타사 피싱 시뮬레이션에 대한 고급 배달 정책 구성 및 SecOps 사서함으로 전자 메일 배달

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

기본적으로 organization 안전하게 유지하기 위해 EOP(Exchange Online Protection)는 맬웨어 또는 높은 신뢰도 피싱으로 식별되는 메시지에 대한 안전한 목록 또는 필터링 바이패스(bypass)를 허용하지 않습니다. 그러나 필터링되지 않은 메시지를 배달해야 하는 특정 시나리오가 있습니다. 예시:

  • 타사 피싱 시뮬레이션: 시뮬레이션된 공격은 실제 공격이 organization 영향을 미치기 전에 취약한 사용자를 식별하고 학습시키는 데 도움이 될 수 있습니다.
  • SecOps(보안 작업) 사서함: 보안 팀에서 필터링되지 않은 메시지를 수집하고 분석하는 데 사용하는 전용 사서함(양호 및 불량 모두).

EOP의 고급 배달 정책을 사용하여 이러한 특정 시나리오의 인바운드 메시지가 필터링되지 않도록 방지합니다. 고급 배달 정책은 이러한 시나리오의 메시지가 다음 결과를 달성하도록 합니다.

  • EOP 및 Office 365용 Defender 필터는 이러한 메시지에 대해 아무런 조치도 취하지 않습니다. SecOps 사서함에 대해서만 맬웨어 필터링이 무시됩니다.
  • 스팸 및 피싱에 대한 ZAP(0시간 제거)는 이러한 메시지에 대해 아무런 조치도 취하지 않습니다. 맬웨어에 대한 ZAP는 SecOps 사서함에 대해서만 무시됩니다.
  • Office 365용 Defender 안전한 링크는 클릭 시 이러한 메시지에서 지정된 URL을 차단하거나 폭발하지 않습니다. URL은 여전히 래핑되지만 차단되지는 않습니다.
  • Office 365용 Defender 안전한 첨부 파일은 이러한 메시지의 첨부 파일을 폭발하지 않습니다.
  • 이러한 시나리오에는 기본 시스템 경고 가 트리거되지 않습니다.
  • Office 365용 Defender AIR 및 클러스터링 이러한 메시지를 무시합니다.
  • 특히 타사 피싱 시뮬레이션의 경우:
    • 관리 제출은 메시지가 피싱 시뮬레이션 캠페인의 일부이며 실제 위협이 아니라는 자동 응답을 생성합니다. 경고 및 AIR는 트리거되지 않습니다. 관리자 제출 환경에는 이러한 메시지가 시뮬레이션된 위협으로 표시됩니다.
    • 사용자가 웹용 Outlook 기본 제공 보고서 단추 또는 Microsoft 보고서 메시지 또는 보고서 피싱 추가 기능을 사용하여 피싱 시뮬레이션 메시지를 보고하는 경우 시스템은 경고, 조사 또는 인시던트를 생성하지 않습니다. 링크나 파일은 폭발하지 않지만 제출 페이지의사용자 보고 탭에 메시지가 표시됩니다.

고급 배달 정책으로 식별되는 메시지는 보안 위협이 아니므로 메시지는 시스템 재정의로 표시됩니다. 관리 환경에서는 이러한 메시지를 피싱 시뮬레이션 또는 SecOps 사서함 시스템 재정의로 표시합니다. 관리자는 다음 값을 사용하여 다음 환경에서 메시지를 필터링하고 분석할 수 있습니다.

  • Office 365용 Defender 위협 Explorer(Explorer) 또는 실시간 검색: 관리자는 시스템 재정의 원본을 필터링하고 피싱 시뮬레이션 또는 SecOps 사서함을 선택할 수 있습니다.
  • Email 엔터티 페이지: 관리자는 재정의 섹션의테넌트 재정의에서 SecOps 사서함 또는 피싱 시뮬레이션에서 organization 정책에 의해 허용된 메시지를 볼 수 있습니다.
  • 위협 방지 상태 보고서: 관리 드롭다운 메뉴에서 시스템 재정의로 데이터를 보고 피싱 시뮬레이션 시스템 재정의로 인해 허용되는 메시지를 확인하도록 선택할 수 있습니다. SecOps 사서함 재정의에서 허용되는 메시지를 보려면 차트 분석 결과 드롭다운 목록에서 배달 위치별차트 분석을 선택할 수 있습니다.
  • 엔드포인트용 Microsoft Defender 고급 헌팅: 피싱 시뮬레이션 및 SecOps 사서함 시스템 재정의는 EmailEvents의 OrgLevelPolicy 내 옵션입니다.
  • 캠페인 보기: 관리 시스템 재정의 원본을 필터링하고 피싱 시뮬레이션 또는 SecOps 사서함을 선택할 수 있습니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • 에서 Microsoft Defender 포털을 https://security.microsoft.com엽니다. 고급 배달 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/advanceddelivery.

  • Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하세요.

  • 이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

    • Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)(PowerShell이 아닌 Defender 포털에만 영향을 줍니다. ): 권한 부여 및 설정/보안 설정/핵심 보안 설정(관리) 또는 권한 부여 및 설정/보안 설정/핵심 보안 설정(읽기).
    • Microsoft Defender 포털에서 공동 작업 권한Exchange Online 권한을 Email &.
      • 고급 배달 정책에서 구성된 설정을 만들거나 수정하거나 제거합니다. Email & 협업 RBAC의 보안 관리자 역할 그룹의 멤버 자격 Exchange Online RBAC의 조직 관리 역할 그룹의 멤버 자격.
      • 고급 배달 정책에 대한 읽기 전용 액세스: Email & 협업 RBAC의 전역 읽기 권한자 또는 보안 읽기 권한자 역할 그룹의 멤버 자격입니다.
        • Exchange Online RBAC에서 보기 전용 조직 관리.
    • Microsoft Entra 권한: 전역 관리자, 보안 관리자, 전역 읽기 권한자 또는 보안 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 대한 필요한 권한 권한을 제공합니다.

Microsoft Defender 포털을 사용하여 고급 배달 정책에서 SecOps 사서함 구성

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com규칙 섹션에서 Email & 협업>정책 & 규칙>위협 정책>고급 배달로 이동합니다. 또는 고급 배달 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/advanceddelivery.

    고급 배달 페이지에서 SecOps 사서함 탭이 선택되어 있는지 확인합니다.

  2. SecOps 사서함 탭의 페이지의 구성된 SecOps 사서함 없음 영역에서 추가 단추를 선택합니다.

    SecOps 사서함 탭에 이미 기존 항목이 있는 경우 편집을 선택합니다(추가 단추를 사용할 수 없음).

  3. 열리는 SecOps 사서함 추가 플라이아웃에서 다음 단계 중 하나를 수행하여 SecOps 사서함으로 지정할 기존 Exchange Online 사서함을 입력합니다.

    • 상자를 클릭하고 사서함 목록을 resolve 다음 사서함을 선택합니다.

    • 상자에서 사서함의 식별자 입력(이름, 표시 이름, 별칭, 전자 메일 주소, 계정 이름 등)을 클릭하고 결과에서 사서함(표시 이름)을 선택합니다.

      필요한 만큼 이 단계를 반복합니다. 메일 그룹은 허용되지 않습니다.

      기존 값을 제거하려면 값 옆에 있는 제거 를 선택합니다.

  4. SecOps 사서함 추가 플라이아웃이 완료되면 추가를 선택합니다.

  5. SecOps 사서함 변경 내용의 정보를 검토하여 저장된 플라이아웃을 재정의한 다음, 닫기를 선택합니다.

SecOps 사서함 탭으로 돌아가서 구성한 SecOps 사서함 항목이 이제 나열됩니다.

  • 표시 이름 열에는 사서함의 표시 이름이 포함됩니다.
  • Email 열에는 각 항목에 대한 이메일 주소가 포함됩니다.
  • 항목 목록을 보통에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.

Microsoft Defender 포털을 사용하여 고급 배달 정책에서 SecOps 사서함 수정 또는 제거

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com규칙 섹션에서 Email & 협업>정책 & 규칙>위협 정책>고급 배달로 이동합니다. 또는 고급 배달 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/advanceddelivery.

    고급 배달 페이지에서 SecOps 사서함 탭이 선택되어 있는지 확인합니다.

  2. SecOps 사서함 탭에서 편집을 선택합니다.

  3. 고급 배달 정책 섹션에서 SecOps 사서함구성하기 위해 Microsoft Defender 포털의 3단계에서 설명한 대로 열리는 SecOps 사서함 편집 플라이아웃에서 사서함을 추가하거나 제거합니다.

    모든 사서함을 제거하려면 선택한 사서함이 더 이상 없을 때까지 각 값 옆에 있는 제거 를 선택합니다.

