위협 Explorer 위협 헌팅 개선

Microsoft 365 Defender Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

organization Office 365용 Microsoft Defender 필요한 권한이 있는 경우 위협 Explorer 또는 실시간 검색(이전의 실시간 보고서 - 새로운 기능 참조)이 있습니다.

위협 Explorer 또는 실시간 검색은 보안 운영 팀이 위협을 효율적으로 조사하고 대응하는 데 도움이 됩니다. 이 보고서를 사용하면 다음을 수행할 수 있습니다.

위협 헌팅 환경

Explorer/실시간 검색 내에서 Office 365용 Defender 경고에 대한 경고 ID 소개

현재 경고에서 위협 Explorer 이동하는 경우 경고 정책 ID(정책 ID가 경고 정책의 고유 식별자)로 필터링된 보기와 함께 Explorer 내에서 필터링된 보기가 열립니다. 특정 경고와 관련된 메시지와 이메일 수를 볼 수 있도록 위협 Explorer 및 실시간 검색에 경고 ID(아래 경고 ID 예제 참조)를 도입하여 이러한 통합을 더욱 관련성 있게 만들고 있습니다. 또한 메시지가 경고의 일부인지 확인하고 해당 메시지에서 특정 경고로 이동할 수 있습니다.

경고 ID 필터링의 스크린샷.

평가판 테넌트에서 Explorer(및 실시간 검색) 데이터 보존 및 검색 한도를 7일에서 30일로 연장

이 변경의 일환으로 Office 365용 Defender P1 및 P2 평가판 테넌트 모두에 대한 위협 Explorer/실시간 검색에서 30일(이전 7일에서 증가)에 걸쳐 전자 메일 데이터를 검색하고 필터링할 수 있습니다. 이는 이미 30일 데이터 보존 및 검색 기능이 있는 P1 및 P2/E5 고객 모두에 대한 프로덕션 테넌트에 영향을 주지 않습니다.

위협 Explorer 대한 레코드 내보내기 제한 업데이트됨

이 업데이트의 일환으로 위협 Explorer 내보낼 수 있는 Email 레코드의 행 수가 9990개에서 200,000개 레코드로 증가합니다. 현재 내보낼 수 있는 열 집합은 동일하게 유지되지만 행 수는 현재 제한에서 증가합니다.

위협 Explorer 태그

참고

사용자 태그 기능은 미리 보기로 제공되며 모든 사용자가 사용할 수 없으며 변경될 수 있습니다. 릴리스 일정에 대한 자세한 내용은 Microsoft 365 로드맵을 검사.

사용자 태그는 Office 365용 Microsoft Defender 특정 사용자 그룹을 식별합니다. 라이선스 및 구성을 포함한 태그에 대한 자세한 내용은 사용자 태그를 참조하세요.

위협 Explorer 다음 환경에서 사용자 태그에 대한 정보를 볼 수 있습니다.

Email 그리드 보기

전자 메일 표의 태그 열에는 보낸 사람 또는 받는 사람 사서함에 적용된 모든 태그가 포함됩니다. 기본적으로 우선 순위 계정과 같은 시스템 태그가 먼저 표시됩니다.

이메일 그리드 보기의 태그 필터링 스크린샷.

필터링

태그를 필터로 사용할 수 있습니다. 우선 순위 계정 또는 특정 사용자 태그 시나리오에서만 헌팅합니다. 특정 태그가 있는 결과를 제외할 수도 있습니다. 이 기능을 다른 필터와 결합하여 조사 scope 범위를 좁힐 수 있습니다.

태그를 필터링합니다.

필터링되지 않은 태그의 스크린샷

Email 세부 정보 플라이아웃

보낸 사람 및 받는 사람에 대한 개별 태그를 보려면 제목을 선택하여 메시지 세부 정보 플라이아웃을 엽니다. 전자 메일에 보낸 사람과 받는 사람 태그가 있는 경우 요약 탭에 별도로 표시됩니다. 보낸 사람 및 받는 사람에 대한 개별 태그에 대한 정보는 내보낸 CSV 데이터로 확장됩니다. 여기서 두 개의 개별 열에서 이러한 세부 정보를 볼 수 있습니다.

Email 세부 정보 태그의 스크린샷

태그 정보는 URL 클릭 플라이아웃에도 표시됩니다. 이를 보려면 피싱 또는 모든 Email 보기로 이동한 다음 URL 또는 URL 클릭 탭으로 이동합니다. 개별 URL 플라이아웃을 선택하여 해당 클릭과 연결된 태그를 포함하여 해당 URL의 클릭에 대한 추가 세부 정보를 봅니다.

업데이트된 타임라인 보기

URL 태그의 스크린샷

이 비디오를 시청하여 자세히 확인하세요.

위협 헌팅 환경의 향후 개선 사항

전자 메일에 대한 위협 정보 업데이트됨

전자 메일 레코드의 데이터 정확도와 일관성을 높이기 위해 플랫폼 및 데이터 품질 개선에 집중했습니다. 향상된 기능으로는 ZAP 프로세스의 일부로 전자 메일에서 실행되는 작업과 같은 배달 전 정보와 배달 후 정보를 단일 레코드로 통합하는 것이 포함됩니다. 스팸 평결, 엔터티 수준 위협(예: 악의적인 URL) 및 최신 배달 위치와 같은 추가 세부 정보도 포함됩니다.

