EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

EOP(Exchange Online Protection)는 Microsoft 365 구독에 대한 보안의 핵심이며 악의적인 전자 메일이 직원의 받은 편지함에 도달하지 못하도록 하는 데 도움이 됩니다. 그러나 매일 새롭고 정교한 공격이 등장하면서 향상된 보호가 필요한 경우가 많습니다. Office 365용 Microsoft Defender 계획 1 또는 계획 2에는 더 많은 보안, 제어 및 조사 계층을 제공하는 추가 기능이 포함되어 있습니다.

보안 관리자가 보안 설정을 사용자 지정할 수 있도록 권한을 부여하지만 EOP 및 Office 365용 Microsoft Defender 표준엄격이라는 두 가지 보안 수준이 있습니다. 고객 환경과 요구 사항은 다르지만 이러한 수준의 필터링은 대부분의 상황에서 원치 않는 메일이 직원의 받은 편지함에 도달하는 것을 방지하는 데 도움이 됩니다.

표준 또는 엄격한 설정을 사용자에게 자동으로 적용하려면 EOP 및 Office 365용 Microsoft Defender 보안 정책 사전 설정을 참조하세요.

이 문서에서는 기본 설정과 사용자를 보호하는 데 도움이 되는 권장 표준 및 엄격한 설정에 대해서도 설명합니다. 테이블에는 Microsoft Defender 포털 및 PowerShell(Exchange Online 사서함이 없는 조직의 경우 PowerShell 또는 독립 실행형 Exchange Online Protection PowerShell Exchange Online)의 설정이 포함되어 있습니다.

참고

PowerShell용 Office 365 고급 위협 방지 권장 구성 분석기(ORCA) 모듈은 관리자가 이러한 설정의 현재 값을 찾는 데 도움이 될 수 있습니다. 특히 Get-ORCAReport cmdlet은 스팸 방지, 피싱 방지 및 기타 메시지 위생 설정에 대한 평가를 생성합니다. 에서 ORCA 모듈 https://www.powershellgallery.com/packages/ORCA/을 다운로드할 수 있습니다.

Microsoft 365 조직에서는 Outlook의 정크 Email 필터를 자동 필터링 없음으로 설정하여 EOP의 스팸 필터링 평결과 불필요한 충돌(양수 및 부정 모두)을 방지하는 것이 좋습니다. 자세한 내용은 다음 문서를 참조하세요.

EOP에서 스팸 방지, 맬웨어 방지 및 피싱 방지 보호

스팸 방지, 맬웨어 방지 및 피싱 방지는 관리자가 구성할 수 있는 EOP 기능입니다. 다음 표준 또는 엄격한 구성을 사용하는 것이 좋습니다.

EOP 맬웨어 방지 정책 설정

맬웨어 방지 정책을 만들고 구성하려면 EOP에서 맬웨어 방지 정책 구성을 참조하세요.

격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

AdminOnlyAccessPolicy라는 정책은 여기에 있는 표에 설명된 대로 맬웨어로 격리된 메시지에 대한 기록 기능을 적용합니다.

사용자는 격리 정책이 구성된 방법에 관계없이 맬웨어로 격리된 자체 메시지를 해제할 수 없습니다. 정책에서 사용자가 자신의 격리된 메시지를 해제할 수 있도록 허용하는 경우 사용자는 대신 격리된 맬웨어 메시지의 릴리스를 요청할 수 있습니다.

보안 기능 이름 기본 Standard 엄격 Comment
보호 설정
일반적인 첨부 파일 필터 사용 (EnableFileFilter) 선택됨($true)* 선택됨($true) 선택됨($true) 일반적인 첨부 파일 필터의 파일 형식 목록은 맬웨어 방지 정책의 일반적인 첨부 파일 필터를 참조하세요.

* 일반적인 첨부 파일 필터는 Defender 포털 또는 PowerShell에서 만드는 새 맬웨어 방지 정책 및 2023년 12월 1일 이후에 생성된 조직의 기본 맬웨어 방지 정책에서 기본적으로 켜져 있습니다.
일반적인 첨부 파일 필터 알림: 이러한 파일 형식이 발견되면 (FileTypeAction) NDR(배달 불가 보고서)을 사용하여 메시지 거부(Reject) NDR(배달 불가 보고서)을 사용하여 메시지 거부(Reject) NDR(배달 불가 보고서)을 사용하여 메시지 거부(Reject)
맬웨어에 대해 0시간 자동 제거 사용 (ZapEnabled) 선택됨($true) 선택됨($true) 선택됨($true)
격리 정책 (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
알림 관리
관리자에게 내부 보낸 사람의 배달되지 않은 메시지에 대해 알 립니다(EnableInternalSenderAdminNotificationsInternalSenderAdminAddress) 선택되지 않음($false) 선택되지 않음($false) 선택되지 않음($false) 이 설정에 대한 구체적인 권장 사항은 없습니다.
관리자에게 외부 보낸 사람의 배달되지 않은 메시지에 대해 알 립니다(EnableExternalSenderAdminNotificationsExternalSenderAdminAddress) 선택되지 않음($false) 선택되지 않음($false) 선택되지 않음($false) 이 설정에 대한 구체적인 권장 사항은 없습니다.
알림 사용자 지정 이러한 설정에 대한 구체적인 권장 사항은 없습니다.
사용자 지정된 알림 텍스트 사용 (CustomNotifications) 선택되지 않음($false) 선택되지 않음($false) 선택되지 않음($false)
이름에서 (CustomFromName) Blank Blank Blank
주소에서 (CustomFromAddress) Blank Blank Blank
내부 보낸 사람의 메시지에 대한 알림 사용자 지정 이러한 설정은 관리자에게 내부 보낸 사람의 배달되지 않은 메시지에 대해 알리는 것을 선택한 경우에만 사용됩니다.
Subject (CustomInternalSubject) Blank Blank Blank
메시지 (CustomInternalBody) Blank Blank Blank
외부 보낸 사람의 메시지에 대한 알림 사용자 지정 이러한 설정은 외부 보낸 사람의 배달되지 않은 메시지에 대해 관리자에게 알릴 경우에만 사용됩니다.
Subject (CustomExternalSubject) Blank Blank Blank
메시지 (CustomExternalBody) Blank Blank Blank

EOP 스팸 방지 정책 설정

스팸 방지 정책을 만들고 구성하려면 EOP에서 스팸 방지 정책 구성을 참조하세요.

