Office 365용 Microsoft Defender의 새 경고 정책

Office 365용 Microsoft Defender는 전달 후 탐지와 관련된 새롭고 향상된 경고 정책을 도입하고 있습니다. 여기에는 관련 AIR(자동 조사 및 응답) 플레이북의 향상된 기능이 포함됩니다. 또한 6가지 기본 경고 정책에 대한 심각도 분류를 수정하여 이러한 정책에 의해 생성된 경고를 조직에 미치는 영향과 더 잘 정렬하고 있습니다.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

전달 후 감지

Office 365용 Microsoft Defender ZAP(제로 아워 자동 제거)가 받은 편지함의 메시지를 제거한 후 전달 후 감지와 관련된 네 가지 기본 경고 정책을 새로 도입할 예정입니다. 이러한 네 가지 새로운 경고 정책은 ZAP 시나리오를 다루는 기존의 두 가지 기본 경고 정책을 대체하고 기본 탐지 및 관련 지표에 대한 세부 정보를 조직에 제공합니다. 이러한 알림(및 이러한 알림에서 트리거되는 AIR 플레이북)은 URL이 악의적인 파일을 가리키거나 파일에 악의적인 URL이 포함된 경우를 포함하여 전자 메일 및 엔터티의 위협을 정확하게 캡처합니다.

다음 표에는 새 경고 정책 및 제거될 기존 경고 정책이 나열되어 있습니다. 배포에 대한 자세한 내용은 조직에 미치는 영향 섹션을 참조하세요.

새 경고 정책 또는 기존 경고 정책	경고 정책 이름	경고 정책 ID
신규	악성 URL이 포함된 전자 메일 메시지가 전달 후 제거됨	8e6ba277-ef39-404e-aaf1-294f6d9a2b88
신규	악성 파일이 포함된 전자 메일 메시지가 전달 후 제거됨	4b1820ec-39dc-45f3-abf6-5ee80df51fd2
신규	캠페인의 전자 메일 메시지가 전달되었다가 나중에 제거됨	c8522cbb-9368-4e25-4ee9-08d8d899dfab
신규	배달 후 제거된 전자 메일 메시지	b8f6b088-5487-4c70-037c-08d8d71a43fe
기존(삭제 예정)	피싱 URL이 포함된 전자 메일 메시지가 전달 후 제거됨	EA8169FA-0678-4751-8854-AEBEA7ADECEB
기존(삭제 예정)	맬웨어가 포함된 전자 메일 메시지가 전달 후 제거됨	0179B3F7-3FDA-40C3-8F24-278563978DBB

경고 심각도 향상

다음 표에서는 심각도 분류를 수정하는 기본 경고 정책을 식별합니다. 또한 보안 팀이 이러한 정책에서 생성한 알림의 우선 순위를 지정하도록 이러한 경고 정책의 심각도 분류를 변경합니다.

경고	경고 정책 ID	이전 심각도	새 심각도
의심스러운 전자 메일 전달 활동	BFD48F06-0865-41A6-85FF-ADB746423EBF	보통	높음
사용자가 맬웨어 또는 피싱 메일로 보고한 전자 메일	B26A5770-0C38-434A-9380-3A3C2C27BBB3	정보	낮음
피싱 메일로 보고된 전자 메일의 비정상적인 증가	A00D8C62-9320-4EEA-A7E5-966B9AC09558	High	Medium
관리자 전송 결과 완료	AE9B83DD-6039-4EA9-B675-6B0AC3BF4A41	낮음	정보
전달/리디렉션 규칙 만들기	D59A8FD4-1272-41EE-9408-86F7BCF72479	낮음	정보
eeDiscovery 시작 또는 내보내기	6FDC5710-3998-47F0-AFBB-57CEFD7378A	보통	정보

이러한 변경 사항은 언제 발생합니까?

다음 표에서는 새 경고 정책이 전달 후 경고를 트리거하기 시작하는 시기를 나타냅니다. 또한 이 표에는 두 개의 기존 경고 정책이 제거될 시기도 나와 있습니다.

