Office 365 보안에서의 위협 조사와 대응

튜토리얼

사이버 범죄 위험이 점점 높아지면서 전 세계의 비즈니스들은 가장 소중한 자산인 데이터를 보호하기 위해 고군분투하고 있습니다. 다행히도, Microsoft Defender for Office 365은 IT 관리자와 분석가들에게 위협 조사 및 대응 능력을 제공하여 사용자 및 데이터를 예방적으로 보호할 수 있게 합니다.

이 내장된 Office 365 보안 기능을 사용하여 흔한 위협에 대한 유용한 통찰력을 얻고, 실용적인 데이터를 수집하고 효과적인 대응 조치를 계획할 수 있습니다. 보안 팀은 조직에 심각한 피해를 입히기 전에 악의적 활동을 쉽게 식별, 모니터링 및 막아낼 수 있습니다.

이 게시물에서는 Microsoft의 위협 조사 및 대응에 포함된 다양한 도구를 분석해보겠습니다. 파일 및 이메일 기반 공격에 대한 튼튼한 방패를 만들기 위해 다양한 기능과 그들이 어떻게 결합되는지에 대한 개요를 살펴보세요.

Office 365 위협 조사 및 대응이란 무엇인가요?

Office 365 위협 조사 및 대응은 Microsoft Defender for Office 365 plan 2에 포함된 기능 세트를 가리키는 용어입니다. 이 도구들은 IT 관리자와 분석가들이 잠재적 위협에 대한 정보를 모니터링하고 수집하는 데 도움을 줍니다. 보안 팀은 이러한 정보를 사용하여 Microsoft 365 Defender 포털에서 제공되는 대응 조치를 사용하여 SharePoint Online, OneDrive for Business, Exchange Online 및 Microsoft Teams의 위험에 대응할 수 있습니다.

이 Office 365 보안 기능을 사용하면 이전 보안 사건, 사용자 활동, 인증, 이메일 및 침해된 컴퓨터와 같은 여러 소스에서 데이터를 수집할 수 있습니다. 위협 조사 및 대응 워크플로우에는 다음이 포함됩니다:

  • 탐색기 (MS Defender for Office 365 Plan 1의 실시간 탐지)
  • 사건 (조사로도 알려짐)
  • 공격 시뮬레이션 훈련
  • 자동 조사 및 대응

모든 이 기능들이 마이크로소프트 디펜더의 내장 위협 추적기에서 데이터를 수집하여 필요한 보호를 제공한다는 점을 강조해야 합니다. 그러니 이들을 먼저 자세히 살펴보겠습니다.

위협 추적기

위협 추적기는 오피스 365 모니터링을 제공하는 정보 위젯, 차트 및 테이블의 모음입니다. 조직에 영향을 줄 수 있는 사이버 위협에 대한 유용한 세부 정보를 표시합니다. 추적기 페이지에는 악성 코드 및 피싱 계획과 같은 트렌드 위험에 대한 주기적으로 업데이트된 수치가 포함되어 있어 현재 조직에 가장 위험한 문제가 무엇인지를 나타냅니다. 또한 더 심층적인 정보를 볼 수 있는 위협 탐색기로 이동하는 작업 열을 찾을 수 있습니다.

참고:

  • 위협 추적기는 Microsoft Defender for Office 365 Plan 2에 포함되어 있으며 전역 관리자, 보안 관리자 또는 보안 리더 권한이 필요합니다.
  • 귀하의 조직의 위협 추적기에 액세스하려면 https://security.microsoft.com/으로 이동하여 이메일 및 협업을 클릭한 후 위협 추적기를 클릭하십시오. 또는 직접 https://security.microsoft.com/threattrackerv2로 이동할 수 있습니다.

위협 추적기에는 네 가지 다른 기능이 있습니다: 주목할만한 추적기, 트렌드 추적기, 추적된 쿼리저장된 쿼리.

주목할만한 추적기

이 위젯은 Microsoft 365 환경에 있는지 여부와 관계없이 다양한 심각성의 새로운 또는 기존 위협을 보여줍니다. 그렇다면 조직의 Office 365 보안에 어떤 영향을 미칠 수 있는 문제에 대한 자세한 내용이 포함된 도움말 문서에 대한 링크도 볼 수 있습니다.

