일 폭발 평판: 이전에 다른 Microsoft 365 조직에서 안전한 첨부 파일 폭발에 의해 검색된 파일 첨부 파일입니다.
    • 파일 신뢰도: 메시지에는 이전에 다른 Microsoft 365 조직에서 악성으로 식별된 파일이 포함되어 있습니다.
    • 지문 일치: 메시지는 이전에 검색된 악성 메시지와 유사합니다.
    • 일반 필터: 분석가 규칙을 기반으로 하는 피싱 신호입니다.
    • 가장 브랜드: 잘 알려진 브랜드의 발신자 가장.
    • 가장 도메인: 피싱 방지 정책에서 보호를 위해 소유하거나 지정한 보낸 사람 도메인의 가장입니다.
    • 가장 사용자: 피싱 방지 정책에 지정하거나 사서함 인텔리전스를 통해 학습한 보호된 보낸 사람의 가장입니다.
    • 사서함 인텔리전스 가장: 피싱 방지 정책의 사서함 인텔리전스에서 가장 검색.
    • 혼합 분석 검색: 여러 필터가 메시지 평결에 기여했습니다.
    • DMARC 스푸핑: 메시지가 DMARC 인증에 실패했습니다.
    • 외부 도메인 스푸핑: organization 외부에 있는 도메인을 사용하여 보낸 사람 전자 메일 주소 스푸핑
    • 조직 내 스푸핑: organization 내부 도메인을 사용하여 보낸 사람 전자 메일 주소 스푸핑
    • URL 폭발: 안전한 링크 가 폭발 분석 중에 메시지에서 악의적인 URL을 검색했습니다.
    • URL 폭발 평판: 이전에 다른 Microsoft 365 조직에서 안전한 링크 폭발에 의해 검색된 URL입니다.
    • URL 악성 평판: 메시지에는 이전에 다른 Microsoft 365 조직에서 악성으로 식별된 URL이 포함되어 있습니다.

  • 배달 작업:

    • 배달됨
    • 정크
    • 차단됨

  • 기본 재정의: 원본

    • 기본 재정의 값:
      • organization 정책에서 허용됨
      • 사용자 정책에 의해 허용됨
      • organization 정책에 의해 차단됨
      • 사용자 정책에 의해 차단됨
      • 없음
    • 기본 재정의 원본에 대한 값:
      • 타사 필터
      • 관리 시작한 시간 이동(ZAP)
      • 파일 형식별 맬웨어 방지 정책 블록
      • 안티스팜 정책 설정
      • 연결 정책
      • Exchange 전송 규칙
      • 배타적 모드(사용자 재정의)
      • 온-프레미스 organization 인해 건너뛴 필터링
      • 정책에서 IP 지역 필터
      • 정책의 언어 필터
      • 피싱 시뮬레이션
      • 격리 릴리스
      • SecOps 사서함
      • 보낸 사람 주소 목록(관리 재정의)
      • 보낸 사람 주소 목록(사용자 재정의)
      • 보낸 사람 도메인 목록(관리 재정의)
      • 보낸 사람 도메인 목록(사용자 재정의)
      • 테넌트 허용/차단 목록 파일 블록
      • 테넌트 허용/차단 목록 보낸 사람 전자 메일 주소 블록
      • 테넌트 허용/차단 목록 스푸핑 블록
      • 테넌트 허용/차단 목록 URL 블록
      • 신뢰할 수 있는 연락처 목록(사용자 재정의)
      • 신뢰할 수 있는 도메인(사용자 재정의)
      • 신뢰할 수 있는 받는 사람(사용자 재정의)
      • 신뢰할 수 있는 보낸 사람만(사용자 재정의)

• Email 세부 정보 섹션:

  • 방향성:
    • 인바운드
    • Intra-irg
    • 아웃바운드
  • 받는 사람(받는 사람)^*
  • 보낸 사람^*
  • 받은 시간
  • 인터넷 메시지 ID^*: 메시지 헤더의 메시지 ID 헤더 필드에서 사용할 수 있습니다. 예제 값은 (꺾쇠 괄호 참고)입니다 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> .
  • 네트워크 메시지 ID^*: 메시지 헤더의 X-MS-Exchange-Organization-Network-Message-Id 헤더 필드에서 사용할 수 있는 GUID 값입니다.
  • 클러스터 ID
  • 언어

  ^*클립보드로 복사 작업은 값을 복사하는 데 사용할 수 있습니다.