이러한 업데이트 후에는 메시지에 영향을 주는 다양한 배달 후 이벤트에 관계없이 각 메시지에 대한 단일 항목이 표시됩니다. 작업에는 ZAP, 수동 수정(관리자 작업 의미), 동적 배달 등이 포함될 수 있습니다.

맬웨어 및 피싱 위협을 표시하는 것 외에도 이메일과 관련된 스팸 판결이 표시됩니다. 이메일 내에서 해당 검색 기술과 함께 이메일과 관련된 모든 위협을 확인합니다. 전자 메일에는 0개, 1개 또는 여러 개의 위협이 있을 수 있습니다. 이메일 플라이아웃의 세부 정보 섹션에 현재 위협이 표시됩니다. 여러 위협(예: 맬웨어 및 피싱)의 경우 검색 기술 필드는 위협을 식별한 탐지 기술인 위협 탐지 매핑을 보여 줍니다.

이제 검색 기술 집합에는 스팸 감지 기술뿐만 아니라 새로운 검색 방법이 포함됩니다. 동일한 검색 기술 집합을 사용하여 다양한 이메일 보기(맬웨어, 피시, 모든 Email)에서 결과를 필터링할 수 있습니다.

참고

평결 분석은 반드시 엔터티에 연결되지 않을 수 있습니다. 예를 들어 전자 메일은 피싱 또는 스팸으로 분류될 수 있지만 피싱/스팸 평결로 스탬프가 찍된 URL은 없습니다. 필터는 평결을 할당하기 전에 전자 메일에 대한 콘텐츠 및 기타 세부 정보도 평가하기 때문입니다.

URL의 위협

이제 이메일 플라이아웃 세부 정보 탭에서 URL에 대한 특정 위협을 볼 수 있습니다. 위협은 맬웨어, 피싱, 스팸 또는 없음일 수 있습니다.)

URL 위협의 스크린샷.

업데이트된 타임라인 보기(예정)

업데이트된 타임라인 보기의 스크린샷.

타임라인 보기는 모든 배달 및 배달 후 이벤트를 식별합니다. 여기에는 이러한 이벤트의 하위 집합에 대해 해당 시점에 식별된 위협에 대한 정보가 포함됩니다. 타임라인 보기는 또한 해당 작업의 결과와 함께 수행된 추가 작업(예: ZAP 또는 수동 수정)에 대한 정보를 제공합니다. 타임라인 보기 정보에는 다음이 포함됩니다.

  • 소스: 이벤트의 원본입니다. 관리자/시스템/사용자일 수 있습니다.
  • 이벤트: 원본 배달, 수동 수정, ZAP, 제출 및 동적 배달과 같은 최상위 이벤트를 포함합니다.
  • 작업: ZAP 또는 관리자 작업의 일부로 수행된 특정 작업(예: 일시 삭제)입니다.
  • 위협: 해당 시점에 식별된 위협(맬웨어, 피싱, 스팸)을 다룹니다.
  • 결과/세부 정보: 작업의 결과에 대한 자세한 정보(예: ZAP/관리자 작업의 일부로 수행되었는지 여부).

원본 및 최신 배달 위치

현재 메일 표 및 이메일 플라이아웃의 배달 위치를 표시합니다. 배달 위치 필드의 이름이 원래 배달 위치로 바뀌었습니다. 또 다른 필드인 최신 배달 위치를 소개합니다.

원래 배달 위치 는 전자 메일이 처음 배달된 위치에 대한 자세한 정보를 제공합니다. 최신 배달 위치에ZAP 와 같은 시스템 작업 또는 삭제된 항목으로 이동과 같은 관리자 작업 후에 전자 메일 이 도착하는 위치가 표시됩니다. 최신 배달 위치는 배달 후 메시지의 마지막으로 알려진 위치 또는 시스템/관리자 작업을 관리자에게 알리기 위한 것입니다. 전자 메일에는 최종 사용자 작업이 포함되지 않습니다. 예를 들어 사용자가 메시지를 삭제하거나 메시지를 보관/pst로 이동한 경우 메시지 "배달" 위치는 업데이트되지 않습니다. 그러나 시스템 작업이 위치를 업데이트하는 경우(예: ZAP로 인해 이메일이 격리로 이동함) 최신 배달 위치 는 "격리"로 표시됩니다.

업데이트된 배달 위치의 스크린샷.

참고

배달 위치배달 작업이 "알 수 없음"으로 표시할 수 있는 몇 가지 경우가 있습니다.

  • 메시지가 배달된 경우 배달 위치가 "배달됨"으로 표시되고 배달 위치가 "알 수 없음"으로 표시될 수 있지만 받은 편지함 규칙은 받은 편지함 또는 정크 Email 폴더 대신 기본 폴더(예: 초안 또는 보관)로 메시지를 이동했습니다.

  • 관리자/시스템 작업(예: ZAP)이 시도되었지만 메시지를 찾을 수 없는 경우 최신 배달 위치를 알 수 없습니다. 일반적으로 작업은 사용자가 메시지를 이동하거나 삭제한 후에 발생합니다. 이러한 경우 타임라인 보기에서 결과/세부 정보 열을 확인합니다. "사용자가 메시지를 이동하거나 삭제했습니다."라는 문을 찾습니다.