주목할만한 추적기는 주기적으로 확인해야 하며, 몇 주 후에만 게시되며 그 후에는 최신 항목으로 교체됩니다. 이렇게하면 목록을 최신 상태로 유지하여 더 관련된 위험에 대해 알 수 있습니다.

트렌드 추적기

트렌드 추적기는 지난 주에 귀하의 조직의 이메일로 전송된 최신 위협을 강조합니다. 관리자는 테넌트 수준의 악성 코드 트렌드의 동적 평가를 보고 악성 코드 패밀리의 동작을 식별함으로써 더 나은 통찰력을 얻습니다.

추적된 쿼리

추적된 쿼리는 Office 365 모니터링 도구 중 하나로, 저장된 쿼리를 활용하여 Microsoft 환경에서 활동을 주기적으로 평가합니다. 이는 의심스러운 활동에 대한 최신 정보를 제공하여 Office 365 위협 보호를 보장하는 자동 프로세스입니다.

저장된 쿼리

보통의 탐색기 검색 또는 주목할만한 추적기 쿼리는 저장된 쿼리로 저장될 수 있습니다. 이렇게 하면 매번 새로운 검색을 만들 필요가 없으며 이전에 저장된 쿼리에 쉽게 액세스할 수 있습니다.

위협 탐색기 및 실시간 탐지

Microsoft Defender for Office 365에서, 탐색기 또는 위협 탐색기로도 알려진 Explorer는 보안 전문가들이 당신의 조직을 대상으로 하는 잠재적 위협을 분석하고 시간이 지남에 따른 공격의 양을 모니터링할 수 있게 합니다. 이 기능을 통해 포괄적인 보고서와 정책 권장 사항을 볼 수 있어, 당신이 조직으로 침투하려는 위험에 효율적으로 대응하는 방법을 배울 수 있습니다.

참고:

  • Explorer는 Microsoft Defender for Office 365 플랜 2에 포함되어 있으며 플랜 1은 실시간 탐지를 제공합니다.
  • 이 도구 중 하나에 액세스하려면 보안 및 준수 센터로 이동한 다음 위협 관리로 이동하십시오.

Threat Explorer는 기본적인 역사적 데이터, 전달 방법 및 발생 가능한 피해와 같은 위협에 관한 중요한 정보를 제공합니다. 분석가들은 공격자 인프라, 위협 패밀리 및 기타 매개 변수별로 데이터를 조사하기 위한 출발점으로 이 도구를 활용할 수 있습니다.

검출된 악성 코드 확인

조직의 이메일에서 발견된 악성 코드를 볼 수 있도록 Explorer를 사용할 수 있습니다. 보고서는 다양한 Microsoft 365 기술로 필터링할 수 있습니다.

피싱 URL 및 클릭 판정 데이터 보기

이메일 메시지의 URL을 통한 피싱 시도도 Threat Explorer에 표시됩니다. 이 보고서에는 두 개의 테이블로 정렬된 허용된, 차단된 및 재정의된 URL 목록이 포함됩니다:

  • 상위 URL: 공격자는 때때로 받는 사람을 혼동시키기 위해 나쁜 링크와 함께 좋은 URL을 추가합니다. 이 목록에는 주로 필터링된 메시지에서 찾은 합법적인 URL이 포함되어 있으며 이들은 전자 메일 횟수별로 정렬됩니다.
  • 상위 클릭: 이는 열린 Safe Links로 래핑된 URL로 전체 클릭 횟수별로 정렬됩니다. 이곳의 링크는 대부분 악성일 가능성이 높으며 각 URL 옆에 Safe Links 클릭 판정 횟수를 찾을 수 있습니다.

참고: Office 365 피싱 필터 설정 시 클릭된 URL을 식별하고 클릭 판정을 기록하여 클릭 시점 보호 및 로깅의 혜택을 얻기 위해 Safe Links 및 해당 정책을 구성해야 합니다.