페이지 위쪽의 탭(보기)을 사용하면 전자 메일을 효율적으로 조사할 수 있습니다. 이러한 보기는 다음 하위 섹션에서 설명합니다.

시간 표시 막대 보기

타임라인 보기는 메시지에 발생한 배달 및 배달 후 이벤트를 보여 줍니다.

다음 메시지 이벤트 정보는 보기에서 사용할 수 있습니다. 해당 열을 기준으로 정렬할 열 머리글을 선택합니다. 열을 추가하거나 제거하려면 열 사용자 지정을 선택합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

• 타임라인 (이벤트의 날짜/시간)
• 원본: 예를 들어 시스템, **관리 또는 사용자입니다.
• 이벤트 유형
• 결과
• 위협
• 세부 정보

배달 후 메시지에 아무런 문제가 발생하지 않으면 이벤트 형식 값이 원래 배달인 타임라인 보기에 하나의 행만 있을 수 있습니다. 예시:

• 결과 값은 받은 편지함 폴더 - 배달됨입니다.
• 결과 값이 정크 메일 폴더 - 정크 메일로 배달됨
• 결과 값은 격리 - 차단됨입니다.

사용자, 관리자 또는 Microsoft 365의 메시지에 대한 후속 작업은 보기에 더 많은 행을 추가합니다. 예시:

• 이벤트 형식 값은 ZAP이고 Result 값은 ZAP에 의해 격리로 이동된 메시지입니다.
• 이벤트 유형 값은 격리 릴리스이고 결과 값은 메시지가 격리에서 성공적으로 릴리스되었습니다.

Search 상자를 사용하여 페이지에서 정보를 찾습니다. 상자에 텍스트를 입력한 다음 Enter 키를 누릅니다.

내보내기를 사용하여 뷰의 데이터를 CSV 파일로 내보냅니다. 기본 파일 이름은 Microsoft Defender.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자(예: - Microsoft Defender(1).csv)가 추가됩니다.

분석 보기

분석 보기에는 메시지를 심층 분석하는 데 도움이 되는 정보가 포함되어 있습니다. 이 보기에서는 다음 정보를 사용할 수 있습니다.

• 위협 탐지 세부 정보 섹션: 메시지에서 검색된 위협에 대한 정보:

  • 위협: 주요 위협은 기본 위협으로 표시됩니다.
  • 신뢰 수준: 값이 높음, 중간 또는 낮음입니다.
  • 우선 순위 계정 보호: 값은 예 또는 아니요입니다. 자세한 내용은 Office 365용 Microsoft Defender 우선 순위 계정 보호 구성 및 검토를 참조하세요.

• Email 검색 세부 정보 섹션: 메시지에 영향을 주는 보호 기능 또는 재정의에 대한 정보:

  • 모든 재정의: 메시지의 의도된 배달 위치를 변경할 가능성이 있는 모든 organization 또는 사용자 설정입니다. 예를 들어 메시지가 테넌트 허용/차단 목록의 메일 흐름 규칙 및 블록 항목과 일치하는 경우 두 설정이 모두 여기에 나열됩니다. 기본 재정의: 원본 속성 값은 메시지 배달에 실제로 영향을 주는 설정을 식별합니다.

  • 기본 재정의: 원본: 메시지의 의도된 배달 위치를 변경한 organization 또는 사용자 설정을 표시합니다(차단되지 않고 허용되거나 허용되는 대신 차단됨). 예시:

    • 메일 흐름 규칙에 의해 메시지가 차단되었습니다.
    • 사용자의 수신 허용 보낸 사람 목록의 항목으로 인해 메시지가 허용되었습니다.

  • Exchange 전송 규칙 (메일 흐름 규칙): 메시지가 메일 흐름 규칙의 영향을 받은 경우 규칙 이름 및 GUID 베일이 표시됩니다. 메일 흐름 규칙으로 메시지에 대해 수행된 작업은 스팸 및 피싱이 판결되기 전에 발생합니다.

    클립보드로 복사 작업은 규칙 GUID를 복사하는 데 사용할 수 있습니다. 메일 흐름 규칙에 대한 자세한 내용은 Exchange Online 메일 흐름 규칙(전송 규칙)을 참조하세요.