  4. SecOps 사서함 편집 플라이아웃이 완료되면 저장을 선택합니다.

  5. SecOps 사서함 변경 내용의 정보를 검토하여 저장된 플라이아웃을 재정의한 다음, 닫기를 선택합니다.

SecOps 사서함 탭으로 돌아가서 구성한 SecOps 사서함 항목이 표시됩니다. 모든 항목을 제거한 경우 목록이 비어 있습니다.

Microsoft Defender 포털을 사용하여 고급 배달 정책에서 타사 피싱 시뮬레이션 구성

타사 피싱 시뮬레이션을 구성하려면 다음 정보를 제공해야 합니다.

  • 하나 이상의 도메인: 피싱 시뮬레이션 공급업체가 지정한 5321.MailFrom 대로 메시지 또는 DKIM 도메인의 SMTP 전송에 사용되는 MAIL FROM 주소(주소, P1 보낸 사람 또는 봉투 보낸 사람라고도 함)의 도메인입니다.
  • 하나 이상의 송신 IP.
  • 이메일이 아닌 피싱 시뮬레이션(예: Microsoft Teams 메시지, Word 문서 또는 Excel 스프레드시트)의 경우 클릭 시 실제 위협으로 처리되지 않도록 시뮬레이션 URL을 선택적으로 식별할 수 있습니다. URL은 차단되거나 폭발하지 않으며 URL 클릭 경고 또는 결과 인시던트가 생성되지 않습니다. URL은 클릭 시 래핑되지만 차단되지는 않습니다.

하나 이상의 도메인 과 하나의 송신 IP에 일치하는 항목이 있어야 하지만 값 간의 연결은 유지되지 않습니다.

MX 레코드가 Microsoft 365를 가리키지 않는 경우 헤더의 IP 주소가 Authentication-results 고급 배달 정책의 IP 주소와 일치해야 합니다. IP 주소가 일치하지 않는 경우 올바른 IP 주소가 검색되도록 커넥터에 대한 향상된 필터링을 구성해야 할 수 있습니다.

참고

커넥터에 대한 향상된 필터링은 복잡한 전자 메일 라우팅 시나리오에서 타사 피싱 시뮬레이션에 작동하지 않습니다(예: 인터넷의 전자 메일은 Microsoft 365로 라우팅된 다음 온-프레미스 환경 또는 타사 보안 서비스로 라우팅된 다음 Microsoft 365로 다시 라우팅됨). EOP는 메시지 원본의 실제 IP 주소를 식별할 수 없습니다. 타사 피싱 시뮬레이션에 온-프레미스 또는 타사 전송 인프라의 IP 주소를 추가하여 이 제한을 해결하려고 하지 마세요. 이렇게 하면 타사 피싱 시뮬레이션에 지정된 도메인을 가장하는 모든 인터넷 발신자에 대한 스팸 필터링이 효과적으로 무시됩니다.

현재 타사 피싱 시뮬레이션에 대한 고급 배달 정책은 특히 하이브리드 메일 흐름에서 Microsoft 365 이전의 Exchange Server 게이트웨이를 통해 전자 메일이 라우팅되는 경우 동일한 organization(DIR:INT) 내에서 시뮬레이션을 지원하지 않습니다. 이 문제를 해결하려면 다음 옵션이 있습니다.

  • 피싱 시뮬레이션 메시지를 내부로 인증하지 않는 전용 송신 커넥터 를 만듭니다.
  • Exchange Server 인프라를 우회하고 메일을 Microsoft 365 MX 레코드(예: contoso-com.mail.protection.outlook.com)로 직접 라우팅하도록 피싱 시뮬레이션을 구성합니다.
  • 스팸 방지 정책에서 organization 내 메시지 검사를 없음으로 설정할 수 있지만 다른 전자 메일 메시지에 영향을 주므로 이 옵션은 권장하지 않습니다.

기본 제공 보호 사전 설정 보안 정책을 사용하거나 사용자 지정 안전 링크 정책에 URL 다시 작성 안 함 설정이 있는 경우 SafeLinks API만 사용하도록 설정, 클릭 보호 시간이 전자 메일의 피싱 시뮬레이션 링크를 웹용 Outlook, iOS 및 Android용 Outlook, Windows v16.0.15317.10000 이상, Mac용 Outlook v16.74.23061100 이상에서 위협으로 처리하지 않습니다. 이전 버전의 Outlook을 사용하는 경우 URL을 다시 작성하지 않음을 사용하지 않도록 설정하고 사용자 지정 안전 링크 정책에서 SafeLinks API만 설정하여 검사를 수행합니다.

