Microsoft 365 및 Exchange Online 보안
Microsoft 365 테넌트 및 기본 인증 시스템 Entra ID(Azure AD)에는 다양한 보안 수준을 구현할 수 있는 다양한 구성 옵션이 있습니다. 이러한 옵션 중 대부분은 기본적으로 활성화되어 있지 않습니다. 이 문서에서 사용 가능한 모든 보안 옵션을 다루거나 장치 관리 및 DLP(데이터 손실 방지)와 같은 기타 기술에 대해 설명하지는 않지만, ID 보호를 개선하고 BEC(Business 이메일 Compromise)의 가능성을 줄이는 데 도움이 되는 권장 설정에 대해 고객에게 지침을 제공합니다.
이 지침은 권장 설정과 선택적 설정의 두 섹션으로 나뉩니다. 모든 고객이 권장 설정을 구현할 것을 권장합니다. 또한 선택적 설정을 고려하고 조사하여 환경에 적합한 설정을 적용하는 것이 좋습니다.
환경에 대한 변경 사항을 고려하는 경우 Microsoft에서 제공하는 해당 설명서를 참조한 후 해당 조직에서 검토하고 테스트해야 합니다. 전체 조직에 앞서 테스트 계정, 파일럿 사용자 및 소규모 부서를 사용하여 일괄 변경을 수행하는 것이 좋습니다. 잠기지 않도록 아래 문서와 같이 비상 액세스 계정을 사용할 수 있는지 확인하십시오.
라이센스 지침
아래 구성 항목 중 일부는 사용 중인 라이선스에 관계없이 모든 M365 테넌트에서 사용할 수 있습니다. 그러나 대부분의 경우 테넌트에서 'Entra ID P1' 라이센스를 사용할 수 있어야 하며, 일부 라이센스는 'Entra ID P2' 라이센스가 필요합니다. 'Entra ID P1'은 M365 Business Premium E3/A3 번들에 포함되어 있으며, M365 E5/A5 번들에서 'Entra ID P2' 라이센스를 사용할 수 있습니다.
적어도 'Entra ID P1' 라이센스가 포함된 라이센스를 사용하지 않는 경우 Microsoft의 '보안 기본값'을 사용하는 것이 좋습니다. 이는 Microsoft에서 제어하는 기본 보안 정책 집합입니다. Microsoft Entra ID - Microsoft Entra에서 기본 보안 수준 제공을 참조하십시오.
Microsoft Alerts를 Sophos MDR 서비스에 통합할 때 'Entra ID P1'은 사용해야 하는 최소 사용권이지만 Microsoft에서 생성되는 알림의 양이 많기 때문에 'Entra ID P2'를 사용하는 것이 좋습니다. 이러한 경고의 예는 다음 문서를 참조하십시오.
추가 라이선스 정보는 Microsoft 라이선스 전문가에게 문의하는 것이 좋습니다.
권장 구성 항목
-
통합 감사 로그 활성화
감사 로그에 모든 서비스에 대한 작업이 기록되어 있는지 확인합니다.
위치: Defender 포털 > 감사
-
경고 정책 구성
경고 정책은 Exchange에서 고위험 이벤트가 발생할 때 이메일 알림을 생성합니다. 이러한 알림이 Exchange Online 관리자에게 전달되도록 구성하는 것이 좋습니다.
위치: Defender 포털 > 정책 및 규칙 > 경고 정책
모든 공유 사서함의 로그인 차단
- 공유 사서함은 암호가 취약하고 MFA가 없는 쉬운 대상이 되는 경우가 많습니다. 공유 사서함에 직접 로그인을 차단하도록 권한을 수정하는 것이 좋습니다. 공유 사서함은 인증된 사용자 계정을 통해서만 액세스됩니다.
- 위치: 관리 센터 > 사용자
조직 외부로 메시지를 자동으로 전달하는 사용자 차단
- 위협 공격자는 사서함을 손상시키고 외부 계정으로 전달 규칙을 설정하는 경우가 많습니다. 사용자가 외부 받는 사람에 대한 자동 전달 규칙을 만드는 기능을 차단하는 것이 좋습니다.
- 위치: Defender 포털 > 정책 및 규칙 > 위협 정책 > 스팸 방지(아웃바운드 정책)
선택적 구성 항목
-
사전 설정된 보안 정책 구현(이메일 보호)
Microsoft는 Exchange Online 보호가 위협을 처리하는 방법을 정의하는 두 가지 보안 정책 집합을 게시합니다. 전자 메일 기반 위협으로부터 보호하려면 최소한 '표준 보호' 정책 그룹을 사용하는 것이 좋습니다. 추가 외부 스팸 필터링 솔루션을 사용하는 경우 이러한 설정을 수정하기 전에 해당 공급업체에 문의하십시오.
위치: Defender 포털 > 정책 및 규칙 > 위협 정책 > 보안 정책 사전 설정
참조:
-
이메일 인증 구성(SPF, DKIM, DMARC)
이메일 필터링 솔루션을 사용할 때는 SPF, DKIM 및 DMARC가 올바르게 설정되어 있는지 확인하는 것이 좋습니다.
위치: DNS
참조: