Secure Email Threat Defense 설정

Secure Email Threat Defense 설정

Secure Email Threat Defense 설정은 다음 작업을 포함합니다.

1. 어카운트로 로그인

2. SEG(Secure Email Gateway)가 있는지 표시

3. 메시지 소스, 가시성 및 교정 선택

4. 메시지 소스 설정

5. 정책 설정 검토

6. Microsoft 이메일 도메인 가져오기

이 단계에서는 다음을 충족한다고 가정합니다요구 사항.

어카운트로 로그인

1. 시스코에서 보낸 환영 이메일의 안내에 따라 사용자 어카운트를 설정합니다.

Secure Email Threat Defense Cisco Security Cloud Sign On을 사용하여 인증을 관리합니다. Security Cloud Sign On에 대한 자세한 정보는 https://cisco.com/go/securesignon 를 참조하십시오. 기존 SecureX Threat Response, Cisco Secure Malware Analytics(이전 Threat Grid) 또는 Cisco Secure Endpoint(이전 AMP) 고객인 경우, 기존 자격 증명으로 로그인합니다. 기존 사용자가 아닌 경우 새 Security Cloud Sign On 어카운트를 생성하는 것이 필요합니다.

2. 로그인하면 이용 약관에 동의합니다.

3. 이제 환영Cisco Secure Email Threat Defense 페이지에 액세스할 수 있습니다. 다음 섹션에 설명된 대로 설정 마법사를 따릅니다.

SEG(Secure Email Gateway)가 있는지 표시

메시지 소스(다음 섹션에서 선택)에 관계없이 보안 SEG(Secure Email Gateway)가 존재하고 수신 저널에서 이를 식별하는 데 사용할 수 있는 헤더를 표시하여 Secure Email Threat Defense이 메시지의 실제 발신자를 확인할 수 있도록 하는 것이 중요합니다. 이 설정이 없으면 모든 메시지가 SEG에서 제공되는 것처럼 보일 수 있으며, 이로 인해 오탐이 발생할 수 있습니다.

1. 예 또는 아니요를 선택하여 SEG(Secure Email Gateway)가 있는지 표시한 후 Next(다음) 을 클릭합니다.

2. 예라고 답한 경우 SEG 유형과 헤더를 입력합니다. Next(다음) 를 클릭합니다.

메시지 소스, 가시성 및 교정 선택

1. 메시지 소스를 Microsoft O365 또는 게이트웨이로 선택합니다. 이전 단계에서 SEG 없음을 선택했다면 Microsoft O365가 메시지 소스로 간주됩니다.

2. 가시성 및 교정을 선택합니다.

가시성 및 교정 모드에서는 적용할 수 있는 교정 정책의 유형을 정의합니다.

Microsoft 365 인증

읽기/쓰기 - 가시성을 허용하고 온디맨드 또는 자동 교정(즉, 의심스러운 메시지 이동 또는 삭제)을 허용합니다. 읽기/쓰기 권한은 Microsoft 365에서 요청됩니다.

읽기 - 가시성만 허용하며 교정은 허용하지 않습니다. 읽기 전용 권한은 Microsoft 365에서 요청됩니다.

참고: 읽기/쓰기 를 선택하는 경우, 설정이 완료되면 정책 설정에서 자동 교정 정책을 켜야 합니다. 모든 내부 이메일에 자동 교정 기능을 적용하려면 정책 페이지의 도메인 목록에 없는 도메인에 자동 교정
기능 적용 상자가 선택되어 있는지 확인합니다.

Microsoft 365 인증 모드의 경우, Secure Email Threat Defense는 Microsoft에서 액세스 권한을 요청합니다. 이러한 권한은 사용자가 읽기/쓰기 또는 읽기 모드를 선택하는지에 따라 달라집니다. 권한에 대한 자세한 내용은 연결된 Microsoft 설명서에서 확인할 수 있습니다.

두 가지 Microsoft 인증 모드 모두 Organization.Read.All User.Read를 요청 합니다.

https://learn.microsoft.com/en-us/graph/permissions-reference#organizationreadall

https://learn.microsoft.com/en-us/graph/permissions-reference#userread

읽기/쓰기 모드 요청: Mail.ReadWrite

https://learn.microsoft.com/en-us/graph/permissions-reference#mailreadwrite

읽기 모드 요청: Mail.Read

https://learn.microsoft.com/en-us/graph/permissions-reference#mailread

인증 없음

이 옵션은 Cisco SEG를 메시지 소스로 사용하는 경우 사용할 수 있습니다. 가시성 만 제공합니다. 메시지를 교정할 수는 없습니다.

