Office 365용 Microsoft Defender ZAP(0시간 자동 제거)

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Exchange Online 사서함이 있는 Microsoft 365 조직에서 ZAP(0시간 자동 제거)는 이미 Exchange Online 사서함에 전달된 악성 피싱, 스팸 또는 맬웨어 메시지를 소급하여 검색하고 중화시키는 EOP(Exchange Online Protection 보호 기능)입니다.

ZAP는 온-프레미스 사서함을 보호하는 독립 실행형 EOP 환경에서 작동하지 않습니다.

참고

현재 미리 보기에서 ZAP는 Microsoft Teams에서 기존 악성 채팅 메시지를 소급하여 검색할 수 있습니다.

서비스의 스팸 및 맬웨어 서명은 매일 실시간으로 업데이트됩니다. 그러나 사용자는 여전히 악의적인 메시지를 받을 수 있습니다. 예시:

• 메일 흐름 중에 검색할 수 없는 제로 데이 맬웨어입니다.
• 사용자에게 전달된 후 무기화된 콘텐츠입니다.

ZAP는 서비스에서 스팸 및 맬웨어 서명 업데이트를 지속적으로 모니터링하여 이러한 문제를 해결하며 사용자가 원활하게 사용할 수 있습니다. ZAP는 사용자의 사서함에 이미 있는 메시지에 대해 자동화된 작업을 찾아서 수행합니다. ZAP의 검색은 배달된 이메일의 마지막 48시간으로 제한됩니다. ZAP가 메시지를 감지하고 이동하는 경우 사용자에게 알림이 전송되지 않습니다.

이 짧은 비디오를 시청하여 Office 365용 Microsoft Defender ZAP가 전자 메일에서 위협을 자동으로 감지하고 중화하는 방법을 알아봅니다.

전자 메일 메시지에 대한 ZAP(0시간 자동 제거)

맬웨어에 대한 ZAP(0시간 자동 제거)

배달 후 맬웨어를 포함하는 것으로 확인된 읽거나 읽지 않은 메시지 의 경우 ZAP는 맬웨어 첨부 파일이 포함된 메시지를 격리합니다. 기본적으로 관리자만 격리된 맬웨어 메시지를 보고 관리할 수 있습니다. 그러나 관리자는 격리 정책을 만들고 사용하여 사용자가 격리된 메시지에 대해 수행할 수 있는 작업과 사용자가 격리 알림을 받을지 여부를 정의할 수 있습니다. 자세한 내용은 격리 정책 분석을 참조하세요.

참고

사용자는 격리 정책이 구성된 방법에 관계없이 맬웨어로 격리된 자체 메시지를 해제할 수 없습니다. 정책에서 사용자가 자신의 격리된 메시지를 해제할 수 있도록 허용하는 경우 사용자는 대신 격리된 맬웨어 메시지의 릴리스를 요청할 수 있습니다.

맬웨어 방지 정책에서는 기본적으로 맬웨어에 대한 ZAP을 사용하도록 설정됩니다. 자세한 내용은 EOP에서 맬웨어 방지 정책 구성을 참조하세요.

피싱을 위한 ZAP(0시간 자동 제거)

배달 후 피싱(높은 신뢰도 피싱 아님)으로 식별되는 읽거나 읽지 않은 메시지의 경우 ZAP 결과는 해당 스팸 방지 정책에서 피싱 평결에 대해 구성된 작업에 따라 달라집니다. 사용 가능한 작업 및 가능한 ZAP 결과는 다음 목록에 설명되어 있습니다.

• X-Header 추가, 텍스트가 있는 제목 줄 앞에 추가, 전자 메일 주소로 메시지 리디렉션, 메시지 삭제: ZAP는 메시지에 대해 아무 작업도 수행하지 않습니다.

• 정크 Email 메시지 이동: ZAP는 메시지를 정크 Email 폴더로 이동합니다.

  PowerShell에서 만든 기본 스팸 방지 정책 및 사용자 지정 스팸 방지 정책의 피싱 평결에 대한 기본 작업입니다.

• 격리 메시지: ZAP는 메시지를 격리합니다.

  이는 표준 및 엄격한 사전 설정 보안 정책 및 Defender 포털에서 만든 사용자 지정 스팸 방지 정책에서 피싱 평결에 대한 기본 작업입니다.

기본적으로 피싱에 대한 ZAP는 스팸 방지 정책에서 사용하도록 설정됩니다.

스팸 필터링 결과 구성에 대한 자세한 내용은 Microsoft 365에서 스팸 방지 정책 구성을 참조하세요.