알림 정책	날짜
악성 URL이 포함된 전자 메일 메시지가 전달 후 제거됨(신규)	경고는 2021년 4월 11일부터 트리거됩니다.
악성 파일이 포함된 전자 메일 메시지가 전달 후 제거됨(신규)	경고는 2021년 4월 11일부터 트리거됩니다.
캠페인의 전자 메일 메시지가 전달되었다가 나중에 제거됨(신규)	2021년 5월 28일에 경고가 트리거됩니다.
악성 전자 메일이 전송되었다가 나중에 제거됨(신규)	2021년 5월 28일에 경고가 트리거됩니다.
피싱 URL이 포함된 전자 메일 메시지가 전달 후 제거됨(기존. 제거 예정)	경고 정책은 2021년 6월에 제거되었습니다. 이러한 변경 사항에 대해 대비하는 데 필요한 작업 섹션을 참조하세요.
맬웨어가 포함된 전자 메일 메시지가 전달 후 제거됨(기존. 제거 예정)	경고 정책은 2021년 6월에 제거되었습니다. 이러한 변경 사항에 대해 대비하는 데 필요한 작업 섹션을 참조하세요.

경고 심각도 변경은 2021년 5월 14일까지 모든 조직에 배포될 예정입니다.

이 변화가 조직에 미치는 영향

새 경고가 울리기 시작하고 위에 나열된 날짜에 조직의 AIR 조사가 트리거됩니다. 제거할 두 경고를 운영한 보안 조직에 미치는 영향을 줄이기 위해 기존 경고 정책에 의해 트리거되는 경고 와 2021년 4월 5일부터 2021년 5월 28일 사이에 새 경고 정책에 의해 트리거되는 경고가 표시됩니다. 이는 보안 팀이 필요한 변경 사항을 처리할 수 있는 시간을 제공하기 위한 것입니다. 이 짧은 기간 동안 경고 볼륨이 증가한 보안 팀을 지원하기 위해 기존 경고와 새 경고가 모두 동일한 AIR 조사와 연관되고 동일한 인시던트로 연관됩니다. 보다 구체적으로, 여기에는 알림, AIR 조사 및 인시던트에 대한 다음과 같은 동작이 포함됩니다.

• 경고: 기본적으로 기존 및 새 경고에서 다음과 같은 경고 쌍이 표시됩니다.

  • 피시 URL이 포함된 전자 메일 메시지 및 악성 URL이 포함된 전자 메일 메시지가 전달 후 제거됨

  • 맬웨어가 포함된 전자 메일 메시지 및 악성 파일이 포함된 전자 메일 메시지가 전달 후 제거됨

  

  이러한 경고 쌍 관리에 대한 자세한 내용은 이러한 변경 사항에 대비하는 데 필요한 작업 섹션을 참조하세요.

• AIR 조사: 경고는 단일 AIR 조사와 상관 관계가 있으며, 경고 중 하나는 "트리거"로 분류되고 다른 하나는 "반복"으로 분류됩니다.

  

• 인시던트: 두 경고가 모두 동일한 인시던트와 연관이 있음

  

이러한 변경 사항에 대해 대비하는 데 필요한 작업

조직에서 이러한 경고를 활용하는 방법에 따라 준비해야 할 작업이 결정됩니다. 경고를 운영했으며 API, 경고 이메일 알림 또는 Microsoft Purview 규정 준수 포털 또는 Microsoft Defender 포털을 통해 경고를 사용하거나 사용하는 경우 워크플로를 수정해야 합니다.

이러한 경고를 운영하지 않은 경우 다음 중 하나를 수행할 수 있습니다.

• 제거 중인 다음 경고 정책을 사용하지 않도록 설정하여 조직의 경고 볼륨을 줄입니다.

  • 피싱 URL이 포함된 전자 메일 메시지가 전달 후 제거됨

  • 맬웨어가 포함된 전자 메일 메시지가 전달 후 제거됨

• 아무것도 하지 마세요. 2021년 5월 28일에 기존 경고 정책을 사용하지 않도록 설정합니다.

이러한 경고를 작동한 경우:

• 2021년 5월 28일의 기존 경고 정책 제거를 예상하여 워크플로의 일부로 새 알림 사용을 시작하세요. 티켓 시스템에 사용자 지정 논리, 경고 메일 알림 수신하는 보안 사서함 또는 경고 이름 또는 경고 정책 ID(CorrelationId)에 따라 달라지는 SIEM 솔루션이 있는 경우 변경 내용을 수용하도록 논리를 수정해야 합니다.

  참고

  경고, 조사 및 인시던트의 정보는 변경되지 않았습니다. 실제로 이 정보는 관련 위협에 대한 추가 세부 정보와 함께 향상되었습니다.

• 수정한 후에는 기존 경고 정책을 실행 중지하여 조직의 경고 볼륨을 줄일 수 있습니다.

  • 피싱 URL이 포함된 전자 메일 메시지가 전달 후 제거됨

  • 맬웨어가 포함된 전자 메일 메시지가 전달 후 제거됨

  또는 2021년 5월 28일에 삭제할 때까지 이 경고 정책을 사용하도록 설정한 후 삭제할 수 있습니다.