Office 365용 Microsoft Defender 위협 Explorer 및 실시간 검색을 사용하여 보안 Email

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 .

구독에 포함되거나 추가 기능으로 구매한 Office 365용 Microsoft Defender Microsoft 365 조직에는 Explorer(위협 Explorer라고도 함) 또는 실시간 검색이 있습니다. 이러한 기능은 보안 운영(SecOps) 팀이 위협을 조사하고 대응하는 데 도움이 되는 강력한 거의 실시간 도구입니다. 자세한 내용은 Office 365용 Microsoft Defender 위협 Explorer 및 실시간 검색 정보를 참조하세요.

이 문서에서는 위협 Explorer 또는 실시간 검색을 사용하여 전자 메일에서 검색된 맬웨어 및 피싱 시도를 보고 조사하는 방법을 설명합니다.

위협 Explorer 및 실시간 검색을 사용하는 다른 전자 메일 시나리오는 다음 문서를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

가장된 사용자 및 도메인으로 전송된 피싱 메일 보기

Office 365용 Defender 피싱 방지 정책의 사용자 및 도메인 가장 보호에 대한 자세한 내용은 Office 365용 Microsoft Defender 피싱 방지 정책의 가장 설정을 참조하세요.

기본 또는 사용자 지정 피싱 방지 정책에서 소유한 도메인(허용된 도메인)을 포함하여 가장으로부터 보호할 사용자 및 도메인을 지정해야 합니다. 표준 또는 엄격한 사전 설정 보안 정책에서 소유한 도메인은 자동으로 가장 보호를 받지만 가장 보호를 위해 사용자 또는 사용자 지정 도메인을 지정해야 합니다. 지침은 다음 문서를 참조하세요.

다음 단계를 사용하여 피싱 메시지를 검토하고 가장한 사용자 또는 도메인을 검색합니다.

  1. 다음 단계 중 하나를 사용하여 위협 Explorer 또는 실시간 검색을 엽니다.

  2. Explorer 또는 실시간 검색 페이지에서 피싱 보기를 선택합니다. 피싱 보기에 대한 자세한 내용은 위협 Explorer 피싱 보기 및 실시간 검색을 참조하세요.

  3. 날짜/시간 범위를 선택합니다. 기본값은 어제와 오늘입니다.

  4. 다음 단계를 수행합니다.

    • 사용자 또는 도메인 가장 시도를 찾습니다.

      • 보낸 사람 주소(속성) 상자를 선택한 다음, 드롭다운 목록의 기본 섹션에서 검색 기술을 선택합니다.
      • 필터 연산자로 선택되어 있는지 확인합니다.
      • 속성 값 상자에서 가장 도메인가장 사용자를 선택합니다.

    • 가장된 특정 사용자 시도를 찾습니다.

      • 보낸 사람 주소(속성) 상자를 선택한 다음 드롭다운 목록의 기본 섹션에서 가장한 사용자를 선택합니다.
      • 필터 연산자로 선택되어 있는지 확인합니다.
      • 속성 값 상자에 받는 사람의 전체 전자 메일 주소를 입력합니다. 여러 받는 사람 값을 쉼표로 구분합니다.

    • 가장된 특정 도메인 시도를 찾습니다.

      • 보낸 사람 주소(속성) 상자를 선택한 다음 드롭다운 목록의 기본 섹션에서 가장된 도메인을 선택합니다.
      • 필터 연산자로 선택되어 있는지 확인합니다.
      • 속성 값 상자에 도메인(예: contoso.com)을 입력합니다. 여러 도메인 값을 쉼표로 구분합니다.

  5. 필요에 따라 다른 필터링 가능한 속성을 사용하여 더 많은 조건을 입력합니다. 지침은 위협 Explorer 속성 필터 및 실시간 검색을 참조하세요.

  6. 필터 조건 만들기가 완료되면 새로 고침을 선택합니다.

  7. 차트 아래의 세부 정보 영역에서 Email 탭(보기)이 선택되어 있는지 확인합니다.

    항목을 정렬하고 위협 Explorer 및 실시간 검색에서 피싱 보기의 세부 정보 영역에 대한 Email 보기에 설명된 대로 더 많은 열을 표시할 수 있습니다.

URL 내보내기 클릭 데이터

URL 클릭 데이터를 CSV 파일로 내보내 네트워크 메시지 ID클릭 평결 값을 볼 수 있습니다. 그러면 URL 클릭 트래픽의 위치를 설명하는 데 도움이 됩니다.

  1. 다음 단계 중 하나를 사용하여 위협 Explorer 또는 실시간 검색을 엽니다.

