Office 365용 Defender 완벽 가이드: 이메일 및 파일 보호

사용하는 경우 Microsoft 365이메일과 파일은 공격자가 가장 좋아하는 공격 대상이므로 보안에 대해 진지하게 생각하는 것이 좋습니다. Office 365용 Microsoft Defender는 핵심 보호 ​​계층을 추가합니다. OneDrive에서 Exchange Online Protection, 메시지, 링크, 첨부 파일 및 공동 작업 모니터링에 대해 셰어 그리고 팀.

이 실용적인 가이드에서는 완전하고 실행 가능한 연습 과정을 제공합니다. 이메일 인증(SPF, DKIM, DMARC) 및 사전 설정된 표준/엄격 정책에서계정 우선순위 지정, 사용자 보고서 수신, 허용/차단 목록 관리, 피싱 시뮬레이션 실행, 사고 대응 방법 등을 다룹니다. 또한 라이선스, 개인정보 보호, 데이터 보존 및 트릭 미치지 않고도 결과를 개선하려면 Microsoft Defender가 안전한 파일을 차단하지 못하도록 방지.

주요 요구 사항 및 허가

기본적으로 Microsoft 365는 이미 EOP를 통해 기본 메일 장벽을 설정했지만 Defender for Office 365는 고급 기능으로 보호 기능을 확장합니다.원활하게 설정하려면 적절한 권한이 필요합니다.

위임하는 가장 쉬운 방법은 역할을 할당하는 것입니다. Microsoft Enter의 보안 관리자 Office 365용 Defender를 사용할 사람들에게. 세분화된 권한을 선호하는 경우 Defender 포털에서 Exchange Online 권한 또는 특정 이메일 및 공동 작업 권한을 사용할 수 있습니다. 하지만 모든 사람에게 글로벌 관리자 역할을 부여하지 마십시오. 그리고 최소 권한의 원칙을 따릅니다.

1단계: 이메일 인증(SPF, DKIM, DMARC 및 ARC) 구성

스팸에 대해 생각하기 전에 악성 코드, 이제 원점을 보호할 시간입니다. 메일 인증은 메시지가 합법적이고 변조되지 않았음을 확인합니다.Microsoft 365에서 전자 메일을 보내는 각 사용자 지정 도메인에 대해 이러한 표준을 이 순서대로 적용해야 합니다.

• SPF(TXT): 귀하의 도메인을 대신하여 보낼 수 있는 호스트를 선언합니다. 올바른 SPF 레코드를 게시하세요 사칭을 방지하고 전달성을 개선합니다.
• 디킴: 헤더를 통해 전달되고 재전송을 통해 유지되는 발신 서명입니다. 귀하의 도메인에 대해 활성화하세요 Microsoft 365에서 제공하는 CNAME 키를 사용하세요.
• DMARC: SPF/DKIM이 실패할 경우 수행할 작업을 나타냅니다. 다음을 포함합니다. 정책 p=거부 op=격리 그리고 집계 및 법의학 보고서를 받을 사람을 지정하여 대상 서버에서 무엇을 기대해야 할지 알 수 있습니다.
• ARC: 중간 서비스가 수신 메시지를 수정하는 경우 이를 다음과 같이 기록합니다. 신뢰할 수 있는 ARC 실란트 추적성을 유지하고 원산지 인증이 깨지지 않도록 보장합니다.

'*.onmicrosoft.com' 도메인을 이메일 소스로 사용하는 경우 이미 일부 작업을 완료한 것입니다. SPF 및 DKIM은 기본적으로 구성됩니다.하지만 해당 도메인을 발송용으로 사용하는 경우 해당 도메인에 대한 DMARC 레코드를 수동으로 만들어야 합니다.

2단계: 위협 정책 및 적용 방법

Defender for Office 365에는 세 가지 개념적 계층이 있습니다. 기본 정책, 사전 설정 보안 정책 및 사용자 지정 정책차이점과 우선순위를 이해하면 많은 문제를 피할 수 있습니다.

