Microsoft Purview 규정 준수 포털 또는 Microsoft Defender 포털에서 경고 정책 및 경고 대시보드를 사용하여 경고 정책을 만든 다음 사용자가 경고 정책의 조건과 일치하는 활동을 수행할 때 생성된 경고를 볼 수 있습니다. Exchange Online에서 관리자 권한 할당, 맬웨어 공격, 피싱 캠페인, 비정상적인 수준의 파일 삭제 및 외부 공유와 같은 활동을 모니터링하는 데 도움이 되는 몇 가지 기본 경고 정책이 있습니다.
팁
사용 가능한 경고 정책에 대한 목록 및 설명은 이 문서의 기본 경고 정책 섹션으로 이동합니다.
경고 정책을 사용하면 정책에 의해 트리거되는 경고를 분류하고, 조직의 모든 사용자에게 정책을 적용하고, 경고가 트리거되는 임계값 수준을 설정하고, 경고가 트리거될 때 이메일 알림을 받을지 여부를 결정할 수 있습니다. 경고를 보고 필터링하고, 경고를 관리하는 데 도움이 되는 경고 상태를 설정한 다음, 기본 인시던트를 해결하거나 해결한 후 경고를 해제할 수 있는 경고 페이지도 있습니다.
참고
경고 정책은 다음 조직에서 사용할 수 있습니다.
Microsoft 365 Enterprise.
Office 365 Enterprise.
Office 365 미국 정부 E1/F1/G1, E3/F3/G3 또는 E5/G5.
고급 기능은 다음 조직에서만 사용할 수 있습니다.
E5/G5.
E1/F1/G1 또는 E3/F3/G3 및 다음 추가 기능 구독 중 하나입니다.
Office 365용 Microsoft Defender 플랜 2.
Microsoft 365 E5 규정 준수.
E5 eDiscovery 및 감사 추가 기능.
E5/G5 또는 추가 기능 구독이 필요한 고급 기능이 이 문서에서 강조 표시됩니다.
경고 정책은 미국 정부 조직(Office 365 GCC, GCC High 및 DoD)에서 사용할 수 있습니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요.
Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요.
등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
경고 정책 작동 방식
다음은 경고 정책의 작동 방식과 사용자 또는 관리자 활동이 경고 정책의 조건과 일치할 때 트리거되는 경고에 대한 간략한 개요입니다.
조직의 관리자는 규정 준수 포털 또는 Microsoft Defender 포털의 경고 정책 페이지를 사용하여 경고 정책을 만들고 구성하고 설정합니다. 보안 & 준수 PowerShell에서 New-ProtectionAlert cmdlet을 사용하여 경고 정책을 만들 수도 있습니다.
경고 정책을 만들려면 규정 준수 포털 또는 Defender 포털에서 경고 관리 역할 또는 조직 구성 역할을 할당받아야 합니다.
참고
경고 정책을 만들거나 업데이트한 후 정책에 의해 경고를 트리거하기까지 최대 24시간이 걸립니다. 이는 정책이 경고 검색 엔진에 동기화되어야 하기 때문입니다.
사용자는 경고 정책의 조건과 일치하는 활동을 수행합니다. 맬웨어 공격의 경우 조직의 사용자에게 전송된 감염된 전자 메일 메시지가 경고를 트리거합니다.
Microsoft 365는 규정 준수 포털 또는 Defender 포털의 경고 페이지에 표시되는 경고를 생성합니다 . 또한 경고 정책에 대해 전자 메일 알림을 사용하도록 설정하면 Microsoft는 받는 사람 목록에 알림을 보냅니다. 관리자 또는 다른 사용자가 경고 페이지에서 볼 수 있는 경고는 사용자에게 할당된 역할에 의해 결정됩니다. 자세한 내용은 경고를 보는 데 필요한 RBAC 권한을 참조하세요.
관리자는 Microsoft Purview 규정 준수 포털에서 경고를 관리합니다. 경고 관리는 모든 조사를 추적하고 관리하는 데 도움이 되는 경고 상태를 할당하는 것으로 구성됩니다.
경고 정책 설정
경고 정책은 경고를 생성하는 사용자 또는 관리자 활동을 정의하는 규칙 및 조건 집합, 활동을 수행하는 경우 경고를 트리거하는 사용자 목록 및 경고가 트리거되기 전에 활동이 발생한 횟수를 정의하는 임계값으로 구성됩니다. 또한 정책을 분류하고 심각도 수준을 할당합니다. 이러한 두 설정은 Microsoft Purview 규정 준수 포털에서 정책을 관리하고 경고를 볼 때 이러한 설정을 필터링할 수 있으므로 경고 정책(및 정책 조건이 일치할 때 트리거되는 경고)을 관리하는 데 도움이 됩니다. 예를 들어 동일한 범주의 조건과 일치하는 경고를 보거나 심각도가 동일한 경고를 볼 수 있습니다.
Microsoft Purview 규정 준수 포털 또는 Microsoft Defender 포털에서 경고 정책을 보려면 경고 관리 역할 View-Only 할당되어야 합니다. 경고 정책을 만들고 편집하려면 경고 관리 역할이 할당되어야 합니다. 자세한 내용은 Microsoft Purview 규정 준수 포털의 사용 권한을 참조하세요.
경고 정책은 다음 설정 및 조건으로 구성됩니다.
