다음을 통해 공유

비 Microsoft 보안 서비스를 Microsoft 365와 통합하기 위한 고려 사항

Microsoft는 전자 메일 보안을 위한 포괄적인 플랫폼을 제공하지만 일부 고객은 타사(타사) 보안 서비스를 추가하여 전자 메일 보안을 위한 심층 방어 전략을 채택하는 것으로 알고 있습니다. Microsoft 365와 비 Microsoft 보안 서비스를 통합하기 위한 두 가지 고려 사항이 있습니다.

  • 비 Microsoft 서비스가 organization 보안 태세를 강화하는지 여부와 이에 대한 장외 관계입니다. 예시:

    • 더 많은 비용.
    • 더 복잡합니다.
    • 더 많은 제품이 추가됨에 따라 가양성(양호한 항목이 나쁜 것으로 표시됨)의 비율이 증가합니다.
    • 비 Microsoft 보안 서비스가 엔드투엔드 통합 방법 예시:
      • 타사 서비스는 사용자가 사용할 격리를 생각할 필요가 없는 사용자 환경을 제공해야 합니다.
      • 비 Microsoft 서비스는 기존 SecOps(보안 작업) 프로세스 및 도구와 통합되어야 합니다. 예를 들어 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션, 자동화 및 응답) 등이 있습니다.

    참고

    Email 보안은 악의적인 공간입니다. 상용 피싱 및 공격 키트가 등장하면서 공격이 빠르게 진화하고 변신합니다. 그렇기 때문에 Office 365용 Microsoft Defender 엔터프라이즈 사이버 보안에 대한 다층적이고 사전 위반 및 위반 후 접근 방식인 Microsoft Defender XDR 일부입니다.

    전자 메일 보호 계층의 수에 관계없이 총 보호는 100%에 도달하지 않습니다.

  • Microsoft가 아닌 서비스가 전자 메일 메시지를 검사하고 작동하는 방식. 일반적으로 비 Microsoft 보안 서비스는 다음과 같은 세 가지 통합 옵션을 제안하며, 이러한 옵션 중 일부가 현재 Microsoft에서 동일하게 지원되는 것은 아닙니다.

DNS 메일 라우팅을 통한 통합(MX 레코드는 비 Microsoft 서비스를 가리킵니다.)

이 구성은 Exchange Online 커넥터에 대한 향상된 필터링에서 자세히 다루며 Microsoft에서 완벽하게 지원됩니다. ARC(인증된 수신 체인)를 지원하는 Email 보안 공급업체가 가장 적합하지만 제한 사항이 있습니다. 예를 들어 안전한 링크를 사용하여 링크를 다시 작성하는 비 Microsoft 서비스를 사용하여 링크를 검사 래핑하지 않도록 합니다. 이중 링크 래핑은 안전한 링크가 링크 상태 유효성을 검사하고, 위협에 대한 링크를 폭파하고, 잠재적으로 일회성 사용 링크를 트리거하는 것을 방지할 수 있습니다. 비 Microsoft 서비스에서 링크 래핑 기능을 사용하지 않도록 설정하는 것이 좋습니다.

이 구성에 대한 추가 배경 정보는 Exchange Online 타사 클라우드 서비스를 사용하여 메일 흐름 관리를 참조하세요.

Microsoft Graph API 통한 통합

일부 비 Microsoft 서비스는 인증하고 Microsoft Graph API 사용하여 사용자 사서함에 배달된 후 메시지를 검사합니다. 또한 이 구성을 통해 비 Microsoft 서비스는 악의적이거나 원치 않는 것으로 생각되는 메시지를 제거할 수 있습니다. 일반적으로 이 구성에는 비 Microsoft 서비스에서 사서함에 대한 모든 권한이 필요합니다. 이 권한을 부여하기 전에 비 Microsoft 서비스의 보안 및 지원 사례를 이해해야 합니다.

수신 및 외부 메일 라우팅을 통한 통합

이 구성을 사용하면 MX 레코드가 Microsoft 365를 가리킬 수 있습니다. 그러나 비 Microsoft 서비스는 다음 다이어그램과 같이 Microsoft 365 전자 메일 보호 및 처리 후에 작동합니다.