안전한 링크 정책의 전자 메일에서 다음 URL을 다시 작성하지 않음 섹션에 피싱 시뮬레이션 URL을 추가하면 URL 클릭에 대한 원치 않는 경고가 발생할 수 있습니다. 메일 메시지의 피싱 시뮬레이션 URL은 메일 흐름 중과 클릭 시 모두 자동으로 허용됩니다.

현재 SecOps 사서함에 대한 고급 배달 정책은 조직 내 메시지(DIR:INT)를 지원하지 않으며 이러한 메시지는 격리됩니다. 해결 방법으로 조직 내 메시지를 격리하지 않는 SecOps 사서함에 대해 별도의 스팸 방지 정책을 사용할 수 있습니다. 모든 사서함에 대해 조직 내 보호를 사용하지 않도록 설정하는 것은 권장되지 않습니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com규칙 섹션에서 Email & 협업>정책 & 규칙>위협 정책>고급 배달로 이동합니다. 또는 고급 배달 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/advanceddelivery.

    고급 배달 페이지에서 피싱 시뮬레이션 탭을 선택합니다.

  2. 피싱 시뮬레이션 탭의 페이지의 타사 피싱 시뮬레이션이 구성되지 않음 영역에서 추가 단추를 선택합니다.

    피싱 시뮬레이션 탭에 이미 기존 항목이 있는 경우 편집을 선택합니다(추가 단추를 사용할 수 없음).

  3. 열리는 타사 피싱 시뮬레이션 플라이아웃 추가에서 다음 설정을 구성합니다.

    • 도메인: 이 설정을 확장하고 상자를 클릭하고 값(예: contoso.com)을 입력한 다음 Enter 키를 누르거나 상자 아래에 표시되는 값을 선택하여 하나 이상의 전자 메일 주소 도메인을 입력합니다. 필요한 만큼 이 단계를 반복합니다. 최대 50개의 항목을 추가할 수 있습니다. 다음 값 중 하나를 사용합니다.

      • 메시지의 5321.MailFrom SMTP 전송에 사용되는 주소의 도메인( MAIL FROM 주소, P1 보낸 사람 또는 봉투 보낸 사람이라고도 함)입니다.
      • 피싱 시뮬레이션 공급업체에서 지정한 DKIM 도메인입니다.

    • IP 보내기: 이 설정을 확장하고 상자를 클릭하고 값을 입력한 다음 Enter 키를 누르거나 상자 아래에 표시되는 값을 선택하여 유효한 IPv4 주소를 하나 이상 입력합니다. 필요한 만큼 이 단계를 반복합니다. 최대 10개의 항목을 추가할 수 있습니다. 유효한 값은 다음과 같습니다.

      • 단일 IP: 예: 192.168.1.1.
      • IP 범위: 예를 들어 192.168.0.1-192.168.0.254.
      • CIDR IP: 예를 들어 192.168.0.1/25입니다.

  • 허용되는 시뮬레이션 URL: 이메일 피싱 시뮬레이션의 링크에는 이 설정이 필요하지 않습니다. 이 설정을 사용하여 클릭 시 실제 위협으로 취급해서는 안 되는 이메일 이 아닌 피싱 시뮬레이션(Teams 메시지 또는 Office 문서의 링크)의 링크를 선택적으로 식별합니다.

    이 설정을 확장하고 상자를 클릭하고 값을 입력한 다음 Enter 키를 누르거나 상자 아래에 표시되는 값을 선택하여 URL 항목을 추가합니다. 최대 30개의 항목을 추가할 수 있습니다. URL 구문은 테넌트 허용/차단 목록의 URL 구문을 참조하세요.

기존 도메인, IP 또는 URL 값을 제거하려면 값 옆에 있는 제거 를 선택합니다.

다음 예제를 살펴보겠습니다.

Authentication-Results: spf=pass (sender IP is 172.17.17.7)
smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
  • 연결 IP 주소는 172.17.17.7입니다.
  • MAIL FROM 주소(smtp.mailfrom)의 도메인이 contoso.com.
  • DKIM 도메인(header.d)이 contoso-simulation.com.

예제에서 다음 조합 중 하나를 사용하여 타사 피싱 시뮬레이션을 구성할 수 있습니다.

도메인: contoso.com
IP 보내기: 172.17.17.7

도메인: contoso-simulation.com
IP 보내기: 172.17.17.7

  1. 타사 피싱 시뮬레이션 추가 플라이아웃에서 완료되면 추가를 선택합니다.

