Microsoft Defender for Office 365: XOps 이메일 보안 통합 구성

개요

이메일 보안 통합은 이메일 보안 이벤트를 XOps로 가져와 피싱 및 기타 이메일 기반 위협을 더 많은 컨텍스트에서 단일 워크플로로 조사할 수 있도록 합니다. 이 기능은 조사 시간을 줄이고, 위협 상관 관계를 개선하며, 이메일, 네트워크, 엔드포인트 데이터 소스 전반에서 관련 활동을 쉽게 식별할 수 있도록 합니다.

이메일 공격은 종종 더 넓은 공격 흐름의 일부입니다. 피싱 이메일, 악성 첨부 파일 또는 의심스러운 전송 활동은 사용자가 악성 도메인에 액세스하거나 추가 네트워크 기반 지표를 통해 관련 엔드포인트 탐지로 이어질 수 있습니다. 이 통합을 통해 XOps는 이메일 보안 이벤트를 조사 흐름의 일부로 포함하고 공격에 대한 더 넓은 가시성을 제공합니다.

Microsoft Defender for Office 365에서 사건이 생성되면 XOps에 스토리가 생성됩니다. 이를 통해 Cato에서 원본 탐지 로직을 유지하고 계정의 더 넓은 활동의 일부로 경고를 조사할 수 있습니다.

사용 사례

XYZ 회사는 Microsoft Defender for Office 365를 사용하여 사용자를 피싱 이메일, 악성 링크 및 기타 이메일 기반 위협으로부터 보호합니다. 그러나 이메일 경고만으로는 항상 전체 공격 컨텍스트를 제공하지는 않습니다. 보안 팀은 또한 사용자가 악성 콘텐츠와 상호 작용했는지, 그리고 그 활동이 네트워크나 엔드포인트에서 관련 감지로 이어졌는지를 이해해야 합니다.

회사는 XOps를 Microsoft Defender for Office 365와 통합합니다. Microsoft Defender for Office 365가 경고를 생성하면 XOps는 경고를 자동으로 수신하고 스토리를 Stories Workbench에 생성합니다. 이는 Microsoft의 원본 탐지 로직을 유지하며 Cato의 네트워크 및 보안 컨텍스트를 조사에 추가합니다.

XOps 스토리에서 회사는 다음을 수행할 수 있습니다:

  • 사용자가 악성 링크를 클릭하거나 의심스러운 도메인에 액세스했는지 조사합니다.

  • 이메일 경고와 연결된 관련 네트워크 및 엔드포인트 활동을 검토합니다.

  • 경고가 추가 사용자나 자산에 영향을 미치는 더 넓은 공격 흐름의 일부인지 결정합니다.

Microsoft Defender for Office 365 이메일 탐지를 Cato의 컨텍스트 분석과 결합하여 XYZ 회사는 피싱 및 기타 이메일 기반 공격을 더 넓은 가시성으로 조사할 수 있습니다. 이는 조사 시간을 줄이고 위협 상관 관계를 개선하며 더 빠른 대응을 지원합니다.

통합에 의해 생성된 스토리 이해하기

통합에서 생성된 스토리는 Generic Incident 프로듀서에 의해 처리됩니다. 다음 표는 이러한 스토리의 위젯을 설명합니다.

Cyera.png

이름

설명

요약 위젯

스토리의 기본 정보를 요약하여 설명하며 다음을 포함합니다:

  • 위협의 위험 수준

  • 스토리 세부 사항 요약

  • 분석가가 판단한 위협의 심각도

  • 분석가가 판단한 위협의 판결

세부 정보

스토리와 메타데이터에 대한 요약 설명.

타임라인

스토리 내 이벤트나 작업의 타임라인입니다.

엔터티

스토리가 발생한 엔터티들입니다. 이들은 사용자, 사이트, 데이터 저장소, 애플리케이션 등이 될 수 있습니다.

증거

XOps 스토리가 생성된 이유를 설명하는 증거를 제공합니다.

원시 데이터

스토리를 생성한 원시 이벤트를 포함한 동적 테이블입니다.

Microsoft Defender for Office 365 통합 구성

이메일 보안 통합을 구성하려면 다음을 수행해야 합니다:

  1. 부모 커넥터로 MS 테넌트 통합을 생성합니다.

  2. Microsoft Defender for Office 365에 대한 API 커넥터를 생성합니다.

전제 조건

  • Microsoft 365 E3 라이센스

1단계: MS 테넌트 통합 생성

먼저 MS 테넌트 통합을 부모 커넥터로 구성합니다. 이 커넥터는 모든 Microsoft 통합에 사용할 수 있습니다. 이미 부모 커넥터를 생성한 경우 2단계로 이동하세요.

MS 테넌트 통합을 생성하려면:

  1. 네비게이션 메뉴에서 Resource > 통합을 선택하고 통합된 앱 탭을 클릭합니다.

  2. 새로 만들기를 클릭합니다. 새 커넥터 패널이 열립니다.

  3. 새 커넥터 패널에서 MS 테넌트 (새 MS 테넌트 구성) 앱을 선택합니다.

    New_Microsoft_365_Connector.png

  4. 커넥터 이름을 입력합니다.

  5. 승인 및 저장을 클릭합니다.

    새 브라우저 탭이 Microsoft 365 앱으로 열립니다.

  6. 새 브라우저 탭에서 Microsoft 365 앱에 인증하십시오:

    1. Microsoft 365 앱에 사용할 Microsoft 계정을 선택합니다.

      그렇지 않으면 Microsoft 인증 오류가 발생할 수 있습니다.

    2. 앱의 비밀번호를 입력하고 승인합니다.

    3. 수락하기를 클릭하여 Cato가 Microsoft 365 앱에 액세스할 수 있도록 권한을 승인하십시오.

    4. 화면에 앱의 권한이 성공적으로 적용되었다고 표시됩니다.

      Success_Connector_Permissions.png

      브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갈 수 있습니다.

  7. Microsoft 365 SaaS 애플리케이션이 통합된 앱 탭에 추가됩니다.

2단계: 이메일 보안을 위한 API 커넥터 생성

부모 커넥터를 설정한 후, CMA에 상호 연결된 앱 통합의 세부 정보를 추가합니다.

CMA에서 API 커넥터를 생성하려면:

  1. 네비게이션 메뉴에서 자원 > 통합을 클릭합니다.

  2. 구성된 통합 탭을 클릭합니다.

  3. 새로 만들기를 클릭합니다.

    새 통합 패널이 열립니다.

  4. Microsoft Defender for Office 365를 선택합니다.

  5. 인증 드롭다운에서 1단계에서 생성된 Microsoft 기본 테넌트를 선택합니다.

  6. (선택 사항) 설명을 추가합니다.

  7. 저장을 클릭합니다.

    CMA가 공급업체에 연결됩니다.

  8. 승인을 클릭합니다.

    image-20250826-133358.png

    Microsoft 권한 화면이 나타납니다.

  9. 요청된 권한을 검토하고 수락하기를 클릭합니다.

  10. 앱은 통합된 앱 테이블에 연결됨 상태로 표시됩니다.

스토리 작업대 페이지 보기

커넥터를 생성한 후 스토리가 스토리 작업대에 표시됩니다.

스토리 작업대 페이지를 보려면:

  • 네비게이션 메뉴에서 홈 > 스토리 작업대를 클릭합니다.

Stories Workbench의 열에 관한 정보는 스토리 열 이해하기를 참조하십시오.

XOps 스토리 검토에 대한 정보는 XOps 보안 스토리 심층 분석 및 조사를 참조하세요.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개