작업 센터 사용

  • 14분

조치 센터

Microsoft Defender 포털의 통합 알림 센터에는 디바이스, 전자 메일 및 공동 작업 콘텐츠 및 ID에 대한 보류 중 및 완료된 수정 작업이 한 위치에 나열되어 있습니다.

통합 알림 센터는 엔드포인트용 Defender 및 Office 365용 Defender의 수정 작업을 함께 제공합니다. 모든 수정 작업에 대한 공용 언어를 정의하고 통합 조사 환경을 제공합니다. 보안 운영 팀은 수정 작업을 보고 관리할 수 있는 “단일 창” 환경을 사용할 수 있습니다.

알림 센터는 보류 중인 항목과 기록 항목으로 구성됩니다.

  • 보류 중은 진행 중이며 주의가 필요한 조사 목록을 표시합니다. 보안 운영 팀에서 승인하거나 거부할 수 있는 권장 작업이 표시됩니다. 보류 중 탭은 승인(또는 거부) 대상이며 보류 중인 작업이 있는 경우에만 표시됩니다.

  • 기록은 다음 항목 전체에 대해 감사 로그 역할을 합니다.

    • 자동 조사의 결과로 수행된 수정 작업

    • 보안 운영 팀에서 승인한 수정 작업(파일 격리하기 등의 일부 작업은 실행 취소할 수 있음)

    • 실행된 명령 및 라이브 응답 세션에서 적용된 수정 작업(일부 작업은 실행 취소할 수 있음)

    • Microsoft Defender 바이러스 백신에서 적용한 수정 작업(일부 작업은 실행 취소할 수 있음)

자동 조사, 작업 센터를 차례로 선택합니다.

Screenshot of the Microsoft Defender XDR Action center.

자동 조사를 실행하면 조사된 각 증명 정보에 대해 평가 결과가 생성됩니다. 평가 결과는 다음에 따라 악성, 의심스러움 또는 위협이 발견되지 않음 중 하나로 생성됩니다.

  • 위협 유형

  • 이로 인한 평가 결과

  • 조직이 디바이스 그룹을 구성하는 방법

수정 작업은 조직의 보안 운영 팀에서 승인하는 경우에만 자동으로 수행될 수 있습니다.

보류 중인 작업 검토

보류 중인 작업을 승인하거나 거부하는 방법:

  • 보류 중 탭에서 항목을 선택합니다.

  • 아무 범주에서나 조사를 선택하여 수정 작업을 승인하거나 거부할 수 있는 패널을 엽니다.

파일 또는 서비스 세부 정보, 조사 세부 정보, 경고 세부 정보와 같은 기타 세부 정보가 표시됩니다. 패널에서 조사 페이지 열기 링크를 선택하여 조사 세부 정보를 볼 수 있습니다. 여러 조사를 선택하여 여러 조사에 대한 작업을 승인하거나 거부할 수도 있습니다.

완료된 작업 검토

완료된 작업을 검토하는 방법:

  • 기록 탭을 선택합니다. (필요할 경우 기간을 확장하여 더 많은 데이터를 표시합니다.)

  • 해당 수정 작업 관련 세부 정보를 보려면 항목을 선택합니다.

완료된 작업 실행 취소

디바이스 또는 파일이 위협이 아닌 것으로 확인했습니다. 해당 작업이 자동으로 또는 수동으로 수행되었는지에 따라 수정 작업을 실행 취소할 수 있습니다. 다음 작업을 실행 취소할 수 있습니다.

  • 원본

    • 자동 조사

    • Microsoft Defender 바이러스 백신

    • 수동 응답 작업

  • 지원되는 작업

    • 디바이스 격리

    • 코드 실행 제한

    • 파일 격리

    • 레지스트리 키 제거

    • 서비스 중지

    • 드라이버 비활성화

    • 예약된 작업 제거

여러 디바이스에서 파일을 격리 해제합니다.

여러 디바이스에서 격피 파일을 제거하는 방법:

  1. 기록 탭에서 작업 유형 격리 파일이 들어 있는 파일을 선택합니다.

  2. 화면 오른쪽에 있는 창에서 해당 파일의 인스턴스 X개에 추가 적용을 선택하고 실행 취소를 선택합니다.

