Office 365용 Microsoft Defender Teams 보호를 위한 보안 운영 가이드

Office 365용 Microsoft Defender Microsoft Teams 보호를 구성한 후에는 Teams 보호 기능을 SecOps(보안 운영) 응답 프로세스에 통합해야 합니다. 이 프로세스는 협업 관련 보안 위협을 보호, 감지 및 대응하기 위한 고품질의 신뢰할 수 있는 접근 방식을 보장하는 데 중요합니다.

배포/파일럿 단계에서 SecOps 팀을 참여하면 organization 위협에 대처할 준비가 되어 있습니다. Office 365용 Defender Teams 보호 기능은 기본적으로 기존 Office 365용 Defender 통합되고 SecOps 도구 및 작업 흐름에 Defender XDR.

또 다른 중요한 단계는 SecOps 팀 구성원이 작업을 수행할 수 있는 적절한 권한을 갖도록 하는 것입니다.

사용자가 보고한 Teams 메시지를 SecOps 인시던트 응답에 통합

사용자가 Teams 메시지를 잠재적으로 악의적이거나 악의적이 아닌 것으로 보고하면 Office 365용 Defender 사용자가 보고한 설정에 정의된 대로 보고된 메시지가 Microsoft 및/또는 보고 사서함으로 전송됩니다.

사용자가 보안 위험으로 보고한 Teams 메시지와 사용자가 보안 위험 경고가 아닌 것으로 보고한 Teams 메시지는 악의적이고 악의적이지 않은 사용자 보고서에 대한 Defender XDR 인시던트와 각각 자동으로 생성되고 상관 관계가 지정됩니다.

SecOps 팀 구성원은 Microsoft Defender 포털 또는 SIEM/SOAR 통합의 Defender XDR 인시던트 큐에서 심사 및 조사를 시작하는 것이 좋습니다.

SecOps 팀 구성원은 Defender 포털의 다음 위치에서 제출된 Teams 메시지 세부 정보를 검토할 수 있습니다.

• Defender XDR 인시던트에서 제출 보기 작업입니다.
• 에 있는 제출 페이지의 https://security.microsoft.com/reportsubmission?viewid=user사용자 보고 탭입니다.
  • 관리자는 사용자 보고 탭에서 분석을 위해 사용자가 보고한 Teams 메시지를 Microsoft에 제출할 수 있습니다. Teams 메시지 탭의 항목은 사용자가 보고한 Teams 메시지를 Microsoft에 수동으로 제출한 결과입니다(사용자 제출을 관리자 제출로 변환).
  • 관리자는 Mark를 사용하고 보고된 Teams 메시지에 알림을 보내 메시지를 보고한 사용자에게 응답 이메일을 보낼 수 있습니다.

SecOps 팀 구성원은 테넌트 허용/차단 목록의 블록 항목을 사용하여 다음과 같은 손상 지표를 차단할 수도 있습니다.

• Office 365용 Defender 아직 확인되지 않은 의심스러운 URL입니다. 안전한 링크 정책의 Teams 통합이 켜져 있는 경우 Teams에서 클릭 시 URL 블록 항목이 적용됩니다.
• SHA256 해시 값을 사용하는 파일입니다.

Microsoft Teams에서 SecOps가 거짓 부정을 사전에 관리할 수 있도록 설정

SecOps 팀 구성원은 위협 헌팅 또는 외부 위협 인텔리전스 피드의 정보를 사용하여 거짓 부정 Teams 메시지(잘못된 메시지 허용)에 사전에 대응할 수 있습니다. 정보를 사용하여 위협을 사전에 차단할 수 있습니다. 예시:

• Office 365용 Defender 테넌트 허용/차단 목록에 URL 블록 항목을 만듭니다. 차단 항목은 클릭 시 Teams의 URL에 적용됩니다.
• 테넌트 허용/차단 목록을 사용하여 Teams의 도메인을 차단합니다.
• 관리자 제출을 사용하여 검색되지 않은 URL을 Microsoft에 제출합니다.