스팸 필터 평결에 대한 작업으로 격리 메시지를 선택하는 곳마다 격리 정책 선택 상자를 사용할 수 있습니다. 격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

Defender 포털에서 스팸 방지 정책을 만들 때 스팸 필터링 평결의 작업을 격리 메시지변경하면 기본적으로 격리 정책 선택 상자가 비어 있습니다. 빈 값은 해당 스팸 필터링 평결에 대한 기본 격리 정책이 사용됨을 의미합니다. 이러한 기본 격리 정책은 여기에 있는 표에 설명된 대로 메시지를 격리한 스팸 필터 평결에 대한 기록 기능을 적용합니다. 나중에 스팸 방지 정책 설정을 보거나 편집하면 격리 정책 이름이 표시됩니다.

관리자는 더 제한적이거나 덜 제한적인 기능을 사용하여 격리 정책을 만들거나 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 격리 정책 만들기를 참조하세요.

보안 기능 이름 기본 Standard 엄격 Comment
스팸 속성을 & 대량 전자 메일 임계값
대량 메일 임계값 (BulkThreshold) 7 6 5 자세한 내용은 EOP의 BCL(대량 불만 수준)을 참조하세요.
대량 전자 메일 스팸 (MarkAsSpamBulkMail) (On) (On) (On) 이 설정은 PowerShell에서만 사용할 수 있습니다.
스팸 점수 설정 늘리기 이러한 모든 설정은 ASF(고급 스팸 필터)의 일부입니다. 자세한 내용은 이 문서의 스팸 방지 정책의 ASF 설정 섹션을 참조하세요.
스팸 설정으로 표시 이러한 설정의 대부분은 ASF의 일부입니다. 자세한 내용은 이 문서의 스팸 방지 정책의 ASF 설정 섹션을 참조하세요.
특정 언어 포함 (EnableLanguageBlockListLanguageBlockList) 끄기 ($false 및 비어 있음) 끄기 ($false 및 비어 있음) 끄기 ($false 및 비어 있음) 이 설정에 대한 구체적인 권장 사항은 없습니다. 비즈니스 요구 사항에 따라 특정 언어로 메시지를 차단할 수 있습니다.
이러한 국가 (EnableRegionBlockListRegionBlockList) 끄기 ($false 및 비어 있음) 끄기 ($false 및 비어 있음) 끄기 ($false 및 비어 있음) 이 설정에 대한 구체적인 권장 사항은 없습니다. 비즈니스 요구 사항에 따라 특정 국가/지역의 메시지를 차단할 수 있습니다.
테스트 모드 (TestModeAction) 없음 없음 없음 이 설정은 ASF의 일부입니다. 자세한 내용은 이 문서의 스팸 방지 정책의 ASF 설정 섹션을 참조하세요.
작업
스팸 검색 작업(SpamAction) 정크 Email 폴더로 메시지 이동(MoveToJmf) 정크 Email 폴더로 메시지 이동(MoveToJmf) 격리 메시지 (Quarantine)
스팸에 대한 격리 정책(SpamQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 스팸 검색이 격리된 경우에만 의미가 있습니다.
높은 신뢰도 스팸 검색 작업(HighConfidenceSpamAction) 정크 Email 폴더로 메시지 이동(MoveToJmf) 격리 메시지 (Quarantine) 격리 메시지 (Quarantine)
높은 신뢰도 스팸에 대한 격리 정책(HighConfidenceSpamQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 높은 신뢰도 스팸 검색이 격리된 경우에만 의미가 있습니다.
피싱 검색 작업(PhishSpamAction) 정크 Email 폴더로 메시지 이동(MoveToJmf)* 격리 메시지 (Quarantine) 격리 메시지 (Quarantine) *기본값은 기본 스팸 방지 정책 및 PowerShell에서 만든 새 스팸 방지 정책에서 정크 Email 폴더로 메시지 이동입니다. 기본값은 Defender 포털에서 만든 새 스팸 방지 정책의 격리 메시지 입니다.
피싱에 대한 격리 정책(PhishQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 피싱 검색이 격리된 경우에만 의미가 있습니다.
높은 신뢰도 피싱 검색 작업(HighConfidencePhishAction) 격리 메시지 (Quarantine) 격리 메시지 (Quarantine) 격리 메시지 (Quarantine) 사용자는 격리 정책을 구성하는 방법에 관계없이 신뢰도가 높은 피싱으로 격리된 자체 메시지를 해제할 수 없습니다. 정책에서 사용자가 자신의 격리된 메시지를 해제할 수 있도록 허용하는 경우 사용자는 대신 격리된 높은 신뢰도 피싱 메시지의 릴리스를 요청할 수 있습니다.
높은 신뢰도 피싱에 대한 격리 정책(HighConfidencePhishQuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
BCL(대량 준수 수준)이 충족되거나 초과됨 (BulkSpamAction) 정크 Email 폴더로 메시지 이동(MoveToJmf) 정크 Email 폴더로 메시지 이동(MoveToJmf) 격리 메시지 (Quarantine)
BCL(대량 규격 수준)에 대한 격리 정책이 충족되거나 초과됨(BulkQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 대량 검색이 격리된 경우에만 의미가 있습니다.
작업을 수행할 조직 내 메시지 (IntraOrgFilterState) 기본값 (기본값) 기본값 (기본값) 기본값 (기본값) 기본값높은 신뢰도 피싱 메시지를 선택하는 것과 같습니다. 현재 미국 정부 조직(Microsoft 365 GCC, GCC High 및 DoD)에서 기본값없음을 선택하는 것과 동일합니다.
이 며칠 동안 스팸을 격리 상태로 유지 (QuarantineRetentionPeriod) 15일 30일 30일 이 값은 피싱 방지 정책에 의해 격리되는 메시지에도 영향을 줍니다. 자세한 내용은 격리 보존을 참조하세요.
스팸 안전 팁 사용 (InlineSafetyTipsEnabled) 선택됨($true) 선택됨($true) 선택됨($true)
피싱 메시지에 대해 ZAP(0시간 자동 제거) 사용(PhishZapEnabled) 선택됨($true) 선택됨($true) 선택됨($true)
스팸 메시지에 ZAP 사용(SpamZapEnabled) 선택됨($true) 선택됨($true) 선택됨($true)
& 차단 목록 허용
허용된 보낸 사람(허용된 보낸 사람) 없음 없음 없음
허용된 보낸 사람 도메인(AllowedSenderDomains) 없음 없음 없음 허용된 도메인 목록에 도메인을 추가하는 것은 매우 나쁜 생각입니다. 공격자는 그렇지 않으면 필터링되는 이메일을 보낼 수 있습니다.