    Exchange 관리 센터로 이동 링크는 의 새 Exchange 관리 센터에서 https://admin.exchange.microsoft.com/#/transportrules규칙 페이지를 엽니다.

  • 커넥터: 인바운드 커넥터를 통해 메시지가 전달된 경우 커넥터 이름이 표시됩니다. 커넥터에 대한 자세한 내용은 Exchange Online 커넥터를 사용하여 메일 흐름 구성을 참조하세요.

  • BCL(대량 불만 수준) : BCL 값이 높을수록 메시지가 스팸일 가능성이 더 높다는 것을 나타냅니다. 자세한 내용은 EOP의 BCL(대량 불만 수준)을 참조하세요.

  • 정책: 여기에 정책 유형(예: 스팸)이 나열된 경우 구성 을 선택하여 관련 정책 페이지(예: 에서 스팸 방지 정책 페이지 https://security.microsoft.com/antispam)를 엽니다.

  • 정책 작업

  • 경고 ID: 경고 ID 값을 선택하여 경고에 대한 세부 정보 페이지를 엽니다(경고 https://security.microsoft.com/alerts페이지에서 경고를 찾아 선택한 것처럼). 클립보드로 복사 작업은 경고 ID 값을 복사하는 데도 사용할 수 있습니다.

  • 정책 유형

  • 클라이언트 유형: 메시지를 보낸 클라이언트 유형(예: REST)을 표시합니다.

  • Email 크기

  • 데이터 손실 방지 규칙

• 보낸 사람-받는 사람 세부 정보 섹션: 메시지 보낸 사람 및 일부 받는 사람 정보에 대한 세부 정보:

  • 보낸 사람 표시 이름
  • 보낸 사람 주소^*
  • 보낸 사람 IP
  • 보낸 사람 도메인 이름^*
  • 도메인 생성 날짜: 최근에 만든 도메인 및 기타 메시지 신호는 메시지를 의심스러운 것으로 식별할 수 있습니다.
  • 도메인 소유자
  • 보낸 사람 메일 보낸 사람 주소^*
  • 보낸 사람 메일 FROM 도메인 이름^*
  • Return-Path
  • Return-Path 도메인
  • 위치
  • 받는 사람 도메인^*
  • 대상: 메시지의 To 필드에 있는 전자 메일 주소의 처음 5,000자를 표시합니다.
  • 참조: 메시지의 참조 필드에 있는 전자 메일 주소의 처음 5,000자를 표시합니다.
  • 메일 그룹: 받는 사람이 메일을 목록의 구성원으로 받은 경우 메일 그룹(메일 그룹)을 표시합니다. 최상위 메일 그룹은 중첩된 메일 그룹에 대해 표시됩니다.
  • 전달: 메시지가 외부 전자 메일 주소로 자동으로 전달되었는지 여부를 나타냅니다. 전달 사용자 및 전달 유형(메일 흐름 규칙, 받은 편지함 규칙 또는 SMTP 전달)이 표시됩니다.

  ^*클립보드로 복사 작업은 값을 복사하는 데 사용할 수 있습니다.

• 인증 섹션: 전자 메일 인증 결과에 대한 세부 정보:

