Office 365용 Microsoft Defender 대한 조사에서 Email 분석
팁
Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
경고의 자동화된 조사 중에 Office 365용 Microsoft Defender 원본 전자 메일을 분석하여 위협에 대해 분석하고 원본 전자 메일과 관련되고 잠재적으로 공격의 일부인 다른 전자 메일 메시지를 식별합니다. 전자 메일 공격은 거의 단일 전자 메일로 구성되지 않으므로 이 분석은 중요합니다.
자동화된 조사의 이메일 분석은 원본 전자 메일의 특성을 사용하여 organization 보내고 받은 전자 메일을 쿼리하는 이메일 클러스터를 식별합니다. 이 분석은 보안 운영 분석가가 Explorer 또는 고급 헌팅에서 관련 이메일을 헌팅하는 방법과 유사합니다. 공격자가 일반적으로 보안 검색을 방지하기 위해 이메일 매개 변수를 변형하기 때문에 일치하는 전자 메일 메시지를 식별하는 데 여러 쿼리가 사용됩니다. 클러스터링 분석은 이러한 검사를 수행하여 조사와 관련된 이메일을 처리하는 방법을 결정합니다.
- 전자 메일 분석은 원본 전자 메일의 특성을 사용하여 전자 메일의 쿼리(클러스터)를 만듭니다. 보낸 사람 값(IP 주소, 보낸 사람 도메인) 및 내용(제목, 클러스터 ID)은 관련될 수 있는 전자 메일을 찾습니다.
- 원래 전자 메일의 URL 및 파일을 분석한 결과 일부는 악성(즉, 맬웨어 또는 피싱)인 것으로 확인되면 악의적인 URL 또는 파일이 포함된 메일의 쿼리 또는 클러스터도 생성됩니다.
- Email 클러스터링 분석은 클러스터의 유사한 전자 메일과 관련된 위협을 계산하여 이메일이 악의적이거나 의심스럽거나 명확한 위협이 없는지 여부를 확인합니다. 쿼리와 일치하는 이메일 클러스터에 충분한 양의 스팸, 일반 피싱, 높은 신뢰도 피싱 또는 맬웨어 위협이 있는 경우 이메일 클러스터는 해당 위협 유형이 적용됩니다.
- 또한 전자 메일 클러스터링 분석은 전자 메일 클러스터의 원본 전자 메일 및 메시지의 최신 배달 위치를 확인하여 제거가 필요하거나 이미 수정되었거나 방지된 메시지를 식별하는 데 도움이 됩니다. 공격자가 악성 콘텐츠와 보안 정책 및 보호를 모핑하면 사서함마다 다를 수 있으므로 이 분석은 중요합니다. 이 기능은 하나 이상의 악성 전자 메일 메시지가 ZAP(0시간 자동 제거)에 의해 방지되거나 검색되고 제거된 경우에도 악의적인 콘텐츠가 사서함에 계속 포함될 수 있는 상황으로 이어집니다.
- 맬웨어, 높은 신뢰도 피싱, 악성 파일 또는 악의적인 URL 위협으로 인해 악의적인 것으로 간주되는 Email 클러스터는 클라우드 사서함(받은 편지함 또는 정크 Email 폴더)에 있는 일시 삭제 메시지에 대한 보류 중인 작업을 가져옵니다. 악성 전자 메일 또는 전자 메일 클러스터가 클라우드 사서함에 없는 "사서함에 없음"(차단, 격리, 실패, 일시 삭제 등) 또는 "온-프레미스/외부"인 경우 이를 제거하기 위한 보류 중인 작업이 설정되지 않습니다.
- 메일 클러스터가 악의적인 것으로 확인되면 클러스터로 식별된 위협이 조사와 관련된 원래 전자 메일에 다시 적용됩니다. 이 동작은 전자 메일 헌팅 결과를 사용하여 유사한 전자 메일을 기반으로 원래 전자 메일의 판결을 결정하는 보안 운영 분석가와 유사합니다. 이 결과를 통해 원본 전자 메일의 URL, 파일 또는 원본 전자 메일 표시기가 검색되었는지 여부에 관계없이 시스템은 개인 설정, 모핑, 회피 또는 기타 공격자 기술을 통해 검색을 회피할 가능성이 있는 악의적인 전자 메일 메시지를 식별할 수 있습니다.
- 사용자 손상 조사에서 사서함에서 생성된 잠재적인 전자 메일 문제를 식별하기 위해 추가 전자 메일 클러스터가 만들어집니다. 이 프로세스에는 클린 메일 클러스터(사용자의 좋은 이메일, 잠재적인 데이터 반출 및 잠재적 명령/제어 전자 메일), 의심스러운 메일 클러스터(스팸 또는 일반 피싱이 포함된 이메일) 및 악성 메일 클러스터(맬웨어 또는 높은 신뢰도 피싱이 포함된 이메일)가 포함됩니다. 이러한 이메일 클러스터는 보안 운영 분석가 데이터를 제공하여 손상으로 해결해야 할 수 있는 다른 문제와 원래 경고를 트리거한 메시지(예: 사용자 전송 제한을 트리거한 피싱/스팸)에 대한 가시성을 확인합니다.