Explorer에 표시된 클릭 판정 값은 URL이 선택된 후 취해진 조치를 이해하는 데 도움이 됩니다:

  • 허용됨: 사용자가 URL로 이동할 수 있었습니다.
  • 차단됨: 사용자가 URL로 이동할 수 없었습니다.
  • 보류 중인 판결: 사용자가 URL을 클릭했을 때 폭파 대기 페이지가 표시되었습니다.
  • 오류: 판결을 캡처하려는 시도 중에 오류가 발생했기 때문에 오류 페이지가 사용자에게 제시되었습니다.
  • 실패: 판결을 캡처하려는 시도 중 알 수 없는 예외가 발생했습니다. 사용자가 URL을 클릭한 것일 수 있습니다.
  • 없음: 판결을 캡처할 수 없었습니다. 사용자가 URL을 클릭한 것일 수 있습니다.
  • 차단된 차단 해제: 사용자가 차단을 무시하고 URL로 이동했습니다.
  • 보류 중인 판결 우회됨: 폭발 페이지가 표시되었지만 사용자가 메시지를 무시하고 URL에 접근했습니다.

사용자가 신고한 이메일 메시지 검토

이 보고서는 귀하의 조직의 사용자가 스팸, 스팸이 아님 또는 피싱으로 신고한 메시지에 관한 데이터를 보여줍니다. 더 나은 결과를 얻으려면 Office 365의 스팸 보호를 구성하는 것이 좋습니다.

전달된 악성 이메일 찾기 및 조사

실시간 탐지 및 위협 탐색기를 사용하면 보안 직원이 귀하의 조직에 위험을 불러일으킬 수 있는 적대적 활동을 조사할 수 있습니다. 가능한 조치는 다음과 같습니다:

  • 악성 이메일 발신자의 IP 주소 찾기 및 식별
  • 메시지를 찾아서 삭제하기
  • 추가 조사를 수행하기 위해 사건을 시작합니다
  • 전달 작업 및 위치 확인
  • 이메일 타임라인 보기

SharePoint Online, OneDrive 및 Microsoft Teams에서 감지된 악성 파일 보기

탐색기의 보고서는 OneDrive, Microsoft Teams 및 SharePoint Online의 Safe Attachments에 의해 악성으로 식별된 파일에 대한 정보를 나열합니다. 관리자는 이러한 파일을 격리 상태에서도 볼 수 있습니다.

위협 방지 상태 보고서 확인

이 위젯은 Office 365 보안 상태를 표시합니다. 악성 콘텐츠를 포함하는 이메일 메시지 수뿐만 아니라 차단된 파일이나 URL 및 제로 아워 자동 제거(ZAP), 안전한 링크, 안전한 첨부 파일, 피싱 방지 정책의 피싱 방지 기능까지 찾을 수 있습니다

이 정보를 통해 보안 트렌드를 분석하여 정책을 조정해야 할 필요 여부를 결정할 수 있습니다

공격 시뮬레이션 훈련

조직 내에서 실제 공격이 발생하기 전에 보안 정책을 테스트하고 취약점을 식별하기 위해 현실적이지만 해로운 사이버 공격을 설정하고 실행합니다. 이러한 시뮬레이션은 피싱 공격과 같은 사회 공학 계획에 대비하여 직원들을 훈련하는 데 도움이 되므로 Office 365 위협 방지의 일부입니다.

주의: Microsoft 365 Defender 포털 > 이메일 및 협업> 공격 시뮬레이션 훈련으로 이동하여 이 기능에 액세스할 수 있습니다. 또는 직접 공격 시뮬레이션 훈련 페이지로 이동할 수 있습니다.

공격 시뮬레이션 훈련은 시뮬레이션된 공격을 시작하기 전에 완료해야 할 일련의 단계로 구성된 특정한 워크플로우가 있습니다.

사회 공학 기법 선택

먼저, 사용 가능한 사회 공학 스키마 중 하나를 선택해야 합니다:

  • 악성 코드 링크: 신뢰할 만한 파일 공유 서비스에 호스팅된 파일에서 임의의 코드를 실행한 다음, 이 악의적인 파일에 대한 링크가 포함된 메시지를 전송합니다. 사용자가 파일을 열면 장치가 침해됩니다.
  • 자격 증명 수집: 사용자가 자신의 사용자 이름과 비밀번호를 입력할 수 있는 잘 알려진 웹사이트로 리디렉션됩니다.
  • 첨부 파일에 링크: 이메일 첨부 파일에 URL이 추가되어 자격 증명 수집과 유사하게 작동합니다.
  • 악성 코드 첨부: 메시지에 악성 첨부 파일이 추가됩니다. 첨부 파일을 열면 대상 장치가 침해됩니다.Drive-by URL: URL이 사용자를 익숙한 웹사이트로 리디렉션하며, 백그라운드에 악성 코드를 설치합니다. Office 365 엔드포인트 보호가 이러한 위협을 방어할 수 없을 수 있으며, 결과적으로 장치가 감염됩니다.
  • 드라이브바이 URL: URL은 사용자를 익숙한 웹사이트로 리디렉션하며, 배경에서 악성 코드를 설치합니다. Office 365 엔드포인트 보호는 이러한 위협을 방지하지 못할 수 있으며, 결과적으로 장치가 감염됩니다.