작업 원본 세부 정보 보기

알림 센터에는 각 작업의 출처를 알려주는 작업 원본 열이 포함되어 있습니다. 다음 표에서는 가능한 작업 원본 값을 설명합니다.

작업 원본 값 설명
수동 디바이스 작업 디바이스에서 수행되는 수동 작업입니다. 예를 들면 디바이스 격리 또는 파일 격리가 있습니다.
수동 메일 작업 메일에서 수행되는 수동 작업입니다. 예를 들면 메일 메시지 일시 삭제 또는 메일 메시지 수정이 있습니다.
자동화된 디바이스 작업 파일이나 프로세스와 같은 엔터티에서 수행되는 자동화된 작업입니다. 자동화된 작업의 예로는 격리로 파일 보내기, 프로세스 중지, 레지스트리 키 제거가 있습니다.
자동화된 메일 작업 메일 메시지, 첨부 파일 또는 URL과 같은 메일 콘텐츠에서 수행되는 자동화된 작업입니다. 자동화된 작업의 예로는 메일 메시지 일시 삭제, URL 차단, 외부 메일 전달 끄기가 있습니다.
고급 헌팅 작업 고급 헌팅을 사용하여 디바이스 또는 메일에서 수행되는 작업입니다.
탐색기 작업 탐색기를 사용하여 메일 콘텐츠에서 수행되는 작업입니다.
수동 라이브 응답 작업 라이브 응답을 사용하여 디바이스에서 수행되는 작업입니다. 예를 들면 파일 삭제, 프로세스 중지, 예약된 작업 제거가 있습니다.
라이브 응답 작업 엔드포인트용 Microsoft Defender API를 사용하여 디바이스에서 수행되는 작업입니다. 작업의 예로는 디바이스 격리, 바이러스 백신 검사 실행, 파일 정보 가져오기가 있습니다.

제출

Exchange Online 사서함이 있는 Microsoft 365 조직에서 관리자는 Microsoft Defender 포털의 제출 포털을 사용하여 스캔을 위해 전자 메일 메시지, URL 및 첨부 파일을 Microsoft에 제출할 수 있습니다.

분석을 위해 이메일 메시지를 제출하면 다음이 표시됩니다.

  • 이메일 인증 검사: 이메일 인증이 배달되었을 때 통과 또는 실패했는지에 대한 세부 정보입니다.
  • 정책 적중: 테넌트에 들어오는 이메일을 허용 또는 차단했을 수 있는 정책에 대한 정보로, Microsoft의 서비스 필터 평가 결과를 재정의합니다.
  • 페이로드 평판/폭발: 메시지의 URL 및 첨부 파일에 대한 최신 검사입니다.
  • 평가자 분석: 메시지가 악의적인지 여부를 확인하기 위해 인간 평가자가 수행하는 검토입니다.

중요

페이로드 평판/폭발 및 평가자 분석이 모든 테넌트에서 수행되지는 않습니다. 규정 준수를 위해 데이터가 테넌트 경계를 벗어날 수 없는 경우 정보가 조직 외부로 나가는 것을 차단합니다.

시작하기 전에 알아야 할 사항

  • Microsoft에 메시지 및 파일을 제출하려면 다음 역할 중 하나가 있어야 합니다.

    Microsoft Defender 포털의 보안 관리istrator 또는 보안 읽기 권한자입니다.

  • 관리자는 사서함에서 계속 사용할 수 있고 사용자 또는 다른 관리자가 제거하지 않는 경우 최대 30일 전의 메시지를 제출할 수 있습니다.

  • 관리자 제출은 다음 속도로 제한됩니다.

    15분 동안의 최대 제출: 150개 제출

    24시간 동안 동일한 제출: 3회 제출

    15분 동안 동일한 제출: 하나의 제출

Microsoft에 의심스러운 콘텐츠 보고

제출 페이지에서 보고하려는 콘텐츠 유형에 따라 이메일, 이메일 첨부 파일 또는 URL 탭이 선택되었는지 확인합니다. 그런 다음 분석을 위해 Microsoft에 제출 아이콘을 선택합니다. 분석을 위해 Microsoft에 제출.

표시되는 분석을 위해 Microsoft에 제출 플라이아웃을 사용하여 각 유형의 콘텐츠(이메일, URL 또는 이메일 첨부 파일)를 제출합니다.