  2. Explorer 또는 실시간 검색 페이지에서 피싱 보기를 선택합니다. 피싱 보기에 대한 자세한 내용은 위협 Explorer 피싱 보기 및 실시간 검색을 참조하세요.

  3. 날짜/시간 범위를 선택한 다음 새로 고침을 선택합니다. 기본값은 어제와 오늘입니다.

  4. 세부 정보 영역에서 상위 URL 또는 위쪽 클릭 탭(보기)을 선택합니다.

  5. 상위 URL 또는 위쪽 클릭 보기에서 첫 번째 열 옆에 있는 검사 상자를 선택하여 테이블에서 하나 이상의 항목을 선택한 다음 내보내기를 선택합니다. > Explorer피쉬>클릭>상위 URL 또는 URL 위쪽 클릭은 모든 레코드를 > 선택하여 URL 플라이아웃을 엽니다.

네트워크 메시지 ID 값을 사용하여 위협 Explorer 또는 실시간 검색 또는 외부 도구에서 특정 메시지를 검색할 수 있습니다. 이러한 검색은 클릭 결과와 연결된 전자 메일 메시지를 식별합니다. 상관 관계가 있는 네트워크 메시지 ID를 사용하면 더 빠르고 강력한 분석을 할 수 있습니다.

전자 메일에서 검색된 맬웨어 보기

위협 Explorer 또는 실시간 검색의 다음 단계를 사용하여 Microsoft 365에서 전자 메일로 검색된 맬웨어를 확인합니다.

  1. 다음 단계 중 하나를 사용하여 위협 Explorer 또는 실시간 검색을 엽니다.

  2. Explorer 또는 실시간 검색 페이지에서 맬웨어 보기를 선택합니다. 피싱 보기에 대한 자세한 내용은 위협 Explorer 맬웨어 보기 및 실시간 검색을 참조하세요.

  3. 날짜/시간 범위를 선택합니다. 기본값은 어제와 오늘입니다.

  4. 보낸 사람 주소(속성) 상자를 선택한 다음, 드롭다운 목록의 기본 섹션에서 검색 기술을 선택합니다.

    • 필터 연산자로 선택되어 있는지 확인합니다.
    • 속성 값 상자에서 다음 값 중 하나 이상을 선택합니다.
      • 맬웨어 방지 보호 기능
      • 파일 폭발
      • 파일 폭발 평판
      • 파일 평판
      • 지문 일치

  5. 필요에 따라 다른 필터링 가능한 속성을 사용하여 더 많은 조건을 입력합니다. 지침은 위협 Explorer 속성 필터 및 실시간 검색을 참조하세요.

  6. 필터 조건 만들기가 완료되면 새로 고침을 선택합니다.

이 보고서는 선택한 기술 옵션을 사용하여 전자 메일에서 맬웨어가 검색된 결과를 보여줍니다. 여기에서 추가 분석을 수행할 수 있습니다.

메시지를 클린 보고

의 Defender 포털 https://security.microsoft.com/reportsubmission 에서 제출 페이지를 사용하여 메시지를 Microsoft에 클린(가양성)로 보고할 수 있습니다. 그러나 Explorer 또는 실시간 검색에서 Microsoft에 클린 메시지를 제출할 수도 있습니다.

지침은 위협 헌팅: Email 수정을 참조하세요.

요약하려면 다음을 수행합니다.

  • 다음 방법 중 하나를 사용하여 작업 수행을 선택합니다.

    • 항목에 대한 검사 상자를 선택하여 모든 전자 메일, 맬웨어 또는 피싱 보기의 Email 탭(보기)에 있는 세부 정보 테이블에서 하나 이상의 메시지를 선택합니다.

    또는

    • 세부 정보 플라이아웃에서 제목 값을 클릭하여 모든 전자 메일, 맬웨어 또는 피싱 보기의 Email 탭(보기)에 있는 세부 정보 테이블에서 메시지를 선택합니다.

  • 작업 수행 마법사에서 Microsoft에 제출을 선택하여 검토>가클린 확인했습니다.

피싱 URL 보기 및 평결 데이터 클릭

안전한 링크 보호는 허용, 차단 및 재정의된 URL을 추적합니다. 안전 링크 보호는 기본 제공 보안 정책의 기본 제공 보호 덕분에 기본적으로 설정됩니다. 안전 링크 보호는 표준 및 엄격한 사전 설정 보안 정책에 있습니다. 사용자 지정 안전 링크 정책에서 안전한 링크 보호를 만들고 구성할 수도 있습니다. 안전한 링크 정책 설정에 대한 자세한 내용은 안전한 링크 정책 설정을 참조하세요.

다음 단계를 사용하여 전자 메일 메시지에서 URL을 사용한 피싱 시도를 확인합니다.