  • DMARC(도메인 기반 메시지 인증)
    • Pass: 전달된 메시지에 대한 DMARC 검사.
    • Fail: 메시지에 대한 DMARC 검사 실패했습니다.
    • BestGuessPass: 도메인에 대한 DMARC TXT 레코드는 그렇지 않지만 이 레코드가 있는 경우 메시지에 대한 DMARC 검사 통과했을 것입니다.
    • 없음: DNS에서 보내는 도메인에 대한 DMARC TXT 레코드가 없음을 나타냅니다.
  • DomainKeys 식별 메일(DKIM): 값은 다음과 같습니다.
    • Pass: 전달된 메시지에 대한 DKIM 검사.
    • Fail (reason): 메시지에 대한 DKIM 검사 실패했습니다. 예를 들어 메시지가 DKIM에 서명되지 않았거나 DKIM 서명이 확인되지 않았습니다.
    • None: 메시지가 DKIM에 서명되지 않았습니다. 이 결과는 도메인에 DKIM 레코드가 있거나 DKIM 레코드가 결과로 평가되지 않음을 나타내거나 나타내지 않을 수 있습니다. 이 결과는 이 메시지가 서명되지 않았음을 나타냅니다.
  • SPF(보낸 사람 정책 프레임워크): 값은 다음과 같습니다.
    • Pass (IP address): SPF 검사 메시지 원본이 도메인에 유효한지 확인했습니다.
    • Fail (IP address): SPF 검사 메시지 원본이 도메인에 유효하지 않고 SPF 레코드의 적용 규칙이 (하드 실패)인 것을 -all 발견했습니다.
    • SoftFail (reason): SPF 검사 메시지 원본이 도메인에 유효하지 않고 SPF 레코드의 적용 규칙이 (일시 실패)인 것을 ~all 발견했습니다.
    • Neutral: SPF 검사 메시지 원본이 도메인에 유효하지 않고 SPF 레코드의 적용 규칙이 (중립)인 것을 ?all 발견했습니다.
    • None: 도메인에 SPF 레코드가 없거나 SPF 레코드가 결과로 평가되지 않습니다.
    • TempError: SPF 검사 일시적인 오류(예: DNS 오류)가 발생했습니다. 나중에 동일한 검사가 성공할 수 있습니다.
    • PermError: SPF 검사 영구적 오류가 발생했습니다. 예를 들어 도메인의 형식이 잘못된 SPF 레코드가 있습니다.
  • 복합 인증: SPF, DKIM, DMARC 및 기타 정보는 메시지 보낸 사람(보낸 사람 주소)이 정품인지 여부를 결정합니다. 자세한 내용은 복합 인증을 참조하세요.

• 관련 엔터티 섹션: 메시지의 첨부 파일 및 URL에 대한 정보:

  • 엔터티: 첨부 파일 또는 URL을 선택하면 메시지에 대한 Email 엔터티 페이지의 첨부 파일 보기 또는 URL 보기로 이동합니다.
  • 총 개수
  • 위협 발견: 값은 예 또는 아니요입니다.

• 메시지 세부 정보 영역:

  • 일반 텍스트 전자 메일 머리글 탭: 전체 메시지 헤더를 일반 텍스트로 포함합니다. 메시지 헤더 복사를 선택하여 메시지 헤더를 복사합니다. Microsoft Message Header Analyzer를 선택하여 에서 https://mha.azurewebsites.net/pages/mha.html메시지 헤더 분석기를 엽니다. 복사한 메시지 헤더를 페이지에 붙여넣은 다음, 메시지 헤더 및 값에 대한 세부 정보를 보려면 헤더 분석을 선택합니다.
  • 탭: 메시지의 To 필드에 전자 메일 주소의 처음 5,000자를 표시합니다.
  • 참조 탭: 메시지의 참조 필드에 있는 전자 메일 주소의 처음 5,000자를 표시합니다.

첨부 파일 보기

첨부 파일 보기에는 메시지의 모든 파일 첨부 파일에 대한 정보와 해당 첨부 파일의 검사 결과가 표시됩니다.

이 보기에서는 다음 첨부 파일 정보를 사용할 수 있습니다. 해당 열을 기준으로 정렬할 열 머리글을 선택합니다. 열을 추가하거나 제거하려면 열 사용자 지정을 선택합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

• 첨부 파일 이름: 파일 이름 값을 클릭하면
• 파일 형식
• 파일 크기
• 파일 확장명
• 위협
• 맬웨어 패밀리
• 첨부 파일 SHA256: 클립보드에 복사 작업을 사용하여 SHA256 값을 복사할 수 있습니다.
• 세부 정보

Search 상자를 사용하여 페이지에서 정보를 찾습니다. 상자에 텍스트를 입력한 다음 Enter 키를 누릅니다.

내보내기를 사용하여 뷰의 데이터를 CSV 파일로 내보냅니다. 기본 파일 이름은 Microsoft Defender.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자(예: - Microsoft Defender(1).csv)가 추가됩니다.

첨부 파일 세부 정보

첨부 파일 이름 값을 클릭하여 첨부 파일 보기에서 항목을 선택하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

• 심층 분석 탭: 안전한 첨부 파일이 첨부 파일을 스캔(폭발)한 경우 이 탭에서 정보를 사용할 수 있습니다. 파일 폭발 값과 함께 쿼리 필터 검색 기술을 사용하여 위협 Explorer 이러한 메시지를 식별할 수 있습니다.