참고

데이터가 환경을 벗어나는 것을 허용하지 않는 클라우드에서는 파일 및 URL 제출을 사용할 수 없습니다. 파일 또는 URL을 선택하는 기능이 회색으로 표시됩니다.

포털 내에서 사용자에게 알림

제출 페이지에서 사용자 보고 메시지 탭을 선택한 다음 표시하고 알릴 메시지를 선택합니다.

표시 및 알림 드롭다운을 선택한 다음, 발견된 위협이 없음 > 피싱 또는 정크를 선택합니다.

보고된 메시지는 가양성 또는 가음성으로 표시됩니다. 이메일 알림은 포털 내에서 메시지를 보고한 사용자에게 자동으로 전송됩니다.

Microsoft에 의심스러운 이메일 제출

  1. 제출 유형 선택 상자의 드롭다운 목록에서 이메일이 선택되어 있는지 확인합니다.

  2. 네트워크 메시지 ID 추가 또는 이메일 파일 업로드 섹션에서 다음 옵션 중 하나를 사용합니다.

    • 이메일 네트워크 메시지 ID 추가: ID는 메시지의 X-MS-Exchange-Organization-Network-Message-Id 헤더 또는 격리된 메시지의 X-MS-Office365-Filtering-Correlation-Id 헤더에서 사용할 수 있는 GUID 값입니다.

    • 이메일 파일(.msg 또는 .eml) 업로드: 파일 찾아보기를 선택합니다. 열리는 대화 상자에서 .eml 또는 .msg 파일을 찾아 선택한 다음 열기를 선택합니다.

    문제가 있는 수신자 선택 상자에서 정책 검사를 실행할 수신자를 지정합니다. 정책 검사는 사용자 또는 조직 정책으로 인해 이메일이 검사를 우회했는지 여부를 결정합니다.

  3. Microsoft에 제출하는 이유 선택 섹션에서 다음 옵션 중 하나를 선택합니다.

    • 차단되지 않았어야 함(가양성)
    • 차단되었어야 함(가음성): 표시되는 "이 이메일이 다음으로 분류되었어야 함" 섹션에서 다음 값 중 하나를 선택합니다(확실하지 않은 경우 최선으로 판단): 피싱, 맬웨어 또는 스팸

  4. 모두 마쳤으면 제출을 선택합니다.

Microsoft에 의심스러운 URL 보내기

  1. 제출 유형 선택 상자의 드롭다운 목록에서 URL을 선택합니다.

  2. 표시되는 URL 상자에 전체 URL을 입력합니다. 예들 들어 https://www.fabrikam.com/marketing.html입니다.

  3. Microsoft에 제출하는 이유 선택 섹션에서 다음 옵션 중 하나를 선택합니다.

    • 차단되지 않았어야 함(가양성)
    • 차단되었어야 함(가음성): 표시되는 "이 URL이 다음으로 분류되었어야 함" 섹션에서 다음 값 중 하나를 선택합니다(확실하지 않은 경우 최선으로 판단): 피싱, 맬웨어

  4. 모두 마쳤으면 제출을 선택합니다.

Microsoft에 의심스러운 이메일 첨부 파일 제출

  1. 제출 유형 선택 상자의 드롭다운 목록에서 이메일 첨부 파일을 선택합니다.

  2. 표시되는 파일 섹션에서 파일 찾아보기를 선택합니다. 열리는 대화 상자에서 파일을 찾아서 선택한 다음 열기를 선택합니다.

  3. Microsoft에 제출하는 이유 선택 섹션에서 다음 옵션 중 하나를 선택합니다.

    • 차단되지 않았어야 함(가양성)
    • 차단되었어야 함(가음성): 표시되는 "이 파일이 다음으로 분류되었어야 함" 섹션에서 다음 값 중 하나를 선택합니다(확실하지 않은 경우 최선으로 판단): 피싱, 맬웨어

  4. 모두 마쳤으면 제출을 선택합니다.