  2. 피싱 시뮬레이션 변경 내용 재정의 저장된 플라이아웃의 정보를 검토한 다음, 닫기를 선택합니다.

피싱 시뮬레이션 탭으로 돌아가서 구성한 타사 피싱 시뮬레이션 항목이 나열됩니다.

  • 열에는 도메인, IP 주소 또는 URL 항목이 포함됩니다.
  • Type 열에는 각 항목에 대한 송신 IP, 도메인 또는 허용되는 시뮬레이션 URL 값이 포함됩니다.
  • 날짜 열에는 항목이 만들어진 시기가 표시됩니다.
  • 항목 목록을 보통에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.

Microsoft Defender 포털을 사용하여 고급 배달 정책에서 타사 피싱 시뮬레이션을 수정하거나 제거합니다.

  1. 의 Microsoft Defender 포털에서 https://security.microsoft.com규칙 섹션에서 Email & 협업>정책 & 규칙>위협 정책>고급 배달로 이동합니다. 또는 고급 배달 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/advanceddelivery.

    고급 배달 페이지에서 피싱 시뮬레이션 탭을 선택합니다.

  2. 피싱 시뮬레이션 탭에서 편집을 선택합니다.

  3. 고급 배달 정책 섹션에서 SecOps 사서함을 구성하기 위해 Microsoft Defender 포털의 3단계에서 설명한 대로 도메인, 전송 IP시뮬레이션 URL에 대한 항목을 열거나 추가하거나 제거하는 타사 피싱 시뮬레이션 플라이아웃 편집 섹션에서 설명합니다.

    모든 항목을 제거하려면 더 이상 도메인, IP 또는 URL이 선택되지 않을 때까지 각 값 옆에 있는 제거 를 선택합니다.

  4. 타사 피싱 시뮬레이션 플라이아웃 편집을 마쳤으면 저장을 선택합니다.

  5. 피싱 시뮬레이션 변경 내용 재정의 저장된 플라이아웃의 정보를 검토한 다음, 닫기를 선택합니다.

피싱 시뮬레이션 탭으로 돌아가서 구성한 타사 피싱 시뮬레이션 항목이 표시됩니다. 모든 항목을 제거한 경우 목록이 비어 있습니다.

필터링 바이패스가 필요한 추가 시나리오

고급 배달 정책이 도움이 될 수 있는 두 가지 시나리오 외에도 메시지에 대한 필터링을 무시해야 하는 다른 시나리오가 있습니다.

  • 타사 필터: 도메인의 MX 레코드가 Office 365 가리키지 않는 경우(메시지가 다른 곳에서 먼저 라우팅됨) 기본적으로 보안을사용할 수 없습니다. 보호를 추가하려면 커넥터에 대한 향상된 필터링을 사용하도록 설정해야 합니다( 목록 건너뛰기라고도 함). 자세한 내용은 Exchange Online 타사 클라우드 서비스를 사용하여 메일 흐름 관리를 참조하세요. 커넥터에 대한 향상된 필터링을 원하지 않는 경우 메일 흐름 규칙(전송 규칙이라고도 함)을 사용하여 타사 필터링에 의해 이미 평가된 메시지에 대한 Microsoft 필터링을 무시합니다. 자세한 내용은 메일 흐름 규칙을 사용하여 메시지에서 SCL 설정을 참조하세요.

  • 검토 중인 가양성: 관리자 제출을 통해 보고한 잘못된 메시지(가양성)로 잘못 식별된 좋은 메시지를 일시적으로 허용할 수 있지만 Microsoft에서 메시지를 분석하고 있습니다. 모든 재정의와 마찬가지로 이러한 수당은 일시적이라는 점을 적극 권장 합니다.

고급 배달 정책의 SecOps 사서함에 대한 PowerShell 절차

PowerShell에서 고급 배달 정책의 SecOps 사서함의 기본 요소는 다음과 같습니다.

  • SecOps 재정의 정책: *-SecOpsOverridePolicy cmdlet에 의해 제어됩니다.
  • SecOps 재정의 규칙: *-ExoSecOpsOverrideRule cmdlet에 의해 제어됩니다.

이 동작에는 다음과 같은 결과가 있습니다.

  • 먼저 정책을 만든 다음 규칙이 적용되는 정책을 식별하는 규칙을 만듭니다.
  • PowerShell에서 정책을 제거하면 해당 규칙도 제거됩니다.
  • PowerShell에서 규칙을 제거하면 해당 정책이 제거되지 않습니다. 해당 정책을 수동으로 제거해야 합니다.