  • 폭발 체인 섹션: 단일 파일의 안전한 첨부 파일 폭발은 여러 번의 폭발을 유발할 수 있습니다. 폭발 체인은 판결을 일으킨 원래 악성 파일과 폭발의 영향을 받는 다른 모든 파일을 포함하여 폭발 경로를 추적합니다. 이러한 첨부된 파일이 전자 메일에 직접 표시되지 않을 수 있습니다. 그러나 분석을 포함하는 것은 파일이 악의적인 것으로 확인된 이유를 결정하는 데 중요합니다.

    폭발 체인 정보를 사용할 수 없는 경우 폭발 트리 없음 값이 표시됩니다. 그렇지 않으면 내보내기를 선택하여 CSV 파일에 폭발 체인 정보를 다운로드할 수 있습니다. 기본 파일 이름은 Detonation chain.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자(예: Detonation chain(1).csv)가 추가됩니다. CSV 파일에는 다음 정보가 포함됩니다.

    • 위쪽: 최상위 파일입니다.
    • 수준1: 다음 수준 파일입니다.
    • Level2: 다음 수준 파일입니다.
    • 등등.

    폭발 체인과 CSV 파일은 연결된 엔터티가 문제가 있거나 폭발한 것으로 발견되지 않은 경우 최상위 항목만 표시할 수 있습니다.

  • 요약 섹션: 폭발 요약 정보를 사용할 수 없는 경우 폭발 요약 없음 값이 표시됩니다. 그렇지 않으면 다음 폭발 요약 정보를 사용할 수 있습니다.

    • 분석 시간
    • 평결 : 첨부 파일 자체에 대한 평결.
    • 추가 정보: 파일 크기(바이트)입니다.
    • 손상 지표

  • 스크린샷 섹션: 폭발 중에 캡처된 스크린샷을 표시합니다. 다른 파일이 포함된 ZIP 또는 RAR과 같은 컨테이너 파일에 대한 스크린샷은 캡처되지 않습니다.

    사용할 수 있는 폭발 스크린샷이 없으면 표시할 스크린샷 없음 값이 표시됩니다. 그렇지 않으면 링크를 선택하여 스크린샷을 봅니다.

  • 동작 세부 정보 섹션: 폭발 중에 발생한 정확한 이벤트와 폭발 중에 발견된 URL, IP, 도메인 및 파일을 포함하는 문제가 있거나 양성 관찰을 보여 줍니다. 다른 파일이 포함된 ZIP 또는 RAR과 같은 컨테이너 파일에 대한 동작 세부 정보가 없을 수 있습니다.

    사용 가능한 동작 세부 정보 정보가 없으면 폭발 동작 없음 값이 표시됩니다. 그렇지 않으면 내보내기를 선택하여 CSV 파일에 동작 세부 정보 정보를 다운로드할 수 있습니다. 기본 파일 이름은 동작 details.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자가 추가됩니다(예: 동작 세부 정보(1).csv). CSV 파일에는 다음 정보가 포함됩니다.

    • Time
    • 동작
    • 동작 속성
    • 프로세스(PID)
    • 작업
    • Target(대상)
    • 세부 정보
    • 결과

• 파일 정보 탭: 파일 세부 정보 섹션에는 다음 정보가 포함됩니다.

  • 파일 이름
  • SHA256
  • 파일 크기 (바이트)

파일 세부 정보 플라이아웃을 마쳤으면 닫기를 선택합니다.

첨부 파일 보기에서 첨부 파일 차단

파일 이름 옆에 있는 검사 상자를 선택하여 첨부 파일 보기에서 항목을 선택하면 차단 작업을 사용할 수 있습니다. 이 작업은 테넌트 허용/차단 목록에 파일을 블록 항목으로 추가합니다. 차단을 선택하면 작업 수행 마법사가 시작됩니다.

1. 작업 선택 페이지에서 파일 차단 섹션에서 다음 설정 중 하나를 구성합니다.

   • 만료되지 않음 : 기본값 입니다.
   • 만료되지 않음 : 토글을 끄 기로 밀고 제거 상자에서 날짜를 선택합니다.

   작업 선택 페이지에서 작업을 마쳤으면 다음을 선택합니다.

2. 대상 엔터티 선택 페이지에서 차단하려는 파일이 선택되어 있는지 확인한 다음, 다음을 선택합니다.

