Office 365용 Microsoft Defender의 단계별 위협 방지

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

Office 365용 Microsoft Defender 보호 또는 필터링 스택은 이 문서에서와 같이 4단계로 나눌 수 있습니다. 일반적으로 들어오는 메일은 배달 전에 이러한 모든 단계를 통과하지만, 이메일이 수행하는 실제 경로는 organization Office 365용 Defender 구성의 적용을 받습니다.

Office 365용 Defender 보호의 4단계 모두에 대한 통합 그래픽을 보려면 이 문서가 끝날 때까지 계속 지켜봐 주시기 바랍니다.

1단계 - 에지 보호

아쉽게도 한때 중요 했던 Edge 블록은 이제 악의적인 행위자가 극복하는 것이 비교적 간단합니다. 시간이 지남에 따라 트래픽이 적어지지만 스택의 중요한 부분으로 남아 있습니다.

에지 블록은 자동으로 설계되었습니다. 가양성의 경우 보낸 사람에게 알림을 받고 문제를 해결하는 방법을 설명합니다. 평판이 제한된 신뢰할 수 있는 파트너의 커넥터는 새 엔드포인트를 온보딩할 때 배달 가능성을 보장하거나 임시 재정의를 적용할 수 있습니다.

Office 365용 Defender 1단계 필터링

  1. 네트워크 제한은 특정 인프라 집합에서 제출할 수 있는 메시지 수를 제한하여 Office 365 인프라 및 고객을 DOS(서비스 거부) 공격으로부터 보호합니다.

  2. IP 평판 및 제한은 알려진 잘못된 연결 IP 주소에서 전송되는 메시지를 차단합니다. 특정 IP가 짧은 기간 동안 많은 메시지를 보내는 경우 제한됩니다.

  3. 도메인 평판은 알려진 잘못된 도메인에서 전송되는 모든 메시지를 차단합니다.

  4. 디렉터리 기반 에지 필터링은 MTP를 통해 조직의 디렉터리 정보를 수집하려는 시도를 차단합니다.

  5. 백스캐터 탐지는 잘못된 배달 못 함 보고서(NDR)를 통해 조직이 공격을 받지 않도록 방지합니다.

  6. 커넥터에 대한 향상된 필터링은 트래픽이 Office 365 도달하기 전에 다른 디바이스를 통과하는 경우에도 인증 정보를 유지합니다. 이렇게 하면 복잡하거나 하이브리드 라우팅 시나리오의 경우에도 추론 클러스터링, 스푸핑 방지 및 피싱 방지 기계 학습 모델을 포함하여 필터링 스택 정확도가 향상됩니다.

2단계 - 보낸 사람 인텔리전스

보낸 사람 인텔리전스의 기능은 스팸, 대량, 가장 및 무단 스푸핑 메시지를 포착하는 데 중요하며 피싱 검색에도 중요합니다. 이러한 기능의 대부분은 개별적으로 구성할 수 있습니다.

Office 365용 Defender 필터링의 2단계는 보낸 사람 인텔리전스입니다.

  1. 계정에 손상과 일치하는 비정상적인 동작이 있는 경우 계정 손상 검색 트리거 및 경고가 발생합니다. 경우에 따라 사용자 계정이 차단되고 organization 보안 운영 팀에서 문제가 해결될 때까지 추가 전자 메일 메시지를 보낼 수 없습니다.

  2. Email 인증에는 고객이 구성한 방법과 클라우드에 설정된 방법이 모두 포함되며, 이는 보낸 사람이 인증된 인증된 정품 메일러가 되도록 하기 위한 것입니다. 이러한 메서드는 스푸핑을 거부합니다.

    • SPF는 organization 대신 메일을 보낼 수 있는 IP 주소 및 서버를 나열하는 DNS TXT 레코드에 따라 메일을 거부할 수 있습니다.
    • DKIM 은 발신자를 인증하는 암호화된 서명을 제공합니다.
    • DMARC 를 사용하면 관리자가 도메인에서 SPF 및 DKIM을 필요에 따라 표시하고 이러한 두 기술의 결과 간에 맞춤을 적용할 수 있습니다.
    • ARC 는 인증 체인을 기록하는 동안 메일 그룹의 전달 작업을 위해 DMARC를 기반으로 합니다.

  3. 스푸핑 인텔리전스 는 조직 또는 알려진 외부 도메인을 모방하는 악의적인 보낸 사람으로부터 '스푸핑'(즉, 다른 계정을 대신하여 메일을 보내거나 메일 목록을 전달하는 사람)을 필터링할 수 있습니다. 스팸 및 피싱 메시지를 배달하기 위해 스푸핑하는 보낸 사람과 합법적인 '대신' 메일을 구분합니다.