타임라인 배달 위치의 스크린샷.

추가 작업

이메일 배달 후 추가 작업이 적용되었습니다. 여기에는 ZAP, 수동 수정(일시 삭제와 같은 관리 수행한 작업), 동적 배달다시 처리(소급하여 양호하게 검색된 이메일의 경우)가 포함될 수 있습니다.

참고

보류 중인 변경 내용의 일부로 배달 작업 필터에 현재 표시된 "ZAP에 의해 제거됨" 값이 사라집니다. 추가 작업을 통해 ZAP 시도를 통해 모든 전자 메일을 검색할 수 있습니다.

Explorer 추가 작업의 스크린샷

시스템 재정의

시스템 재정의를 사용하면 메시지의 의도된 배달 위치에 대한 예외를 만들 수 있습니다. 필터링 스택으로 식별된 위협 및 기타 검색에 따라 시스템에서 제공하는 배달 위치를 재정의합니다. 테넌트 또는 사용자 정책을 통해 시스템 재정의를 설정하여 정책에서 제안한 대로 메시지를 전달할 수 있습니다. 재정의는 사용자가 설정한 지나치게 광범위한 안전한 보낸 사람 정책과 같은 구성 간격으로 인해 의도하지 않은 악성 메시지 배달을 식별할 수 있습니다. 이러한 재정의 값은 다음과 같습니다.

  • 사용자 정책에서 허용: 사용자가 사서함 수준에서 도메인 또는 보낸 사람 허용 정책을 만듭니다.

  • 사용자 정책에 의해 차단됨: 사용자가 메일 상자 수준에서 도메인 또는 보낸 사람 차단 정책을 만듭니다.

  • 조직 정책에서 허용: organization 보안 팀은 organization 사용자의 보낸 사람 및 도메인을 허용하도록 정책 또는 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)을 설정합니다. 이는 사용자 집합 또는 전체 organization 사용할 수 있습니다.

  • 조직 정책에 의해 차단됨: organization 보안 팀은 organization 사용자의 보낸 사람, 도메인, 메시지 언어 또는 원본 IP를 차단하도록 정책 또는 메일 흐름 규칙을 설정합니다. 이는 사용자 집합 또는 전체 organization 적용할 수 있습니다.

  • 조직 정책에 의해 차단된 파일 확장명: organization 보안 팀은 맬웨어 방지 정책 설정을 통해 파일 이름 확장명을 차단합니다. 이제 이러한 값이 조사에 도움이 되도록 전자 메일 세부 정보에 표시됩니다. Secops 팀은 풍부한 필터링 기능을 사용하여 차단된 파일 확장자를 필터링할 수도 있습니다.

Explorer 시스템 재정의.

Explorer 시스템 재정의 그리드의 스크린샷

URL 및 클릭 환경의 향상된 기능

향상된 기능은 다음과 같습니다.

  • URL 플라이아웃의 클릭 섹션에 전체 클릭 URL(URL의 일부인 쿼리 매개 변수 포함)을 표시 합니다 . 현재 URL 도메인 및 경로가 제목 표시줄에 표시됩니다. 전체 URL을 표시하도록 해당 정보를 확장하고 있습니다.

  • URL 필터(URLURL 도메인 및 URL 도메인및 경로) 간 수정: 업데이트는 URL/클릭 평결이 포함된 메시지 검색에 영향을 줍니다. 프로토콜에 구애받지 않는 검색에 대한 지원을 사용하도록 설정했으므로 를 사용하지 http않고 URL을 검색할 수 있습니다. 다른 값을 명시적으로 지정하지 않는 한 URL 검색은 기본적으로 http에 매핑됩니다. 예를 들면

    • URL, URL 도메인URL 도메인 및 경로 필터 필드의 접두사를 사용 및 사용하지 않고 http:// 검색합니다. 검색은 동일한 결과를 표시해야 합니다.
    • URL에서 접두사를 https:// 검색합니다. 값을 지정하지 않으면 접두사를 http:// 가정합니다.
    • /URL 경로, URL도메인, URL 도메인및 경로 필드의 시작과 끝에서 무시됩니다. /URL 필드의 끝에 있는 는 무시됩니다.

피싱 신뢰도 수준

피싱 신뢰도 수준은 전자 메일이 "피시"로 분류된 신뢰도를 식별하는 데 도움이 됩니다. 가능한 두 값은 높음보통입니다. 초기 단계에서 이 필터는 위협 Explorer 피싱 보기에서만 사용할 수 있습니다.

Explorer 피싱 신뢰도 수준입니다.

ZAP URL 신호

ZAP URL 신호는 일반적으로 전자 메일이 피시로 식별되고 배달 후 제거된 ZAP 피시 경고 시나리오에 사용됩니다. 이 신호는 경고를 해당 결과와 연결하여 Explorer. 경고의 IOC 중 하나입니다.

헌팅 프로세스를 개선하기 위해 헌팅 환경을 보다 일관되게 만들기 위해 위협 Explorer 및 실시간 검색을 업데이트했습니다. 변경 내용은 다음과 같습니다.

사용자 태그로 필터링

이제 시스템 또는 사용자 지정 사용자 태그를 정렬하고 필터링하여 위협의 scope 빠르게 파악할 수 있습니다. 자세한 내용은 사용자 태그를 참조하세요.