시뮬레이션에 이름 지정 및 설명

다음 단계는 생성 중인 시뮬레이션에 고유하고 설명적인 이름을 입력하는 것입니다. 자세한 설명은 선택 사항입니다.

페이로드 선택

이 페이지에서는 시뮬레이션에서 사용자에게 제공될 페이로드를 선택해야 합니다. 이는 이메일 메시지 또는 웹페이지일 수 있습니다. 사용 가능한 페이로드가 포함된 내장 카탈로그에서 선택할 수 있습니다. 조직과 더 잘 맞는 사용자 정의 페이로드를 만들 수도 있습니다.

대상 사용자 선택

여기에서는 회사의 사용자 중 시뮬레이션 교육을 받을 사용자를 선택합니다. 모든 사용자를 포함하거나 특정 대상 및 그룹을 선택할 수 있습니다.

교육 할당

Microsoft는 각 시뮬레이션에 대해 교육을 할당하는 것을 권장하며, 교육을 받은 직원은 유사한 공격에 노출될 가능성이 적습니다. 사용자의 결과에 따라 조직의 요구에 가장 적합한 교육과 모듈을 볼 수 있고 선택할 수 있습니다.

최종 사용자 알림 선택

이 탭에서는 알림 설정을 구성할 수 있습니다. 사용자 교육이 완료된 후 사용자에게 긍정적인 강조 알림을 추가할 수 있습니다. 사용자 정의 최종 사용자 알림을 선택한 경우입니다.

자동화된 조사 및 대응(AIR)

Office 365 보안에서, 자동 조사 및 응답(AIR) 기능은 잘 알려진 위협이 귀하의 조직을 대상으로 할 때 자동 경보를 트리거합니다. 이는 수동 작업을 줄이고 보안 팀이 검토, 우선 순위 지정 및 이에 따라 대응할 수 있도록하여 보다 효율적으로 작동할 수 있도록 합니다.

의심스러운 첨부 파일이 이메일 메시지로 도착하거나 분석가가 위협 탐색기를 사용하여 자동 조사를 시작할 수 있습니다. AIR은 해당 이메일과 관련된 데이터를 수집하여 의도된 수신자, 파일 및 URL과 같은 정보를 제공합니다. 관리자 및 보안 인력은 조사 결과를 검토하고 조치를 승인 또는 거부할 권장 사항을 확인할 수 있습니다.

AIR은 다음과 같은 경보 중 하나에 의해 트리거될 수 있습니다.

  • A possibly malicious URL was clicked
  • A user reported an email as phishing or malware
  • 이메일 메시지에 악성 코드 또는 피싱 URL이 전달된 후 제거됨
  • A suspicious email sending pattern was detected
  • A user is restricted from sending messages

결론

Office 365 위협 조사는 데이터를 보호하는 데 도움이 되는 다양한 기능을 제공합니다. Microsoft Defender for Office 365 계획 2를 사용하면 위협 추적기 및 위협 탐색기와 같은 고급 기능을 활용할 수 있습니다. 또한 사용자가 잠재적인 사이버 공격으로부터 경계를 경계할 수 있도록 공격 시뮬레이션 훈련을 수행할 수도 있습니다. 또한 보안 팀이 보다 우선 순위가 높은 위협에 집중할 수 있도록 자동 조사 및 응답(AIR)을 설정할 수 있습니다.

그러나 Office 365 환경의 완전한 보호를 보장하는 유일한 방법은 NAKIVO Backup & Replication과 같은 현대적인 데이터 보호 솔루션을 배포하는 것입니다. 이 솔루션은 Exchange Online, Teams, OneDrive for Business 및 SharePoint Online에 대한 강력한 백업 및 복구 기능을 제공합니다.

Source:
https://www.nakivo.com/blog/microsoft-365-threat-investigation-and-response/