높은 신뢰도 피싱을 위한 ZAP(0시간 자동 제거)

배달 후 신뢰도가 높은 피싱으로 식별되는 읽거나 읽지 않은 메시지의 경우 ZAP는 메시지를 격리합니다. 기본적으로 관리자만 격리된 높은 신뢰도 피싱 메시지를 보고 관리할 수 있습니다. 그러나 관리자는 격리 정책을 만들고 사용하여 사용자가 격리된 메시지에 대해 수행할 수 있는 작업과 사용자가 격리 알림을 받을지 여부를 정의할 수 있습니다. 자세한 내용은 격리 정책 분석을 참조하세요.

참고

사용자는 격리 정책을 구성하는 방법에 관계없이 신뢰도가 높은 피싱으로 격리된 자체 메시지를 해제할 수 없습니다. 정책에서 사용자가 자신의 격리된 메시지를 해제할 수 있도록 허용하는 경우 사용자는 대신 격리된 높은 신뢰도 피싱 메시지의 릴리스를 요청할 수 있습니다.

신뢰도가 높은 피싱에 대한 ZAP는 기본적으로 사용하도록 설정됩니다. 자세한 내용은 Office 365 기본값으로 보안을 참조하세요.

스팸에 대한 ZAP(0시간 자동 제거)

배달 후 스팸 또는 높은 신뢰도 스팸으로 식별되는 읽지 않은 메시지의 경우 ZAP 결과는 해당 스팸 방지 정책에서 스팸 또는 높은 신뢰도 스팸 평결에 대해 구성된 작업에 따라 달라집니다. 사용 가능한 작업 및 가능한 ZAP 결과는 다음 목록에 설명되어 있습니다.

• X-Header 추가, 텍스트가 있는 제목 줄 앞에 추가, 전자 메일 주소로 메시지 리디렉션, 메시지 삭제: ZAP는 메시지에 대해 아무 작업도 수행하지 않습니다.

• 정크 Email 메시지 이동: ZAP는 메시지를 정크 Email 폴더로 이동합니다.

  스팸 평결의 경우 기본 스팸 방지 정책, 새 사용자 지정 스팸 방지 정책 및 표준 미리 설정된 보안 정책의 기본 작업입니다.

  높은 신뢰도 스팸 평결의 경우 기본 스팸 방지 정책 및 새 사용자 지정 스팸 방지 정책의 기본 작업입니다.

• 격리 메시지: ZAP는 메시지를 격리합니다.

  스팸 평결의 경우 엄격한 사전 설정 보안 정책의 기본 작업입니다.

  높은 신뢰도 스팸 평결의 경우 표준 및 엄격한 사전 설정 보안 정책의 기본 작업입니다.

기본적으로 사용자는 수신자인 스팸 또는 높은 신뢰도 스팸으로 격리된 메시지를 보고 관리할 수 있습니다. 그러나 관리자는 격리 정책을 만들고 사용하여 사용자가 격리된 메시지에 대해 수행할 수 있는 작업과 사용자가 격리 알림을 받을지 여부를 정의할 수 있습니다. 자세한 내용은 격리 정책 분석을 참조하세요.

기본적으로 스팸 방지 정책에서 스팸에 대한 ZAP를 사용하도록 설정됩니다.

스팸 필터링 결과 구성에 대한 자세한 내용은 Microsoft 365에서 스팸 방지 정책 구성을 참조하세요.

ZAP가 메시지를 이동했는지 확인하는 방법

ZAP가 메시지를 이동했는지 확인하려면 다음 옵션을 사용할 수 있습니다.

• 메시지 수: Mailflow 상태 보고서의 메일 흐름 보기를 사용하여 지정된 날짜 범위에 대한 ZAP 영향을 받는 메시지 수를 확인합니다.
• 메시지 세부 정보: 위협 Explorer(또는 실시간 검색)을 사용하여 추가 작업 열에 대한 ZAP 값으로 모든 전자 메일 이벤트를 필터링합니다.

참고

ZAP는 시스템 작업으로 Exchange 사서함 감사 로그에 기록되지 않습니다.

Office 365용 Microsoft Defender 안전한 첨부 파일에 대한 ZAP(0시간 자동 제거) 고려 사항

ZAP는 안전한 첨부 파일 정책 검사에서 동적 배달 프로세스에 있는 메시지를 격리하지 않습니다. 이 상태의 메시지에 대해 피싱 또는 스팸 신호가 수신되고 스팸 방지 정책의 필터링 평결이 메시지에 대한 일부 작업(정크로 이동, 리디렉션, 삭제 또는 격리)으로 설정된 경우 ZAP는 '정크로 이동' 작업으로 돌아갑니다.