중요

사용자 태그별 필터링 및 정렬은 현재 공개 미리 보기로 제공됩니다. 이 기능은 상업적으로 릴리스되기 전에 크게 수정될 수 있습니다. Microsoft는 제공된 정보와 관련하여 명시적 또는 묵시적 보증을 하지 않습니다.

Explorer 태그 열의 스크린샷

표준 시간대 개선 사항

포털 및 내보낸 데이터에 대한 전자 메일 레코드의 표준 시간대가 표시됩니다. Email Grid, 세부 정보 플라이아웃, Email 타임라인 및 유사한 전자 메일과 같은 환경에서 볼 수 있으므로 결과 집합의 표준 시간대가 명확합니다.

Explorer 표준 시간대 보기 스크린샷

새로 고침 프로세스에서 업데이트

일부 사용자는 자동 새로 고침(예: 날짜를 변경하는 즉시 페이지 새로 고침) 및 수동 새로 고침(다른 필터의 경우)과 혼동에 대해 언급했습니다. 마찬가지로 필터를 제거하면 자동 새로 고침이 발생합니다. 쿼리를 수정하는 동안 필터를 변경하면 일관되지 않은 검색 환경이 발생할 수 있습니다. 이러한 문제를 resolve 위해 수동 필터링 메커니즘으로 이동하고 있습니다.

환경 관점에서 사용자는 필터 집합 및 날짜에서 다양한 필터 범위를 적용 및 제거하고 새로 고침 단추를 선택하여 쿼리를 정의한 후 결과를 필터링할 수 있습니다. 이제 화면에서 새로 고침 단추도 강조 표시됩니다. 관련 도구 설명서 및 제품 내 설명서도 업데이트했습니다.

결과를 필터링하는 새로 고침 단추의 스크린샷

필터에 추가할 차트 드릴다운

이제 범례 값을 차트로 표시하여 필터로 추가할 수 있습니다. 새로 고침 단추를 선택하여 결과를 필터링합니다.

필터링할 차트 드릴다운 스크린샷

제품 내 정보 업데이트

이제 그리드 내의 총 검색 결과 수와 같은 추가 세부 정보를 제품 내에서 사용할 수 있습니다(아래 참조). 필터, 검색 환경 및 결과 집합에 대한 자세한 정보를 제공하기 위해 레이블, 오류 메시지 및 도구 설명을 개선했습니다.

볼 제품 내 정보를 보여 주는 스크린샷

위협 Explorer 확장된 기능

상위 대상 사용자

오늘 Microsoft는 상위 맬웨어 패밀리 섹션의 전자 메일에 대한 맬웨어 보기에서 대상 상위 사용자 목록을 공개합니다. 피싱 및 모든 Email 보기에서도 이 보기를 확장할 예정입니다. 상위 5명의 대상 사용자를 해당 보기에 대한 각 사용자에 대한 시도 횟수와 함께 볼 수 있습니다. 예를 들어 피싱 보기의 경우 피싱 시도 횟수가 표시됩니다.

각 전자 메일 보기에 대한 오프라인 분석 시도 횟수와 함께 대상 사용자 목록을 최대 3,000명까지 내보낼 수 있습니다. 또한 시도 횟수(예: 아래 이미지에서 13회 시도)를 선택하면 위협 Explorer 필터링된 보기가 열리므로 해당 사용자의 이메일 및 위협에 대한 자세한 내용을 볼 수 있습니다.

상위 대상 사용자의 스크린샷.

Exchange 전송 규칙

데이터 보강의 일환으로 메시지에 적용된 다양한 ETR(Exchange 전송 규칙)을 모두 볼 수 있습니다. 이 정보는 Email 그리드 보기에서 사용할 수 있습니다. 이를 보려면 표에서 열 옵션을 선택한 다음 열 옵션에서 Exchange 전송 규칙 추가 를 선택합니다. 전자 메일의 세부 정보 플라이아웃에도 표시됩니다.

메시지에 적용된 전송 규칙의 GUID와 이름을 모두 볼 수 있습니다. 전송 규칙의 이름을 사용하여 메시지를 검색할 수 있습니다. "포함" 검색이므로 부분 검색도 수행할 수 있습니다.

중요

ETR 검색 및 이름 가용성은 사용자에게 할당된 특정 역할에 따라 달라집니다. ETR 이름 및 검색을 보려면 다음 역할/권한 중 하나가 있어야 합니다. 이러한 역할이 할당되지 않은 경우 전송 규칙의 이름을 보거나 ETR 이름을 사용하여 메시지를 검색할 수 없습니다. 그러나 Email 세부 정보에서 ETR 레이블 및 GUID 정보를 볼 수 있습니다. Email 그리드, Email 플라이아웃, 필터 및 내보내기에서 다른 레코드 보기 환경은 영향을 받지 않습니다.

  • EXO 전용 - 데이터 손실 방지: 모두
  • EXO 전용 - O365SupportViewConfig: 모두
  • Microsoft Entra ID 또는 EXO - 보안 관리: 모두
  • Microsoft Entra ID 또는 EXO - 보안 읽기 권한자: 모두
  • EXO 전용 - 전송 규칙: 모두
  • EXO 전용 - View-Only 구성: 모두

이메일 그리드, 세부 정보 플라이아웃 및 내보낸 CSV 내에서 ETR에는 아래와 같이 이름/GUID가 표시됩니다.

