Microsoft Defender XDR/MDO

Microsoft Defender for Office 365 (MDO). (2) Safe attachments

Pepuri 2024. 8. 18. 10:24
반응형

지난 포스팅에 이어서 이번에는 안전한 첨부파일 (Safe attachments) 대해서 다루겠습니다.

안전한 링크와 마찬가지로 Exchange 관점에서 작성을 진행하겠습니다.

 

관련 기술자료

안전한 첨부 파일 - Microsoft Defender for Office 365 | Microsoft Learn

안전한 첨부파일은 이미 Exchange Online Protection(EOP)의 안티멀웨어 보호에 의해 스캔된 이메일 첨부파일에 대한 추가적인 보호층을 제공합니다. 가상 환경을 사용하여 수신자에게 전달되기 전에 이메일 메시지의 첨부파일을 확인하는 '격리(detonation)' 과정을 거칩니다.

-> EOP에서 검사는 기본적으로 진행되지만, 첨부 파일을 별도로 가상 환경(Sandbox)영역에서 문제없는지 확인 , 사용자 사서함에 전달합니다.

MDO Architecture

 

 

전역 설정

Microsoft Defender -> 전자 메일 공동 작업 -> 정책 규칙 -> 안전한 첨부 파일

 

 

전역 설정

 

 

안전한 첨부파일은 Exchange Online이외에도 SharePoint Onedrive, Teams, Office Client에서도 지원합니다.

 

 

PowerShell 상에서는 Get-AtpPolicyForO365 조회할 있습니다.

 

기본 정책 (Built-in Protection)

안전한 링크와 같이 기본 값으로 Built-in protection 정책이 활성화되어 있습니다.

 

 

Built-in 정책은 UI상에서 수정할 없습니다.

 

 

아래의 명령어로 내보내기 진행

Get-SafeAttachmentPolicy |Export-Csv -Path c:\csv\SafeAttachment1.csv -Encoding UTF8 -NoTypeInformation

 

 

주요 설정 값은 다음과 같습니다.

 

 

권장(엄격) 설정 값과 비교하면 차이가 없습니다.

안전한 첨부 파일 정책 설정

 

예외 처리 정책 생성

정책을 만들어보면서 확인하겠습니다.

만들기

 

 

정책 이름 지정

 

 

정책 적용 대상 지정

 

 

기본 값으로 설정하면 UI 상에서는 아래와 같이 설정을 진행합니다.

 

 

사실상 정책을 만든다는 것은 예외 처리에 가깝기 때문에, 안전한 첨부파일을 적용하지 않는 정책을 만들어서 적용된 사용자와 아닌 사용자를 비교해보겠습니다.

 

특정사용자에게 안전한 첨부 파일 검사 옵션을 Off

 

 

정책이 다르게 적용된 사용자에게 메일을 보낸 , 확인 진행

 

탐색기에서 각각의 메시지를 클릭해보면 첨부 파일을 확인할 있습니다. 다만 정책이 적용된 사용자와 아닌 사용자를 여기서 구분할 수는 없었습니다.

 

 

헤더 분석을 위해서 전자 메일 엔터티 열기

 

 

분석 -> 메시지 헤더 복사 -> Microsoft 메시지 헤더 분석기 클릭

 

 

붙여넣기 분석 진행

 

 

정책 적용이 되었는지 여부는 X-MS-Exchange-AtpMessageProperties 확인할 있습니다.

SL = Safe Links(안전한 링크), SA = Safe Attachments (안전한 첨부 파일)

 

안전한 첨부파일 자체에서는 특정 사용자나 그룹에 대해서 예외 처리나 다르게 적용을 원할 경우에만 정책을 만들 것으로 보입니다.

반응형