사용 가능한 정책 유형

• 기본 지침: 세입자를 만든 순간부터 살아있습니다. 항상 모든 수신자에게 적용 그리고 범위를 변경할 수 없습니다(어떤 경우에는 설정을 변경할 수 있습니다). 이것이 안전망입니다.
• 사전 설정된 보안 정책: Microsoft 모범 사례가 적용된 폐쇄형 프로필(두 가지 유형): Standard y 엄격한통합 링크 및 첨부 파일 보호 기능은 기본적으로 활성화되어 있습니다. 표준/엄격한 설정의 경우, 이를 활성화하고 수신자와 예외를 정의해야 합니다.
• 사용자 정의 지침: 특정 설정(언어/국가 차단, 사용자 정의 격리, 사용자 정의 알림)이 필요한 경우 필요한 만큼 만들어 보세요 사용자, 그룹 또는 도메인별로 조건을 지정합니다.

사전 설정된 항목은 자동으로 진화합니다. Microsoft에서 권장 사항을 강화하면 프로필이 업데이트됩니다. 아무것도 건드리지 않고도 이점을 누릴 수 있습니다. 표준 및 엄격 모드에서는 사용자 및 도메인 가장 항목과 예외만 편집할 수 있으며, 그 외 모든 항목은 권장 수준으로 설정됩니다.

우선순위

메시지나 요소가 평가될 때, 첫 번째로 적용 가능한 정책은 다음과 같은 정책입니다. 나머지는 더 이상 고려되지 않습니다. 일반적으로 순서는 다음과 같습니다.

1. 사전 설정된 보안 정책: 먼저 엄격함, 그 다음 표준.
2. 사용자 정의 지침 해당 기능의 우선순위(0, 1, 2…)에 따라 정렬됩니다.
3. 기본 정책 (또는 안전한 링크/첨부 파일의 경우 통합 보호).

이상한 중복을 피하려면 다양한 타겟 그룹을 사용하세요 각 레벨에서 맞춤 정책으로 타겟팅할 사용자를 위해 Strict/Standard에 예외를 추가합니다. 상위 레벨에 속하지 않는 사용자는 기본 또는 기본 제공 보호 기능으로 보호됩니다.

추천 전략

사용자 정의를 강요하는 요구 사항이 없는 경우, 이는 조직 전체에 대한 표준 정책으로 시작됩니다. 고위험군을 위한 엄격한 준비금 제도입니다. 간단하고 견고하며 위협의 변화에 ​​따라 자동으로 조정됩니다.

3단계: 과도하지 않게 관리자에게 권한 할당

초기 계정에 모든 권한이 있더라도 글로벌 관리자 역할을 포기하는 것은 좋은 생각이 아닙니다. 보안 작업이 필요한 모든 사람에게. 일반적으로 Microsoft Access의 보안 관리자 역할은 Defender for Office 365를 관리할 관리자, 전문가 및 지원 담당자에게 할당합니다.

이메일만 관리할 경우 다음을 선택할 수 있습니다. Exchange Online 권한 또는 Defender 포털의 이메일 및 협업 역할. 최소한의 특권, 항상 위험 표면을 줄이기 위해.

4단계: 우선 계정 및 사용자 태그

Defender for Office 365를 사용하면 표시가 가능합니다. 최대 250명의 사용자를 우선 계정으로 사용 가능 보고서와 조사에서 이러한 요소를 강조하고 추가적인 휴리스틱을 적용할 수 있습니다. 임원, 재무 또는 IT 부서에 이상적입니다.

Plan 2를 사용하면 다음도 가능합니다. 사용자 정의 태그 그룹(공급업체, VIP, 부서)을 그룹화하고 분석을 필터링합니다. 태그해야 할 사람을 식별하세요 첫날부터

5단계: 사용자가 보고한 메시지

사용자가 손을 드는 것은 금과 같습니다. 보고된 거짓 양성/거짓 음성을 통해 정책을 조정할 수 있습니다. Microsoft 필터를 훈련합니다.

• 그들이 보고하는 방법: Outlook(웹/데스크톱)에 통합된 보고서 버튼 또는 지원되는 타사 도구 지원되는 형식을 사용합니다. 이는 제출 사용자의 보고서 탭에 표시되는 방식입니다.
• 그들은 어디로 가나요?: 기본적으로 Microsoft에 이미 지정된 사서함으로 전송됩니다. 이를 다음으로 변경할 수 있습니다. 사서함만 (그리고 수동으로 Microsoft로 전달) 또는 마이크로소프트만. 이 보고서에 대한 전용 사서함을 만드세요. 원래 계정은 사용하지 마세요.