PowerShell을 사용하여 SecOps 사서함 구성

PowerShell의 고급 배달 정책에서 SecOps 사서함을 구성하는 것은 다음 2단계 프로세스입니다.

  1. SecOps 재정의 정책을 만듭니다.
  2. 규칙이 적용되는 정책을 지정하는 SecOps 재정의 규칙을 만듭니다.

1단계: PowerShell을 사용하여 SecOps 재정의 정책 만들기

Exchange Online PowerShell에서 다음 구문을 사용합니다.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

지정한 이름 값에 관계없이 정책 이름은 SecOpsOverridePolicy이므로 해당 값을 사용할 수도 있습니다.

이 예제에서는 SecOps 사서함 정책을 만듭니다.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

자세한 구문 및 매개 변수 정보는 New-SecOpsOverridePolicy를 참조하세요.

2단계: PowerShell을 사용하여 SecOps 재정의 규칙 만들기

Exchange Online PowerShell에서 다음 명령을 실행합니다.

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

지정한 이름 값에 관계없이 규칙 이름은 [sic]이 됩니다 _Exe:SecOpsOverrid:<GUID\> . 여기서 <GUID> 는 고유한 GUID 값입니다(예: 312c23cf-0377-4162-b93d-6548a9977efb9).

자세한 구문 및 매개 변수 정보는 New-ExoSecOpsOverrideRule을 참조하세요.

PowerShell을 사용하여 SecOps 재정의 정책 보기

Exchange Online PowerShell에서 이 예제에서는 SecOps 사서함 정책에 대한 자세한 정보를 반환합니다.

Get-SecOpsOverridePolicy

자세한 구문 및 매개 변수 정보는 Get-SecOpsOverridePolicy를 참조하세요.

PowerShell을 사용하여 SecOps 재정의 규칙 보기

Exchange Online PowerShell에서 이 예제에서는 SecOps 재정의 규칙에 대한 자세한 정보를 반환합니다.

Get-ExoSecOpsOverrideRule

이전 명령은 하나의 규칙만 반환해야 하지만 삭제 보류 중인 규칙도 결과에 포함될 수 있습니다.

이 예제에서는 유효한 규칙(1)과 잘못된 규칙을 식별합니다.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

잘못된 규칙을 식별한 후 이 문서의 뒷부분에 설명된 대로 Remove-ExoSecOpsOverrideRule cmdlet을 사용하여 제거할 수 있습니다.

자세한 구문 및 매개 변수 정보는 Get-ExoSecOpsOverrideRule을 참조하세요.

PowerShell을 사용하여 SecOps 재정의 정책 수정

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

이 예제에서는 SecOps 재정의 정책에 를 추가 secops2@contoso.com 합니다.

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

참고

연결된 유효한 SecOps 재정의 규칙이 있는 경우 규칙의 이메일 주소도 업데이트됩니다.

자세한 구문 및 매개 변수 정보는 Set-SecOpsOverridePolicy를 참조하세요.

PowerShell을 사용하여 SecOps 재정의 규칙 수정

Set-ExoSecOpsOverrideRule cmdlet은 SecOps 재정의 규칙의 이메일 주소를 수정하지 않습니다. SecOps 재정의 규칙에서 이메일 주소를 수정하려면 Set-SecOpsOverridePolicy cmdlet을 사용합니다.

자세한 구문 및 매개 변수 정보는 Set-ExoSecOpsOverrideRule을 참조하세요.

PowerShell을 사용하여 SecOps 재정의 정책 제거

Exchange Online PowerShell에서 이 예제에서는 SecOps 사서함 정책 및 해당 규칙을 제거합니다.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

자세한 구문 및 매개 변수 정보는 Remove-SecOpsOverridePolicy를 참조하세요.

PowerShell을 사용하여 SecOps 재정의 규칙 제거

Exchange Online PowerShell에서 다음 명령을 사용합니다.

  • SecOps 재정의 규칙을 제거합니다.

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule

  • 지정된 SecOps 재정의 규칙을 제거합니다.

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"

자세한 구문 및 매개 변수 정보는 Remove-ExoSecOpsOverrideRule을 참조하세요.

고급 배달 정책의 타사 피싱 시뮬레이션에 대한 PowerShell 절차

PowerShell에서 고급 배달 정책의 타사 피싱 시뮬레이션의 기본 요소는 다음과 같습니다.