스푸핑 인텔리전스 인사이트테넌트 허용/차단 목록을 사용하여 organization 전자 메일 도메인에서 보낸 사람 전자 메일 주소를 스푸핑하거나 외부 도메인에서 보낸 사람 전자 메일 주소를 스푸핑하는 모든 보낸 사람을 검토합니다.
차단된 보낸 사람(차단된 보낸 사람) 없음 없음 없음
차단된 보낸 사람 도메인(BlockedSenderDomains) 없음 없음 없음

1 전체 액세스 권한 및 격리 알림에 설명된 대로 organization 기본 보안 정책 또는 사용자가 만든 새 사용자 지정 보안 정책에서 DefaultFullAccessPolicy 대신 NotificationEnabledPolicy를 사용할 수 있습니다. 이러한 두 격리 정책 간의 유일한 차이점은 격리 알림이 NotificationEnabledPolicy에서 켜져 있고 DefaultFullAccessPolicy에서 꺼져 있다는 것입니다.

스팸 방지 정책의 ASF 설정

스팸 방지 정책의 ASF(고급 스팸 필터) 설정에 대한 자세한 내용은 EOP의 ASF(고급 스팸 필터) 설정을 참조하세요.

보안 기능 이름 기본 권장
Standard		 권장
엄격		 Comment
원격 사이트에 대한 이미지 링크 (IncreaseScoreWithImageLinks) 해제 해제 해제
URL의 숫자 IP 주소 (IncreaseScoreWithNumericIps) 해제 해제 해제
다른 포트로 URL 리디렉션 (IncreaseScoreWithRedirectToOtherPort) 해제 해제 해제
.biz 또는 .info 웹 사이트에 대한 링크 (IncreaseScoreWithBizOrInfoUrls) 해제 해제 해제
빈 메시지 (MarkAsSpamEmptyMessages) 해제 해제 해제
HTML에 태그 포함 (MarkAsSpamEmbedTagsInHtml) 해제 해제 해제
HTML의 JavaScript 또는 VBScript (MarkAsSpamJavaScriptInHtml) 해제 해제 해제
HTML의 양식 태그 (MarkAsSpamFormTagsInHtml) 해제 해제 해제
HTML의 프레임 또는 iframe 태그 (MarkAsSpamFramesInHtml) 해제 해제 해제
HTML의 웹 버그 (MarkAsSpamWebBugsInHtml) 해제 해제 해제
HTML의 개체 태그 (MarkAsSpamObjectTagsInHtml) 해제 해제 해제
중요한 단어 (MarkAsSpamSensitiveWordList) 해제 해제 해제
SPF 레코드: 하드 실패 (MarkAsSpamSpfRecordHardFail) 해제 해제 해제
보낸 사람 ID 필터링 하드 실패 (MarkAsSpamFromAddressAuthFail) 해제 해제 해제
백스캐터 (MarkAsSpamNdrBackscatter) 해제 해제 해제
테스트 모드 (TestModeAction) 없음 없음 없음 테스트 작업을 지원하는 ASF 설정의 경우 테스트 모드 작업을 None, 기본 X-헤더 텍스트 추가 또는 숨은 참조 메시지 보내기(None, AddXHeader또는 BccMessage)로 구성할 수 있습니다. 자세한 내용은 ASF 설정 사용, 사용 안 함 또는 테스트를 참조하세요.

참고

ASF는 메시지가 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)에 의해 처리된 메시지에 X 헤더 필드를 추가 X-CustomSpam: 하므로 메일 흐름 규칙을 사용하여 ASF에서 필터링된 메시지를 식별하고 작업할 수 없습니다.

EOP 아웃바운드 스팸 정책 설정

아웃바운드 스팸 정책을 만들고 구성하려면 EOP에서 아웃바운드 스팸 필터링 구성을 참조하세요.

서비스의 기본 전송 제한에 대한 자세한 내용은 보내기 제한을 참조하세요.

참고

아웃바운드 스팸 정책은 표준 또는 엄격한 미리 설정된 보안 정책의 일부가 아닙니다. 표준엄격한 값은 사용자가 만든 기본 아웃바운드 스팸 정책 또는 사용자 지정 아웃바운드 스팸 정책에서 권장되는 값을 나타냅니다.