경고가 추적하는 활동입니다. 활동을 추적하거나 경우에 따라 파일을 공유하거나 액세스 권한을 할당하거나 익명 링크를 만들어 외부 사용자와 파일을 공유하는 등의 몇 가지 관련 활동을 추적하는 정책을 만듭니다. 사용자가 정책에 정의된 활동을 수행하면 경고 임계값 설정에 따라 경고가 트리거됩니다.
참고
추적할 수 있는 활동은 조직의 Office 365 Enterprise 또는 Office 365 미국 정부 계획에 따라 달라집니다. 일반적으로 맬웨어 캠페인 및 피싱 공격과 관련된 활동에는 Office 365용 Defender 플랜 2 추가 기능 구독이 있는 E5/G5 구독 또는 E1/F1/G1 또는 E3/F3/G3 구독이 필요합니다.
활동 조건. 대부분의 활동에서는 경고를 트리거하기 위해 충족해야 하는 추가 조건을 정의할 수 있습니다. 일반적인 조건에는 IP 주소(사용자가 특정 IP 주소 또는 IP 주소 범위 내의 컴퓨터에서 작업을 수행할 때 경고가 트리거됨), 특정 사용자 또는 사용자가 해당 작업을 수행하는 경우 경고가 트리거되는지 여부, 특정 파일 이름 또는 URL에서 활동이 수행되는지 여부가 포함됩니다. 조직의 모든 사용자가 활동을 수행할 때 경고를 트리거하는 조건을 구성할 수도 있습니다. 사용 가능한 조건은 선택한 활동에 따라 달라집니다.
사용자 태그를 경고 정책의 조건으로 정의할 수도 있습니다. 이 정의는 영향을 받는 사용자의 컨텍스트를 포함하도록 정책에 의해 트리거되는 경고를 생성합니다. 시스템 사용자 태그 또는 사용자 지정 사용자 태그를 사용할 수 있습니다. 자세한 내용은 Office 365용 Microsoft Defender의 사용자 태그를 참조하세요.
경고가 트리거되는 경우. 경고가 트리거되기 전에 활동이 발생할 수 있는 빈도를 정의하는 설정을 구성할 수 있습니다. 이렇게 하면 활동이 정책 조건과 일치할 때마다, 특정 임계값을 초과하는 경우 또는 경고가 추적하는 활동이 조직에 비정상적으로 발생할 때마다 경고를 생성하는 정책을 설정할 수 있습니다.
비정상적인 활동에 따라 설정을 선택하는 경우 Microsoft는 선택한 작업의 일반 빈도를 정의하는 기준 값을 설정합니다. 이 기준을 설정하는 데 최대 7일이 걸리며, 이 기간 동안 경고가 생성되지 않습니다. 기준이 설정되면 경고 정책에 의해 추적되는 활동의 빈도가 기준 값을 크게 초과하면 경고가 트리거됩니다. 감사 관련 활동(예: 파일 및 폴더 활동)의 경우 단일 사용자 또는 조직의 모든 사용자를 기반으로 기준을 설정할 수 있습니다. 맬웨어 관련 활동의 경우 조직의 단일 맬웨어 패밀리, 단일 수신자 또는 모든 메시지를 기반으로 기준을 설정할 수 있습니다.
참고
임계값 또는 비정상적인 활동에 따라 경고 정책을 구성하는 기능을 사용하려면 Office 365 P2용 Microsoft Defender, Microsoft 365 E5 규정 준수 또는 Microsoft 365 eDiscovery 및 감사 추가 기능 구독을 사용하는 E5/G5 구독 또는 E1/F1/G1 또는 E3/F3/G3 구독이 필요합니다. E1/F1/G1 및 E3/F3/G3 구독이 있는 조직은 활동이 발생할 때마다 경고가 트리거되는 경고 정책만 만들 수 있습니다.
경고 범주입니다. 정책에서 생성된 경고를 추적하고 관리하는 데 도움이 되도록 다음 범주 중 하나를 정책에 할당할 수 있습니다.
데이터 손실 방지
정보 거버넌스
메일 흐름
사용 권한
위협 관리
기타
경고 정책의 조건과 일치하는 활동이 발생하면 생성된 경고는 이 설정에 정의된 범주로 태그가 지정됩니다. 이렇게 하면 범주에 따라 경고를 정렬하고 필터링할 수 있으므로 Microsoft Purview 포털의 경고 페이지에서 동일한 범주 설정이 있는 경고를 추적하고 관리할 수 있습니다.
경고 심각도. 경고 범주와 마찬가지로 심각도 특성(낮음, 보통, 높음 또는 정보)을 경고 정책에 할당합니다. 경고 범주와 마찬가지로 경고 정책의 조건과 일치하는 활동이 발생하면 생성된 경고는 경고 정책에 대해 설정된 것과 동일한 심각도 수준으로 태그가 지정됩니다. 다시 말하지만 경고 페이지에서 심각도 설정이 동일한 경고를 추적하고 관리할 수 있습니다 . 예를 들어 심각도가 높은 경고만 표시되도록 경고 목록을 필터링할 수 있습니다.
팁
경고 정책을 설정할 때 사용자에게 전달한 후 맬웨어 검색, 중요하거나 분류된 데이터 보기, 외부 사용자와 데이터 공유 또는 데이터 손실 또는 보안 위협을 초래할 수 있는 기타 활동과 같이 심각한 부정적인 결과를 초래할 수 있는 활동에 더 높은 심각도를 할당하는 것이 좋습니다. 이렇게 하면 경고 및 기본 원인을 조사하고 해결하기 위해 수행하는 작업의 우선 순위를 지정하는 데 도움이 될 수 있습니다.