3. 검토 및 제출 페이지에서 다음 설정을 구성합니다.

   • 수정 이름: 알림 센터에서 상태 추적할 고유한 이름을 입력합니다.
   • 설명: 선택적 설명을 입력합니다.

   검토 및 제출 페이지에서 완료되면 제출을 선택합니다.

URL 보기

URL 보기는 메시지의 모든 URL 및 해당 URL의 검사 결과에 대한 정보를 표시합니다.

이 보기에서는 다음 첨부 파일 정보를 사용할 수 있습니다. 해당 열을 기준으로 정렬할 열 머리글을 선택합니다. 열을 추가하거나 제거하려면 열 사용자 지정을 선택합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

• URL
• 위협
• 원본
• 세부 정보

Search 상자를 사용하여 페이지에서 정보를 찾습니다. 상자에 텍스트를 입력한 다음 Enter 키를 누릅니다.

내보내기를 사용하여 뷰의 데이터를 CSV 파일로 내보냅니다. 기본 파일 이름은 Microsoft Defender.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자(예: - Microsoft Defender(1).csv)가 추가됩니다.

URL 세부 정보

URL 값을 클릭하여 URL 보기에서 항목을 선택하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

• 심층 분석 탭: 안전한 링크 가 URL을 스캔(폭발)한 경우 이 탭에서 정보를 사용할 수 있습니다. 값 URL이 폭발하는 쿼리 필터 검색 기술을 사용하여 위협 Explorer 이러한 메시지를 식별할 수 있습니다.

  • 폭발 체인 섹션: 단일 URL의 안전한 링크 폭발은 여러 번의 폭발을 유발할 수 있습니다. 폭발 체인은 판결을 일으킨 원래의 악의적인 URL과 폭발의 영향을 받는 다른 모든 URL을 포함하여 폭발 경로를 추적합니다. 이러한 URL은 전자 메일에 직접 표시되지 않을 수 있습니다. 그러나 분석을 포함하는 것은 URL이 악의적인 것으로 확인된 이유를 결정하는 데 중요합니다.

    폭발 체인 정보를 사용할 수 없는 경우 폭발 트리 없음 값이 표시됩니다. 그렇지 않으면 내보내기를 선택하여 CSV 파일에 폭발 체인 정보를 다운로드할 수 있습니다. 기본 파일 이름은 Detonation chain.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자(예: Detonation chain(1).csv)가 추가됩니다. CSV 파일에는 다음 정보가 포함됩니다.

    • 위쪽: 최상위 파일입니다.
    • 수준1: 다음 수준 파일입니다.
    • Level2: 다음 수준 파일입니다.
    • 등등.

    폭발 체인과 CSV 파일은 연결된 엔터티가 문제가 있거나 폭발한 것으로 발견되지 않은 경우 최상위 항목만 표시할 수 있습니다.

  • 요약 섹션: 폭발 요약 정보를 사용할 수 없는 경우 폭발 요약 없음 값이 표시됩니다. 그렇지 않으면 다음 폭발 요약 정보를 사용할 수 있습니다.

    • 분석 시간
    • 평결: URL 자체에 대한 평결입니다.

  • 스크린샷 섹션: 폭발 중에 캡처된 스크린샷을 표시합니다. URL이 파일을 직접 다운로드하는 링크로 열리면 스크린샷이 캡처되지 않습니다. 그러나 폭발 체인에 다운로드한 파일이 표시됩니다.

    사용할 수 있는 폭발 스크린샷이 없으면 표시할 스크린샷 없음 값이 표시됩니다. 그렇지 않으면 링크를 선택하여 스크린샷을 봅니다.

  • 동작 세부 정보 섹션: 폭발 중에 발생한 정확한 이벤트와 폭발 중에 발견된 URL, IP, 도메인 및 파일을 포함하는 문제가 있거나 양성 관찰을 보여 줍니다.

    사용 가능한 동작 세부 정보 정보가 없으면 폭발 동작 없음 값이 표시됩니다. 그렇지 않으면 내보내기를 선택하여 CSV 파일에 동작 세부 정보 정보를 다운로드할 수 있습니다. 기본 파일 이름은 동작 details.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자가 추가됩니다(예: 동작 세부 정보(1).csv). CSV 파일에는 다음 정보가 포함됩니다.