보안 기능 이름 기본 권장
Standard		 권장
엄격		 Comment
외부 메시지 제한 설정 (RecipientLimitExternalPerHour) 0 500 400 기본값 0은 서비스 기본값을 사용한다는 것을 의미합니다.
내부 메시지 제한 설정 (RecipientLimitInternalPerHour) 0 1000 800 기본값 0은 서비스 기본값을 사용한다는 것을 의미합니다.
일일 메시지 제한 설정 (RecipientLimitPerDay) 0 1000 800 기본값 0은 서비스 기본값을 사용한다는 것을 의미합니다.
메시지 제한에 도달한 사용자에 대한 제한 사항(ActionWhenThresholdReached) 사용자가 다음 날까지 메일을 보내지 못하도록 제한 (BlockUserForToday) 사용자가 메일을 보내지 못하도록 제한 (BlockUser) 사용자가 메일을 보내지 못하도록 제한 (BlockUser)
자동 전달 규칙 (AutoForwardingMode) 자동 - 시스템 제어 (Automatic) 자동 - 시스템 제어 (Automatic) 자동 - 시스템 제어 (Automatic)
이러한 사용자 및 그룹에 이러한 제한을 초과하는 아웃바운드 메시지 복사본 보내기 (BccSuspiciousOutboundMailBccSuspiciousOutboundAdditionalRecipients) 선택되지 않음($false 및 비어 있음) 선택되지 않음($false 및 비어 있음) 선택되지 않음($false 및 비어 있음) 이 설정에 대한 구체적인 권장 사항은 없습니다.

이 설정은 기본 아웃바운드 스팸 정책에서만 작동합니다. 생성한 사용자 지정 아웃바운드 스팸 정책에서는 작동하지 않습니다.
아웃바운드 스팸 전송으로 인해 발신자가 차단된 경우 이러한 사용자 및 그룹에 알 립니다(NotifyOutboundSpamNotifyOutboundSpamRecipients). 선택되지 않음($false 및 비어 있음) 선택되지 않음($false 및 비어 있음) 선택되지 않음($false 및 비어 있음) 사용자라는 기본 경고 정책은 정책의 한도를 초과하여 사용자가 차단될 때 이미 TenantAdmins(전역 관리자) 그룹의 구성원에게 메일 알림 보냅니다. 아웃바운드 스팸 정책에서 이 설정이 아닌 경고 정책을 사용하여 관리자 및 기타 사용자에게 알리는 것이 좋습니다. 지침은 제한된 사용자에 대한 경고 설정 확인을 참조하세요.

EOP 피싱 방지 정책 설정

이러한 설정에 대한 자세한 내용은 스푸핑 설정을 참조하세요. 이러한 설정을 구성하려면 EOP에서 피싱 방지 정책 구성을 참조하세요.

스푸핑 설정은 상호 관련되어 있지만 첫 번째 연락처 안전 팁 표시 설정은 스푸핑 설정에 종속되지 않습니다.

격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

Defender 포털에서 피싱 방지 정책을 만들 때 격리 정책 적용 값이 선택되지 않은 것처럼 보이지만 격리 정책을 선택하지 않으면 DefaultFullAccessPolicy라는 격리 정책이 사용됩니다. 이 정책은 여기에 있는 표에 설명된 대로 스푸핑으로 격리된 메시지에 대한 기록 기능을 적용합니다. 나중에 격리 정책 설정을 보거나 편집하면 격리 정책 이름이 표시됩니다.

관리자는 더 제한적이거나 덜 제한적인 기능을 사용하여 격리 정책을 만들거나 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 격리 정책 만들기를 참조하세요.

보안 기능 이름 기본 Standard 엄격 Comment
피싱 임계값 & 보호
스푸핑 인텔리전스 사용 (EnableSpoofIntelligence) 선택됨($true) 선택됨($true) 선택됨($true)
작업
메시지가 스푸핑으로 검색되면 DMARC 레코드 정책 적용(HonorDmarcPolicy) 선택됨($true) 선택됨($true) 선택됨($true) 이 설정이 켜져 있으면 DMARC TXT 레코드의 정책 작업이 또는 p=reject로 설정된 경우 발신자가 명시적 DMARC 검사에 실패하는 p=quarantine 메시지에 대한 작업을 제어합니다. 자세한 내용은 스푸핑 보호 및 보낸 사람 DMARC 정책을 참조하세요.
메시지가 스푸핑으로 검색되고 DMARC 정책이 p=quarantine으로 설정된 경우 (DmarcQuarantineAction) 메시지 격리 (Quarantine) 메시지 격리 (Quarantine) 메시지 격리 (Quarantine) 이 작업은 스푸핑으로 메시지가 검색될 때 DMARC 레코드 정책을 적용 하는 경우에만 의미가 있습니다.
메시지가 스푸핑으로 검색되고 DMARC 정책이 p=reject로 설정된 경우 (DmarcRejectAction) 메시지 거부 (Reject) 메시지 거부 (Reject) 메시지 거부 (Reject) 이 작업은 스푸핑으로 메시지가 검색될 때 DMARC 레코드 정책을 적용 하는 경우에만 의미가 있습니다.
스푸핑 인텔리전스에 의해 스푸핑으로 메시지가 검색되는 경우 (AuthenticationFailAction) 받는 사람의 정크 Email 폴더로 메시지 이동(MoveToJmf) 받는 사람의 정크 Email 폴더로 메시지 이동(MoveToJmf) 메시지 격리 (Quarantine) 이 설정은 스푸핑 인텔리전스 인사이트 에 표시된 대로 자동으로 차단되거나 테넌트 허용/차단 목록에 수동으로 차단된 스푸핑된 보낸 사람에게 적용됩니다.