  1. 다음 단계 중 하나를 사용하여 위협 Explorer 또는 실시간 검색을 엽니다.

  2. Explorer 또는 실시간 검색 페이지에서 피싱 보기를 선택합니다. 피싱 보기에 대한 자세한 내용은 위협 Explorer 피싱 보기 및 실시간 검색을 참조하세요.

  3. 날짜/시간 범위를 선택합니다. 기본값은 어제와 오늘입니다.

  4. 보낸 사람 주소(속성) 상자를 선택한 다음 드롭다운 목록의 URL 섹션에서 평결 클릭을 선택합니다.

    • 필터 연산자로 선택되어 있는지 확인합니다.
    • 속성 값 상자에서 다음 값 중 하나 이상을 선택합니다.
      • 차단됨
      • 차단된 재정의됨

    클릭 평결 값에 대한 설명은 위협 Explorer 모든 전자 메일 보기의 필터링 가능한 속성에서평결 클릭을 참조하세요.

  5. 필요에 따라 다른 필터링 가능한 속성을 사용하여 더 많은 조건을 입력합니다. 지침은 위협 Explorer 속성 필터 및 실시간 검색을 참조하세요.

  6. 필터 조건 만들기가 완료되면 새로 고침을 선택합니다.

차트 아래 세부 정보 영역의 상위 URL 탭(보기)에는 차단된 메시지 수, 정크된 메시지 및 상위 5개 URL에 대해 배달된 메시지 의 수가 표시됩니다. 자세한 내용은 위협 Explorer 및 실시간 검색에서 피싱 보기의 세부 정보 영역에 대한 상위 URL 보기를 참조하세요.

차트 아래의 세부 정보 영역에서 위쪽 클릭 탭(보기)에는 안전한 링크로 래핑된 상위 5개의 클릭 링크가 표시됩니다. 래핑되지 않은 링크의 URL 클릭은 여기에 표시되지 않습니다. 자세한 내용은 위협 Explorer 및 실시간 검색에서 피싱 보기의 세부 정보 영역에 대한 상위 클릭 보기를 참조하세요.

이러한 URL 테이블에는 경고에도 불구하고 차단되거나 방문한 URL이 표시됩니다. 이 정보는 사용자에게 제공된 잠재적인 잘못된 링크를 보여줍니다. 여기에서 추가 분석을 수행할 수 있습니다.

자세한 내용은 보기의 항목에서 URL을 선택합니다. 자세한 내용은 피시 보기의 상위 URL 및 상위 클릭 탭에 대한 URL 세부 정보를 참조하세요.

URL 세부 정보 플라이아웃에서 전자 메일 메시지에 대한 필터링이 제거되어 사용자 환경에서 URL 노출의 전체 보기를 표시합니다. 이 동작을 통해 특정 전자 메일 메시지를 필터링하고, 잠재적인 위협인 특정 URL을 찾은 다음, 피싱 보기에서 URL 필터를 추가하지 않고도 사용자 환경에서 URL 노출에 대한 이해를 확장할 수 있습니다.

클릭 평결 해석

Click verdict 속성 결과는 다음 위치에 표시됩니다.

평결 값은 다음 목록에 설명되어 있습니다.

  • 허용됨: 사용자가 URL을 열 수 있었습니다.
  • 차단 재정의: 사용자가 URL을 직접 열지 못하도록 차단되었지만 블록을 오버로드하여 URL을 엽니다.
  • 차단됨: 사용자가 URL을 열지 못하도록 차단되었습니다.
  • 오류: 사용자에게 오류 페이지가 표시되었거나 평결을 캡처할 때 오류가 발생했습니다.
  • 실패: 평결을 캡처하는 동안 알 수 없는 예외가 발생했습니다. 사용자가 URL을 열었을 수 있습니다.
  • 없음: URL에 대한 평결을 캡처할 수 없습니다. 사용자가 URL을 열었을 수 있습니다.
  • 보류 중인 평결: 사용자에게 폭발 보류 페이지가 표시되었습니다.
  • 보류 중인 평결 무시: 사용자에게 폭발 페이지가 표시되었지만 URL을 열기 위해 메시지를 오버로드했습니다.

위협 Explorer 자동화된 조사 및 대응 시작

Office 365용 Defender 계획 2의 자동 조사 및 대응(AIR)은 사이버 공격을 조사하고 완화할 때 시간과 노력을 절약할 수 있습니다. 보안 플레이북을 트리거하는 경고를 구성할 수 있으며 위협 Explorer AIR를 시작할 수 있습니다. 자세한 내용은 예제: 보안 관리자가 Explorer 조사를 트리거합니다.

Email 엔터티 페이지를 사용하여 전자 메일 조사