    • Time
    • 동작
    • 동작 속성
    • 프로세스(PID)
    • 작업
    • Target(대상)
    • 세부 정보
    • 결과

• URL 정보 탭: URL 세부 정보 섹션에는 다음 정보가 포함됩니다.

  • URL
  • 위협

파일 세부 정보 플라이아웃을 마쳤으면 닫기를 선택합니다.

URL 보기에서 URL 차단

파일 이름 옆에 있는 검사 상자를 선택하여 URL 보기에서 항목을 선택하면 차단 작업을 사용할 수 있습니다. 이 작업은 테넌트 허용/차단 목록에 URL을 블록 항목으로 추가합니다. 차단을 선택하면 작업 수행 마법사가 시작됩니다.

1. 작업 선택 페이지의 URL 차단 섹션에서 다음 설정 중 하나를 구성합니다.

   • 만료되지 않음 : 기본값 입니다.
   • 만료되지 않음 : 토글을 끄 기로 밀고 제거 상자에서 날짜를 선택합니다.

   작업 선택 페이지에서 작업을 마쳤으면 다음을 선택합니다.

2. 대상 엔터티 선택 페이지에서 차단하려는 URL이 선택되어 있는지 확인한 다음, 다음을 선택합니다.

3. 검토 및 제출 페이지에서 다음 설정을 구성합니다.

   • 수정 이름: 알림 센터에서 상태 추적할 고유한 이름을 입력합니다.
   • 설명: 선택적 설명을 입력합니다.

   검토 및 제출 페이지에서 완료되면 제출을 선택합니다.

유사한 전자 메일 보기

유사한 전자 메일 보기에는 이 메시지와 동일한 메시지 본문 지문이 있는 다른 전자 메일 메시지가 표시됩니다. 다른 메시지의 일치 조건은 이 보기에 적용되지 않습니다(예: 파일 첨부 파일 지문).

이 보기에서는 다음 첨부 파일 정보를 사용할 수 있습니다. 해당 열을 기준으로 정렬할 열 머리글을 선택합니다. 열을 추가하거나 제거하려면 열 사용자 지정을 선택합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

• 날짜
• 제목
• 받는 사람
• 보낸 사람
• 보낸 사람 IP
• 재정의
• 배달 작업
• 배달 위치

필터를 사용하여 시작 날짜 및 종료 날짜를 기준으로 항목을 필터링합니다.

Search 상자를 사용하여 페이지에서 정보를 찾습니다. 상자에 텍스트를 입력한 다음 Enter 키를 누릅니다.

내보내기를 사용하여 뷰의 데이터를 CSV 파일로 내보냅니다. 기본 파일 이름은 Microsoft Defender.csv 기본 위치는 Downloads 폴더입니다. 해당 이름의 파일이 이미 있는 경우 파일 이름에 숫자(예: - Microsoft Defender(1).csv)가 추가됩니다.

Email 엔터티 페이지의 작업

다음 작업은 Email 엔터티 페이지의 맨 위에서 사용할 수 있습니다.

• 작업 수행: 자세한 내용은 위협 헌팅: Email 수정을 참조하세요.
• Email preview ²
• 추가 옵션:

  • 격리된 전자 메일로 이동: 메시지가 격리된 경우에만 사용할 수 있습니다. 이 작업을 선택하면 메시지의 고유한 메시지 ID 값으로 필터링된 의 격리 페이지에서 https://security.microsoft.com/quarantineEmail 탭이 열립니다. 자세한 내용은 격리된 전자 메일 보기를 참조하세요.

  • email ² 다운로드

    팁

    격리된 메시지에는 메일 다운로드를 사용할 수 없습니다. 대신 격리에서 암호로 보호된 메시지 복사본을 다운로드합니다.

1 Email 미리 보기 및 이메일 다운로드 작업에는 미리 보기 역할이 필요합니다. 다음 위치에서 이 역할을 할당할 수 있습니다.

• Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)(PowerShell이 아닌 Defender 포털에만 영향을 주음): 보안 작업/원시 데이터(전자 메일 & 협업)/Email & 공동 작업 콘텐츠(읽기).
• Microsoft Defender 포털에서 협업 권한을 Email &: 데이터 조사자 또는 eDiscovery 관리자 역할 그룹의 멤버 자격입니다. 또는 미리 보기 역할이 할당된 새 역할 그룹을 만들고 사용자를 사용자 지정 역할 그룹에 추가할 수 있습니다.

