Exchange Online 보호를 개선하는 20가지 최고의 기술

이 문서의 주요 목표는 Microsoft 보안 모범 사례를 따르고 실제 설정을 통과하여 데이터 손실 또는 손상된 계정에 대한 Exchange 온라인 보호를 개선하는 것입니다. Microsoft는 EOP(Exchange Online Protection) 및 Microsoft Defender Advanced Threat Protection의 두 가지 수준의 Microsoft 365 전자 메일 보안을 제공합니다. 이러한 솔루션은 Microsoft 플랫폼의 보안을 강화하고 Microsoft 365 전자 메일 보안 문제를 완화할 수 있습니다.

1 이메일 암호화 활성화

2 클라이언트 규칙 전달 차단 활성화

3 파워쉘

4 사서함 위임을 허용하지 않음

5 연결 필터링

6 스팸 및 맬웨어

7 악성코드

8 안티피싱 정책

9 고급 필터링 구성

10 ATP 안전한 링크 및 안전한 첨부 파일 정책 구성

11 SPF, DKIM 및 DMARC 추가

12 일정 세부 정보 공유를 허용하지 않음

13 감사 로그 검색 활성화

14 모든 사용자에 대해 사서함 감사 활성화

15 사서함 감사 powershell 명령

16 매주 역할 변경 사항 검토

17 매주 사서함 전달 규칙 검토

18 격주 보고서 비소유자의 사서함 액세스 검토

19 맬웨어 탐지 보고서 매주 검토

20 계정 프로비저닝 활동 보고서 주간 검토

이메일 암호화 활성화

이메일 암호화 규칙을 추가하여 제목 줄이나 본문에 특정 키워드를 사용하여 메시지를 암호화할 수 있습니다. 가장 일반적인 것은 메시지를 암호화하기 위해 제목에 "Secure"를 키워드로 추가하는 것입니다. M365/O365 메시지 암호화는 Outlook.com, Yahoo!, Gmail 및 기타 이메일 서비스에서 작동합니다. 이메일 메시지 암호화는 의도된 수신자만 메시지 내용을 볼 수 있도록 합니다.

• Microsoft 365 관리 센터의 관리 센터에서 Exchange를 클릭합니다.

• 메일 흐름 섹션에서 규칙을 클릭합니다.

• 더하기 기호를 클릭하고 Microsoft 365 메시지 암호화 적용(여러 조건을 정의할 수 있음)을 클릭합니다.

• 정책의 이름을 지정하고 다음 규칙 적용 섹션에서 "제목 또는 본문 포함..."이라고 말한 다음 키워드를 추가합니다. 여기에서 "암호화"를 입력합니다.

• 다음 작업 수행 섹션에서 RMS 템플릿을 선택하고 암호화를 선택합니다.

• 저장을 클릭한 후 정책을 테스트할 수 있습니다. 이 경우 Gmail 사용자에게 보낸 메시지가 표시됩니다.

• Gmail 사용자 받은편지함:

• Gmail 사용자가 첨부 파일(message.html)을 저장하고 열 때 Google 자격 증명으로 로그인하거나 이메일로 1회용 암호를 수신하도록 선택할 수 있습니다.

• 이 경우 일회용 암호를 선택했습니다.

• Gmail 받은편지함에서 비밀번호 확인

• 비밀번호 복사해서 붙여넣기

• 포털에서 암호화된 메시지를 보고 암호화된 응답을 보낼 수 있습니다.

테넌트가 암호화되도록 설정되었는지 확인하려면 다음 명령을 사용하여 Sender 값이 테넌트 내에서 유효한 계정인지 확인하십시오.

Test-IRMConfiguration - 발신자 [email protected]

"OVERALL RESULT: PASS"가 표시되면 준비가 된 것입니다.

또한 읽기 : ATP를 사용하여 Microsoft 365 이메일을 암호화하는 방법은 무엇입니까?