자동화된 조사. 일부 경고는 자동화된 조사를 트리거하여 수정 또는 완화가 필요한 잠재적 위협 및 위험을 식별합니다. 대부분의 경우 이러한 경고는 악의적인 전자 메일 또는 활동을 검색하여 트리거되지만 경우에 따라 보안 포털의 관리자 작업에 의해 경고가 트리거됩니다. 자동화된 조사에 대한 자세한 내용은 Office 365용 Microsoft Defender의 AIR(자동 조사 및 대응)를 참조하세요.
전자 메일 알림. 경고가 트리거될 때 이메일 알림이 사용자 목록으로 전송(또는 전송되지 않음)되도록 정책을 설정할 수 있습니다. 최대 알림 수에 도달하면 해당 날짜 동안 경고에 대한 알림이 더 이상 전송되지 않도록 일일 알림 제한을 설정할 수도 있습니다. 사용자 또는 다른 관리자는 이메일 알림 외에도 경고 페이지에서 정책에 의해 트리거되는 경고를 볼 수 있습니다 . 특정 범주 또는 심각도 설정이 더 높은 경고 정책에 대해 이메일 알림을 사용하도록 설정하는 것이 좋습니다.
기본 경고 정책
Microsoft는 Exchange 관리자 권한 남용, 맬웨어 활동, 잠재적인 외부 및 내부 위협 및 정보 거버넌스 위험을 식별하는 데 도움이 되는 기본 제공 경고 정책을 제공합니다.
경고 정책 페이지에서 이러한 기본 제공 정책의 이름은 굵게 표시되고 정책 유형은 System으로 정의됩니다. 이러한 정책은 기본적으로 켜져 있습니다. 이러한 정책을 끄거나 다시 켜고, 전자 메일 알림을 보낼 받는 사람 목록을 설정하고, 일일 알림 제한을 설정할 수 있습니다. 이러한 정책에 대한 다른 설정은 편집할 수 없습니다.
다음 표에서는 사용 가능한 기본 경고 정책 및 각 정책이 할당된 범주를 나열하고 설명합니다. 범주는 사용자가 경고 페이지에서 볼 수 있는 경고를 결정하는 데 사용됩니다. 자세한 내용은 경고를 보는 데 필요한 RBAC 권한을 참조하세요.
표에는 각각에 필요한 Office 365 Enterprise 및 Office 365 미국 정부 계획도 표시됩니다. 조직에 E1/F1/G1 또는 E3/F3/G3 구독 외에 적절한 추가 기능 구독이 있는 경우 일부 기본 경고 정책을 사용할 수 있습니다.
참고
일부 기본 제공 정책에서 모니터링하는 비정상적인 활동은 이전에 설명한 경고 임계값 설정과 동일한 프로세스를 기반으로 합니다. Microsoft는 "일반적인" 작업의 일반 빈도를 정의하는 기준 값을 설정합니다. 그런 다음 기본 제공 경고 정책에 의해 추적되는 활동의 빈도가 기준 값을 크게 초과하면 경고가 트리거됩니다.
정보 거버넌스 경고 정책
참고
이 섹션의 경고 정책은 고객 피드백에 따라 가양성으로 더 이상 사용되지 않습니다. 이러한 경고 정책의 기능을 유지하려면 동일한 설정을 사용하여 사용자 지정 경고 정책을 만들 수 있습니다.
이름
설명
심각도
자동 조사
구독
비정상적인 외부 파일 공유 볼륨
SharePoint 또는 OneDrive에서 비정상적으로 많은 수의 파일이 조직 외부의 사용자와 공유되면 경고를 생성합니다.
보통
아니오
E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능 구독.
메일 흐름 경고 정책
이름
설명
심각도
자동 조사
필수 구독
메시지가 지연되었음
Microsoft가 커넥터를 사용하여 온-프레미스 조직 또는 파트너 서버에 전자 메일 메시지를 배달할 수 없는 경우 경고를 생성합니다. 이 경우 메시지가 Office 365에서 큐에 대기됩니다. 이 경고는 1시간 이상 큐에 대기된 메시지가 2,000개 이상 있는 경우 트리거됩니다.
높음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
회신 모두 폭풍 감지됨
이 경고는 모든 회신 폭풍이 감지되고 메일 스레드에 대한 하나 이상의 회신이 차단될 때 트리거됩니다. 자세한 내용은 전체 회신 폭풍 방지 보고서를 참조하세요.
높음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
권한 경고 정책
이름
설명
심각도
자동 조사
필수 구독
Exchange 관리자 권한 상승
Exchange Online 조직에서 다른 사용자에게 관리 권한이 할당되면 경고를 생성합니다. 예를 들어 사용자가 Exchange Online의 조직 관리 역할 그룹에 추가되는 경우입니다.
낮음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
위협 관리 경고 정책
이름
설명
심각도
자동 조사
필수 구독
잠재적으로 악의적인 URL 클릭이 검색되었습니다.
조직에서 안전한 링크 로 보호되는 사용자가 악의적인 링크를 클릭하면 경고를 생성합니다. 이 경고는 사용자가 링크를 클릭하면 생성되며 이 이벤트는 Office 365용 Microsoft Defender에서 URL 평결 변경 식별을 트리거합니다. 또한 악의적인 URL 평결이 식별된 시점으로부터 지난 48시간 동안의 클릭을 확인하고 해당 악성 링크의 48시간 기간에 발생한 클릭에 대한 경고를 생성합니다. 이 경고는 Office 365용 Defender 플랜 2에서 자동 조사 및 응답을 자동으로 트리거합니다. 이 경고를 트리거하는 이벤트에 대한 자세한 내용은 안전한 링크 정책 설정을 참조하세요.