Microsoft 365로 메일을 배달한 후 비 Microsoft 보안 서비스가 사용되는 메일 흐름을 보여 주는 다이어그램

커넥터에 대한 향상된 필터링은 이 구성에서 작동하지 않습니다. 커넥터에 대한 향상된 필터링은 이전에 DNS 메일 라우팅을 통한 통합 섹션에서 설명한 대로 Microsoft가 아닌 서비스가 Microsoft 365 이전인 시나리오를 위해 설계되었습니다. Microsoft 365 이전의 비 Microsoft 서비스는 전체 전자 메일 보호 스택이 작동하도록 허용하는 동시에 비 Microsoft 서비스의 전송 인프라와 관련된 가양성 스푸핑을 지능적으로 방지합니다. 커넥터에 대한 향상된 필터링을 사용하여 기본적으로 Microsoft 365 IP 주소의 모든 메시지를 신뢰할 수 없습니다.

이 구성을 사용하려면 메시지가 Microsoft 365 서비스 경계를 벗어나야 합니다. 메시지가 비 Microsoft 서비스에서 반환되면 Microsoft 365에서 완전히 새로운 메시지로 처리됩니다. 이 동작으로 인해 다음과 같은 문제와 복잡성이 발생합니다.

  • 메시지는 Explorer(위협 Explorer), 고급 헌팅 및 AIR(자동 조사 및 대응)를 포함하여 대부분의 보고 도구에서 두 번 계산됩니다. 이 동작으로 인해 메시지 평결과 작업의 상관 관계를 올바르게 지정하기가 어렵습니다.

  • Microsoft 365로 돌아오는 메시지는 전자 메일 인증 검사에 실패할 가능성이 높기 때문에 메시지는 스푸핑(가양성)으로 식별될 수 있습니다. 일부 비 Microsoft 서비스는 메일 흐름 규칙(전송 규칙) 또는 IP 연결 필터링을 사용하여 이 문제를 해결하는 것이 좋지만 거짓 부정이 전달될 수 있습니다.

  • 아마도 가장 중요한 것은 Office 365용 Defender 기계 학습이 가능한 한 효과적으로 작동하지 않는다는 것입니다. 기계 학습 알고리즘은 정확한 데이터를 사용하여 콘텐츠를 결정합니다. 일관되지 않거나 변경된 데이터는 학습 프로세스에 부정적인 영향을 줄 수 있으므로 Office 365용 Defender 전반적인 효율성이 저하됩니다. 예를 들면 다음과 같습니다.

    • 평판: 시간이 지남에 따라 기계 학습 모델은 양호하고 나쁜 콘텐츠(IP 주소, 보내는 도메인, URL 등)와 관련된 요소를 검색합니다. 메시지가 타사 서비스에서 반환되는 경우 초기 전송 IP 주소는 유지되지 않으며 올바른 결과를 렌더링할 때 IP 주소의 효율성을 줄일 수 있습니다. 이 동작은 나중에 3포인트에서 설명하는 제출에도 영향을 줄 수 있습니다.
    • 메시지 콘텐츠 수정: 많은 전자 메일 보안 서비스에서 메시지 헤더를 추가하고, 고지 사항을 추가하고, 메시지 본문 콘텐츠를 수정하거나, 메시지에서 URL을 다시 작성합니다. 이 동작은 일반적으로 문제가 되지 않지만 나중에 악의적으로 확인되고 ZAP(0시간 자동 제거) 를 통해 제거되는 이러한 수정 사항이 포함된 배달된 메시지는 기계 학습에 이러한 수정 내용이 잘못된 메시지를 나타낸다는 것을 가르칠 수 있습니다.

이러한 이유로 이 구성을 피하고 타사 서비스 공급업체와 협력하여 이 문서에 설명된 다른 통합 옵션을 사용하는 것이 좋습니다. 그러나 이 구성을 채택해야 하는 경우 보호 태세를 최대화하려면 다음 설정 및 작업을 강력히 권장합니다.