    조직 내 스푸핑 인텔리전스는 조직 내의 도메인에서 스푸핑 시도를 감지하고 차단합니다.

  4. 도메인 간 스푸핑 인텔리전스가 조직 외부의 도메인에서 스푸핑 시도를 감지하고 차단합니다.

  5. 대량 필터링을 사용하면 관리자가 대량 보낸 사람으로부터 메시지를 보냈는지 여부를 나타내는 BCL(대량 신뢰 수준)을 구성할 수 있습니다. 관리자는 Antispam 정책에서 대량 슬라이더를 사용하여 스팸으로 처리할 대량 메일 수준을 결정할 수 있습니다.

  6. 사서함 인텔리전스는 표준 사용자 전자 메일 동작을 통해 학습합니다. 사용자의 통신 그래프를 활용하여 보낸 사람이 일반적으로 통신하는 사람으로만 표시되지만 실제로는 악의적인 경우를 감지합니다. 이 메서드는 가장을 검색합니다.

  7. 사서함 인텔리전스 가장 은 각 사용자의 개별 보낸 사람 맵에 따라 향상된 가장 결과를 사용하거나 사용하지 않도록 설정합니다. 이 기능을 사용하면 가장을 식별하는 데 도움이 됩니다.

  8. 사용자 가장 을 사용하면 관리자가 가장할 가능성이 높은 값의 대상 목록을 만들 수 있습니다. 보낸 사람에게 보호된 높은 값의 계정과 동일한 이름과 주소만 있는 것처럼 보이는 메일이 도착하면 메일이 표시되거나 태그가 지정됩니다. (예: trα cye@contoso.com )tracye@contoso.com

  9. 도메인 가장 은 받는 사람의 도메인과 유사하고 내부 도메인처럼 보이려는 도메인을 검색합니다. 예를 들어 이 가장은 에 대해tracye@litware.comtracye@liw α re.com.

3단계 - 콘텐츠 필터링

이 단계에서 필터링 스택은 하이퍼링크 및 첨부 파일을 포함하여 메일의 특정 내용을 처리하기 시작합니다.

MDO 3단계 필터링은 콘텐츠 필터링입니다.

  1. 전송 규칙 (메일 흐름 규칙 또는 Exchange 전송 규칙이라고도 함)을 사용하면 메시지에 대해 동등하게 광범위한 조건이 충족될 때 관리자가 다양한 작업을 수행할 수 있습니다. organization 통과하는 모든 메시지는 사용 가능한 메일 흐름 규칙/전송 규칙에 따라 평가됩니다.

  2. Microsoft Defender 바이러스 백신타사 바이러스 백신 엔진은 첨부 파일에서 알려진 모든 맬웨어를 검색하는 데 사용됩니다.

  3. AV(바이러스 백신) 엔진은 파일 이름 확장명(예exe: 로 이름이 바뀐 파일이 파일로 exe 검색됨)에 관계없이 실제 형식 일치를 사용하여 파일 형식을 txt 검색합니다. 이 기능을 사용하면 형식 차단 (일반적인 첨부 파일 필터라고도 함)이 관리자가 지정한 파일 형식을 올바르게 차단할 수 있습니다. 지원되는 파일 형식 목록은 일반적인 첨부 파일 필터에서 True 형식 일치를 참조하세요.

  4. Office 365용 Microsoft Defender 악의적인 첨부 파일을 검색할 때마다 파일의 해시 및 활성 콘텐츠의 해시가 EOP(Exchange Online Protection) 평판에 추가됩니다. 첨부 파일 신뢰도 차단은 MSAV 클라우드 호출을 통해 모든 Office 365 엔드포인트에서 해당 파일을 차단합니다.

  5. 추론 클러스터링은 배달 추론에 따라 파일이 의심스러운지 확인할 수 있습니다. 의심스러운 첨부 파일이 발견되면 전체 캠페인이 일시 중지되고 파일이 샌드박스됩니다. 파일이 악의적인 것으로 확인되면 전체 캠페인이 차단됩니다.

  6. 기계 학습 모델은 피싱 시도를 감지하기 위해 메시지의 헤더, 본문 콘텐츠 및 URL에 대해 작업을 수행합니다.