높음
예
E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능 구독.
테넌트 허용 차단 목록 항목이 악성으로 발견되었습니다.
Microsoft가 테넌트 허용/차단 목록의 허용 항목에 해당하는 관리자 제출이 악의적인 것으로 확인되면 경고를 생성합니다. 이 이벤트는 Microsoft에서 제출을 분석하는 즉시 트리거됩니다.
조직에서 안전한 링크 로 보호되는 사용자가 악의적인 링크를 클릭하면 경고를 생성합니다. 이 이벤트는 사용자가 URL(악의적이거나 보류 중인 유효성 검사로 식별됨)을 클릭하고 안전한 링크 경고 페이지(조직의 비즈니스용 Microsoft 365 안전 링크 정책 기반)를 재정의하여 URL 호스팅 페이지/콘텐츠를 계속 진행할 때 트리거됩니다. 이 경고는 Office 365용 Defender 플랜 2에서 자동 조사 및 응답을 자동으로 트리거합니다. 이 경고를 트리거하는 이벤트에 대한 자세한 내용은 안전한 링크 정책 설정을 참조하세요.
높음
예
E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능 구독.
관리자 제출 결과 완료
관리자 제출이 제출된 엔터티의 다시 검사를 완료하면 경고를 생성합니다. 관리자 제출에서 다시 검사 결과가 렌더링될 때마다 경고가 트리거됩니다.
이러한 경고는 이전 제출의 결과를 검토하고, 사용자가 보고한 메시지를 제출하여 최신 정책 검사를 받고, 평결을 다시 검사하고, 조직의 필터링 정책이 의도한 영향을 미치는지 확인하는 데 도움이 되도록 하기 위한 것입니다.
이 경고는 조직에 조사가 시작되었음을 알 수 있습니다. 경고는 누가 트리거했는지에 대한 정보를 제공하며 조사에 대한 링크를 포함합니다.
정보
예
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
관리자가 트리거한 사용자 손상 조사
관리자가 위협 탐색기에서 전자 메일 보낸 사람 또는 받는 사람에 대한 수동 사용자 손상 조사를 트리거할 때 경고를 생성합니다. 자세한 내용은 예제: 보안 관리자가 위협 탐색기에서 조사를 트리거하여 전자 메일에 대한 조사의 관련 수동 트리거를 보여 줍니다.
이 경고는 사용자 손상 조사가 시작되었음을 조직에 알렸습니다. 경고는 누가 트리거했는지에 대한 정보를 제공하며 조사에 대한 링크를 포함합니다.
보통
예
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
전달/리디렉션 규칙 만들기
조직의 누군가가 메시지를 다른 전자 메일 계정으로 전달하거나 리디렉션하는 사서함에 대한 받은 편지함 규칙을 만들 때 경고를 생성합니다. 이 정책은 웹용 Outlook(이전의 Outlook Web App) 또는 Exchange Online PowerShell을 사용하여 만든 받은 편지함 규칙만 추적합니다. 받은 편지함 규칙을 사용하여 웹용 Outlook에서 전자 메일을 전달하고 리디렉션하는 방법에 대한 자세한 내용은 웹용 Outlook에서 규칙을 사용하여 메시지를 다른 계정으로 자동으로 전달을 참조하세요.
정보
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
eeDiscovery 시작 또는 내보내기
누군가가 Microsoft Purview 포털에서 콘텐츠 검색 도구를 사용할 때 경고를 생성합니다. 다음 콘텐츠 검색 활동이 수행되면 경고가 트리거됩니다.
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
맬웨어가 포함된 전자 메일 메시지가 전달 후 제거됨
참고: 이 경고 정책은 배달 후 제거된 악성 파일이 포함된 이메일 메시지로 대체되었습니다. 이 경고 정책은 결국 사라지므로 이를 사용하지 않도록 설정하여 배달 후 제거된 악성 파일이 포함된 전자 메일 메시지를 사용하는 것이 좋습니다. 자세한 내용은 Office 365용 Defender의 새 경고 정책을 참조하세요.
정보
예
E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능 구독.
피싱 URL이 포함된 전자 메일 메시지가 전달 후 제거됨
참고: 이 경고 정책은 배달 후 제거된 악성 URL을 포함하는 이메일 메시지로 대체되었습니다. 이 경고 정책은 결국 사라지므로 이를 사용하지 않도록 설정하여 배달 후 제거된 악성 URL이 포함된 전자 메일 메시지를 사용하는 것이 좋습니다. 자세한 내용은 Office 365용 Defender의 새 경고 정책을 참조하세요.
정보
예
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
사용자가 정크 메일이 아닌 것으로 보고한 이메일
조직의 사용자가 Outlook의 기본 제공 보고서 단추 또는 보고서 메시지 추가 기능을 정크하지 않고 메시지를 보고할 때 경고를 생성합니다. 추가 기능에 대한 자세한 내용은 보고서 메시지 추가 기능 사용을 참조하세요.
낮음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
전자 메일 보내기 제한을 초과했습니다.
조직의 누군가가 아웃바운드 스팸 정책에서 허용하는 것보다 더 많은 메일을 보냈을 때 경고를 생성합니다. 이는 일반적으로 사용자가 너무 많은 전자 메일을 보내거나 계정이 손상되었을 수 있음을 나타냅니다. 이 경고 정책에 의해 생성된 경고가 발생하면 사용자 계정이 손상되었는지 확인하는 것이 좋습니다.