Exchange 전송 규칙의 스크린샷

인바운드 커넥터

커넥터는 전자 메일이 Microsoft 365 또는 Office 365 organization 오가는 방식을 사용자 지정하는 지침 모음입니다. 보안 제한 또는 컨트롤을 적용할 수 있습니다. 이제 위협 Explorer 내에서 전자 메일과 관련된 커넥터를 보고 커넥터 이름을 사용하여 전자 메일을 검색할 수 있습니다.

커넥터 검색은 본질적으로 "포함"되므로 부분 키워드(keyword) 검색도 작동해야 합니다. 기본 그리드 보기, 세부 정보 플라이아웃 및 내보낸 CSV 내에서 커넥터는 다음과 같이 이름/GUID 형식으로 표시됩니다.

커넥터 세부 정보의 스크린샷.

위협 Explorer 및 실시간 검색의 새로운 기능

가장된 사용자 및 도메인으로 전송된 피싱 이메일 보기

가장된 사용자 및 도메인에 대한 피싱 시도를 식별하려면 보호할 사용자 목록에 추가해야 합니다. 도메인의 경우 관리자는 조직 도메인을 사용하도록 설정하거나 보호할 도메인에 도메인 이름을 추가해야 합니다. 보호할 도메인은 가장 섹션의 피싱 방지 정책 페이지에서 찾을 수 있습니다.

피싱 메시지를 검토하고 가장한 사용자 또는 도메인을 검색하려면 Explorer Email > 피시 보기를 사용합니다.

이 예제에서는 위협 Explorer 사용합니다.

  1. Microsoft Defender 포털(https://security.microsoft.com)에서 위협 관리>Explorer(또는 실시간 검색)를 선택합니다.

  2. 보기 메뉴에서 피시를 선택합니다.

    여기서 가장된 도메인 또는 가장된 사용자를 선택할 수 있습니다.

  3. 가장된 도메인을 선택한 다음 텍스트 상자에 보호된 도메인을 입력합니다.

    예를 들어 contoso, contoso.com 또는 contoso.com.au 같은 보호된 도메인 이름을 검색합니다.

  4. Email 탭 세부 정보 탭 > 에서 메시지의 제목을 선택하여 가장된 도메인/검색된 위치와 같은 추가 가장 정보를 확인합니다.

    OR

    가장된 사용자를 선택하고 텍스트 상자에 보호된 사용자의 전자 메일 주소를 입력합니다.

    최상의 결과를 위해전체 전자 메일 주소를 사용하여 보호된 사용자를 검색합니다. 예를 들어 사용자 가장을 조사할 때 를 검색 firstname.lastname@contoso.com하면 보호된 사용자를 더 빠르고 성공적으로 찾을 수 있습니다. 보호된 도메인을 검색할 때 검색은 루트 도메인(예: contoso.com) 및 도메인 이름(contoso)을 사용합니다. 루트 도메인 contoso.com 검색하면 contoso.com 가장과 contoso 도메인 이름이 모두 반환됩니다.

  5. Email 탭세부 정보 탭>에서 메시지 제목을 선택하여 사용자 또는 도메인에 대한 추가 가장 정보와 검색된 위치를 확인합니다.

    검색 위치 및 검색된 위협(여기서 사용자의 피싱 가장)을 보여 주는 보호된 사용자의 위협 Explorer 세부 정보 창 스크린샷

참고

3단계 또는 5단계에서 검색 기술을 선택하고 가장 도메인 또는 가장 사용자를 각각 선택하는 경우 사용자 또는 도메인에 대한 Email 탭>세부 정보 탭의 정보와 검색된 위치피싱 방지 정책 페이지에 나열된 사용자 또는 도메인과 관련된 메시지에만 표시됩니다.

전자 메일 헤더 미리 보기 및 전자 메일 본문 다운로드

이제 이메일 헤더를 미리 볼 수 있으며 위협 Explorer 전자 메일 본문을 다운로드할 수 있습니다. 관리자는 다운로드한 헤더/전자 메일 메시지를 분석하여 위협에 대해 분석할 수 있습니다. 전자 메일 메시지를 다운로드하면 정보가 노출될 위험이 있으므로 이 프로세스는 RBAC(역할 기반 액세스 제어)에 의해 제어됩니다. 모든 전자 메일 메시지 보기에서 메일을 다운로드할 수 있는 기능을 부여하려면 새 역할 미리 보기가 필요합니다. 그러나 이메일 헤더를 보려면 추가 역할이 필요하지 않습니다(위협 Explorer 메시지를 보는 데 필요한 역할 외). 미리 보기 역할을 사용하여 새 역할 그룹을 만들려면 다음을 수행합니다.

  1. 데이터 조사자 또는 eDiscovery 관리자와 같은 미리 보기 역할만 있는 기본 제공 역할 그룹을 선택합니다.
  2. 역할 그룹 복사를 선택합니다.
  3. 새 역할 그룹의 이름과 설명을 선택하고 다음을 선택합니다.
  4. 필요에 따라 역할을 추가하고 제거하지만 미리 보기 역할을 그대로 두어 역할을 수정합니다.
  5. 멤버를 추가한 다음 역할 그룹 만들기를 선택합니다.