3. Microsoft 365 인증을 선택한 경우 Microsoft 365에 연결합니다.

a. Next(다음) 를 클릭하여 Microsoft 365에 연결합니다.

b. 메시지가 표시되면 Microsoft 365 어카운트로 로그인합니다. 이 어카운트에는 전역 관리자 권한이 있어야 합니다. Secure Email Threat Defense은 어카운트를 저장하거나 사용하지 않습니다. 이러한 권한이 필요한 이유를 알아보려면 Cisco Secure Email Threat Defense FAQ: Secure Email Threat Defense 설정에 Microsoft 365 전역 관리자 권한이 필요한 이유는 무엇입니까? 를 참조하십시오.

c. Accept(수락) 를 클릭하여 Secure Email Threat Defense 앱에 대한 권한을 수락합니다. Secure Email Threat Defense 설정 페이지로 리디렉션됩니다.

d. Next(다음) 를 클릭합니다.

메시지 소스 설정

선택한 메시지 소스에 대한 단계를 완료합니다.

Microsoft O365 메시지 소스

메시지 소스로 Microsoft O365를 선택한 경우, 저널을 Secure Email Threat Defense로 보내도록 Microsoft 365를 구성해야 합니다. 이렇게 하려면 저널 규칙을 추가합니다. 게이트웨이가 있는 경우 저널 규칙을 추가하기 전에 Microsoft 365에 커넥터를 추가합니다.

1. SEG(Secure Email Gateway)를 사용하는 사용자의 경우: Microsoft 365에서 커넥터를 추가합니다.

저널이 Secure Email Gateway를 통과하지 않고 Microsoft 365에서 Secure Email Threat Defense로 직접 전송되도록 하려면 Microsoft 365에 아웃바운드 커넥터를 추가하는 것이 좋습니다. 저널링을 설정하기 전에 커넥터를 추가해야 합니다.

Microsoft 365 Exchange 관리 센터의 Add a connector(커넥터 추가) 마법사에서 다음 설정을 사용하여 새 커넥터를 생성합니다.

Connection from(연결 출처) : Office 365.

Connection to(연결 대상) : 파트너 조직

Connector name(커넥터 이름) : Cisco Secure Email Threat Defense에 대한 아웃바운드( Turn it on(켜기) 확인란 선택).

Use of connector(커넥터 사용) : 이메일 메시지가 이러한 도메인으로 전송된 경우에만 (북미 환경의 경우 mail.cmd.cisco.com , 유럽 환경의 경우 mail.eu.cmd.cisco.com , 호주 환경의 경우 mail.au.etd.cisco.com 을 추가하고, 인도 환경의 경우 mail.in.etd.cisco.com 를 추가).

Routing(라우팅) : 파트너 도메인과 연결된 MX 레코드를 사용합니다.

Security restrictions(보안 제한) : 항상 신뢰할 수 있는 인증 기관(CA)에서 발급된 TLS(Transport Layer Security)를 사용합니다.

Validation email(검증 이메일) : Secure Email Threat Defense 설정 페이지에 있는 저널 주소.

참고 : O365 테넌트가 이미 기존 커넥터로 아웃바운드 메일을 라우팅하는 Exchange 전송 규칙을 사용하여 조건부 메일 라우팅을 구성한 경우 커넥터 유효성 검사에 실패할 수 있습니다. 저널 메시지는 시스템 권한이 있으며 전송 규칙의 영향을 받지 않는 반면, 커넥터 검증 테스트 이메일은 권한이 없으며 전송 규칙의 영향을 받습니다.

이 검증 문제를 해결하려면 기존 전송 규칙을 찾아 Secure Email Threat Defense 저널 주소에 대한 예외를 추가합니다. 이 변경 사항이 적용될 때까지 기다렸다가 새 커넥터 유효성 검사를 다시 테스트합니다.

2. Secure Email Threat Defense로 저널을 보내도록 Microsoft 365를 구성합니다. 이를 위해 저널 규칙을 추가합니다.

a. Secure Email Threat Defense 설정 페이지에서 저널 주소를 복사합니다. 나중에 이 과정을 반복해야 하는 경우, 관리 페이지에서 저널 주소를 찾을 수도 있습니다.

b. Microsoft Purview 규정 준수 포털 https://compliance.microsoft.com/homepage 로 이동합니다.

c. Solution(솔루션) > Data lifecycle management데이터 수명 주기 관리) > Exchange(legacy)(Exchange
(레거시)) > Journal rules(저널 규칙) 로 이동합니다.

d. 아직 하지 않았다면 배달할 수 없는 저널 보고서를 다음 주소로 보내기 필드에 Exchange 수신자를 추가한 다음 Save(저장) 를 클릭합니다. 사용된 이메일 주소는 기록되지 않으므로 Secure Email Threat Defense분석하려는 주소는 사용하지 마십시오. 이 용도로 사용할 수신자가 없는 경우 수신자를 생성해야 합니다.