반복된 피싱 시도 동작이 감지되어 조직의 누군가가 Microsoft Forms를 사용하여 양식을 공유하고 응답을 수집할 수 없는 경우 경고를 생성합니다.
높음
아니오
E1, E3/F3 또는 E5
피싱으로 신고 및 확인된 양식
조직 내에서 Microsoft Forms에서 만든 양식이 보고서 남용을 통한 잠재적 피싱으로 식별되고 Microsoft에서 피싱으로 확인되면 경고를 생성합니다.
높음
아니요
E1, E3/F3 또는 E5
ZAP를 사용하지 않도록 설정했기 때문에 맬웨어가 잘리지 않음
Zero-Hour 피싱 메시지 자동 제거를 사용하지 않도록 설정되었기 때문에 Microsoft에서 사서함에 맬웨어 메시지 배달을 감지하면 경고를 생성합니다.
정보
아니오
E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능 구독.
배달 후 제거되지 않는 악성 엔터티를 포함하는 메시지
악성 콘텐츠(파일, URL, 캠페인, 엔터티 없음)가 포함된 메시지가 조직의 사서함에 전달되면 경고를 생성합니다. 이 이벤트가 발생하는 경우 Microsoft는 0시간 자동 제거를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거하려고 했지만 오류로 인해 메시지가 제거되지 않았습니다. 추가 조사가 권장됩니다. 이 정책은 Office 365에서 자동 조사 및 응답을 자동으로 트리거합니다.
보통
예
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
Microsoft가 사서함에 높은 신뢰도 피싱 메시지를 배달할 수 있는 Exchange 전송 규칙(메일 흐름 규칙이라고도 함)을 검색하면 경고를 생성합니다. Exchange 전송 규칙(메일 흐름 규칙)에 대한 자세한 내용은 Exchange Online의 메일 흐름 규칙(전송 규칙)을 참조하세요.
정보
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
IP 허용 정책으로 인해 전달된 피시
Microsoft에서 높은 신뢰도의 피싱 메시지를 사서함으로 배달할 수 있는 IP 허용 정책을 검색하면 경고를 생성합니다. IP 허용 정책(연결 필터링)에 대한 자세한 내용은 기본 연결 필터 정책 구성 - Office 365를 참조하세요.
정보
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
ZAP가 비활성화되어 피시가 잘리지 않음
Zero-Hour 피싱 메시지 자동 제거가 사용하지 않도록 설정되었기 때문에 Microsoft에서 사서함에 대한 신뢰도가 높은 피싱 메시지 배달을 감지하면 경고를 생성합니다.
정보
아니오
E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능 구독.
잠재적 국가 국가 활동
Microsoft 위협 인텔리전스 센터에서 테넌트에서 계정을 손상하려는 시도를 감지했습니다.
높음
아니요
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
Purview 정책 시뮬레이션 완료
시뮬레이션 모드를 지원하는 Purview 정책에 대한 시뮬레이션이 완료되면 관리자에게 알리는 경고를 생성합니다.
낮음
아니요
E5/G5
관리자가 전자 메일 또는 URL 또는 보낸 사람에서 수행한 수정 작업
참고: 이 경고 정책은 관리자가 제출한 관리 작업으로 대체되었습니다. 이 경고 정책은 결국 사라지므로 사용하지 않도록 설정하여 관리자가 제출한 관리 작업을 대신 사용하는 것이 좋습니다.
이 경고는 관리자가 선택한 엔터티에 대한 수정 작업을 수행할 때 트리거됩니다.
정보
예
Microsoft 365 Business Premium, Office 365용 Defender 365 플랜 1 추가 기능, E5/G5 또는 Office 365용 Defender 플랜 2 추가 기능.
테넌트 허용/차단 목록에서 항목 제거
테넌트 허용/차단 목록의 허용 항목을 필터링하여 학습하고 제거하면 경고를 생성합니다. 이 이벤트는 영향을 받는 도메인 또는 이메일 주소, 파일 또는 URL(엔터티)에 대한 허용 항목이 제거될 때 트리거됩니다.
영향을 받는 허용 항목이 더 이상 필요하지 않습니다. 영향을 받는 엔터티가 포함된 전자 메일 메시지는 메시지의 다른 내용이 잘못된 것으로 판단되는 경우 받은 편지함으로 배달됩니다. 클릭 시 URL 및 파일이 허용됩니다.
사용자가 정확한 데이터 일치 기반 중요한 정보 유형을 성공적으로 업로드한 후 경고를 생성합니다.
낮음
아니오
E5/G5
의심스러운 커넥터 활동
조직의 인바운드 커넥터에서 의심스러운 활동이 감지되면 경고를 생성합니다. 메일이 인바운드 커넥터를 사용하지 못하도록 차단됩니다. 관리자는 전자 메일 알림 및 경고를 받습니다. 이 경고는 제한된 커넥터를 조사하고, 변경 내용을 되돌리고, 차단을 해제하는 방법에 대한 지침을 제공합니다. 이 경고에 응답하는 방법을 알아보려면 손상된 커넥터에 응답을 참조하세요.
높음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
의심스러운 전자 메일 전달 활동
조직의 누군가가 의심스러운 외부 계정에 자동으로 전자 메일을 보낼 때 경고를 생성합니다. 계정이 손상되었지만 사용자를 제한할 만큼 심각하지는 않은 동작에 대한 조기 경고입니다. 드물긴 하지만 이 정책에 의해 생성된 경고는 변칙일 수 있습니다.