클라이언트 규칙 전달 차단 활성화

이것은 사용자의 편지함에서 외부 이메일 주소로 이메일을 자동 전달하는 클라이언트 생성 규칙을 사용하여 데이터 유출을 중지하는 데 도움이 되는 전송 규칙입니다. 이것은 조직에서 점점 더 일반적인 데이터 유출 방법입니다.

Exchange 관리 센터 > 메일 흐름 > 규칙으로 이동합니다.

더하기 기호를 클릭하고 메시지에 Microsoft 365 메시지 암호화 및 권한 보호 적용…을 선택합니다.

규칙에 다음 속성을 추가합니다.

• 발신자가 '조직 내부'에 있는 경우
• 그리고 수신자가 '조직 외부'에 있는 경우
• AND IF 메시지 유형이 '자동 전달'인 경우
• 그런 다음 '클라이언트 규칙을 통한 외부 이메일 전달은 허용되지 않습니다'라는 설명과 함께 메시지를 거부합니다.

팁 1: 세 번째 조건의 경우 자동 전달 옵션을 채우려면 메시지 속성 > 이 메시지 유형 포함을 선택해야 합니다.

팁 2 : 네 번째 조건의 경우 메시지 차단 ...> 메시지 거부를 선택하고 채우기 위한 설명을 포함해야 합니다.

• 완료되면 저장을 클릭합니다. 이 규칙은 즉시 시행됩니다. 클라이언트는 존재하지 않는 외부 전달 규칙을 강조 표시하는 데 유용한 사용자 지정 NDR(배달 못 함 확인) 메시지를 받게 되거나 손상된 사서함의 악의적인 행위자가 생성한 규칙을 강조 표시하는 데 유용합니다. 생성된 전송 규칙에서 지정된 특정 사용자 또는 그룹에 대한 예외를 생성할 수 있습니다.

파워쉘

• 한 고객에 대해 자동 전달을 차단하는 Powershell 스크립트 입니다.
• 파트너 센터 자격 증명을 통해 모든 고객에 대해 자동 전달을 차단하는 Powershell 스크립트 입니다.

사서함 위임 허용 안 함

• 사용자가 사서함을 위임하지 않으면 공격자가 한 계정에서 다른 계정으로 이동하여 데이터를 훔치기가 더 어렵습니다. 사서함 위임 은 다른 사람이 사용자의 메일과 일정을 관리하도록 허용하는 방식으로, 공격 확산을 촉진할 수 있습니다.
• 기존 사서함 위임 권한이 있는지 확인하려면 Github에서 PowerShell 스크립트 를 실행합니다. 메시지가 표시되면 테넌트에 대한 전역 관리자 자격 증명을 입력합니다.
• 기존 위임 권한이 있는 경우 나열됩니다. 아무것도 없으면 새 명령줄만 표시됩니다. ID는 위임된 관리자 권한이 할당된 사서함이고 사용자는 해당 권한이 있는 사람입니다.
• 다음 명령을 실행하여 사용자의 액세스 권한을 제거할 수 있습니다.

Remove-MailboxPermission -Identity Test1 -User Test2 -AccessRights FullAccess -InheritanceType 모두

연결 필터링

EOP에서 연결 필터링을 사용하여 IP 주소로 좋은 소스 이메일 서버 또는 나쁜 소스 이메일 서버를 식별합니다. 기본 연결 필터 정책의 주요 구성 요소는 다음과 같습니다.

IP 허용 목록 : IP 주소 또는 IP 주소 범위로 지정한 원본 이메일 서버에서 들어오는 모든 메시지에 대해 스팸 필터링을 건너뜁니다. IP 허용 목록이 전체 수신 허용 - 보낸 사람 전략에 어떻게 맞춰져야 하는지에 대한 자세한 내용은  EOP에서 수신 허용 - 보낸 사람 목록 만들기 를 참조하세요 .

IP 차단 목록 : IP 주소 또는 IP 주소 범위로 지정한 원본 이메일 서버에서 들어오는 모든 메시지를 차단합니다. 들어오는 메시지는 거부되고 스팸으로 표시되지 않으며 추가 필터링이 발생하지 않습니다. IP 차단 목록이 전체 차단 발신자 전략에 어떻게 부합해야 하는지에 대한 자세한 내용은  EOP에서 차단 발신자 목록 만들기 를 참조하십시오 .