² Microsoft 365 사서함에서 사용할 수 있는 전자 메일 메시지를 미리 보거나 다운로드할 수 있습니다. 사서함에서 메시지를 더 이상 사용할 수 없는 경우의 예는 다음과 같습니다.

• 배달 또는 배달에 실패하기 전에 메시지가 삭제되었습니다.
• 메시지가 일시 삭제되었습니다 (삭제된 항목 폴더에서 삭제되어 복구 가능한 항목\삭제 폴더로 메시지 이동).
• ZAP는 메시지를 격리로 이동했습니다.

Email 요약 패널

Email 요약 패널은 EOP(Exchange Online Protection) 및 Office 365용 Defender 여러 기능에서 사용할 수 있는 이메일 세부 정보 플라이아웃입니다. Email 요약 패널에는 Office 365용 Defender Email 엔터티 페이지에서 사용할 수 있는 전체 세부 정보에서 가져온 전자 메일 메시지에 대한 표준화된 요약 정보가 포함되어 있습니다.

Email 요약 패널을 찾을 수 있는 위치는 이 문서의 앞부분에 있는 Email 엔터티 페이지를 찾을 수 있는 위치 섹션에 설명되어 있습니다. 이 섹션의 나머지 부분에서는 모든 기능의 Email 요약 패널에서 사용할 수 있는 정보를 설명합니다.

팁

Email 요약 패널은 보류 중 또는 기록 탭의 알림 센터 페이지에서 https://security.microsoft.com/action-center/ 사용할 수 있습니다. 검사 상자 또는 조사 ID 값 이외의 행의 아무 곳이나 클릭하여 Email 엔터티 형식 값이 있는 작업을 선택합니다. 열리는 세부 정보 플라이아웃은 Email 요약 패널이지만 플라이아웃 맨 위에는 전자 메일 엔터티 열기를 사용할 수 없습니다.

다음 메시지 정보는 Email 요약 패널의 맨 위에서 사용할 수 있습니다.

• 플라이아웃의 제목은 메시지 제목 값입니다.
• 메시지의 첨부 파일 및 링크 수입니다(모든 기능에는 없음).
• 메시지의 받는 사람에게 할당된 모든 사용자 태그(우선 순위 계정 태그 포함). 자세한 내용은 Office 365용 Microsoft Defender 사용자 태그를 참조하세요.
• 플라이아웃 맨 위에서 사용할 수 있는 작업은 Email 요약 패널을 연 위치에 따라 달라집니다. 사용 가능한 작업은 개별 기능 문서에 설명되어 있습니다.

팁

현재 메시지의 Email 요약 패널을 벗어나지 않고 다른 메시지에 대한 세부 정보를 보려면 플라이아웃 맨 위에 있는 이전 항목 및 다음 항목을 사용합니다.

다음 섹션은 모든 기능에 대한 Email 요약 패널에서 사용할 수 있습니다(Email 요약 패널을 여는 위치는 중요하지 않습니다.)

• 배달 세부 정보 섹션:

  • 원래 위협
  • 최신 위협
  • 원래 위치
  • 최신 배달 위치
  • 배달 작업
  • 검색 기술
  • 기본 재정의: 원본

• Email 세부 정보 섹션:

  • 보낸 사람 표시 이름
  • 보낸 사람 주소
  • 주소에서 보낸 사람 전자 메일
  • 을 대신하여 전송됨
  • 반환 경로
  • 보낸 사람 IP
  • 위치
  • 받는 사람
  • 받은 시간
  • 방향성
  • 네트워크 메시지 ID
  • 인터넷 메시지 ID
  • 캠페인 ID
  • DMARC
  • DKIM
  • SPF
  • 복합 인증

• URL 섹션: 메시지의 URL에 대한 세부 정보:

  • URL
  • 위협 상태

  메시지에 3개 이상의 URL이 있는 경우 모든 URL 보기를 선택하여 모든 URL을 확인합니다.

• 첨부 파일 섹션: 메시지의 모든 파일 첨부 파일에 대한 세부 정보:

  • 첨부 파일 이름
  • 위협
  • 검색 기술/맬웨어 제품군

  메시지에 세 개 이상의 첨부 파일이 있는 경우 모든 첨부 파일 보기를 선택하여 모든 첨부 파일을 확인합니다.