Explorer 및 실시간 검색은 전자 메일 메시지가 도착하는 위치를 보다 완벽하게 파악할 수 있는 새로운 필드를 가져옵니다. 이러한 변경으로 보안 작업에서 헌팅이 더 쉬워질 수 있습니다. 그러나 기본 결과는 문제 전자 메일 메시지의 위치를 한눈에 알 수 있다는 것입니다.

어떻게 해야 할까요? 이제 배달 상태 두 개의 열로 나뉩니다.

  • 배달 작업 - 전자 메일의 상태입니다.
  • 배달 위치 - 전자 메일이 라우팅된 위치입니다.

배달 작업은 기존 정책 또는 검색으로 인해 전자 메일에서 수행되는 작업입니다. 다음은 전자 메일에 대한 가능한 작업입니다.

배달됨 정크 차단됨 대체
Email 사용자의 받은 편지함 또는 폴더에 배달되었으며 사용자가 액세스할 수 있습니다. Email 사용자의 정크 또는 삭제된 폴더로 전송되었으며 사용자가 액세스할 수 있습니다. 격리되었거나, 실패했거나, 삭제된 전자 메일입니다. 이러한 메일은 사용자에게 액세스할 수 없습니다. Email 악성 첨부 파일이 악성임을 나타내는 .txt 파일로 대체되었습니다.

사용자가 볼 수 있고 볼 수 없는 항목은 다음과 같습니다.

최종 사용자가 액세스할 수 있음 최종 사용자에게 액세스할 수 없음
배달됨 차단됨
정크 대체

배달 위치 는 배달 후 실행되는 정책 및 검색 결과를 보여 줍니다. 배달 작업에 연결됩니다. 가능한 값은 다음과 같습니다.

  • 받은 편지함 또는 폴더: 전자 메일이 받은 편지함 또는 폴더에 있습니다(전자 메일 규칙에 따라).
  • 온-프레미스 또는 외부: 사서함은 클라우드에 없지만 온-프레미스에 있습니다.
  • 정크 폴더: 전자 메일이 사용자의 정크 폴더에 있습니다.
  • 삭제된 항목 폴더: 사용자의 지운 편지함 폴더에 있는 전자 메일입니다.
  • 격리: 전자 메일은 사용자의 사서함이 아니라 격리되어 있습니다.
  • 실패: 메일이 사서함에 도달하지 못했습니다.
  • 삭제됨: 메일 흐름의 어딘가에서 전자 메일이 손실되었습니다.

Email 타임라인

Email 타임라인 관리자의 헌팅 환경을 개선하는 새로운 Explorer 기능입니다. 이벤트를 이해하기 위해 다른 위치를 확인하는 데 소요되는 시간을 줄입니다. 여러 이벤트가 메일이 도착하는 동시에 또는 거의 동시에 발생하는 경우 해당 이벤트는 타임라인 보기에 표시됩니다. 배달 후 전자 메일에 발생하는 일부 이벤트는 특수 작업 열에 캡처됩니다. 관리자는 타임라인 정보를 메일 배달 후 수행된 특별 조치와 결합하여 정책 작동 방식, 메일이 마지막으로 라우팅된 위치 및 경우에 따라 최종 평가가 무엇인지에 대한 인사이트를 얻을 수 있습니다.

자세한 내용은 Office 365 전달된 악성 전자 메일 조사 및 수정을 참조하세요.

URL 내보내기 클릭 데이터

이제 URL 클릭에 대한 보고서를 Microsoft Excel로 내보내 네트워크 메시지 ID 를 보고 평결을 클릭하면 URL 클릭 트래픽이 발생한 위치를 설명할 수 있습니다. 작동 방식은 다음과 같습니다. Office 365 빠른 실행 표시줄의 위협 관리에서 다음 체인을 따릅니다.

> Explorer피쉬>클릭>상위 URL 또는 URL 위쪽 클릭은 모든 레코드를 > 선택하여 URL 플라이아웃을 엽니다.

목록에서 URL을 선택하면 플라이아웃 패널에 새 내보내기 단추가 표시됩니다. 이 단추를 사용하여 데이터를 Excel 스프레드시트로 이동하여 더 쉽게 보고할 수 있습니다.

실시간 검색 보고서에서 동일한 위치에 도착하려면 다음 경로를 따릅니다.

> Explorer Real-time 검색>피싱>URL>상위 URL 또는 상위 클릭> 레코드를 선택하여 URL 플라이아웃 > 을 열려면 클릭 탭으로 이동합니다.

네트워크 메시지 ID는 Explorer 또는 연결된 타사 도구를 통해 ID를 검색할 때 클릭을 특정 메일에 다시 매핑합니다. 이러한 검색은 클릭 결과와 연결된 이메일을 식별합니다. 상관 관계가 있는 네트워크 메시지 ID를 사용하면 더 빠르고 강력한 분석을 할 수 있습니다.

Explorer 클릭 탭의 스크린샷.

기술로 전자 메일에서 검색된 맬웨어 참조

Microsoft 365 기술로 정렬된 전자 메일에서 검색된 맬웨어를 보려는 경우를 가정해 보겠습니다. 이렇게 하려면 Explorer(또는 실시간 검색)의 맬웨어 보기를 사용합니다.