• Exchange 관리 센터 > 보호 > 연결 필터 > 연필 아이콘을 클릭하여 기본 정책을 수정합니다.

• 연결 필터링 클릭

• 여기에서 IP 주소를 허용/차단할 수 있습니다.

스팸 및 맬웨어

물어볼 질문:

1. 메시지가 스팸으로 식별되면 어떤 조치를 취해야 합니까?
   ㅏ. 메시지를 정크 폴더로 이동(기본값)
   b. X 헤더 추가(지정된 수신자에게 메시지를 보내지만 스팸으로 식별하기 위해 메시지 헤더에 X-헤더 텍스트를 추가합니다.)
   c. 제목 줄에 텍스트 추가(메시지를 의도한 수신자에게 보내지만 제목 줄 앞에 이 텍스트 입력 상자에 지정한 텍스트를 추가합니다. 이 텍스트를 식별자로 사용하여 선택적으로 필터링하거나 필터링하는 규칙을 생성할 수 있습니다. 필요에 따라 메시지를 라우팅합니다.)
   d. 이메일 주소로 메시지 리디렉션(메시지를 의도한 수신자가 아닌 지정된 이메일 주소로 보냅니다.)
2. 허용된 발신자/도메인을 추가하거나 발신자/도메인을 차단해야 합니까?
3. 특정 언어로 작성된 메시지를 필터링해야 합니까?
4. 특정 국가/지역에서 오는 메시지를 필터링해야 합니까?
5. 사용자를 위한 메시지가 대신 검역소로 전송되었을 때 사용자에게 알리도록 최종 사용자 스팸 알림을 구성하시겠습니까? (이러한 알림에서 최종 사용자는 가양성을 해제하고 분석을 위해 Microsoft에 보고할 수 있습니다.)

• Microsoft 365 관리 센터로 이동 > 관리 센터에서 보안 선택 > 위협 관리 > 정책 > 스팸 방지

• 기본 정책 수정

• 탭을 탐색하여 이전에 질문한 질문을 구성합니다.

•  스팸 필터링을 건너뛸 수 있는 전자 메일 주소 또는 전자 메일 도메인별로 메시지 보낸 사람을 구성 하려면 허용 목록 섹션을 확장합니다  .
• 차단 목록 섹션을 확장하여   항상 높은 신뢰도의 스팸으로 표시되는 이메일 주소 또는 이메일 도메인별로 메시지 발신자를 구성합니다.

• 스팸 속성 탭을 사용하면 정책을 보다 세분화하고 스팸 필터 설정을 강화할 수 있습니다.

멀웨어

이는 기본 맬웨어 방지 정책을 통해 이미 전사적으로 설정되어 있습니다. 텍스트를 통한 추가 알림이나 파일 확장자를 기반으로 한 강화된 필터링과 같이 특정 사용자 그룹에 대해 보다 세분화된 정책을 생성해야 합니까?

• 보안 포털 > 위협 관리 > 정책 > 맬웨어 방지로 이동합니다.

• 수정할 기본 정책 선택
• 맬웨어 탐지 응답에 대해 아니요를 선택합니다.

• 컴퓨터에 해를 끼칠 수 있는 첨부 파일 형식을 차단하는 기능을 끕니다.

• 멀웨어 제로 시간 자동 제거 켜기

• 그에 따라 알림 수정

• 받는 사람 기반 규칙을 만들어 이 정책이 적용되는 사용자, 그룹 또는 도메인을 지정합니다.

• 설정을 검토하고 저장합니다.

피싱 방지 정책

Microsoft 365 구독은 사전 구성된 피싱 방지를 위한 기본 정책과 함께 제공되지만 ATP에 대한 올바른 라이선스가 있는 경우 테넌트 내에서 가장 시도에 대한 추가 설정을 구성할 수 있습니다. 여기에서 추가 설정을 구성합니다.