  1. 모든 부정적인 평결을 격리하도록 Office 365용 Defender 정책 작업을 구성합니다. 이 구성은 정크 Email 폴더를 사용하는 것보다 사용자에게 덜 친숙할 수 있지만 정크 작업은 사서함에 최종 배달될 때만 발생합니다. 정크 Email 폴더로 배달된 전자 메일은 대신 비 Microsoft 서비스로 전송됩니다. 이 메시지가 Microsoft로 돌아오는 경우 원래 평결(예: 스팸)이 유지된다는 보장은 없습니다. 이 동작은 전반적인 효율성을 낮춥다.

    원래 평결을 살펴보는 메일 흐름 규칙(전송 규칙)은 다른 문제를 도입하고 효율성 문제를 야기할 수 있기 때문에 이상적이지 않습니다.

  2. Microsoft가 아닌 서비스에서 도착하는 전자 메일의 스푸핑을 재정의하여 가양성 최소화 예를 들어 타사 서비스에 IP 주소가 172.17.17.35인 경우 테넌트 허용/차단 목록에 허용되는 두 개의 스푸핑된 보낸 사람 항목을 만듭니다. 하나는 외부이고 다른 하나는 다음 스크린샷과 같이 내부입니다.

    테넌트 허용/차단 목록에서 허용되는 스푸핑된 보낸 사람 항목의 스크린샷.

    Microsoft 이외의 보호 서비스를 종료하거나 작동 방식을 변경하는 경우 이러한 재정의 항목을 제거해야 합니다.

  3. Microsoft에 대한 거짓 부정(잘못된 메일 허용) 및 가양성 전자 메일 제출은 Microsoft가 아닌 서비스에서 반환하는 것이 아니라 메시지의 초기 버전에서 제공되어야 합니다. Microsoft가 아닌 서비스에 기인하는 가양성 은 Microsoft가 아닌 서비스로 보내야 합니다. 이 요구 사항은 관리하기 복잡할 수 있습니다.

    • Microsoft false negative(초기 수신 시 누락됨) : 사서함으로 배달하려면 메시지 복사본이 필요합니다. 사용 가능한 경우 Microsoft가 아닌 서비스에서 격리된 복사본을 제출합니다.
    • Microsoft + 비 Microsoft 서비스 거짓 부정: 두 서비스가 모두 누락된 경우 원본 항목을 Microsoft에 보고하고 받는 사람의 사서함에 있는 항목을 비 Microsoft 서비스에 보고하는 것이 좋습니다. Microsoft가 아닌 서비스에서 Microsoft 365로 반환되는 항목에는 비 Microsoft 서비스의 세부 정보(예: 비 Microsoft 서비스의 전송 IP 주소, 사용자 지정 헤더 등)가 포함되어 기계 학습 효율성을 저하시킬 수 있습니다.
    • Microsoft 가양성: Microsoft가 아닌 서비스에서 평가하기 전에 Microsoft에서 메시지를 처음 적발한 경우 격리에서 이 복사본을 제출하는 것이 효과적입니다.
    • 타사 서비스 가양성: Microsoft가 아닌 서비스가 메시지를 catch한 경우 Microsoft에서 문제를 해결할 수 없으므로 메시지를 제출해야 합니다.

비 Microsoft 메시지 보고 도구 통합

Office 365용 Defender 지원되는 버전의 Outlook에서 기본 제공 보고서 단추 또는 Microsoft 보고서 메시지 또는 보고서 피싱 추가 기능과 함께 작동하는 설정을 보고했습니다.

타사 보안 서비스에는 가양성 및 거짓 부정(사용자 교육/인식 활동 포함)을 보고하기 위한 자체 도구와 프로세스가 포함될 수 있음을 알고 Office 365용 Defender 타사 보고 도구의 제출을 지원합니다. 이 지원은 Microsoft에 가양성 및 거짓 부정을 보고하는 데 도움이 되며 SecOps 팀이 Microsoft Defender XDR 인시던트 관리AIR(자동 조사 및 대응)를 활용할 수 있도록 지원합니다.

자세한 내용은 타사 보고 도구에 대한 옵션을 참조하세요.