  1. Microsoft Defender 포털(https://security.microsoft.com)에서 위협 관리>Explorer(또는 실시간 검색)를 선택합니다. (이 예제에서는 Explorer 사용합니다.)

  2. 보기 메뉴에서 맬웨어를 선택합니다.

    Explorer 보기 메뉴의 스크린샷.

  3. 보낸 사람, 기본>검색 기술을 차례로 선택합니다.

    이제 검색 기술을 보고서의 필터로 사용할 수 있습니다.

    맬웨어 검색 기술의 스크린샷.

  4. 옵션을 선택합니다. 그런 다음 새로 고침 단추를 선택하여 해당 필터를 적용합니다.

    선택한 검색 기술의 스크린샷.

선택한 기술 옵션을 사용하여 맬웨어가 전자 메일에서 검색된 결과를 표시하도록 보고서가 새로 고쳐집니다. 여기에서 추가 분석을 수행할 수 있습니다.

피싱 URL 보기 및 평결 데이터 클릭

허용, 차단 및 재정의된 URL 목록을 포함하여 전자 메일의 URL을 통한 피싱 시도를 보려는 경우를 가정해 보겠습니다. 클릭한 URL을 식별하려면 안전한 링크를 구성해야 합니다. 클릭 시간 보호 및 안전한 링크 별 클릭 평결 로깅을 위해 안전한 링크 정책을 설정했는지 확인합니다.

메시지에서 피싱 URL을 검토하고 피싱 메시지의 URL을 클릭하려면 Explorer 또는 실시간 검색의 피싱 보기를 사용합니다.

  1. Microsoft Defender 포털(https://security.microsoft.com)에서 위협 관리>Explorer(또는 실시간 검색)를 선택합니다. (이 예제에서는 Explorer 사용합니다.)

  2. 보기 메뉴에서 Email>피시를 선택합니다.

    피싱 컨텍스트에서 Explorer 보기 메뉴의 스크린샷.

  3. 발신자를 클릭한 다음 URL>클릭 평결을 선택합니다.

  4. 차단 및 차단재정의와 같은 하나 이상의 옵션을 선택한 다음 해당 필터를 적용할 옵션과 동일한 줄에서 새로 고침 단추를 선택합니다. (브라우저 창을 새로 고치지 마세요.)

    URL 및 클릭 평결

    보고서는 새로 고쳐서 보고서 아래의 URL 탭에 두 개의 서로 다른 URL 테이블을 표시합니다.

    • 상위 URL 은 필터링한 메시지의 URL이며 각 URL에 대한 이메일 배달 작업 개수입니다. 피싱 전자 메일 보기에서 이 목록에는 일반적으로 합법적인 URL이 포함됩니다. 공격자는 메시지를 배달하기 위해 좋은 URL과 잘못된 URL을 혼합하여 포함하지만 악의적인 링크가 더 흥미로울 수 있습니다. URL 테이블은 총 전자 메일 수를 기준으로 정렬되지만 보기를 단순화하기 위해 이 열은 숨겨집니다.

    • 맨 위 클릭은 클릭된 안전한 링크 래핑 URL로, 총 클릭 횟수별로 정렬됩니다. 보기를 단순화하기 위해 이 열도 표시되지 않습니다. 열별 총 개수는 클릭한 각 URL에 대한 안전한 링크 클릭 평결 수를 나타냅니다. 피싱 전자 메일 보기에서 이러한 URL은 일반적으로 의심스럽거나 악의적인 URL입니다. 그러나 보기에는 위협이 아니지만 피싱 메시지에 있는 URL이 포함될 수 있습니다. 래핑되지 않은 링크의 URL 클릭은 여기에 표시되지 않습니다.

    두 URL 테이블은 배달 작업 및 위치별로 피싱 전자 메일 메시지의 상위 URL을 표시합니다. 표에는 경고에도 불구하고 차단되거나 방문한 URL 클릭이 표시되므로 사용자에게 잘못된 링크가 표시되고 사용자가 클릭했는지 확인할 수 있습니다. 여기에서 추가 분석을 수행할 수 있습니다. 예를 들어 차트 아래에서 organization 환경에서 차단된 전자 메일 메시지의 상위 URL을 볼 수 있습니다.

    차단된 Explorer URL

    URL을 선택하여 자세한 정보를 확인합니다.

    참고

    URL 플라이아웃 대화 상자에서 전자 메일 메시지에 대한 필터링이 제거되어 사용자 환경에서 URL 노출의 전체 보기를 표시합니다. 이렇게 하면 Explorer 관련 전자 메일 메시지를 필터링하고, 잠재적인 위협인 특정 URL을 찾은 다음, Explorer 보기 자체에 URL 필터를 추가하지 않고도 환경의 URL 노출(URL 세부 정보 대화 상자를 통해)에 대한 이해를 확장할 수 있습니다.

클릭 평결 해석

Email 또는 URL 플라이아웃, 상위 클릭 및 필터링 환경 내에서 다음과 같은 다양한 클릭 결과 값이 표시됩니다.

