EOP에서 스푸핑 인텔리전스 인사이트
팁
Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서는 인바운드 전자 메일 메시지가 스푸핑으로부터 자동으로 보호됩니다. EOP는 피싱에 대한 organization 전반적인 방어의 일환으로 스푸핑 인텔리전스를 사용합니다. 자세한 내용은 EOP에서 스푸핑 방지 보호를 참조하세요.
발신자가 이메일 주소를 스푸핑하면 조직의 도메인 중 하나에 있는 사용자 또는 조직에 이메일을 보내는 외부 도메인의 사용자인 것처럼 보입니다. 스팸 또는 피싱 메일을 보내기 위해 보낸 사람을 스푸핑하는 공격자는 차단해야 합니다. 그러나 합법적인 보낸 사람이 스푸핑하는 시나리오가 있습니다. 예를 들면
내부 도메인 스푸핑에 대한 합법적인 시나리오:
- 타사 발신자가 회사의 도메인을 사용하여 회사 설문 조사를 위해 회사 직원에게 대량 메일을 보냅니다.
- 외부 회사가 귀하를 대신하여 광고 또는 제품 업데이트를 생성하고 보냅니다.
- 보조자는 조직 내의 다른 사람을 위해 정기적으로 전자 메일을 보내야 합니다.
- 내부 애플리케이션이 이메일 알림을 보냅니다.
외부 도메인 스푸핑에 대한 합법적인 시나리오:
- 보낸 사람은 메일 그룹(토론 목록이라고도 함)에 있고 메일 그룹은 원래 보낸 사람의 전자 메일을 메일 그룹의 모든 참가자에게 전달합니다.
- 외부 회사가 다른 회사를 대신하여 이메일을 보냅니다(예: 자동화된 보고서 또는 SaaS(Software-as-a-Service) 회사).
Microsoft Defender 포털에서 스푸핑 인텔리전스 인사이트를 사용하여 인증되지 않은 전자 메일(SPF, DKIM 또는 DMARC 검사를 통과하지 않는 도메인의 메시지)을 합법적으로 보내는 스푸핑된 보낸 사람을 신속하게 식별하고 해당 보낸 사람을 수동으로 허용할 수 있습니다.
알려진 보낸 사람이 알려진 위치에서 스푸핑된 메시지를 보내도록 허용하면 가양성(잘못된 것으로 표시된 양호한 전자 메일)을 줄일 수 있습니다. 허용된 스푸핑된 보낸 사용자를 모니터링하여 안전하지 않은 메시지가 organization 도착하지 못하도록 추가 보안 계층을 제공합니다.
마찬가지로 스푸핑 인텔리전스 인사이트를 사용하여 스푸핑 인텔리전스에서 허용한 스푸핑된 보낸 사람에 대해 검토하고 해당 발신자를 수동으로 차단할 수 있습니다.
이 문서의 나머지 부분에는 Microsoft Defender 포털 및 PowerShell(Exchange Online Exchange Online 사서함이 있는 Microsoft 365 조직용 PowerShell, Exchange Online 없는 조직의 독립 실행형 EOP PowerShell에서 스푸핑 인텔리전스 인사이트를 사용하는 방법에 대해 설명합니다Exchange Online 사서함).
참고
스푸핑 인텔리전스에서 검색된 스푸핑된 발신자만 스푸핑 인텔리전스 인사이트에 나타납니다. 인사이트에서 허용 또는 차단 평결을 재정의하면 스푸핑된 보낸 사람이 의 테넌트 허용/차단 Lists 페이지의 https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem스푸핑된 보낸 사람 탭에만 표시되는 수동 허용 또는 차단 항목이 됩니다. 스푸핑 인텔리전스에 의해 탐지되기 전에 스푸핑 발신자에 대한 허용 또는 차단 항목을 수동으로 만들 수도 있습니다. 자세한 내용은 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람 을 참조하세요.
스푸핑 인텔리전스 인사이트에서 허용 또는 차단작업 값은 스푸핑 검색(Microsoft 365에서 메시지를 스푸핑된 것으로 식별했는지 여부)을 나타냅니다. 작업 값이 메시지의 전체 필터링에 반드시 영향을 주는 것은 아닙니다. 예를 들어 가양성 방지를 위해 악의적인 의도가 없는 경우 스푸핑된 메시지가 배달될 수 있습니다.