스푸핑 평결에 대한 작업으로 메시지 격리 를 선택하면 격리 정책 적용 상자를 사용할 수 있습니다.
스푸핑에 대한 격리 정책(SpoofQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 스푸핑 검색이 격리된 경우에만 의미가 있습니다.
첫 번째 연락처 안전 팁 표시 (EnableFirstContactSafetyTips) 선택되지 않음($false) 선택됨($true) 선택됨($true) 자세한 내용은 첫 번째 연락처 보안 팁 참조하세요.
스푸핑에 인증되지 않은 보낸 사람 표시(?) (EnableUnauthenticatedSender) 선택됨($true) 선택됨($true) 선택됨($true) Outlook에서 식별되지 않은 스푸핑된 보낸 사람용으로 보낸 사람의 사진에 물음표(?)를 추가합니다. 자세한 내용은 인증되지 않은 보낸 사람 표시기를 참조하세요.
"via" 태그 표시 (EnableViaTag) 선택됨($true) 선택됨($true) 선택됨($true) DKIM 서명 또는 MAIL FROM 주소의 도메인과 다른 경우 태그(chris@contoso.comfabrikam.com 통해)를 보낸 사람의 주소에 추가합니다.

자세한 내용은 인증되지 않은 보낸 사람 표시기를 참조하세요.

1 전체 액세스 권한 및 격리 알림에 설명된 대로 organization 기본 보안 정책 또는 사용자가 만든 새 사용자 지정 보안 정책에서 DefaultFullAccessPolicy 대신 NotificationEnabledPolicy를 사용할 수 있습니다. 이러한 두 격리 정책 간의 유일한 차이점은 격리 알림이 NotificationEnabledPolicy에서 켜져 있고 DefaultFullAccessPolicy에서 꺼져 있다는 것입니다.

Office 365용 Microsoft Defender 보안

추가 보안 혜택은 Office 365용 Microsoft Defender 구독과 함께 제공됩니다. 최신 뉴스 및 정보는 Office 365용 Defender 새로운 기능을 참조하세요.

중요

  • Office 365용 Microsoft Defender 기본 피싱 방지 정책은 모든 수신자에 대한 스푸핑 보호 및 사서함 인텔리전스를 제공합니다. 그러나 사용 가능한 다른 가장 보호 기능 및 고급 설정 은 기본 정책에서 구성되거나 사용하도록 설정되지 않습니다. 모든 보호 기능을 사용하도록 설정하려면 다음 방법 중 하나를 사용합니다.

    • 표준 및/또는 엄격한 사전 설정 보안 정책을 켜고 사용하고 해당 정책에서 가장 보호를 구성합니다.
    • 기본 피싱 방지 정책을 수정합니다.
    • 추가 피싱 방지 정책을 만듭니다.

  • 기본 안전한 첨부 파일 정책 또는 안전한 링크 정책은 없지만 기본 제공 보호 사전 설정 보안 정책은 표준 미리 설정된 보안 정책, 엄격한 미리 설정된 보안 정책 또는 사용자 지정 안전한 첨부 파일 또는 안전한 링크 정책에 정의되지 않은 모든 수신자에게 안전한 첨부 파일 보호 및 안전한 링크 보호를 제공합니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 보안 정책 사전 설정을 참조하세요.

  • SharePoint, OneDrive 및 Microsoft Teams 보호 및안전한 문서 보호를 위한 안전한 첨부 파일에는 안전한 링크 정책에 대한 종속성이 없습니다.

구독에 Office 365용 Microsoft Defender 포함되거나 추가 기능으로 Office 365용 Defender 구매한 경우 다음 표준 또는 엄격한 구성을 설정합니다.

Office 365용 Microsoft Defender 피싱 방지 정책 설정

EOP 고객은 앞에서 설명한 대로 기본적인 피싱 방지 기능을 제공하지만 Office 365용 Defender 공격을 방지, 탐지 및 수정하는 데 도움이 되는 더 많은 기능과 제어를 포함합니다. 이러한 정책을 만들고 구성하려면 Office 365용 Defender 피싱 방지 정책 구성을 참조하세요.

Office 365용 Microsoft Defender 피싱 방지 정책의 고급 설정

이 설정에 대한 자세한 내용은 Office 365용 Microsoft Defender 피싱 방지 정책의 고급 피싱 임계값을 참조하세요. 이 설정을 구성하려면 Office 365용 Defender 피싱 방지 정책 구성을 참조하세요.

보안 기능 이름 기본 Standard 엄격 Comment
피싱 이메일 임계값 (PhishThresholdLevel) 1 - 표준 (1) 3 - 더 공격적 (3) 4 - 가장 공격적 (4)

Office 365용 Microsoft Defender 피싱 방지 정책의 가장 설정

이러한 설정에 대한 자세한 내용은 Office 365용 Microsoft Defender 피싱 방지 정책의 가장 설정을 참조하세요. 이러한 설정을 구성하려면 Office 365용 Defender 피싱 방지 정책 구성을 참조하세요.

가장 판결에 대한 작업으로 메시지 격리 를 선택할 때마다 격리 정책 적용 상자를 사용할 수 있습니다. 격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

Defender 포털에서 피싱 방지 정책을 만들 때 격리 정책 적용 값이 선택되지 않은 것처럼 보이지만 격리 정책을 선택하지 않으면 DefaultFullAccessPolicy라는 격리 정책이 사용됩니다. 이 정책은 여기에 있는 표에 설명된 대로 가장으로 격리된 메시지에 대한 기록 기능을 적용합니다. 나중에 격리 정책 설정을 보거나 편집하면 격리 정책 이름이 표시됩니다.