• 보안 포털 > 위협 관리 > 정책 > ATP 피싱 방지로 이동합니다.

• 기본 정책 클릭 > 가장 섹션에서 편집 클릭
• 첫 번째 섹션에서 스위치를 켜기로 전환하고 스푸핑될 가능성이 가장 높은 조직 내 최고 경영자 또는 사용자를 추가합니다.

• 보호할 도메인 추가 섹션에서 내가 소유한 도메인을 자동으로 포함하도록 스위치를 전환합니다.

• 작업 섹션에서 사용자 또는 도메인이 가장된 경우 수행할 작업을 선택합니다. 격리하거나 정크 폴더로 이동하는 것이 좋습니다.

• Mailbox Intelligence 섹션에서 보호를 켜고 이전 단계에서와 같이 수행할 작업을 선택합니다.

• 마지막 섹션에서는 발신자와 도메인을 허용 목록에 추가할 수 있습니다. 여기에 gmail.com과 같은 일반 도메인을 추가하지 마세요.

• 설정을 검토한 후 저장을 선택할 수 있습니다.

또한 읽기 : Microsoft Cloud App Security: 최종 가이드

향상된 필터링 구성

• 365(타사 이메일 필터링 서비스 또는 하이브리드 구성)에 커넥터가 있고 MX 레코드가 Microsoft 365 또는 Office 365를 가리키지 않는 경우 향상된 이메일 필터링을 설정할 수 있습니다. 이 새로운 기능을 사용하면 실제 기반으로 이메일을 필터링할 수 있습니다. 커넥터를 통해 도착하는 메시지의 소스입니다.
• 이것은 목록 건너뛰기라고도 하며 이 기능을 사용하면 실제 소스 IP 주소여야 하는 마지막으로 알려진 외부 IP 주소를 얻기 위해 내부로 간주되는 모든 IP 주소를 간과하거나 건너뛸 수 있습니다.
• Microsoft Defender ATP를 사용하는 경우 IP를 기반으로 하는 Microsoft의 알려진 악성 목록에서 안전한 링크/안전한 첨부 파일/스푸핑 방지에 대한 기계 학습 기능 및 보안이 향상됩니다.
• 어떤 면에서는 Microsoft가 원본 이메일의 IP를 보고 해당 데이터베이스를 확인할 수 있도록 하여 보조 보호 계층을 얻고 있습니다.

향상된 필터링 구성 단계: 여기를 클릭하십시오.

ATP 안전한 링크 및 안전한 첨부 파일 정책 구성

Microsoft Defender Advanced Threat Protection(Microsoft Defender ATP)을 사용하면 Exchange, Teams, OneDrive 및 SharePoint에서 안전한 링크 및 안전한 첨부 파일에 대한 정책을 만들 수 있습니다. 실시간 폭발은 사용자가 링크를 클릭하고 콘텐츠가 샌드박스 환경에 포함될 때 발생합니다. 첨부 파일은 이메일을 통해 완전히 전달되기 전에 샌드박스 환경에서도 열립니다. 이를 통해 제로데이 악성 첨부 파일 및 링크를 탐지할 수 있습니다.

• 보안 포털 > 위협 관리 > 정책 > ATP 안전한 첨부 파일로 이동합니다.

• 전역 설정 클릭

• SharePoint, OneDrive 및 Microsoft Teams용 ATP 켜기

• 새 정책 만들기

• 이름, 설명을 추가하고 Dynamic Delivery를 선택합니다. 배송 방법에 대한 자세한 내용은 여기를 클릭  하십시오 .

• 작업을 Dynamic Delivery로 선택하십시오.

• 받는 사람 도메인을 추가하고 테넌트에서 기본 도메인을 선택합니다.

• 다음을 클릭하여 설정을 검토하고 마침을 클릭합니다.

• Safe Links의 경우 위협 관리 > 정책 > ATP Safe Links로 돌아가십시오.