테넌트 허용/차단 목록의 스푸핑 인텔리전스 인사이트 및 스푸핑된 보낸 사람 탭은 보안 & 규정 준수 센터의 스팸 방지 정책 페이지에서 사용할 수 있었던 스푸핑 인텔리전스 정책의 기능을 대체합니다.
스푸핑 인텔리전스 인사이트는 7일 분량의 데이터를 보여 줍니다. Get-SpoofIntelligenceInsight cmdlet은 30일 분량의 데이터를 표시합니다.
시작하기 전에 알아야 할 사항은 무엇인가요?
에서 Microsoft Defender 포털을 https://security.microsoft.com엽니다. 테넌트 허용/차단 Lists 페이지의 스푸핑된 보낸 사람 탭으로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem. 스푸핑 인텔리전스 인사이트 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/spoofintelligence.
Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하세요. 독립 실행형 EOP PowerShell에 연결하려면 Exchange Online Protection PowerShell에 연결을 참조하세요.
이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.
MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)(협업>을 Email & 경우Office 365용 Defender 권한은 활성입니다. PowerShell이 아닌 Defender 포털에만 영향을 줍니다. 권한 부여 및 설정/보안 설정/핵심 보안 설정(관리) 또는 권한 부여 및 설정/보안 설정/핵심 보안 설정(읽기).
-
-
스푸핑된 보낸 사람 허용 또는 차단 또는 스푸핑 인텔리전스 켜기 또는 끄기: 다음 역할 그룹 중 하나의 멤버 자격:
- 조직 관리
- 보안 관리자및보기 전용 구성 또는 보기 전용 조직 관리.
- 스푸핑 인텔리전스 인사이트에 대한 읽기 전용 액세스: 전역 읽기 권한자, 보안 읽기 권한자 또는 보기 전용 조직 관리 역할 그룹의 멤버 자격입니다.
-
스푸핑된 보낸 사람 허용 또는 차단 또는 스푸핑 인텔리전스 켜기 또는 끄기: 다음 역할 그룹 중 하나의 멤버 자격:
Microsoft Entra 권한: 전역 관리자, 보안 관리자*, 전역 읽기 권한자 또는 보안 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 대한 필요한 권한 및 권한을 제공합니다.
중요
* 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
피싱 방지 정책에 권장되는 설정은 EOP 피싱 방지 정책 설정을 참조하세요.
EOP 및 Office 365용 Microsoft Defender 피싱 방지 정책에서 스푸핑 인텔리전스를 사용하도록 설정하고 사용하지 않도록 설정합니다. 스푸핑 인텔리전스는 기본적으로 활성화되어 있습니다. 자세한 내용은 EOP에서 피싱 방지 정책 구성 또는 Office 365용 Microsoft Defender 피싱 방지 정책 구성을 참조하세요.
스푸핑 인텔리전스에 대한 권장 설정은 EOP 피싱 방지 정책 설정을 참조하세요.
Microsoft Defender 포털에서 스푸핑 인텔리전스 인사이트 찾기
의 Microsoft Defender 포털에서 https://security.microsoft.com규칙 섹션에서 Email & 협업>정책 & 규칙>위협 정책>테넌트 허용/차단 Lists 이동합니다. 또는 테넌트 허용/차단 Lists 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/tenantAllowBlockList.
스푸핑된 보낸 사람 탭을 선택합니다.
스푸핑된 보낸 사람 탭에서 스푸핑 인텔리전스 인사이트는 다음과 같습니다.
인사이트에는 두 가지 모드가 있습니다.
- 인사이트 모드: 스푸핑 인텔리전스를 사용하도록 설정하면 지난 7일 동안 스푸핑 인텔리전스에서 검색된 메시지 수를 인사이트에 표시합니다.
- What if mode: 스푸핑 인텔리전스를 사용하지 않도록 설정한 경우 인사이트는 지난 7일 동안 스푸핑 인텔리전스에 의해 검색 된 메시지 수를 보여 줍니다.
스푸핑 인텔리전스 검색에 대한 정보를 보려면 스푸핑 인텔리전스 인사이트에서 스푸핑 활동 보기를 선택하여 스푸핑 인텔리전스 인사이트 페이지로 이동합니다.
