다음을 통해 공유

Office 365용 Microsoft Defender 플랜 2에서 AIR의 수정 작업

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

Office 365용 Microsoft Defender 플랜 2의 AIR(자동화된 조사 및 대응)는 종종 SecOps(보안 운영) 팀의 승인이 필요한 수정 작업을 수행합니다.

경우에 따라 AIR는 특정 수정 작업을 수행하지 않습니다. 추가 조사 및 적절한 작업을 수행하려면 다음 표의 지침을 사용합니다.

범주 위협/위험 수정 작업
전자 메일 맬웨어 전자 메일/클러스터 일시 삭제.

소수의 관련 메시지에 맬웨어가 포함된 경우 전체 클러스터는 악의적인 것으로 간주됩니다.
전자 메일 안전한 링크에서 악성 URL이 검색되었습니다. 전자 메일/클러스터 일시 삭제.

클릭 시 URL을 차단합니다.

악의적인 URL이 포함된 메시지는 악의적인 것으로 간주됩니다.
전자 메일 피싱 전자 메일/클러스터 일시 삭제.

소수의 관련 메시지에 피싱 시도가 포함된 경우 전체 클러스터는 피싱 시도로 간주됩니다.
전자 메일 피싱 전자 메일이 배달된 후 ZAP(0시간 자동 제거)로 제거되었습니다. 전자 메일/클러스터 일시 삭제.

ZAP가 메시지를 제거했는지 확인하려면 ZAP가 메시지를 이동했는지 확인하는 방법을 참조하세요.
전자 메일 사용자가 피싱 메일을 보고했습니다. 사용자 보고서에 의해 트리거된 자동화된 조사
전자 메일 볼륨 변칙(최근 전자 메일 수량이 일치 조건에 대한 이전 7-10일을 초과). AIR에서 보류 중인 특정 작업이 없습니다.

볼륨 변칙은 명확한 위협이 아닙니다. 많은 양의 전자 메일이 잠재적인 문제를 나타낼 수 있지만 악의적인 판결 또는 이메일 메시지/클러스터의 수동 검토 측면에서 확인이 필요합니다. 자세한 내용은 배달된 의심스러운 이메일 찾기를 참조하세요.
전자 메일 위협을 찾을 수 없습니다(시스템에서 파일, URL 또는 이메일 클러스터 평결 분석을 기반으로 위협을 찾을 수 없음). AIR에서 보류 중인 특정 작업이 없습니다.

완료된 조사 후 ZAP에서 발견 및 제거한 위협은 조사 수치 결과에 반영되지 않지만 위협 Explorer 이러한 위협을 볼 수 있습니다.
사용자 사용자가 악의적인 URL을 클릭했습니다(사용자가 나중에 악의적인 것으로 확인된 페이지를 방문했거나 안전한 링크 경고 페이지를 우회하여 악의적인 페이지로 이동했습니다.) AIR에서 보류 중인 특정 작업이 없습니다.

클릭 시 URL을 차단합니다.

위협 Explorer 사용하여 URL에 대한 데이터를 보고 평결을 클릭합니다.

organization 엔드포인트용 Microsoft Defender 사용하는 경우 사용자를 조사하여 계정이 손상되었는지 확인하는 것이 좋습니다.
사용자 맬웨어/피싱 메시지를 보내는 사용자 AIR에서 보류 중인 특정 작업이 없습니다.

사용자가 맬웨어/피싱 메시지를 보고하거나 누군가가 공격의 일환으로 사용자를 스푸핑할 수 있습니다. 위협 Explorer 사용하여 맬웨어 또는 피싱이 포함된 전자 메일을 보고 처리합니다.
사용자 자동 외부 전자 메일 전달(SMTP 전달, 받은 편지함 규칙 또는 Exchange 메일 흐름 규칙(전송 규칙이라고도 함)을 데이터 반출에 사용할 수 있습니다. 전달 규칙 또는 구성을 제거합니다.

자동 전달된 메시지 보고서를 사용하여 전달된 전자 메일에 대한 특정 세부 정보를 볼 수 있습니다.
사용자 Email 위임(계정에 위임이 설정되어 있음). 위임을 제거합니다.

organization 엔드포인트용 Defender를 사용하는 경우 위임 권한이 있는 사용자를 조사하는 것이 좋습니다.
사용자 데이터 반출(사용자가 전자 메일 또는 파일 공유 DLP 정책을 위반). AIR에서는 특정 보류 중인 작업이 발생하지 않습니다.

활동 Explorer 시작합니다.
사용자 비정상적인 전자 메일 보내기(사용자가 최근 이전 7-10일 동안보다 더 많은 전자 메일을 보냈습니다.) AIR에서 보류 중인 특정 작업이 없습니다.

대량의 전자 메일을 보내는 것은 반드시 악의적인 것은 아닙니다(예: 사용자가 이벤트에 대한 대량의 수신자 그룹에 이메일을 보냈을 수 있음). 조사하려면 EAC(Exchange 관리 센터)에서 전자 메일 인사이트아웃바운드 메시지 보고서를 전달하는 새 사용자를 사용합니다.

다음 단계