Microsoft Teams의 ZAP(0시간 자동 제거)

팁

Microsoft Teams용 ZAP는 Microsoft 365 E5 또는 Office 365용 Microsoft Defender 플랜 2 구독이 있는 고객에게만 제공됩니다. Teams 보호를 위한 ZAP를 구성하려면 Microsoft Teams에 대한 Office 365용 Microsoft Defender 플랜 2 지원을 참조하세요.

Teams 채팅의 ZAP

ZAP는 맬웨어 또는 높은 신뢰도 피싱으로 식별되는 Teams 채팅의 내부 메시지에 사용할 수 있습니다. 현재 외부 메시지는 지원되지 않습니다.

Teams 채팅의 모든 사용자가 동시에 동일한 메시지 복사본을 수신하기 때문에 Teams는 전자 메일과 다릅니다(메시지 분기 없음). Teams용 ZAP 보호에서 메시지를 차단하면 채팅의 모든 사용자에 대해 메시지가 차단됩니다. 초기 블록은 배달 직후에 발생하지만 ZAP는 배달 후 최대 48시간 동안 발생합니다.

Teams 채팅에서 Teams 보호에 대한 ZAP 제외는 메시지 보낸 사람이 아닌 메시지 받는 사람에게 중요합니다. Teams 채팅에 대한 예외를 구성하려면 Office 365용 Defender 플랜 2에서 Teams 보호에 대한 ZAP 구성을 참조하세요.

Teams 보호용 ZAP는 채팅의 받는 사람이 Teams 보호를 위해 ZAP에서 제외되지 않는 경우 채팅의 모든 받는 사람에 대한 메시지에 대해 조치를 취할 수 있습니다. 채팅의 모든 받는 사람이 Teams 보호를 위해 ZAP에서 제외되는 경우에만 ZAP는 메시지에 대한 조치를 취하지 않습니다. 이러한 시나리오는 다음 표에 나와 있습니다.

시나리오	결과
받는 사람 A, B, C 및 D와 그룹 채팅 수신자 A, B, C 및 D는 Teams 보호를 위해 ZAP에서 제외됩니다.	ZAP는 그룹 채팅으로 전송된 메시지를 차단하지 않습니다.
받는 사람 A, B, C 및 D와 그룹 채팅 Teams 보호를 위해 받는 사람 A, B 및 C만 ZAP에서 제외됩니다.	ZAP는 모든 받는 사람에 대해 그룹 채팅으로 전송되는 메시지를 차단할 수 있습니다.
받는 사람 A, B, C 및 D와 그룹 채팅 수신자 A, B, C 및 D는 Teams 보호를 위해 ZAP에서 제외되지 않습니다. 보낸 사람 X는 Teams 보호를 위해 ZAP에서 제외되고 그룹 채팅에 메시지를 보냅니다.	ZAP는 모든 받는 사람에 대해 그룹 채팅으로 전송되는 메시지를 차단할 수 있습니다.

보낸 사람 보기:

받는 사람 보기:

Teams 채널의 ZAP

Teams용 ZAP 보호는 다음과 같은 유형의 Teams 채널을 지원합니다.

• 표준 채널: 내부 메시지에 ZAP를 사용할 수 있습니다. 현재 외부 메시지는 지원되지 않습니다.
• 공유 채널: ZAP는 내부 및 외부 메시지에 사용할 수 있습니다.

현재 ZAP는 비공개 채널에서 사용할 수 없습니다.

Teams 채널에 대한 ZAP 보호에 대한 예외를 구성하려면 받는 사람 전자 메일 주소가 필요합니다. 이 주소는 Teams 클라이언트의 채널 이메일 주소와 다릅니다.

Teams 채널 보호에 대한 예외에 사용할 받는 사람 전자 메일 주소를 얻으려면 Teams 메시지 엔터티 패널의 채널 세부 정보 섹션에서 이름 및 전자 메일 값을 사용합니다. 자세한 내용은 Office 365용 Microsoft Defender Teams 메시지 엔터티 패널을 참조하세요.

Teams 채널에 대한 예외를 구성하려면 Office 365용 Defender 플랜 2에서 Teams 보호에 대한 ZAP 구성을 참조하세요.

Teams에서 신뢰도가 높은 피싱 메시지를 위한 ZAP(0시간 자동 제거)

배달 후 신뢰도가 높은 피싱으로 식별되는 메시지의 경우 Teams 보호용 ZAP는 메시지를 차단하고 격리합니다. Teams용 ZAP에서 높은 신뢰도 피싱 검색에 사용되는 격리 정책을 설정하려면 Microsoft Teams에 대한 계획 2 지원 Office 365용 Microsoft Defender 참조하세요.