• 기본 정책을 사용하거나 새 정책을 만들고 아래 표시된 필수 설정을 켜십시오.

• 특정 URL을 허용 목록에 추가할 수 있습니다.

• 안전한 첨부 파일 정책과 마찬가지로 도메인 이름으로 테넌트의 모든 사용자에게 적용합니다.

• 다음을 클릭하여 설정을 검토하고 마침을 클릭합니다.

SPF, DKIM 및 DMARC 추가

• SPF 레코드/DKIM 레코드/DMARC가 있습니까?
• SPF는 스푸핑을 방지하는 데 도움이 되는 발신 도메인의 소유자로 추정되는 발신자의 IP 주소를 확인하여 이메일 메시지의 출처를 확인합니다.
• DKIM을 사용하면 보내는 이메일의 메시지 헤더에 있는 이메일 메시지에 디지털 서명을 첨부할 수 있습니다. 도메인에서 이메일을 수신하는 이메일 시스템은 이 디지털 서명을 사용하여 수신 이메일이 합법적인지 확인합니다.
• DMARC는 수신 메일 시스템이 SPF 또는 DKIM 검사에 실패한 메시지를 어떻게 처리할지 결정하는 데 도움이 되며 이메일 파트너에게 또 다른 수준의 신뢰를 제공합니다.

레코드를 추가하려면:

• Microsoft 365 관리 센터의 도메인으로 이동하여 레코드를 추가할 도메인을 클릭합니다.

• " DNS 레코드 "를 클릭하고 Exchange Online 아래에 나열된 MX 및 TXT 레코드를 기록해 둡니다.

• v=spf1 include:spf.protection.outlook.com -all의 TXT 레코드를 SPF 레코드의 DNS 설정에 추가합니다.
• DKIM 레코드의 경우 DNS에 두 개의 CNAME 레코드를 게시해야 합니다.

CNAME 레코드에 대해 다음 형식을 사용합니다 .

여기서 :
= 기본 도메인 = MX 레코드의 접두사(예: domain-com.mail.protection.outlook.com)
= domain.onmicrosoft.com
예 : DOMAIN = techieberry.com

CNAME 레코드 #1:
호스트 이름: selector1._domainkey.techiebery.com
주소 또는 값을 가리킵니다. selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

CNAME 레코드 #2 :
호스트 이름 : selector2._domainkey.techiebery.com
주소 또는 값 포인트: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• 기록 게시 후 보안 포털 > 위협 관리 > 정책 > DKIM으로 이동합니다.

• DKIM을 활성화할 도메인을 선택하고 활성화를 클릭합니다.
• SPF 및 DKIM 레코드가 있으면 이제 DMARC를 설정할 수 있습니다. 추가하려는 TXT 레코드의 형식은 다음과 같습니다.

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=정책

여기서 :
= 보호하려는 도메인
= 3600
= 이 규칙이 이메일의 100%에 사용되어야 함을 나타냅니다.
= DMARC가 실패할 경우 수신 서버가 따를 정책을 지정합니다.
참고: 없음, 격리 또는 거부로 설정할 수 있습니다 .

예 :

• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=없음”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=격리”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=거부”

캘린더 세부 정보 공유 허용 안 함

사용자가 캘린더 세부 정보를 외부 사용자와 공유하도록 허용해서는 안 됩니다. 이 기능을 사용하면 사용자가 캘린더의 전체 세부정보를 외부 사용자와 공유할 수 있습니다. 공격자는 공격을 시작하기 전에 조직에 대해 학습(정찰 수행)하는 데 매우 일반적으로 시간을 할애합니다. 공개적으로 사용 가능한 달력은 공격자가 조직 관계를 이해하고 여행 중일 때와 같이 특정 사용자가 공격에 더 취약할 수 있는 시기를 결정하는 데 도움이 될 수 있습니다.

• Microsoft 365 관리 센터 > 설정 – 조직 설정에서

• 서비스를 클릭하고 캘린더를 선택하십시오.

• 설정을 " 시간이 포함된 일정 있음/없음 정보 " 로 변경합니다.