사용자 계정이 손상되었는지 확인하는 것이 좋습니다.
높음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
의심스러운 이메일 보내기 패턴이 검색됨
조직의 누군가가 의심스러운 전자 메일을 전송했으며 전자 메일 전송이 제한될 위험이 있는 경우 경고를 생성합니다. 이는 계정이 손상되었지만 사용자를 제한할 만큼 심각하지는 않음을 나타낼 수 있는 동작에 대한 조기 경고입니다. 드물긴 하지만 이 정책에 의해 생성된 경고는 변칙일 수 있습니다. 그러나 사용자 계정이 손상되었는지 확인하는 것이 좋습니다.
테넌트 허용/차단 목록 항목의 허용 항목 또는 차단 항목이 제거될 때 경고를 생성합니다. 이 이벤트는 항목이 만들어지거나 마지막으로 업데이트된 시기를 기반으로 하는 만료 날짜 7일 전에 트리거됩니다.
허용 항목과 블록 항목 모두에 대해 만료 날짜를 연장할 수 있습니다. 이 경고를 트리거하는 이벤트에 대한 자세한 내용은 테넌트 허용/차단 목록 관리를 참조하세요.
정보
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
테넌트가 전자 메일 보내기를 제한
조직의 대부분의 전자 메일 트래픽이 의심스러운 것으로 검색되고 Microsoft가 조직에서 전자 메일을 보내는 것을 제한한 경우 경고를 생성합니다. 잠재적으로 손상된 사용자 및 관리자 계정, 새 커넥터 또는 열린 릴레이를 조사한 다음 Microsoft 지원에 문의하여 조직의 차단을 해제합니다. 조직이 차단되는 이유에 대한 자세한 내용은 Exchange Online의 오류 코드 5.7.7xx에 대한 전자 메일 배달 문제 해결을 참조하세요.
높음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
테넌트가 프로비전되지 않은 전자 메일을 보내지 못하도록 제한됨
등록되지 않은 도메인( 프로비전되지 않은 도메인이라고도 함)에서 너무 많은 전자 메일이 전송되는 경우 경고를 생성합니다. Office 365를 사용하면 등록되지 않은 도메인에서 적정량의 전자 메일을 받을 수 있지만, 전자 메일을 허용된 도메인으로 보내는 데 사용하는 모든 도메인을 구성해야 합니다. 이 경고는 조직의 모든 사용자가 더 이상 전자 메일을 보낼 수 없음을 나타냅니다. 조직이 차단되는 이유에 대한 자세한 내용은 Exchange Online의 오류 코드 5.7.7xx에 대한 전자 메일 배달 문제 해결을 참조하세요.
높음
아니오
E1/F1/G1, E3/F3/G3 또는 E5/G5
사용자가 격리된 메시지를 해제하도록 요청했습니다.
사용자가 격리된 메시지에 대한 릴리스를 요청할 때 경고를 생성합니다. 격리된 메시지의 릴리스를 요청하려면 격리 정책(예: 제한된 액세스 사전 설정 권한 그룹)에서 수신자가 격리에서 메시지를 해제하도록 허용(PermissionToRequestRelease) 권한이 필요합니다. 자세한 내용은 수신자가 격리 권한에서 메시지를 해제하도록 요청하도록 허용을 참조하세요.
정보
아니오
Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 또는 E5/G5
Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 또는 E5/G5
양식 공유 및 응답 수집이 제한된 사용자
반복된 피싱 시도 동작이 감지되어 조직의 누군가가 Microsoft Forms를 사용하여 양식을 공유하고 응답을 수집할 수 없는 경우 경고를 생성합니다.
높음
아니오
E1, E3/F3 또는 E5
1 이 경고 정책은 테넌트 또는 사용자 재정의로 인해 전달된 피시의 대체 기능의 일부이며 사용자 피드백에 따라 제거 된 받은 편지함/폴더 경고 정책에 전달된 사용자 가장 피시 입니다. Office 365의 피싱 방지에 대한 자세한 내용은 피싱 방지 정책을 참조하세요.
경고 보기
조직의 사용자가 수행하는 활동이 경고 정책의 설정과 일치하면 경고가 생성되고 Microsoft Purview 포털 또는 Defender 포털의 경고 페이지에 표시됩니다. 경고 정책의 설정에 따라 경고가 트리거될 때 전자 메일 알림도 지정된 사용자 목록으로 전송됩니다. 각 경고에 대해 경고 페이지의 대시보드에는 해당 경고 정책의 이름, 경고의 심각도 및 범주(경고 정책에 정의됨) 및 경고가 생성된 활동이 발생한 횟수가 표시됩니다. 이 값은 경고 정책의 임계값 설정을 기반으로 합니다. 대시보드에는 각 경고의 상태도 표시됩니다. 상태 속성을 사용하여 경고를 관리하는 방법에 대한 자세한 내용은 경고 관리를 참조하세요.
상태: 특정 상태가 할당된 경고를 표시합니다. 기본 상태는 활성입니다. 사용자 또는 다른 관리자는 상태 값을 변경할 수 있습니다.
정책: 하나 이상의 경고 정책 설정과 일치하는 경고를 표시합니다. 또는 모든 경고 정책에 대한 모든 경고를 표시할 수 있습니다.
시간 범위: 특정 날짜 및 시간 범위 내에서 생성된 경고를 표시합니다.
심각도: 특정 심각도가 할당된 경고를 표시합니다.
범주: 하나 이상의 경고 범주에서 경고를 표시합니다.