스푸핑 검색에 대한 정보 보기
참고
스푸핑 인텔리전스에서 검색된 스푸핑된 보낸 사람만 이 페이지에 표시됩니다.
의 스푸핑 인텔리전스 인사이트 페이지는 https://security.microsoft.com/spoofintelligence테넌트 허용/차단 Lists 페이지의 스푸핑된 보낸 사람 탭에서 스푸핑 인텔리전스 인사이트에서 스푸핑 활동 보기를 선택할 때 사용할 수 있습니다.
스푸핑 인텔리전스 인사이트 페이지에서 사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 다음 열을 사용할 수 있습니다.
-
스푸핑된 사용자: 이메일 클라이언트의 보낸 사람 상자에 표시되는 스푸핑된 사용자의 도메인입니다. 보낸 사용자 주소를 주소라고도 합니다
5322.From
. -
인프라 보내기: 인프라라고도 합니다. 전송 인프라는 다음 값 중 하나입니다.
- 원본 이메일 서버 IP 주소의 역방향 DNS 조회(PTR 레코드)에서 찾은 도메인입니다.
- 원본 IP 주소에 PTR 레코드가 없는 경우 전송 인프라는 <원본 IP>/24(예: 192.168.100.100/24)로 식별됩니다.
- 확인된 DKIM 도메인
- 메시지 수: 스푸핑된 도메인과 지난 7일 이내에 organization 보내는 인프라의 조합에서 보낸 메시지 수입니다.
- 마지막으로 본 날짜: 스푸핑된 도메인이 포함된 전송 인프라에서 메시지를 받은 마지막 날짜입니다.
-
스푸핑 형식: 다음 값 중 하나입니다.
- 내부: 스푸핑된 발신자는 organization 속한 도메인(허용된 도메인)에 있습니다.
- 외부: 스푸핑된 발신자가 외부 도메인에 있습니다.
-
작업: 이 값은 허용 또는차단됨입니다.
- 허용됨: 도메인에서 명시적 이메일 인증에 실패하여 SPF, DKIM 및 DMARC를 검사하지 못했습니다. 그러나 도메인이 암시적 이메일 인증 검사(복합 인증)를 통과했습니다. 그 결과 메시지에 대한 스푸핑 방지 조치가 취해지지 않았습니다.
- 차단됨: 스푸핑된 도메인 과 전송 인프라의 조합에서 보낸 메시지는 스푸핑 인텔리전스에 의해 잘못된 것으로 표시됩니다. 악의적인 의도로 스푸핑된 메시지에 대해 수행되는 작업은 Standard 또는 엄격한 사전 설정 보안 정책, 기본 피싱 방지 정책 또는 사용자 지정 피싱 방지 정책에 의해 제어됩니다. 자세한 내용은 Office 365용 Microsoft Defender에서 피싱 방지 정책 구성을 참조하세요.
스푸핑된 보낸 사람 목록을 일반에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.
항목을 필터링하려면 필터를 선택합니다. 다음 필터는 열리는 필터 플라이아웃에서 사용할 수 있습니다.
- 스푸핑 유형: 사용 가능한 값은 내부 및 외부 값입니다.
- 작업: 사용 가능한 값은 허용 및 차단입니다.
필터 플라이아웃을 마쳤으면 적용을 선택합니다. 필터를 지우려면 필터 지우기를 선택합니다.
검색 상자와 해당 값을 사용하여 특정 항목을 찾습니다.
내보내기를 사용하여 스푸핑 검색 목록을 CSV 파일로 내보냅니다.
스푸핑 검색에 대한 세부 정보 보기
첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 목록에서 스푸핑 검색을 선택하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.
왜 우리는 이것을 잡았는가? 섹션: 이 발신자를 스푸핑으로 검색한 이유와 추가 정보를 위해 수행할 수 있는 작업
도메인 요약 섹션: 기본 스푸핑 인텔리전스 인사이트 페이지에서 동일한 정보를 포함합니다.
WhoIs 데이터 섹션: 보낸 사람의 도메인에 대한 기술 정보입니다.
Explorer 조사 섹션: Office 365용 Defender organization 이 섹션에는 피싱 탭에서 보낸 사람에게 대한 추가 세부 정보를 볼 수 있는 위협 Explorer 열기 위한 링크가 포함되어 있습니다.