Microsoft에 보고서를 보내면 도움이 됩니다. 필터가 더 빨리 학습합니다받은 편지함만 선택하는 경우, 보내기 탭에서 분석을 위해 관련 이메일을 보내세요.

6단계: 머리로 차단하고 허용

테넌트 허용/차단 목록은 강력하지만 허용을 남용하면 불필요한 문이 열립니다.. 차단을 통해 승리하고, 철저한 검증을 거친 후에만 임시 양보를 사용합니다.

• 차단: 해당 탭에 도메인/이메일, 파일 및 URL을 추가하거나 Microsoft에 항목 보내기 발신에서 항목을 자동으로 생성하려면 다음을 수행합니다. 스푸핑 인텔리전스는 차단/허용된 발신자를 표시합니다. 변화 결정 또는 사전 예방적 항목을 만듭니다.
• 허용: 도메인/이메일 및 URL이 대량, 스팸, 고신뢰도 스팸 또는 비고신뢰도 피싱에 대한 판정을 무시하도록 허용할 수 있습니다. 악성코드는 직접 허용될 수 없습니다. 또는 높은 신뢰도 피싱으로 표시된 URL/도메인인 경우 제출에서 제출하고 '깨끗함을 확인했습니다'를 표시하여 다음을 생성합니다. 임시 예외.

예외에 주의하세요: 검토하고 만료시키세요 더 이상 필요하지 않을 때입니다. 역사적 관용 때문에 일어나서는 안 될 일을 막을 수 있습니다.

7단계: 피싱 시뮬레이션 및 교육

공격 시뮬레이션 훈련(플랜 2)을 사용하면 다음을 수행할 수 있습니다. 현실적인 사칭 캠페인을 시작하다 사용자 응답에 따라 교육을 할당합니다. 자격 증명, QR 피싱, 위험한 첨부 파일 또는 BEC를 다루어 다양한 범위를 포괄합니다.

이러한 캠페인의 원격 측정 위험한 행동을 드러낸다 그리고 지원군을 계획하는 데 도움이 됩니다. 이상적으로는 분기별 시뮬레이션을 실행합니다 맥박을 유지하다.

8단계: 시간 낭비 없이 조사하고 응답하세요

경고가 발생하면 목표는 명확해집니다. 범위를 이해하고 신속하게 해결하세요Defender for Office 365는 일상 업무에 두 가지 주요 이점을 제공합니다.

• 위협 탐색기: 맬웨어, 피싱 또는 감지된 URL로 필터링하려면 다음을 사용하세요. 캠페인 보기 영향을 받은 모든 메시지를 보고 손상된 메시지에 대량 작업(일시 삭제/제거)을 적용합니다.
• 자동 조사 및 대응(AIR) 계획 2: 조사를 시작합니다. 메시지를 분리하고 링크를 분석합니다., 사서함과 연관시키고 수정을 제안하거나 실행합니다.

또한, 0시간 자동 퍼지(ZAP) 우편물이 재분류된 경우 배달 후 우편물을 철회할 수 있습니다. 노출 창 줄이기 나중에 무언가가 악의적인 것으로 재평가되는 경우.

OneDrive, SharePoint 및 Teams 보호

메일은 게이트웨이이고, 파일은 전리품입니다. OneDrive, SharePoint 및 Teams에 대한 보호 확장 협력하여 감염을 줄이고 악성 콘텐츠를 걸러냅니다.

• 파일의 맬웨어 방지: 안전 부착물을 사용한 샌드박스 부착물 분석 및 폭발 동적 배달 포함 파일을 검사하는 동안 메시지 읽기를 중단하지 않도록 합니다. 또한 다음 방법도 알아보세요. 다운로드한 파일 확인.
• 안전한 링크: 이메일, 문서 및 Teams에서 실시간 URL 재작성 및 분석 클릭을 방지할 수 있습니다 경고를 무시합니다.
• DLP 및 감도 레이블 (관할권): 민감한 데이터 유출을 방지하고 암호화/제어를 적용합니다 민감도 수준에 따라 조직 외부에서도 배우거나 기밀 이메일을 숨기고 보호하세요.