관리자는 더 제한적이거나 덜 제한적인 기능을 사용하여 격리 정책을 만들거나 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 격리 정책 만들기를 참조하세요.

보안 기능 이름 기본 Standard 엄격 Comment
피싱 임계값 & 보호
사용자 가장 보호: 사용자가 보호할 수 있도록 설정 (EnableTargetedUserProtectionTargetedUsersToProtect) 선택되지 않음($false 및 없음) 선택됨($true 및 <사용자> 목록) 선택됨($true 및 <사용자> 목록) 주요 역할에 사용자(메시지 보낸 사람)를 추가하는 것이 좋습니다. 내부적으로 보호된 발신자는 CEO, CFO 및 기타 고위 리더일 수 있습니다. 외부적으로 보호된 발신자는 평의회 구성원 또는 이사회를 포함할 수 있습니다.
도메인 가장 보호: 도메인이 보호할 수 있도록 설정 선택되지 않음 선택됨 선택됨
내가 소유한 도메인 포함 (EnableOrganizationDomainsProtection) 끄기($false) 선택됨($true) 선택됨($true)
사용자 지정 도메인 포함 (EnableTargetedDomainsProtectionTargetedDomainsToProtect) 끄기($false 및 없음) 선택한 ($true 및 <도메인> 목록) 선택한 ($true 및 <도메인> 목록) 소유하지 않지만 자주 상호 작용하는 도메인(보낸 사람 도메인)을 추가하는 것이 좋습니다.
신뢰할 수 있는 보낸 사람 및 도메인 추가 (ExcludedSendersExcludedDomains) 없음 없음 없음 organization 따라 가장 시도로 잘못 식별된 보낸 사람 또는 도메인을 추가하는 것이 좋습니다.
사서함 인텔리전스 사용 (EnableMailboxIntelligence) 선택됨($true) 선택됨($true) 선택됨($true)
가장 보호를 위한 인텔리전스 사용 (EnableMailboxIntelligenceProtection) 끄기($false) 선택됨($true) 선택됨($true) 이 설정을 사용하면 사서함 인텔리전스별 가장 검색에 대해 지정된 작업을 수행할 수 있습니다.
작업
메시지가 사용자 가장으로 검색되는 경우 (TargetedUserProtectionAction) 아무 작업도 적용하지 않음 (NoAction) 메시지 격리 (Quarantine) 메시지 격리 (Quarantine)
사용자 가장에 대한 격리 정책(TargetedUserQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 사용자 가장 검색이 격리된 경우에만 의미가 있습니다.
메시지가 도메인 가장으로 검색되는 경우 (TargetedDomainProtectionAction) 아무 작업도 적용하지 않음 (NoAction) 메시지 격리 (Quarantine) 메시지 격리 (Quarantine)
도메인 가장에 대한 격리 정책(TargetedDomainQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 도메인 가장 검색이 격리된 경우에만 의미가 있습니다.
사서함 인텔리전스가 가장된 사용자를 검색하는 경우 (MailboxIntelligenceProtectionAction) 아무 작업도 적용하지 않음 (NoAction) 받는 사람의 정크 Email 폴더로 메시지 이동(MoveToJmf) 메시지 격리 (Quarantine)
사서함 인텔리전스 가장에 대한 격리 정책(MailboxIntelligenceQuarantineTag) DefaultFullAccessPolicy DefaultFullAccessPolicy DefaultFullAccessWithNotificationPolicy 격리 정책은 사서함 인텔리전스 검색이 격리된 경우에만 의미가 있습니다.
사용자 가장 안전 팁 표시 (EnableSimilarUsersSafetyTips) 끄기($false) 선택됨($true) 선택됨($true)
도메인 가장 안전 팁 표시 (EnableSimilarDomainsSafetyTips) 끄기($false) 선택됨($true) 선택됨($true)
사용자 가장 비정상적인 문자 안전 팁 표시 (EnableUnusualCharactersSafetyTips) 끄기($false) 선택됨($true) 선택됨($true)

1 전체 액세스 권한 및 격리 알림에 설명된 대로 organization 기본 보안 정책 또는 사용자가 만든 새 사용자 지정 보안 정책에서 DefaultFullAccessPolicy 대신 NotificationEnabledPolicy를 사용할 수 있습니다. 이러한 두 격리 정책 간의 유일한 차이점은 격리 알림이 NotificationEnabledPolicy에서 켜져 있고 DefaultFullAccessPolicy에서 꺼져 있다는 것입니다.

Office 365용 Microsoft Defender EOP 피싱 방지 정책 설정

EOP의 스팸 방지 정책 설정에서 사용할 수 있는 설정과 동일한 설정입니다.

안전한 첨부 파일 설정

Office 365용 Microsoft Defender 안전한 첨부 파일에는 안전한 첨부 파일 정책과 관계가 없는 전역 설정과 각 안전한 링크 정책과 관련된 설정이 포함됩니다. 자세한 내용은 Office 365용 Defender 안전한 첨부 파일을 참조하세요.

기본 안전한 첨부 파일 정책은 없지만 기본 제공 보호 사전 설정 보안 정책은 표준 또는 엄격한 사전 설정 보안 정책 또는 사용자 지정 안전한 첨부 파일 정책에 정의되지 않은 모든 수신자에게 안전한 첨부 파일 보호를 제공합니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 보안 정책 사전 설정을 참조하세요.

안전한 첨부 파일에 대한 전역 설정

참고

안전한 첨부 파일에 대한 전역 설정은 기본 제공 보호 사전 설정 보안 정책에 의해 설정되지만 표준 또는 엄격한 사전 설정 보안 정책에 의해 설정되지 않습니다. 어느 쪽이든 관리자는 언제든지 이러한 전역 안전한 첨부 파일 설정을 수정할 수 있습니다.