e. Journal rules(저널 규칙) 페이지로 돌아갑니다. + 버튼을 클릭하여 새 저널 규칙을 생성합니다.

f. 설정 페이지의 Secure Email Threat Defense에 있는 저널 주소를 저널 보고서 보내기 필드에 붙여넣습니다.

g. Journal rule name(저널 규칙 이름) 필드에 CiscoSecure Email Threat Defense 를 입력합니다.

h. Journal messages sent or received from(주고받은 저널 메시지) 에서 Everyone(모든 사람) 을 선택합니다.

i. Type of message to journal(저널에 기록할 메시지 유형) 에서 All messages(모든 메시지) 를 선택합니다.

j. Next(다음) 를 클릭합니다.

k. 선택한 사항을 검토한 다음 Submit(제출) 을 클릭하여 규칙 생성을 완료합니다.

3. Secure Email Threat Defense 설정 페이지로 돌아갑니다. Review Policy(정책 검토) 를 클릭합니다.

게이트웨이 메시지 소스

게이트웨이를 메시지 소스로 선택한 경우 Cisco Secure Email Cloud Gateway의 Threat Defense Connector를 활성화하여 Secure Email Threat Defense에 메시지를 전송합니다.

1. Secure Email Threat Defense 설정 페이지에서 메시지 수신 주소를 복사합니다. 나중에 이 과정을 반복해야 하는 경우 관리 페이지에서 메시지 수신 주소를 찾을 수 있습니다.

2. Secure Email Cloud Gateway UI에서 Security Services(보안 서비스) > Threat Defense Connector(위협 방어 커넥터) 를 선택합니다.

3. Enable Threat Defense Connector(위협 방어 커넥터 활성화) 확인란을 선택합니다.

4. 1단계의 Secure Email Threat Defense에서 복사한 메시지 수신 주소를 입력합니다.

5. Submit(제출) 을 클릭하여 변경 사항을 커밋합니다.

6. Secure Email Threat Defense 설정 페이지로 돌아갑니다. Review Policy(정책 검토) 를 클릭합니다.

정책 설정 검토

정책 설정에 대한 자세한 내용은 정책 설정를 참조하십시오. Microsoft O365 인증 을 선택한 경우: 읽기/쓰기 모드를 선택한 경우 지금 자동화된 교정 설정을 확인해야 합니다. 모든 내부 이메일에 자동 교정을 적용하려면 도메인 목록에 없는 도메인에 자동 교정 적용 이 선택되어 있는지 확인합니다. 도메인을 가져오면 자동화된 교정 정책 토글을 켤 수 있습니다.

Microsoft 이메일 도메인 가져오기

Secure Email Threat Defense Microsoft 365 테넌트에서 이메일 기능이 있는 도메인을 가져옵니다. 도메인을 가져오면 특정 도메인에 자동화된 교정을 적용할 수 있습니다. Secure Email Threat Defense는 도메인 목록에 없는 도메인에 자동 교정 적용 을 선택하거나 선택 취소했는지에 따라 새로 가져온 도메인을 다르게 처리합니다.

n 도메인 목록에 없는 도메인에 자동 교정 적용 을 선택하면 가져오는 모든 새 도메인에 자동 교정이 적용됩니다.

n 도메인 목록에 없는 도메인에 자동 교정 적용을 선택 취소 하면 가져온 새 도메인에 자동 교정이 적용되지 않습니다.

기본적으로 도메인 목록에 없는 도메인에 자동 교정 적용 은 선택 취소되어 있습니다.

수동 가져오기

Microsoft 365 이메일 도메인을 수동으로 가져오려면 다음을 수행합니다(처음 Secure Email Threat Defense을 설정할 때 권장).

1. Policy(정책) 페이지로 이동합니다.

2. Secure Email Threat Defense로 도메인을 가져오려면 Update Imported Domains(가져온 도메인 업데이트) 버튼을 클릭합니다.

3. 각 도메인 옆의 확인란을 사용하여 해당 도메인의 자동화된 교정 설정을 조정합니다.

4. 또한 도메인 목록에 없는 도메인에 자동 교정 적용 을 선택하여 모든 내부 이메일과 나중에 자동으로 가져오는 모든 도메인에 자동 교정이 적용되도록 하는 것이 좋습니다.

5. Save and Apply(저장 및 적용) 를 클릭합니다.

자동 가져오기

도메인은 24시간마다 자동으로 가져오기 때문에 목록이 최신 상태로 유지됩니다.