유사성 및 악의적인 엔터티 쿼리를 통한 Email 클러스터링 분석을 통해 공격의 이메일이 하나만 식별되더라도 전자 메일 문제를 완전히 식별하고 정리할 수 있습니다. 이메일 클러스터 세부 정보 측면 패널 보기의 링크를 사용하여 Explorer 또는 고급 헌팅에서 쿼리를 열어 심층 분석을 수행하고 필요한 경우 쿼리를 변경할 수 있습니다. 이 기능을 사용하면 전자 메일 클러스터의 쿼리가 너무 좁거나 너무 광범위(관련 없는 전자 메일 포함)하는 경우 수동 구체화 및 수정이 가능합니다.
다음은 조사의 이메일 분석에 대한 추가 개선 사항입니다.
AIR 조사는 고급 배달 항목(SecOps 사서함 및 피싱 시뮬레이션 메시지)을 무시합니다.
전자 메일 클러스터링 분석 중에 모든 클러스터링 쿼리는 고급 배달 정책으로 식별된 SecOps 사서함 및 피싱 시뮬레이션 URL을 무시합니다. SecOps 사서함 및 피싱 시뮬레이션 URL은 클러스터링 특성을 간단하고 읽기 쉽게 유지하기 위해 쿼리에 표시되지 않습니다. 이러한 제외는 SecOps 사서함으로 전송된 메시지와 피싱 시뮬레이션 URL이 포함된 메시지가 위협 분석 중에 무시되고 수정 중에 제거되지 않도록 합니다.
참고
전자 메일 클러스터 세부 정보에서 Explorer 볼 수 있도록 전자 메일 클러스터를 열면 피싱 시뮬레이션 및 SecOps 사서함 필터가 Explorer 적용되지만 표시되지 않습니다. 페이지 내에서 Explorer 필터, 날짜 또는 새로 고침 쿼리를 변경하면 피싱 시뮬레이션/SecOps 필터 제외가 제거되고 일치하는 전자 메일 메시지가 다시 표시됩니다. 브라우저 새로 고침 함수를 사용하여 Explorer 페이지를 새로 고치면 피싱 시뮬레이션/SecOps 필터를 포함하여 원래 쿼리 필터가 다시 로드되지만 후속 변경 내용은 제거됩니다.
AIR 업데이트 보류 중인 이메일 작업 상태
조사 이메일 분석은 조사 당시 이메일 위협 및 위치를 계산하여 조사 증거와 조치를 만듭니다. 조사 외부의 작업이 조사와 관련된 이메일에 영향을 줄 때 이 데이터는 부실하고 오래될 수 있습니다. 예를 들어 보안 작업 수동 헌팅 및 수정은 조사에 포함된 이메일을 클린 수 있습니다. 마찬가지로 병렬 조사 또는 ZAP 자동 격리 작업에서 승인된 삭제 작업은 전자 메일을 제거했을 수 있습니다. 또한 전자 메일 배달 후 위협 검색이 지연되면 조사의 이메일 쿼리/클러스터에 포함된 위협 수가 변경될 수 있습니다.
조사 작업이 최신 상태인지 확인하기 위해 보류 중인 작업이 포함된 조사는 이메일 분석 쿼리를 주기적으로 다시 실행하여 이메일 위치 및 위협을 업데이트합니다.
- 메일 클러스터 데이터가 변경되면 위협 및 최신 배달 위치 수가 업데이트됩니다.
- 보류 중인 작업이 있는 전자 메일 또는 전자 메일 클러스터가 사서함에 더 이상 없으면 보류 중인 작업이 취소되고 악의적인 전자 메일/클러스터가 수정된 것으로 간주됩니다.
- 모든 조사의 위협이 이전에 설명한 대로 수정되거나 취소되면 조사가 수정된 상태로 전환되고 원래 경고가 해결됩니다.
전자 메일 및 전자 메일 클러스터에 대한 인시던트 증거 표시
인시던트에 대한 증거 및 대응 탭의 Email 기반 증거는 이제 다음 정보를 표시합니다.
그림의 번호가 매겨진 설명선에서:
알림 센터 외에도 수정 작업을 수행할 수 있습니다.
악의적인 판결(의심스러운 것은 아님)을 사용하여 이메일 클러스터에 대한 수정 작업을 수행할 수 있습니다.
이메일 스팸 판결의 경우 피싱은 높은 신뢰도와 일반 피싱으로 분할됩니다.
악의적인 판결의 경우 위협 범주는 맬웨어, 높은 신뢰도 피싱, 악성 URL 및 악성 파일입니다.
의심스러운 판결의 경우 위협 범주는 스팸 및 일반 피싱입니다.
의 전자 메일 수는 최신 배달 위치를 기반으로 하며 사서함 및 온-프레미스가 아닌 사서함의 전자 메일 카운터를 포함합니다.
최신 데이터에 대해 업데이트될 수 있는 쿼리의 날짜와 시간을 포함합니다.
조사의 엔터티 탭에 있는 전자 메일 또는 전자 메일 클러스터의 경우 Prevented 는 이 항목(메일 또는 클러스터)에 대한 사서함에 악의적인 전자 메일이 없음을 의미합니다. 다음은 예입니다.
이 예제에서는 메일이 악의적이지만 사서함에는 없습니다.