기본 열에는 기본 제공 보호 사전 설정 보안 정책이 존재하기 전의 값이 표시됩니다. 기본 제공 보호 열에는 기본 제공 보호 사전 설정 보안 정책에 의해 설정된 값이 표시되며 이는 권장되는 값이기도 합니다.

이러한 설정을 구성하려면 Microsoft 365 E5 SharePoint, OneDrive 및 Microsoft Teams에 안전한 첨부 파일 켜기 및 안전한 문서를 참조하세요.

PowerShell에서는 이러한 설정에 Set-AtpPolicyForO365 cmdlet을 사용합니다.

보안 기능 이름 기본 기본 제공 보호 기능 Comment
SharePoint, OneDrive 및 Microsoft Teams에 대한 Office 365용 Defender 켜기(EnableATPForSPOTeamsODB) 끄기($false) 켜기($true) 사용자가 악성 파일을 다운로드하지 못하도록 하려면 SharePoint Online PowerShell을 사용하여 사용자가 악성 파일을 다운로드하지 못하도록 방지를 참조하세요.
Office 클라이언트용 안전한 문서 켜기 (EnableSafeDocs) 끄기($false) 켜기($true) 이 기능은 Office 365용 Defender 포함되지 않은 라이선스(예: Microsoft 365 A5 또는 Microsoft 365 E5 Security)에서만 사용할 수 있으며 의미가 있습니다. 자세한 내용을 알아보려면 Microsoft 365 A5 또는 E5 보안의 안전한 문서를 참조하세요.
안전한 문서가 파일을 악성으로 식별한 경우에도 사용자가 보호된 보기를 클릭 할 수 있도록 허용(AllowSafeDocsOpen) 끄기($false) 끄기($false) 이 설정은 안전한 문서와 관련이 있습니다.

안전한 첨부 파일 정책 설정

이러한 설정을 구성하려면 Office 365용 Defender 안전한 첨부 파일 정책 설정을 참조하세요.

PowerShell에서는 이러한 설정에 New-SafeAttachmentPolicySet-SafeAttachmentPolicy cmdlet을 사용합니다.

참고

앞에서 설명한 대로 기본 안전한 첨부 파일 정책은 없지만 기본 제공 보호 사전 설정 보안 정책은 표준 미리 설정된 보안 정책, 엄격한 미리 설정된 보안 정책 또는 사용자 지정 안전한 첨부 파일 정책에 정의되지 않은 모든 수신자에게 안전한 첨부 파일 보호를 제공합니다.

사용자 지정 열의 기본값은 사용자가 만든 새 안전한 첨부 파일 정책의 기본값을 나타냅니다. 나머지 열은 해당 미리 설정된 보안 정책에 구성된 값을 나타냅니다(달리 명시되지 않은 경우).

격리 정책은 사용자가 격리된 메시지에 대해 수행할 수 있는 작업을 정의하고 사용자가 격리 알림을 받을지 여부를 정의합니다. 자세한 내용은 격리 정책 분석을 참조하세요.

AdminOnlyAccessPolicy라는 정책은 여기에 있는 표에 설명된 대로 맬웨어로 격리된 메시지에 대한 기록 기능을 적용합니다.

사용자는 격리 정책이 구성된 방식에 관계없이 안전한 첨부 파일에 의해 맬웨어로 격리된 자체 메시지를 해제할 수 없습니다. 정책에서 사용자가 자신의 격리된 메시지를 해제할 수 있도록 허용하는 경우 사용자는 대신 격리된 맬웨어 메시지의 릴리스를 요청할 수 있습니다.

보안 기능 이름 사용자 지정의 기본값 기본 제공 보호 기능 Standard 엄격 Comment
안전한 첨부 파일 알 수 없는 맬웨어 응답 (사용작업) Off (-Enable $false and -Action Block) 블록 (-Enable $true-Action Block) 블록 (-Enable $true-Action Block) 블록 (-Enable $true-Action Block) Enable 매개 변수가 $false 경우 Action 매개 변수의 값은 중요하지 않습니다.
격리 정책 (QuarantineTag) AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy AdminOnlyAccessPolicy
검색된 첨부 파일을 사용하여 첨부 파일 리디렉션 : 리디렉션 사용 (리디렉션 및RedirectAddress) 선택되지 않았으며 전자 메일 주소가 지정되지 않았습니다. (-Redirect $falseRedirectAddress 가 비어 있음) 선택되지 않았으며 전자 메일 주소가 지정되지 않았습니다. (-Redirect $falseRedirectAddress 가 비어 있음) 선택되지 않았으며 전자 메일 주소가 지정되지 않았습니다. (-Redirect $falseRedirectAddress 가 비어 있음) 선택되지 않았으며 전자 메일 주소가 지정되지 않았습니다. (-Redirect $falseRedirectAddress 가 비어 있음) 메시지 리디렉션은 안전한 첨부 파일 알 수 없는 맬웨어 응답 값이 모니터 (-Enable $true-Action Allow)인 경우에만 사용할 수 있습니다.

안전한 링크 보호에 대한 자세한 내용은 Office 365용 Defender 안전한 링크를 참조하세요.

기본 안전 링크 정책은 없지만 기본 제공 보호 사전 설정 보안 정책은 표준 미리 설정된 보안 정책, 엄격한 미리 설정된 보안 정책 또는 사용자 지정 안전 링크 정책에 정의되지 않은 모든 수신자에게 안전한 링크 보호를 제공합니다. 자세한 내용은 EOP 및 Office 365용 Microsoft Defender 보안 정책 사전 설정을 참조하세요.

안전한 링크 정책 설정을 구성하려면 Office 365용 Microsoft Defender 안전한 링크 정책 설정을 참조하세요.

PowerShell에서는 안전한 링크 정책 설정에 New-SafeLinksPolicySet-SafeLinksPolicy cmdlet을 사용합니다.