Microsoft Defender for Cloud와 함께 사용 가능 앱 파라 Shadow IT를 발견하고 실시간으로 정책을 적용하세요 Microsoft와 타사 클라우드 서비스에서 이상 징후(랜섬웨어, 악성 앱)를 감지합니다.

라이센싱 및 빠른 활성화

Defender for Office 365는 두 가지 플랜으로 제공됩니다. P1 (안전한 링크, 안전한 첨부 파일 및 고급 안티피싱) 및 P2 (Threat Explorer, AIR 및 시뮬레이션 추가) E5에는 P2가 포함됩니다; E3를 사용하면 필요에 따라 P1이나 P2를 추가할 수 있습니다.

기능	EOP	1 계획	2 계획
표준 스팸 방지/맬웨어 방지	✔	✔	✔
안전한 링크	-	✔	✔
안전한 부착물	-	✔	✔
안티피싱 IA	-	✔	✔
위협 탐색기 / AIR	-	-	✔
공격 시뮬레이션	-	-	✔

활성화하려면 Microsoft 365 Defender로 이동하세요. 이메일 및 협업 > 정책 및 규칙 그리고 표준/엄격을 활성화하세요. 범위를 지정하세요 (사용자, 그룹, 도메인)을 정의하고 적절한 경우 예외를 정의합니다.

안티피싱을 위한 PowerShell 단축키

# Conecta al módulo de Exchange Online
Connect-ExchangeOnline

# Crea política y regla de Anti-Phish básicas
New-AntiPhishPolicy -Name 'AntiPhishCorp' \
 -EnableMailboxIntelligence $true \
 -EnableDomainImpSpoofProtection $true \
 -EnableUserImpSpoofProtection $true

New-AntiPhishRule -Name 'AntiPhishCorpRule' \
 -AntiPhishPolicy 'AntiPhishCorp' -RecipientDomainIs 'midominio.com'

그걸 기억해 안전한 첨부 파일의 동적 전달 사용자는 메시지 본문을 즉시 받고, 트리거가 발생하면 첨부 파일이 해제됩니다. 이를 통해 보안을 희생하지 않고도 사용자 경험을 향상시킬 수 있습니다.

모범 사례, Zero Trust 및 통합

자세를 강화하려면 다음 지침을 적용하세요. 그들에게 필요한 건 마법이 아니라 인내심뿐입니다. 그리고 실제적 판단.

• p=격리/거부를 포함한 DMARC 스푸핑을 막기 위해 모든 도메인에 DKIM을 적용하세요.
• 반기별로 Secure Score를 검토하세요 75% 이상을 목표로 합니다. 관련 권장 사항을 구현합니다.
• 거짓 양성을 모니터링합니다 격리 중에도 과하게 허용하지 않고 적응하세요. 적을수록 좋습니다.
• 분기별 시뮬레이션 최종 사용자의 인식을 실제로 높이는 것입니다.
• Microsoft Sentinel과 통합 다중 도메인 상관관계 및 SOAR 자동화를 위해 SIEM이 있는 경우.
• 문서 면제 (예: 제3자가 특이한 첨부 파일을 보내는 경우) 분기별로 검토합니다.

전략 내에서 제로 트러스트Defender for Office 365는 이메일 및 공동 작업을 처리합니다. 엔드포인트를 위한 디펜더 측면 이동을 늦추고 장치에 반응하고 기대십시오. 스마트 스크린 웹사이트를 중지하고 descargas 엔드포인트에서 위험하며 구성 외에도 모바일 기기 관리(MDM).

Defender for Office 365의 데이터 및 개인 정보 보호

이메일 및 Teams 메시지를 처리할 때 Microsoft 365는 다음과 같은 메타데이터를 처리합니다. 표시 이름, 이메일 주소, IP 주소 및 도메인오프라인 ML, 평판 및 ZAP과 같은 기능에 사용됩니다. 추가 계층의 경우 다음을 고려하세요. Shielded Email로 이메일을 보호하세요.