참고

맬웨어 필터링으로 메시지 첨부 파일이 Malware Alert Text.txt 파일로 대체된 경우 원래 첨부 파일이 포함된 격리에서 원본 메시지를 제출해야 합니다. 격리 및 맬웨어 가양성 메시지를 해제하는 방법에 대한 자세한 내용은 관리자 권한으로 격리된 메시지 및 파일 관리를 참조하세요.

Microsoft에 대한 관리자 제출 보기

제출 페이지에서 이메일, URL 또는 이메일 첨부 파일 탭이 선택되어 있는지 확인합니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 최대 7개의 열을 표시합니다. 기본값은 별표(*)로 표시됩니다.

  • 제출 이름*
  • 보낸 사람*
  • 받는 사람
  • 제출한 날짜*
  • 제출 이유*
  • 상태*
  • 결과*
  • 필터 평가 결과
  • 배달/차단 이유
  • 제출 ID
  • 네트워크 메시지 ID/개체 ID
  • Direction
  • 보낸 사람 IP
  • BCL(대량 불만 수준)
  • 대상
  • 정책 작업
  • 제출한 사람
  • 피싱 시뮬레이션
  • 태그*
  • 허용

완료되면 적용을 선택합니다.

관리자 제출 결과 세부 정보

관리자 제출에서 제출된 메시지는 검토되며 제출 세부 정보 플라이아웃에 표시되는 결과는 다음과 같습니다.

  • 배달 시 보낸 사람의 이메일 인증에 오류가 발생했는지 여부입니다.
  • 메시지의 평가 결과에 영향을 주거나 재정의할 수 있는 정책 적중에 대한 정보입니다.
  • 메시지에 포함된 URL 또는 파일이 악성인지 여부를 확인하는 현재 폭발 결과입니다.
  • 평가자의 피드백입니다.

재정의가 발견되면 몇 분 안에 결과를 사용할 수 있어야 합니다. 이메일 인증에 문제가 없거나 배달이 재정의의 영향을 받지 않는 경우 평가자의 피드백은 최대 하루가 걸릴 수 있습니다.

Microsoft에 대한 사용자 제출 보기

보고서 메시지 추가 기능, 보고서 피싱 추가 기능을 배포했거나 사용자가 웹용 Outlook에서 기본 제공 보고를 사용하는 경우 사용자 보고 메시지 탭에서 사용자가 보고하는 내용을 확인할 수 있습니다.

제출 페이지에서 사용자 보고 메시지 탭을 선택합니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 옵션을 표시하려면 열 사용자 지정을 선택합니다. 기본값은 별표(*)로 표시됩니다.

  • 이메일 제목*
  • 보고한 사람*
  • 보고한 날짜*
  • 보낸 사람*
  • 보고한 이유*
  • 결과*
  • 메시지 보고 ID
  • 네트워크 메시지 ID
  • 보낸 사람 IP
  • 다음에서 보고됨
  • 피싱 시뮬레이션
  • 관리자 제출로 변환됨
  • 태그*
  • 다음으로 표시됨*
  • 표시한 사람
  • 표시한 날짜

완료되면 적용을 선택합니다.

참고

조직이 사용자 보고 메시지를 사용자 지정 사서함에만 보내도록 구성된 경우 보고된 메시지는 사용자 보고 메시지에 표시되지만 결과는 항상 비어 있습니다(다시 검사되지 않기 때문).

사용자 제출 실행 취소

사용자가 의심스러운 이메일을 사용자 지정 사서함에 제출한 후에는 사용자와 관리자가 제출을 실행 취소할 수 있는 옵션이 없습니다. 사용자가 이메일을 복구하려는 경우 삭제된 항목 또는 정크 메일 폴더에서 복구할 수 있습니다.

사용자 보고 메시지를 사용자 지정 사서함에서 관리자 제출로 변환

Microsoft에 메시지를 보내지 않고 사용자 보고 메시지를 가로채도록 사용자 지정 사서함을 구성한 경우 분석을 위해 특정 메시지를 찾아 Microsoft로 보낼 수 있습니다.

사용자 보고 메시지 탭의 목록에서 메시지를 선택하고 분석을 위해 Microsoft에 제출을 선택한 다음 드롭다운 목록에서 다음 값 중 하나를 선택합니다.

  • 메시지를 이상 없음으로 보고
  • 피싱 보고
  • 맬웨어 보고
  • 스팸 보고
  • 트리거 조사