  • 피싱 시뮬레이션 재정의 정책: *-PhishSimOverridePolicy cmdlet에 의해 제어됩니다.
  • 피싱 시뮬레이션 재정의 규칙: *-ExoPhishSimOverrideRule cmdlet에 의해 제어됩니다.
  • 허용되는(차단 해제) 피싱 시뮬레이션 URL: *-TenantAllowBlockListItems cmdlet에 의해 제어됩니다.

참고

앞서 설명한 대로 이메일 기반 피싱 시뮬레이션의 링크에는 URL 식별이 필요하지 않습니다. 필요에 따라 클릭 시 실제 위협으로 취급해서는 안 되는 비메일 피싱 시뮬레이션(Teams 메시지의 링크 또는 Office 문서의 링크)에서 링크를 식별할 수 있습니다.

이 동작에는 다음과 같은 결과가 있습니다.

  • 먼저 정책을 만든 다음 규칙이 적용되는 정책을 식별하는 규칙을 만듭니다.
  • 정책 및 규칙의 설정을 별도로 수정합니다.
  • PowerShell에서 정책을 제거하면 해당 규칙도 제거됩니다.
  • PowerShell에서 규칙을 제거하면 해당 정책이 제거되지 않습니다. 해당 정책을 수동으로 제거해야 합니다.

PowerShell을 사용하여 타사 피싱 시뮬레이션 구성

PowerShell에서 타사 피싱 시뮬레이션을 구성하는 것은 다단계 프로세스입니다.

  1. 피싱 시뮬레이션 재정의 정책을 만듭니다.
  2. 다음을 지정하는 피싱 시뮬레이션 재정의 규칙을 만듭니다.
    • 규칙이 적용되는 정책입니다.
    • 피싱 시뮬레이션 메시지의 원본 IP 주소입니다.
  3. 필요에 따라 클릭 시 실제 위협으로 취급해서는 안 되는 비메일 피싱 시뮬레이션(Teams 메시지 또는 Office 문서의 링크)에서 피싱 시뮬레이션 URL을 ID화합니다.

1단계: PowerShell을 사용하여 피싱 시뮬레이션 재정의 정책 만들기

Exchange Online PowerShell에서 이 예제에서는 피싱 시뮬레이션 재정의 정책을 만듭니다.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

지정한 이름 값에 관계없이 정책 이름은 PhishSimOverridePolicy이므로 해당 값을 사용할 수도 있습니다.

자세한 구문 및 매개 변수 정보는 New-PhishSimOverridePolicy를 참조하세요.

2단계: PowerShell을 사용하여 피싱 시뮬레이션 재정의 규칙 만들기

Exchange Online PowerShell에서 다음 구문을 사용합니다.

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

지정한 이름 값에 관계없이 규칙 이름은 [sic]이 됩니다 _Exe:PhishSimOverr:<GUID\> . 여기서 <GUID> 는 고유한 GUID 값입니다(예: 6fed4b63-3563-495d-a481-b24a311f8329).

유효한 IP 주소 항목은 다음 값 중 하나입니다.

  • 단일 IP: 예: 192.168.1.1.
  • IP 범위: 예를 들어 192.168.0.1-192.168.0.254.
  • CIDR IP: 예를 들어 192.168.0.1/25입니다.

이 예제에서는 지정된 설정을 사용하여 피싱 시뮬레이션 재정의 규칙을 만듭니다.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

자세한 구문 및 매개 변수 정보는 New-ExoPhishSimOverrideRule을 참조하세요.

3단계: (선택 사항) PowerShell을 사용하여 허용할 피싱 시뮬레이션 URL 식별

Exchange Online PowerShell에서 다음 구문을 사용합니다.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

URL 구문에 대한 자세한 내용은 테넌트 허용/차단 목록의 URL 구문을 참조하세요.

다음은 만료 없이 지정된 타사 피싱 시뮬레이션 URL에 대한 URL 허용 항목을 추가하는 예제입니다.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

자세한 구문 및 매개 변수 정보는 New-TenantAllowBlockListItems를 참조하세요.

PowerShell을 사용하여 피싱 시뮬레이션 재정의 정책 보기

Exchange Online PowerShell에서 이 예제에서는 피싱 시뮬레이션 재정의 정책에 대한 자세한 정보를 반환합니다.

Get-PhishSimOverridePolicy

자세한 구문 및 매개 변수 정보는 Get-PhishSimOverridePolicy를 참조하세요.