Teams 메시지의 맬웨어에 대한 ZAP(0시간 자동 제거)

맬웨어로 식별되는 메시지의 경우 Teams 보호용 ZAP는 메시지를 차단하고 격리합니다. Teams용 ZAP에서 맬웨어 검색에 사용되는 격리 정책을 설정하려면 Microsoft Teams에 대한 Office 365용 Microsoft Defender 계획 2 지원을 참조하세요.

ZAP가 Teams 메시지를 차단했는지 확인하는 방법

현재 관리자만 Teams 보호를 위해 ZAP에 의해 격리된 메시지를 보고 관리할 수 있습니다. 자세한 내용은 Microsoft Defender 포털을 사용하여 Microsoft Teams 격리된 메시지 관리를 참조하세요.

ZAP(0시간 자동 제거) FAQ

ZAP가 합법적인 메시지를 정크 Email 폴더로 이동하면 어떻게 되나요?

Microsoft에 가양성 보고에 대한 일반적인 프로세스를 따릅니다. ZAP는 서비스에서 메시지가 스팸 또는 악의적인 것으로 판단되는 경우에만 받은 편지함 폴더에서 정크 Email 폴더로 메시지를 이동합니다.

정크 메일 폴더 대신 격리 폴더를 사용하는 경우 어떻게 해야 하나요?

ZAP는 이 문서의 앞부분에서 설명한 대로 스팸 방지 정책의 구성에 따라 메시지에 대한 작업을 수행합니다.

ZAP는 EOP 및 Office 365용 Defender 보호 기능에 대한 예외의 영향을 받나요?

ZAP 작업은 안전한 보낸 사람 목록, Exchange 메일 흐름 규칙(전송 규칙) 및 기타 조직 블록 및 허용 설정으로 재정의될 수 있습니다. 그러나 맬웨어 및 높은 신뢰도 피싱 판결의 경우 ZAP가 사용자를 보호하기 위해 메시지에 대해 작동하지 않는 시나리오는 거의 없습니다.

• 고급 배달 정책(높은 신뢰도 피싱)에서 식별된 타사 피싱 시뮬레이션 URL입니다.
• 고급 배달 정책(맬웨어 및 높은 신뢰도 피싱)에서 식별된 SecOps 사서함입니다.
• Microsoft 365 도메인의 MX 레코드는 다른 서비스 또는 디바이스를 가리키며 메일 흐름 규칙을 사용하여 스팸 필터링 (높은 신뢰도 피싱)을 우회합니다.
• Microsoft에 가양성의 제출을 관리. 기본적으로 도메인 및 이메일 주소, 파일 및 URL에 대한 항목이 30일 동안 존재하도록 허용합니다(맬웨어 및 높은 신뢰도 피싱).

조직의 보안 태세를 손상시킬 수 있으므로 필터링을 우회하는 것이 미치는 영향을 신중하게 고려하는 것이 중요합니다.

ZAP에 대한 라이선스 요구 사항은 무엇인가요?

맬웨어, 스팸 및 피싱에 대한 ZAP에 대한 특별한 라이선스 요구 사항은 없습니다. ZAP는 Exchange Online 호스트되는 모든 사서함에서 작동합니다. ZAP는 독립 실행형 EOP로 보호되는 온-프레미스 사서함에서 작동하지 않습니다.

Teams 보호용 ZAP에는 Microsoft 365 E5 또는 Office 365용 Microsoft Defender 플랜 2 라이선스가 필요합니다.

ZAP는 사서함의 다른 폴더에 있는 메시지(예: 받은 편지함 규칙에 의해 이동된 메시지)에서 작동하나요?

ZAP는 메시지가 삭제되지 않았거나 동일하거나 더 강력한 작업이 아직 적용되지 않은 한 계속 작동합니다. 예를 들어 메시지가 정크 Email 폴더에 있고 해당 피싱 방지 정책의 작업이 격리된 경우 ZAP는 메시지를 격리합니다.

ZAP는 보류 중인 사서함에 어떤 영향을 주나요?

ZAP는 보류 중인 사서함에서 메시지를 격리합니다. ZAP는 스팸 방지 정책에서 스팸 또는 피싱 결과에 대해 구성된 작업에 따라 정크 Email 폴더로 메시지를 이동할 수 있습니다.

Exchange Online 보류에 대한 자세한 내용은 Exchange Online 현재 위치 보존 및 소송 보존을 참조하세요.