  7. Microsoft는 URL 평판 차단의 타사 피드에서 URL 샌드박싱 및 URL 평판을 확인하여 알려진 악성 URL로 메시지를 차단합니다.

  8. 콘텐츠 추론은 기계 학습 모델을 사용하여 메시지 본문 내의 구조 및 단어 빈도에 따라 의심스러운 메시지를 감지할 수 있습니다.

  9. 안전한 첨부 파일은 동적 분석을 사용하여 이전에 본 적이 없는 위협을 감지하여 Office 365용 Defender 고객을 위한 모든 첨부 파일을 샌드박스에 추가합니다.

  10. 연결된 콘텐츠 데토네이션에서는 전자 메일 내 파일에 대한 모든 URL 연결을 첨부 파일로 처리하고 배달 시 파일을 비동기적으로 샌드박싱합니다.

  11. URL 데토네이션은 업스트림 피싱 방지 기술에서 메시지 또는 URL이 의심스러운 것으로 발견될 때 발생합니다. URL 폭발은 배달 시 메시지의 URL을 샌드박스에 표시합니다.

4단계 - 배달 후 보호

마지막 단계는 메일 또는 파일 배달 후에 이루어지며 Microsoft Teams와 같은 클라이언트에 표시되는 다양한 사서함 및 파일 및 링크에 있는 메일에서 작동합니다.

Office 365용 Defender 4단계 필터링은 배달 후 보호입니다.

  1. 안전한 링크는 Office 365용 Defender의 클릭 시간 보호입니다. 모든 메시지의 모든 URL은 Microsoft Safe Links 서버를 가리키도록 래핑됩니다. URL을 클릭하면 사용자가 대상 사이트로 리디렉션되기 전에 최신 평판에 대해 확인됩니다. URL은 평판을 업데이트하기 위해 비동기적으로 샌드박스됩니다.

  2. 피싱을 위한 0시간 자동 제거(ZAP)는 이미 Exchange Online 사서함에 전달된 악의적인 피싱 메시지를 소급하여 검색하고 중화합니다.

  3. 맬웨어용 ZAP는 이미 Exchange Online 사서함에 전달된 악성 맬웨어 메시지를 소급하여 검색하고 중화합니다.

  4. 스팸용 ZAP는 이미 Exchange Online 사서함에 전달된 악의적인 스팸 메시지를 소급하여 검색하고 중화합니다.

  5. 캠페인 보기를 통해 관리자는 자동화 없이도 어떤 팀보다 빠르고 완전히 공격에 대한 큰 그림을 볼 수 있습니다. Microsoft는 전체 서비스에서 방대한 양의 피싱 방지, 스팸 방지 및 맬웨어 방지 데이터를 활용하여 캠페인을 식별한 다음, 관리자가 다운로드 가능한 캠페인 쓰기 작업에서도 사용할 수 있는 대상, 영향 및 흐름을 포함하여 처음부터 끝까지 조사할 수 있도록 합니다.

  6. 보고서 메시지 추가 기능을 사용하면 추가 분석을 위해 사람들이 쉽게 거짓 긍정(좋은 전자 메일, 잘못된 것으로 표시됨) 또는 거짓 부정( 호한 것으로 표시된 잘못된 전자 메일)을 Microsoft에 보고할 수 있습니다.

  7. Office 클라이언트용 안전한 링크는 기본적으로 Word, PowerPoint 및 Excel과 같은 지원되는 Office 앱 내에서 동일한 안전한 링크 클릭 시간 보호를 제공합니다.

  8. OneDrive, SharePoint 및 Teams에 대한 보호는 기본적으로 OneDrive, SharePoint 및 Microsoft Teams 내에서 악성 파일에 대해 동일한 안전한 첨부 파일 보호를 제공합니다.

  9. 배달 후 파일을 가리키는 URL을 선택하면 연결된 콘텐츠 폭발 은 파일의 샌드박싱이 완료되고 URL이 안전한 것으로 확인될 때까지 경고 페이지를 표시합니다.

필터링 스택 다이어그램

최종 다이어그램(다이어그램을 구성하는 모든 부분과 마찬가지로) 은 제품이 성장하고 발전함에 따라 변경될 수 있습니다. 이 페이지에 책갈피를 지정하고 업데이트 후에 요청해야 하는 경우 맨 아래에서 찾을 수 있는 피드백 옵션을 사용합니다. 레코드의 경우 순서대로 모든 단계가 있는 스택입니다.

1에서 4까지 순서대로 Office 365용 Defender 필터링의 모든 단계

이 콘텐츠에 대해 MSFTTracyP와 문서 작성 팀이 줄리아 가루바에게 특별히 감사드립니다.