태그:하나 이상의 사용자 태그에서 경고를 표시합니다. 태그는 태그가 지정된 사서함 또는 경고에 표시되는 사용자를 기반으로 반영됩니다. 자세한 내용은 Office 365용 Defender의 사용자 태그 를 참조하세요.
원본: 이 필터를 사용하여 Microsoft Purview 포털의 경고 정책에 의해 트리거되는 경고 또는 클라우드용 Microsoft Defender 앱 정책에 의해 트리거된 경고 또는 둘 다를 표시합니다. Defender for Cloud Apps 경고에 대한 자세한 내용은 이 문서의 클라우드용 Defender 앱 경고 보기 섹션을 참조하세요.
중요
사용자 태그별 필터링 및 정렬은 현재 공개 미리 보기로 제공되며, 일반 공급되기 전에 크게 수정될 수 있습니다. Microsoft는 제공된 정보와 관련하여 명시적 또는 묵시적 보증을 하지 않습니다.
경고 집계
경고 정책의 조건과 일치하는 여러 이벤트가 짧은 기간 동안 발생하는 경우 경고 집계라는 프로세스에 의해 기존 경고에 추가됩니다. 이벤트가 경고를 트리거하면 경고가 생성되고 경고 페이지에 표시되고 알림이 전송됩니다. 집계 간격 내에서 동일한 이벤트가 발생하는 경우 Microsoft 365는 새 경고를 트리거하는 대신 기존 경고에 새 이벤트에 대한 세부 정보를 추가합니다. 경고 집계의 목표는 경고 "피로"를 줄이고 동일한 이벤트에 대한 더 적은 수의 경고에 집중하고 조치를 취할 수 있도록 하는 것입니다.
집계 간격의 길이는 Office 365 또는 Microsoft 365 구독에 따라 달라집니다.
구독
집합체 간
Office 365 또는 Microsoft 365 E5/G5
1분
Office 365용 Defender 플랜 2
1분
E5 준수 추가 기능 또는 E5 검색 및 감사 추가 기능
1분
Office 365 또는 Microsoft 365 E1/F1/G1 또는 E3/F3/G3
15분
Office 365용 Defender 플랜 1 또는 Exchange Online Protection
15분
동일한 경고 정책과 일치하는 이벤트가 집계 간격 내에 발생하면 후속 이벤트에 대한 세부 정보가 원래 경고에 추가됩니다. 모든 이벤트의 경우 집계된 이벤트에 대한 정보가 세부 정보 필드에 표시되고 집계 간격으로 이벤트가 발생한 횟수가 활동/적중 횟수 필드에 표시됩니다. 활동 목록을 확인하여 집계된 모든 이벤트 인스턴스에 대한 자세한 정보를 볼 수 있습니다.
다음 스크린샷은 4개의 집계된 이벤트가 있는 경고를 보여 줍니다. 활동 목록에는 경고와 관련된 4개의 전자 메일 메시지에 대한 정보가 포함되어 있습니다.
경고 집계에 대해 다음 사항에 유의하세요.
잠재적으로 악의적인 URL 클릭으로 트리거된 경고가 검색된 경우 기본 경고 정책이 집계되지 않습니다. 이 동작은 이 정책에 의해 트리거되는 경고가 각 사용자 및 전자 메일 메시지에 고유하기 때문에 발생합니다.
현재 적중 횟수 경고 속성은 모든 경고 정책에 대해 집계된 이벤트 수를 나타내지 않습니다. 이러한 경고 정책에 의해 트리거되는 경고의 경우 메시지 목록 보기 또는 경고에서 활동 보기를 클릭하여 집계된 이벤트를 볼 수 있습니다.
적중 횟수 경고 속성에 나열된 집계된 이벤트의 수를 모든 경고 정책에 사용할 수 있도록 하기 위해 노력하고 있습니다.
경고를 보는 데 필요한 RBAC 권한
조직의 사용자에게 할당된 RBAC(역할 기반 액세스 제어) 권한은 사용자가 경고 페이지에서 볼 수 있는 경고를 결정 합니다 . 어떻게 이 작업을 수행할 수 있나요? 사용자에게 할당된 관리 역할(규정 준수 포털 또는 Microsoft Defender 포털의 역할 그룹의 멤버 자격 기준)은 사용자가 경고 페이지에서 볼 수 있는 경고 범주를 결정 합니다 . 다음은 몇 가지 예입니다.
레코드 관리 역할 그룹의 구성원은 정보 거버넌스 범주가 할당된 알림 정책에 의해 생성된 알림만 볼 수 있습니다.
규정 준수 관리자 역할 그룹의 구성원은 위협 관리 범주가 할당된 알림 정책에 의해 생성된 알림을 볼 수 없습니다.
할당된 역할 중 어떤 역할도 경고 범주에서 경고를 볼 수 있는 권한을 제공하지 않으므로 eDiscovery 관리자 역할 그룹의 구성원은 경고를 볼 수 없습니다.
이 디자인(RBAC 권한 기반)을 사용하면 조직의 특정 작업 역할에서 사용자가 보고 관리할 수 있는 경고를 결정할 수 있습니다.
다음 표에서는 6가지 경고 범주의 경고를 보는 데 필요한 역할을 나열합니다. 확인 표시는 해당 역할이 할당된 사용자가 제목 행에 나열된 해당 경고 범주의 경고를 볼 수 있음을 나타냅니다.
규정 준수 포털 또는 Microsoft Defender 포털에서 역할 그룹에 할당된 역할을 볼 수도 있습니다.