• PowerShell 을 통해 한 테넌트에서 이 설정을 활성화 합니다.
• PowerShell 을 사용하여 파트너 센터 자격 증명을 통해 모든 테넌트에서 이 설정을 활성화 합니다.

감사 로그 검색 활성화

Microsoft 365 또는 Office 365 서비스에 대한 감사 데이터 기록을 활성화하여 Azure AD, Exchange Online, Microsoft Teams 및 SharePoint Online/비즈니스용 OneDrive를 포함한 모든 사용자 및 관리자의 서비스 상호 작용에 대한 기록을 보유해야 합니다. 이 데이터를 통해 보안 침해가 발생할 경우 조사하고 범위를 지정할 수 있습니다. 감사 로그 검색을 시작하기 전에 사용자(또는 다른 관리자)가 감사 로깅을 켜야 합니다 .

• 감사 로그온을 켜는 방법은 무엇입니까?
• 감사 로그를 검색하는 방법은 무엇입니까?

• 보안포털>검색>감사로그 검색으로 이동
• 다음이 표시되지 않는지 확인하십시오.

• 감사를 켜면 다음이 표시됩니다.

• 활동, 날짜 범위, 사용자 및 파일\폴더\사이트를 기반으로 사용자 지정 검색을 만들 수 있습니다.
• 특정 이벤트를 기반으로 새 경고 정책 만들기

• PowerShell을 통해 감사 로그를 검색하려면 아래 명령을 사용합니다.

$auditlog = 검색-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 01/31/2021 -RecordType SharePointFileOperation

• 다음 명령을 사용하여 특정 속성을 CSV 파일로 내보낼 수 있습니다.

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | 내보내기-Csv-추가-경로 c:\AuditLogs\PowerShellAuditlog.csv-NoTypeInformation

모든 사용자에 대해 사서함 감사 활성화

기본적으로 소유자가 아닌 모든 액세스가 감사되지만 소유자 액세스도 감사하려면 사서함에 대한 감사를 사용하도록 설정해야 합니다. 이렇게 하면 사용자 계정이 침해된 경우 Exchange Online 활동에 대한 불법 액세스를 발견할 수 있습니다. 모든 사용자에 대한 감사를 활성화하려면 PowerShell 스크립트 를 실행해야 합니다.

참고 : 감사 로그를 사용하여 기록된 사서함 활동을 검색합니다. 특정 사용자 사서함에 대한 활동을 검색할 수 있습니다.

• 보안포털>검색>감사로그 검색으로 이동

사서함 감사 작업 목록

사서함 감사 powershell 명령

사서함 감사 상태를 확인하려면:

Get-Mailbox [email protected] | fl *감사*

사서함 감사를 검색하려면:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021

결과를 csv 파일로 내보내려면:

Search-MailboxAuditLog [email protected] -ShowDetails -StartDate 01/01/2021 -EndDate 01/31/2021 | 내보내기-Csv C:\users\AuditLogs.csv -NoTypeInformation

작업을 기반으로 로그를 보고 내보내려면 다음을 수행합니다 .

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 021/31/세부 사항 표시 내보내기-Csv C:\AuditLogs.csv -NoTypeInformation

로그온 유형에 따라 로그를 보고 내보내려면 다음을 수행 하십시오.

Search-MailboxAuditLog [email protected] -ResultSize 250000 -StartDate 01/01/2021 -EndDate 01/31/2021 -LogonTypes 소유자, 대리인, 관리자 -ShowDetails | 내보내기-Csv C:\AuditLogs.csv -NoTypeInformation

매주 역할 변경 사항 검토

공격자가 테넌시에서 더 위험하고 영향력 있는 작업을 수행할 수 있는 상승된 권한을 부여할 수 있는 불법 역할 그룹 변경을 감시해야 하기 때문에 이 작업을 수행해야 합니다.

• 보안포털>검색>감사로그 검색으로 이동
• 검색에 " 역할 "을 입력 하고 "역할에 구성원 추가 " 및 " 디렉토리 역할에서 사용자 제거 " 를 선택하십시오.

