피싱 방지 보호 기능 조정

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Microsoft 365에는 기본적으로 사용하도록 설정된 다양한 피싱 방지 기능이 제공되지만 일부 피싱 메시지는 여전히 organization 사서함으로 전달될 수 있습니다. 이 문서에서는 피싱 메시지가 발생한 이유와 실수로 상황을 악화하지 않고 Microsoft 365 organization 피싱 방지 설정을 조정하기 위해 수행할 수 있는 작업을 설명합니다.

첫 번째 작업: 손상된 계정을 처리하고 더 이상 피싱 메시지가 통과하지 못하도록 차단해야 합니다.

피싱 메시지의 결과로 받는 사람의 계정이 손상된 경우 Microsoft 365에서 손상된 전자 메일 계정에 응답의 단계를 수행합니다.

구독에 Office 365용 Microsoft Defender 포함된 경우 Office 365 위협 인텔리전스를 사용하여 피싱 메시지를 받은 다른 사용자를 식별할 수 있습니다. 피싱 메시지를 차단하는 추가 옵션이 있습니다.

• Office 365용 Microsoft Defender 안전한 링크
• Office 365용 Microsoft Defender의 안전한 첨부 파일
• Office 365용 Microsoft Defender 피싱 방지 정책. 정책의 고급 피싱 임계값을일시적으로 Standard 공격적, 공격적 또는 가장 공격적으로 늘릴 수 있습니다.

이러한 정책이 작동하는지 확인합니다. 안전 링크 및 안전한 첨부 파일 보호는 미리 설정된 보안 정책의 기본 제공 보호 덕분에 기본적으로 켜져 있습니다. 피싱 방지에는 스푸핑 방지 보호가 기본적으로 켜져 있는 모든 수신자에게 적용되는 기본 정책이 있습니다. 가장 보호는 정책에서 켜져 있지 않으므로 구성해야 합니다. 자세한 내용은 Office 365용 Microsoft Defender 피싱 방지 정책 구성을 참조하세요.

Microsoft에 피싱 메시지 보고

피싱 메시지를 보고하면 Microsoft 365의 모든 고객을 보호하는 데 사용되는 필터를 조정하는 데 유용합니다. 자세한 내용은 제출 페이지를 사용하여 의심스러운 스팸, 피싱, URL, 합법적인 전자 메일 차단 및 Microsoft에 전자 메일 첨부 파일 제출을 참조하세요.

메시지 헤더 검사

피싱 메시지의 헤더를 검사하여 더 많은 피싱 메시지가 들어오는 것을 방지하기 위해 직접 수행할 수 있는 것이 있는지 확인할 수 있습니다. 즉, 메시지 헤더를 검사하면 피싱 메시지를 허용하는 organization 설정을 식별하는 데 도움이 될 수 있습니다.

특히 SFV(스팸 필터링 평결) 값에서 스팸 또는 피싱에 대한 건너뛴 필터링 표시를 보려면 메시지 헤더에 X-Forefront-Antispam-Report 헤더 필드를 검사 합니다. 필터링을 건너뛰는 메시지에는 의 항목 SCL:-1이 있습니다. 즉, 사용자 설정 중 하나가 서비스에 의해 결정된 스팸 또는 피싱 평결을 재정의하여 이 메시지를 허용했음을 의미합니다. 메시지 헤더를 가져오는 방법 및 사용 가능한 모든 스팸 방지 및 피싱 방지 메시지 헤더의 전체 목록은 Microsoft 365의 스팸 방지 메시지 헤더를 참조하세요.

팁

메시지 헤더의 내용을 복사하여 메시지 헤더 분석기 도구에 붙여 넣을 수 있습니다. 이 도구는 헤더를 구문 분석하여 더 판독하기 쉬운 형식으로 삽입합니다.

구성 분석기를 사용하여 EOP 및 Office 365용 Defender 보안 정책을 Standard 및 엄격한 권장 사항과 비교할 수도 있습니다.

보호 유지 모범 사례

• 매월 보안 점수를 실행하여 organization 보안 설정을 평가합니다.

• 실수로 격리된 메시지(가양성) 또는 (거짓 부정)을 통해 허용되는 메시지의 경우 위협 Explorer 및 실시간 검색에서 해당 메시지를 검색하는 것이 좋습니다. 보낸 사람, 받는 사람 또는 메시지 ID로 검색할 수 있습니다. 메시지를 찾은 후 제목을 클릭하여 세부 정보로 이동합니다. 격리된 메시지의 경우 적절한 메서드를 사용하여 재정의할 수 있도록 "검색 기술"이 무엇인지 확인합니다. 허용되는 메시지의 경우 메시지를 허용한 정책을 확인합니다.

• 스푸핑된 보낸 사람의 Email(메시지의 보낸 사람 주소가 메시지 원본과 일치하지 않음)은 Office 365용 Defender 피싱으로 분류됩니다. 스푸핑이 무해한 경우도 있고, 특정 스푸핑된 보낸 사람의 메시지를 격리하지 않으려는 경우도 있습니다. 사용자에게 미치는 영향을 최소화하려면 스푸핑 인텔리전스 인사이트, 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 항목 및 스푸핑 검색 보고서를 주기적으로 검토합니다. 스푸핑된 보낸 사람이 허용되고 차단된 것을 검토하고 필요한 재정의를 수행한 후에는 의심스러운 메시지를 사용자의 정크 Email 폴더로 배달하는 대신 피싱 방지 정책에서 스푸핑 인텔리전스를 자신 있게 구성하여 의심스러운 메시지를 격리할 수 있습니다.

• Office 365용 Defender 에서 가장 인사이트 페이지를 https://security.microsoft.com/impersonationinsight 사용하여 사용자 가장 또는 도메인 가장 검색을 추적할 수도 있습니다. 자세한 내용은 Office 365용 Defender 가장 인사이트를 참조하세요.

• 피싱 검색에 대한 위협 방지 상태 보고서를 주기적으로 검토합니다.

• 일부 고객은 스팸 방지 정책에서 보낸 사람 허용 또는 도메인 허용 목록에 자신의 도메인을 배치하여 실수로 피싱 메시지를 허용합니다. 이 구성은 일부 합법적인 메시지를 통해 허용하지만 일반적으로 스팸 및/또는 피싱 필터에 의해 차단되는 악의적인 메시지도 허용합니다. 도메인을 허용하는 대신 기본 문제를 수정해야 합니다.

  도메인에서 보낸 사람이 포함된 Microsoft 365(가양성)에 의해 차단된 합법적인 메시지를 처리하는 가장 좋은 방법은 모든 전자 메일 도메인에 대해 DNS에서 SPF, DKIM 및 DMARC 레코드를 완전하고 완전히 구성하는 것입니다.

  • SPF 레코드가 도메인에서 보낸 사람의 모든 전자 메일 원본을 식별하는지 확인합니다(타사 서비스를 잊지 마세요!).

  • 하드 실패(-all)를 사용하여 승인되지 않은 보낸 사람이 그렇게 하도록 구성된 전자 메일 시스템에서 거부되도록 합니다. 스푸핑 인텔리전스 인사이트를 사용하여 도메인을 사용하는 발신자를 식별하여 SPF 레코드에 권한이 부여된 타사 발신자를 포함할 수 있습니다.

  구성 지침은 다음을 참조하세요.

  • 스푸핑을 방지할 수 있도록 SPF 설정
  • DKIM을 사용하여 사용자 지정 도메인에서 전송한 아웃바운드 전자 메일의 유효성 검사
  • DMARC를 사용하여 전자 메일의 유효성 검사

• 가능하면 도메인에 대한 전자 메일을 Microsoft 365로 직접 전달하는 것이 좋습니다. 즉, Microsoft 365 도메인의 MX 레코드를 Microsoft 365로 가리킵니다. EOP(Exchange Online Protection)는 메일이 Microsoft 365로 직접 배달될 때 클라우드 사용자에게 최상의 보호를 제공할 수 있습니다. EOP 앞에서 타사 전자 메일 위생 시스템을 사용해야 하는 경우 커넥터에 대한 향상된 필터링을 사용합니다. 자세한 내용은 Exchange Online의 커넥터에 대한 향상된 필터링을 참조하세요.

• 사용자가 Outlook에서 기본 제공 보고서 단추를 사용하거나 organization Microsoft 보고서 메시지 또는 보고서 피싱 추가 기능을 배포하게 합니다. 사용자가 보고한 메시지를 보고 사서함, Microsoft 또는 둘 다로 보내도록 사용자가 보고한 설정을 구성합니다. 그러면 사용자가 보고한 메시지를 관리자가 의 제출 페이지에 있는 사용자 보고 탭에서 https://security.microsoft.com/reportsubmission?viewid=user사용할 수 있습니다. 관리 제출 페이지를 사용하여 의심스러운 스팸, 피싱, URL, 합법적인 전자 메일 차단 및 Microsoft에 전자 메일 첨부 파일을 제출하는 데 설명된 대로 사용자가 보고한 메시지 또는 메시지를 Microsoft에 보고할 수 있습니다. Microsoft에 대한 가양성 또는 거짓 부정에 대한 사용자 또는 관리자 보고는 탐지 시스템을 학습시키는 데 도움이 되므로 중요합니다.

• MFA(다단계 인증)는 손상된 계정을 방지하는 좋은 방법입니다. 모든 사용자에 대해 MFA를 사용하도록 설정하는 것이 좋습니다. 단계적 접근 방식의 경우 모든 사용자에 대해 MFA를 사용하도록 설정하기 전에 가장 중요한 사용자(관리자, 임원 등)에 대해 MFA를 사용하도록 설정하는 것부터 시작합니다. 지침은 다단계 인증 설정을 참조하세요.

• 외부 수신자에게 규칙을 전달하는 것은 공격자가 데이터를 추출하는 데 자주 사용됩니다. Microsoft 보안 점수의 사서함 전달 규칙 검토 정보를 사용하여 외부 받는 사람에게 규칙을 찾고 전달하지 못하도록 합니다. 자세한 내용은 보안 점수를 사용하여 클라이언트 외부 전달 규칙 완화를 참조하세요.

  자동 전달된 메시지 보고서를 사용하여 전달된 전자 메일에 대한 특정 세부 정보를 볼 수 있습니다.