권한 페이지로 이동하여 역할 그룹을 선택합니다. 할당된 역할은 플라이아웃 페이지에 나열됩니다.
경고 관리
경고가 생성되고 Microsoft Purview 포털의 경고 페이지에 표시되면 심사, 조사 및 해결할 수 있습니다. 사용자에게 경고에 대한 액세스 권한을 부여하는 동일한 RBAC 권한 은 경고를 관리하는 기능도 제공합니다.
다음은 경고를 관리하기 위해 수행할 수 있는 몇 가지 작업입니다.
경고에 상태 할당: 활성 (기본값), 조사 중, 해결됨 또는 해제됨 상태 중 하나를 경고에 할당할 수 있습니다. 그런 다음, 이 설정을 필터링하여 동일한 상태 설정으로 경고를 표시할 수 있습니다. 이 상태 설정은 경고 관리 프로세스를 추적하는 데 도움이 될 수 있습니다.
경고 세부 정보 보기: 경고를 선택하여 경고에 대한 세부 정보가 포함된 플라이아웃 페이지를 표시할 수 있습니다. 자세한 정보는 해당 경고 정책에 따라 달라지지만 일반적으로 다음 정보가 포함됩니다.
cmdlet 또는 감사 로그 작업과 같이 경고를 트리거한 실제 작업의 이름입니다.
경고를 트리거한 활동에 대한 설명입니다.
경고를 트리거한 사용자(또는 사용자 목록)입니다. 단일 사용자 또는 단일 활동을 추적하도록 설정된 경고 정책에만 포함됩니다.
경고에 의해 추적된 활동이 수행된 횟수입니다. 이 숫자는 더 많은 경고가 트리거되었을 수 있으므로 경고 페이지에 나열된 실제 관련 경고 수와 일치하지 않을 수 있습니다.
경고를 트리거한 각 활동에 대한 항목을 포함하는 활동 목록에 대한 링크입니다. 이 목록의 각 항목은 활동이 발생한 시기, 실제 작업의 이름(예: "FileDeleted"), 활동을 수행한 사용자, 활동이 수행된 개체(예: 파일, eDiscovery 사례 또는 사서함) 및 사용자 컴퓨터의 IP 주소를 식별합니다. 맬웨어 관련 경고의 경우 메시지 목록에 연결됩니다.
해당 경고 정책의 이름(및 링크)입니다.
이메일 알림 표시 안 함: 경고에 대한 플라이아웃 페이지에서 이메일 알림을 끄거나 표시하지 않을 수 있습니다. 전자 메일 알림을 표시하지 않으면 경고 정책의 조건과 일치하는 활동 또는 이벤트가 발생할 때 Microsoft에서 알림을 보내지 않습니다. 그러나 사용자가 수행하는 활동이 경고 정책의 조건과 일치하면 경고가 트리거됩니다. 경고 정책을 편집하여 전자 메일 알림을 끌 수도 있습니다.
경고 해결: 경고의 플라이아웃 페이지에서 경고를 해결됨으로 표시할 수 있습니다(경고의 상태를 해결됨으로 설정). 필터를 변경하지 않는 한 해결된 경고는 경고 페이지에 표시되지 않습니다.
Defender for Cloud Apps 경고 보기
이제 Defender for Cloud Apps 정책에 의해 트리거되는 경고가 Microsoft Purview 포털의 경고 페이지에 표시됩니다. 여기에는 활동 정책에 의해 트리거되는 경고와 Defender for Cloud Apps의 변칙 검색 정책에 의해 트리거되는 경고가 포함됩니다. 즉, Microsoft Purview 포털에서 모든 경고를 볼 수 있습니다. Defender for Cloud Apps는 Office 365 Enterprise E5 또는 Office 365 미국 정부 G5 구독이 있는 조직에서만 사용할 수 있습니다. 자세한 내용은 Defender for Cloud Apps 개요를 참조하세요.
Enterprise Mobility + Security E5 구독의 일부로 또는 독립 실행형 서비스로 클라우드용 Microsoft Defender 앱을 사용하는 조직은 규정 준수 포털 또는 Microsoft Defender 포털에서 Microsoft 365 앱 및 서비스와 관련된 Defender for Cloud Apps 경고를 볼 수도 있습니다.
Microsoft Purview 포털 또는 Defender 포털에 Defender for Cloud Apps 경고만 표시하려면 원본 필터를 사용하고 클라우드용 Defender 앱을 선택합니다.
Microsoft Purview 포털의 경고 정책에 의해 트리거되는 경고와 마찬가지로 Defender for Cloud Apps 경고를 선택하여 경고에 대한 세부 정보가 포함된 플라이아웃 페이지를 표시할 수 있습니다. 경고에는 Defender for Cloud Apps 포털에서 세부 정보를 보고 경고를 관리하는 링크와 경고를 트리거한 해당 Defender for Cloud Apps 정책에 대한 링크가 포함되어 있습니다.
Defender for Cloud Apps에서 경고 모니터링을 참조하세요.
중요
Microsoft Purview 포털에서 Defender for Cloud Apps 경고의 상태를 변경해도 Defender for Cloud Apps 포털에서 동일한 경고에 대한 해결 상태가 업데이트되지 않습니다. 예를 들어 Microsoft Purview 포털에서 경고 상태를 해결됨 으로 표시하면 Defender for Cloud Apps 포털의 경고 상태는 변경되지 않습니다. Defender for Cloud Apps 경고를 해결하거나 해제하려면 Defender for Cloud Apps 포털에서 경고를 관리합니다.
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.