  • 없음: URL에 대한 평결을 캡처할 수 없습니다. 사용자가 URL을 클릭했을 수 있습니다.
  • 허용: 사용자가 URL로 이동할 수 있었습니다.
  • 차단: 사용자가 URL로 이동하지 못하도록 차단되었습니다.
  • 보류 중인 평결: 사용자에게 폭발 보류 페이지가 표시되었습니다.
  • 차단된 재정의: 사용자가 URL로 직접 탐색할 수 없습니다. 그러나 사용자는 블록을 오버로드하여 URL로 이동합니다.
  • 보류 중인 평결이 무시됨: 사용자에게 폭발 페이지가 표시되었습니다. 그러나 사용자는 URL에 액세스하기 위해 메시지를 오버로드합니다.
  • 오류: 사용자에게 오류 페이지가 표시되었거나 평결을 캡처할 때 오류가 발생했습니다.
  • 실패: 판결을 캡처하는 동안 알 수 없는 예외가 발생했습니다. 사용자가 URL을 클릭했을 수 있습니다.

사용자가 보고한 전자 메일 메시지 검토

Microsoft 보고서 메시지 또는 보고서 피싱 추가 기능을 통해 organization 사용자가 정크, 정크 또는피싱으로 보고한 전자 메일 메시지를 보려는 경우 Explorer 모든 전자 메일 보기(또는 실시간 검색)를 사용한다고 가정합니다.

  1. Microsoft Defender 포털(https://security.microsoft.com)에서 위협 관리>Explorer(또는 실시간 검색)를 선택합니다. (이 예제에서는 Explorer 사용합니다.)

  2. 보기 메뉴에서 Email>사용을 선택합니다.

    전자 메일에 대한 Explorer 보기 메뉴

  3. 보낸 사람, 기본>보고서 형식을 차례로 선택합니다.

  4. 피시와 같은 옵션을 선택한 다음 새로 고침 단추를 선택합니다.

    사용자가 보고한 피시

보고서는 새로 고쳐서 organization 사용자가 피싱 시도로 보고한 전자 메일 메시지에 대한 데이터를 표시합니다. 이 정보를 사용하여 추가 분석을 수행하고 필요한 경우 Office 365용 Microsoft Defender 피싱 방지 정책을 조정할 수 있습니다.

자동화된 조사 및 대응 시작

참고

자동 조사 및 대응 기능은 Office 365용 Microsoft Defender 계획 2Office 365 E5 사용할 수 있습니다.

자동화된 조사 및 대응 을 통해 보안 운영 팀이 사이버 공격을 조사하고 완화하는 데 소요된 시간과 노력을 절약할 수 있습니다. 보안 플레이북을 트리거할 수 있는 경고를 구성하는 것 외에도 Explorer 보기에서 자동화된 조사 및 응답 프로세스를 시작할 수 있습니다. 자세한 내용은 예제: 보안 관리자가 Explorer 조사를 트리거합니다.

Explorer 및 실시간 검색을 사용하는 더 많은 방법

이 문서에 설명된 시나리오 외에도 Explorer(또는 실시간 검색)에서 사용할 수 있는 더 많은 보고 옵션이 있습니다. 다음 문서를 참조하세요.

필수 라이선스 및 사용 권한

Explorer 또는 실시간 검색을 사용하려면 Office 365용 Microsoft Defender 있어야 합니다.

  • Explorer Office 365용 Defender 플랜 2에 포함되어 있습니다.
  • 실시간 검색 보고서는 Office 365용 Defender 플랜 1에 포함되어 있습니다.
  • Office 365용 Defender 보호해야 하는 모든 사용자에게 라이선스를 할당하도록 계획합니다. Explorer 및 실시간 검색은 사용이 허가된 사용자의 검색 데이터를 표시합니다.

Explorer 또는 실시간 검색을 보고 사용하려면 보안 관리자 또는 보안 판독기에게 부여된 권한과 같은 적절한 권한이 있어야 합니다.

  • Microsoft Defender 포털의 경우 다음 역할 중 하나가 할당되어야 합니다.

    • 조직 관리
    • 보안 관리자(Microsoft Entra 관리 센터에서 할당할 수 있습니다(https://aad.portal.azure.com)
    • 보안 읽기 권한자

  • Exchange Online 경우 Exchange 관리 센터(EAC) 또는 Exchange Online PowerShell에 할당된 다음 역할 중 하나가 있어야 합니다.

    • 조직 관리
    • 보기 전용 Organization Management
    • 보기 전용 받는 사람
    • 준수 관리

역할 및 권한에 대한 자세한 내용은 다음 리소스를 참조하세요.

위협 Explorer 및 실시간 검색 간의 차이점

  • 실시간 검색 보고서는 Office 365용 Defender 플랜 1에서 사용할 수 있습니다. 위협 Explorer Office 365용 Defender 플랜 2에서 사용할 수 있습니다.
  • 실시간 검색 보고서를 사용하면 검색을 실시간으로 볼 수 있습니다. 위협 Explorer 이 작업을 수행하지만 지정된 공격에 대한 추가 세부 정보도 제공합니다.
  • 모든 전자 메일 보기는 위협 Explorer 사용할 수 있지만 실시간 검색 보고서에서는 사용할 수 없습니다.
  • 위협 Explorer 추가 필터링 기능 및 사용 가능한 작업이 포함되어 있습니다. 자세한 내용은 Office 365용 Microsoft Defender 서비스 설명: Office 365용 Defender 플랜 전체의 기능 가용성을 참조하세요.

Email 엔터티 페이지를 사용하여 전자 메일 조사