모든 고객 테넌트의 역할 변경 모니터링

매주 사서함 전달 규칙 검토

최소한 매주 외부 도메인에 대한 사서함 전달 규칙을 검토해야 합니다. PowerShell 스크립트를 사용하여 모든 사서함의 외부 도메인에 대한 메일 전달 규칙 목록을 간단히 검토하거나 감사 로그 검색에서 지난 주의 메일 전달 규칙 생성 활동을 검토하는 등 여러 가지 방법으로 이를 수행할 수 있습니다. 다른 위치로 메일 전달 규칙을 합법적으로 사용하는 경우가 많이 있지만 공격자에게 매우 인기 있는 데이터 유출 전술이기도 합니다. 사용자의 이메일이 유출되지 않도록 정기적으로 검토해야 합니다. 아래 링크된 PowerShell 스크립트를 실행하면 System32 폴더에 "MailboxDelegatePermissions" 및 "MailForwardingRulesToExternalDomains"라는 두 개의 csv 파일이 생성됩니다.

• 단일 테넌트에서 모니터링
• 모든 Microsoft 365/Office 365 고객 테넌트에서 외부 사서함 전달 모니터링

비소유자의 사서함 액세스 보고서 격주 검토

이 보고서는 사서함 소유자가 아닌 다른 사람이 액세스한 사서함을 보여줍니다. 대리인 권한을 합법적으로 사용하는 경우가 많지만 해당 액세스를 정기적으로 검토하면 외부 공격자가 오랫동안 액세스를 유지하는 것을 방지하고 악의적인 내부 활동을 더 빨리 발견하는 데 도움이 될 수 있습니다.

• Exchange 관리 센터에서 규정 준수 관리> 감사로 이동합니다.
• " 비소유자 사서함 액세스 보고서 실행... " 을 클릭합니다.

• 데이터 범위 지정 및 검색 실행

맬웨어 탐지 보고서 매주 검토

이 보고서는 맬웨어 첨부 파일이 사용자에게 도달하지 못하도록 차단하는 Microsoft의 특정 인스턴스를 보여줍니다. 이 보고서를 엄격하게 실행할 수는 없지만 검토하면 사용자를 대상으로 하는 전체 맬웨어 양을 파악할 수 있으므로 보다 적극적인 맬웨어 완화 조치를 채택하라는 메시지가 표시될 수 있습니다.

• 보안포털>보고서>대시보드로 이동

• 맨 아래로 스크롤하여 이메일에서 탐지된 맬웨어를 클릭합니다.

• 탐지 보고서를 보고 + 일정 만들기를 클릭합니다.

• 주간 보고서 일정을 작성하여 적절한 이메일 주소로 보냅니다.

계정 프로비저닝 활동 보고서를 매주 검토하십시오.

이 보고서에는 외부 애플리케이션에 계정을 프로비저닝하려는 시도 기록이 포함됩니다. 일반적으로 타사 제공업체를 사용하여 계정을 관리하지 않는 경우 목록에 있는 모든 항목은 불법일 수 있습니다. 그러나 그렇게 하면 트랜잭션 볼륨을 모니터링하고 사용자를 관리하는 새롭거나 특이한 타사 응용 프로그램을 찾는 좋은 방법입니다.

• Microsoft 365 관리 센터 > 관리 센터의 Azure Active Directory > Azure Active Directory > 감사 로그에서

• 활동 섹션에서 "외부"를 검색하고 외부 사용자 초대를 선택합니다.

이것이 더 나은 보안을 위해 교환 온라인 보호를 개선하는 방법입니다.

이제 귀하의 의견을 듣고 싶습니다.

오늘 보고서에서 어떤 발견이 가장 흥미로웠습니까? 또는 내가 다룬 내용에 대해 질문이 있을 수 있습니다.

어느 쪽이든, 나는 당신에게서 듣고 싶습니다. 그래서 아래에 의견을 남겨주세요.