Microsoft Teams에서 SecOps를 사용하여 가양성 관리

SecOps 팀 구성원은 의 Office 365용 Defender https://security.microsoft.com/quarantine격리 페이지에서 가양성 Teams 메시지(양호한 메시지가 차단됨)를 심사하고 응답할 수 있습니다. ZAP(0시간 자동 보호)로 검색된 Teams 메시지는 Teams 메시지 탭에서 사용할 수 있습니다. SecOps 팀 구성원은 이러한 메시지에 대해 조치를 취할 수 있습니다. 예를 들어 메시지를 미리 보기하고, 메시지를 다운로드하고, 검토를 위해 Microsoft에 메시지를 제출하고, 격리에서 메시지를 해제합니다.

SecOps 팀 구성원은 테넌트 허용/차단 목록의 허용 항목을 사용하여 잘못 분류된 표시기를 허용할 수도 있습니다.

• Office 365용 Defender 의해 잘못 입력된 URL입니다. URL을 사용하면 안전한 링크 정책의 Teams 통합이 켜져 있을 때 Teams에서 클릭 시 항목이 적용됩니다.
• SHA256 해시 값을 사용하는 파일입니다.

Microsoft Teams에서 SecOps가 위협 및 검색을 헌팅할 수 있도록 설정

SecOps 팀 구성원은 잠재적으로 악의적인 Teams 메시지, Teams의 URL 클릭 및 악성으로 검색된 파일을 사전에 헌팅할 수 있습니다. 이 정보를 사용하여 잠재적인 위협을 찾고, 패턴을 분석하고, Defender XDR 사용자 지정 검색을 개발하여 인시던트 자동 생성을 수행할 수 있습니다.

• 의 Defender 포털에 있는 Explorer 페이지(위협 Explorer)입니다https://security.microsoft.com/threatexplorerv3.

  • 콘텐츠 맬웨어 탭: 이 탭에는 SharePoint, OneDrive 및 Microsoft Teams용 안전한 첨부 파일에서 검색한 파일이 포함되어 있습니다. 사용 가능한 필터를 사용하여 검색 데이터를 헌팅할 수 있습니다.
  • URL 클릭 탭: 이 탭에는 전자 메일의 URL, SharePoint 및 OneDrive의 지원되는 Office 파일 및 Microsoft Teams의 모든 사용자 클릭이 포함됩니다. 사용 가능한 필터를 사용하여 검색 데이터를 헌팅할 수 있습니다.

• 의 Defender 포털https://security.microsoft.com/v2/advanced-hunting에 있는 고급 헌팅 페이지에서 다음 헌팅 테이블은 Teams 관련 위협에 사용할 수 있습니다.

  참고

  헌팅 테이블은 현재 미리 보기로 제공됩니다.

  • MessageEvents: URL을 포함하는 모든 내부 및 외부 Teams 메시지에 대한 원시 데이터를 포함합니다. 이 표에서는 보낸 사람 주소, 보낸 사람 표시 이름, 보낸 사람 유형 등을 사용할 수 있습니다.
  • MessagePostDeliveryEvents: Teams 메시지의 ZAP 이벤트에 대한 원시 데이터를 포함합니다.
  • MessageUrlInfo: Teams 메시지의 URL에 대한 원시 데이터를 포함합니다.
  • UrlClickEvents: Teams 클라이언트의 사용자가 허용하거나 차단한 모든 URL 클릭에 대한 원시 데이터를 포함합니다.

  SecOps 팀 구성원은 이러한 헌팅 테이블을 다른 워크로드 테이블(예: EmailEvents 또는 디바이스 관련 테이블)과 조인하여 최종 사용자 활동에 대한 인사이트를 얻을 수 있습니다.

  예를 들어 다음 쿼리를 사용하여 ZAP에서 제거한 Teams 메시지에서 허용된 URL 클릭을 헌팅할 수 있습니다.

  MessagePostDeliveryEvents
  | join MessageUrlInfo on TeamsMessageId
  | join UrlClickEvents on Url
  | join EmailUrlInfo on Url
  | where Workload == "Teams" and ActionType1 == "ClickAllowed"
  | project TimeGenerated, TeamsMessageId, ActionType, RecipientDetails, LatestDeliveryLocation, Url, ActionType1
  

  고급 헌팅의 커뮤니티 쿼리 는 Teams 쿼리 예제도 제공합니다.