유사한 이메일 섹션: 스푸핑 검색에 대한 다음 정보가 포함되어 있습니다.
- 날짜
- 제목
- 받는 사람
- 보낸 사람
- 보낸 사람 IP
열 사용자 지정을 선택하여 표시되는 열을 제거합니다. 완료되면 적용을 선택합니다.
팁
세부 정보 플라이아웃을 벗어나지 않고 다른 항목에 대한 세부 정보를 보려면 플라이아웃 맨 위에 있는 이전 항목 및 다음 항목을 사용합니다.
스푸핑 검색을 차단 허용에서 변경하거나 그 반대로 변경하려면 다음 섹션을 참조하세요.
스푸핑 인텔리전스 평결 재정의
의 스푸핑 인텔리전스 인사이트 페이지에서 https://security.microsoft.com/spoofintelligence다음 방법 중 하나를 사용하여 스푸핑 인텔리전스 평결을 재정의합니다.
첫 번째 열 옆에 있는 검사 상자를 선택하여 목록에서 하나 이상의 항목을 선택합니다.
- 표시되는 대량 작업 작업을 선택합니다.
- 열리는 대량 작업 플라이아웃에서 스푸핑 허용 또는 스푸핑 차단을 선택한 다음 적용을 선택합니다.
검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다.
열리는 세부 정보 플라이아웃에서 플라이아웃 맨 위에 있는 스푸핑 허용 또는 스푸핑 차단 을 선택한 다음 적용을 선택합니다.
스푸핑 인텔리전스 인사이트 페이지로 돌아가면 항목이 목록에서 제거되고 의 테넌트 허용/차단 Lists 페이지의 https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem스푸핑된 보낸 사람 탭에 추가됩니다.
허용된 스푸핑 발신자 정보
스푸핑된 보낸 사람(자동으로 검색되거나 수동으로 구성됨)의 메시지는 스푸핑된 도메인 과 전송 인프라의 조합을 사용하는 경우에만 허용됩니다. 예를 들어 다음 스푸핑 발신자는 스푸핑이 허용됩니다.
- 도메인: gmail.com
- 인프라: tms.mx.com
해당 도메인/전송 인프라 쌍의 전자 메일만 스푸핑할 수 있습니다. gmail.com을 스푸핑하려는 다른 발신자는 자동으로 허용되지 않습니다. tms.mx.com에서 시작된 다른 도메인의 보낸 사람이 보낸 메시지는 여전히 스푸핑 인텔리전스로 확인되며 차단될 수 있습니다.
Exchange Online PowerShell 또는 독립 실행형 EOP PowerShell에서 스푸핑 인텔리전스 인사이트 사용
PowerShell에서는 Get-SpoofIntelligenceInsight cmdlet을 사용하여 스푸핑 인텔리전스에 의해 감지된 허용된 스푸핑된 보낸 사람 및 차단된 스푸핑된 발신자를 볼 수 있습니다. 스푸핑된 보낸 사람이 수동으로 허용하거나 차단하려면 New-TenantAllowBlockListSpoofItems cmdlet을 사용해야 합니다. 자세한 내용은 PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 허용 항목 만들기 및 PowerShell을 사용하여 테넌트 허용/차단 목록에서 스푸핑된 보낸 사람의 블록 항목 만들기를 참조하세요.
스푸핑 인텔리전스 인사이트에서 정보를 보려면 다음 명령을 실행합니다.
Get-SpoofIntelligenceInsight
자세한 구문 및 매개 변수 정보는 Get-SpoofIntelligenceInsight를 참조하세요.
스푸핑 및 피싱을 관리하는 다른 방법
스푸핑 및 피싱 보호에 대해 부지런히 해야 합니다. 도메인을 스푸핑하는 보낸 사람을 검사 organization 손상시키지 않도록 방지하는 관련 방법은 다음과 같습니다.
스푸핑 메일 보고서를 확인합니다. 이 보고서를 자주 사용하여 스푸핑된 보낸 사용자를 보고 관리할 수 있습니다. 자세한 내용은 스푸핑 검색 보고서를 참조하세요.
SPF, DKIM 및 DMARC 구성을 검토합니다. 자세한 내용은 다음 문서를 참조하세요.