참고

사용자 지정 열의 기본값은 사용자가 만든 새 안전 링크 정책의 기본값을 나타냅니다. 나머지 열은 해당 미리 설정된 보안 정책에 구성된 값을 나타냅니다(달리 명시되지 않은 경우).

보안 기능 이름 사용자 지정의 기본값 기본 제공 보호 기능 Standard 엄격 Comment
URL & 보호 설정을 클릭합니다.
전자 메일 이 섹션의 설정은 전자 메일 메시지의 URL 다시 쓰기 및 클릭 보호 시간에 영향을 미칩니다.
사용: 사용자가 이메일에서 링크를 클릭할 때 안전한 링크가 알려진 악성 링크 목록을 확인합니다. URL은 기본적으로 다시 작성됩니다. (EnableSafeLinksForEmail) 선택됨($true) 선택됨($true) 선택됨($true) 선택됨($true)
organization 내에서 보낸 전자 메일 메시지에 안전한 링크 적용(EnableForInternalSenders) 선택됨($true) 선택되지 않음($false) 선택됨($true) 선택됨($true)
파일을 가리키는 의심스러운 링크 및 링크에 대한 실시간 URL 검사 적용 (ScanUrls) 선택됨($true) 선택됨($true) 선택됨($true) 선택됨($true)
메시지를 배달하기 전에 URL 검사가 완료될 때까지 기다립니다 (DeliverMessageAfterScan) 선택됨($true) 선택됨($true) 선택됨($true) 선택됨($true)
URL을 다시 작성하지 말고 안전한 링크 API를 통해서만 검사를 수행 합니다(DisableURLRewrite). 선택됨($false)* 선택됨($true) 선택되지 않음($false) 선택되지 않음($false) * Defender 포털에서 만드는 새 안전 링크 정책에서 이 설정은 기본적으로 선택됩니다. PowerShell에서 만드는 새 안전 링크 정책에서 DisableURLRewrite 매개 변수의 기본값은 입니다 $false.
전자 메일에서 다음 URL을 다시 작성하지 마세요 (DoNotRewriteUrls) Blank Blank Blank Blank 이 설정에 대한 구체적인 권장 사항은 없습니다.

참고: "다음 URL을 다시 작성하지 마세요" 목록의 항목은 메일 흐름 중에 안전한 링크로 검사되거나 래핑되지 않습니다. URL을 차단해서는 안 됨(가양성) 으로 보고하고 이 URL 이 허용 항목을 테넌트 허용/차단 목록에 추가하도록 허용을 선택하여 메일 흐름 중 클릭 시 안전한 링크로 URL을 검사하거나 래핑하지 않도록 합니다. 지침은 Microsoft에 좋은 URL 보고를 참조하세요.
Teams 이 섹션의 설정은 Microsoft Teams의 클릭 보호 시간에 영향을 줍니다.
켜기: 안전한 링크는 사용자가 Microsoft Teams에서 링크를 클릭할 때 알려진 악성 링크 목록을 확인합니다. URL은 다시 작성되지 않습니다. (EnableSafeLinksForTeams) 선택됨($true) 선택됨($true) 선택됨($true) 선택됨($true)
앱 Office 365 이 섹션의 설정은 Office 앱에서 클릭 보호 시간에 영향을 줍니다.
켜기: 안전한 링크는 사용자가 Microsoft Office 앱에서 링크를 클릭할 때 알려진 악성 링크 목록을 확인합니다. URL은 다시 작성되지 않습니다. (EnableSafeLinksForOffice) 선택됨($true) 선택됨($true) 선택됨($true) 선택됨($true) 지원되는 Office 365 데스크톱 및 모바일(iOS 및 Android) 앱에서 안전한 링크를 사용합니다. 자세한 내용은 Office 앱에 대한 안전한 링크 설정을 참조하세요.
보호 설정 클릭
사용자 클릭 추적 (TrackClicks) 선택됨($true) 선택됨($true) 선택됨($true) 선택됨($true)
사용자가 원래 URL을 클릭하도록 허용(AllowClickThrough) 선택됨($false)* 선택됨($true) 선택되지 않음($false) 선택되지 않음($false) * Defender 포털에서 만드는 새 안전 링크 정책에서 이 설정은 기본적으로 선택됩니다. PowerShell에서 만드는 새 안전 링크 정책에서 AllowClickThrough 매개 변수의 기본값은 입니다 $false.
알림 및 경고 페이지에 organization 브랜딩 표시(EnableOrganizationBranding) 선택되지 않음($false) 선택되지 않음($false) 선택되지 않음($false) 선택되지 않음($false) 이 설정에 대한 구체적인 권장 사항은 없습니다.

이 설정을 켜기 전에 회사 로고를 업로드하려면 organization Microsoft 365 테마 사용자 지정의 지침을 따라야 합니다.
알림
사용자에게 어떻게 알리시겠습니까? (CustomNotificationTextUseTranslatedNotificationText) 기본 알림 텍스트 사용 (비어 있음 및 $false) 기본 알림 텍스트 사용 (비어 있음 및 $false) 기본 알림 텍스트 사용 (비어 있음 및 $false) 기본 알림 텍스트 사용 (비어 있음 및 $false) 이 설정에 대한 구체적인 권장 사항은 없습니다.

사용자 지정 알림 텍스트 사용(-CustomNotificationText "<Custom text>")을 선택하여 사용자 지정 알림 텍스트를 입력하고 사용할 수 있습니다. 사용자 지정 텍스트를 지정하는 경우 자동 지역화에 Microsoft Translator 사용 (-UseTranslatedNotificationText $true)을 선택하여 텍스트를 사용자의 언어로 자동으로 번역할 수도 있습니다.