모든 보고서는 식별자를 따릅니다. EUPI(가명) 및 EUII이러한 보장을 통해 데이터는 귀하의 조직 내에서만 공유되고 귀하의 지역에 저장됩니다. 권한이 있는 사용자만 액세스할 수 있습니다저장 데이터 암호화는 ODL과 CDP를 사용하여 시행됩니다.

데이터 위치

Defender for Office 365는 Microsoft Entra 데이터 센터에서 작동합니다. 특정 지역의 경우, 프로비저닝된 조직의 미사용 데이터는 해당 지역에만 저장됩니다. 지역 주민이 거주하는 지역 포함하십시오 :

• Australia
• 브라질
• Canada
• EU
• 프랑스
• 독일
• India
• Israel
• 이탈리아
• 일본
• 노르웨이
• 폴란드
• Qatar
• 싱가포르
• 남아프리카 공화국
• 대한민국
• 스웨덴
• 스위스
• 아랍 에미리트 연방
• 영국
• 미국

로컬 지역에 저장된 데이터(클라우드 사서함 및 Defender for Office 365의 기본 보호)에는 다음이 포함됩니다. 알림, 첨부 파일, 차단 목록, 이메일 메타데이터, 분석, 스팸, 격리, 보고서, 정책, 스팸 도메인 및 URL.

보존 및 공유

Defender for Office 365 데이터는 보존됩니다. 180일 동안의 보고서 및 기록추출된 개인정보는 암호화되어 보관 기간 30일 후 자동 삭제됩니다. 라이선스 및 유예 기간 만료 시, 데이터는 복구할 수 없게 삭제됩니다 구독 종료 후 190일 이내.

Defender for Office 365는 데이터를 공유합니다. Microsoft 365 Defender XDR, Microsoft Sentinel 및 감사 로그 (고객이 라이선스를 부여한 경우) GCC 정부 클라우드의 경우 특정 예외가 적용됩니다.

Microsoft 365에서 랜섬웨어 복구

만약, 모든 것에도 불구하고 무언가가 빠져나간다면, 재빨리 행동하세요: OneDrive 동기화를 중지하고 손상된 컴퓨터를 격리합니다. 건강한 사본을 보존하려면 기본 옵션을 활용하세요.

• 버전 관리: SharePoint, OneDrive, Exchange에 여러 버전을 저장할 수 있습니다. 최대 50.000개까지 설정할 수 있지만, 다음 사항에 유의하세요. 일부 랜섬웨어는 모든 버전을 암호화합니다. 과 저장 추가 계정.
• 휴지통: 삭제된 항목을 복원합니다. 93 일그 기간과 두 번의 휴지통 단계가 끝나면 Microsoft에 문의할 수 있습니다. 최대 14일 추가 회복을 위해.
• 보존 정책 (E5/A5/G5): 보관 기간과 삭제할 수 있는 내용을 정의합니다. 원천징수 자동화 콘텐츠 유형별로.
• 보존 보관 도서관: 활성 보류를 사용하면 변경할 수 없는 사본이 OneDrive/SharePoint에 저장됩니다. 사고 후에도 손상되지 않은 파일을 추출할 수 있습니다..
• 타사 백업: Microsoft에서는 하지 않습니다 백업 M365 콘텐츠의 기존 백업; SaaS 백업 솔루션을 고려하세요. 까다로운 RTO/RPO 그리고 세분화된 복구 또는 학습 이메일을 백업하세요.

입력 벡터를 줄이려면 결합하는 것을 기억하세요. 이메일 보호(EOP + Defender), 다중 요소 인증, 공격 표면 감소 규칙, 피싱 및 스푸핑 위험을 줄여주는 Exchange 설정.

위의 모든 사항을 적용하면 Microsoft 365 환경이 눈에 띄게 더욱 강력해집니다. 인증된 이메일, 명확한 우선순위를 가진 일관된 정책, 안전한 협업사용자 보고, 교육 시뮬레이션, 실제 조사 및 대응 기능을 제공합니다. 여기에 정기적인 검토, 보안 점수, 그리고 최소한의 예외 조항을 추가하면 사용성을 희생하지 않고도 최신 캠페인을 견딜 수 있는 시스템을 구축할 수 있습니다.