PowerShell을 사용하여 피싱 시뮬레이션 재정의 규칙 보기

Exchange Online PowerShell)에서 이 예제에서는 피싱 시뮬레이션 재정의 규칙에 대한 자세한 정보를 반환합니다.

Get-ExoPhishSimOverrideRule

이전 명령은 하나의 규칙만 반환해야 하지만 삭제 보류 중인 모든 규칙도 결과에 포함될 수 있습니다.

이 예제에서는 유효한 규칙(1)과 잘못된 규칙을 식별합니다.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

잘못된 규칙을 식별한 후 이 문서의 뒷부분에 설명된 대로 Remove-ExoPhishSimOverrideRule cmdlet을 사용하여 제거할 수 있습니다.

자세한 구문 및 매개 변수 정보는 Get-ExoPhishSimOverrideRule을 참조하세요.

PowerShell을 사용하여 허용되는 피싱 시뮬레이션 URL 항목 보기

Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

자세한 구문 및 매개 변수 정보는 Get-TenantAllowBlockListItems를 참조하세요.

PowerShell을 사용하여 피싱 시뮬레이션 재정의 정책 수정

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

이 예제에서는 피싱 시뮬레이션 재정의 정책을 사용하지 않도록 설정합니다.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

자세한 구문 및 매개 변수 정보는 Set-PhishSimOverridePolicy를 참조하세요.

PowerShell을 사용하여 피싱 시뮬레이션 재정의 규칙 수정

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

또는

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Get-ExoPhishSimOverrideRule cmdlet을 사용하여 PhishSimOverrideRuleIdentity> 값을 찾<습니다. 규칙 이름은 [sic] 구문을 사용합니다. 여기서 <GUID>는 고유한 GUID 값입니다(예: _Exe:PhishSimOverr:<GUID\> 6fed4b63-3563-495d-a481-b24a311f8329).

이 예제에서는 다음 설정을 사용하여 (아마도만) 피싱 시뮬레이션 재정의 규칙을 수정합니다.

  • 도메인 항목 blueyonderairlines.com 추가합니다.
  • IP 주소 항목 192.168.1.55를 제거합니다.

이러한 변경 내용은 규칙의 기존 항목에 영향을 주지 않습니다.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

자세한 구문 및 매개 변수 정보는 Set-ExoPhishSimOverrideRule을 참조하세요.

PowerShell을 사용하여 허용되는 피싱 시뮬레이션 URL 항목을 수정합니다.

URL 값을 직접 수정할 수 없습니다. 이 문서에 설명된 대로 기존 URL 항목을 제거하고새 URL 항목을 추가할 수 있습니다 .

Exchange Online PowerShell에서 허용되는 피싱 시뮬레이션 URL 항목의 다른 속성(예: 만료 날짜 또는 주석)을 수정하려면 다음 구문을 사용합니다.

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

해당 URL 값( Entries 매개 변수) 또는 Get-TenantAllowBlockListItems cmdlet( Ids 매개 변수)의 출력에서 ID 값으로 수정할 항목을 식별합니다.

다음은 지정한 항목의 만료 날짜를 수정한 예제입니다.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

자세한 구문 및 매개 변수 정보는 Set-TenantAllowBlockListItems를 참조하세요.

PowerShell을 사용하여 피싱 시뮬레이션 재정의 정책 제거

Exchange Online PowerShell에서 이 예제에서는 피싱 시뮬레이션 재정의 정책 및 해당 규칙을 제거합니다.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

자세한 구문 및 매개 변수 정보는 Remove-PhishSimOverridePolicy를 참조하세요.

PowerShell을 사용하여 피싱 시뮬레이션 재정의 규칙 제거

Exchange Online PowerShell에서 다음 명령을 사용합니다.

  • 피싱 시뮬레이션 재정의 규칙을 제거합니다.

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule

  • 지정된 피싱 시뮬레이션 재정의 규칙을 제거합니다.

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"

자세한 구문 및 매개 변수 정보는 Remove-ExoPhishSimOverrideRule을 참조하세요.

PowerShell을 사용하여 허용되는 피싱 시뮬레이션 URL 항목 제거

Exchange Online PowerShell에서 다음 구문을 사용합니다.

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

해당 URL 값( Entries 매개 변수) 또는 Get-TenantAllowBlockListItems cmdlet( Ids 매개 변수)의 출력에서 ID 값으로 수정할 항목을 식별합니다.

다음은 지정한 항목의 만료 날짜를 수정한 예제입니다.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

자세한 구문 및 매개 변수 정보는 Remove-TenantAllowBlockListItems를 참조하세요.