전자 메일 메시지에 대한 Email 요약 패널과 마찬가지로 Office 365 플랜 2(추가 기능 라이선스 또는 Microsoft 365 E5 같은 구독에 포함)에 대한 Microsoft Defender Microsoft 365 조직에는 Microsoft Teams 메시지 엔터티 패널이 있습니다. Microsoft Defender 포털. Teams 메시지 엔터티 패널은 실행 가능한 단일 패널에서 의심스럽거나 악의적인 채팅, 채널 및 그룹 채팅에 대한 모든 Microsoft Teams 데이터를 포함하는 세부 정보 플라이아웃입니다.
이 문서에서는 Teams 메시지 엔터티 패널의 정보 및 작업을 설명합니다.
Teams 메시지 엔터티 패널에 대한 권한 및 라이선스
Email 엔터티 페이지를 사용하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.
모든 권한:
- Microsoft Defender 포털에서 협업 권한을 Email & 조직 관리, 보안 관리자 또는 격리 관리자 역할 그룹의 멤버 자격입니다.
- Microsoft Entra 권한: 다음 역할 중 하나의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 필요한 권한 및 권한을 부여합니다. 전역 관리자*, 보안 관리자 또는 보안 운영자.
읽기 전용 액세스:
- Microsoft Entra 권한: 전역 읽기 권한자 또는 보안 읽기 권한자.
Teams 채팅에서 사용자 제거: 전역 관리자, 보안 관리자* 또는 보안 운영자와 같은 Microsoft Entra 역할 중 하나의 멤버 자격이 필요합니다.
중요
* Microsoft는 최소 권한 원칙을 강력히 옹호합니다. 계정에 작업을 수행하는 데 필요한 최소 권한만 할당하면 보안 위험을 줄이고 organization 전반적인 보호를 강화하는 데 도움이 됩니다. 전역 관리자는 긴급 시나리오 또는 다른 역할을 사용할 수 없는 경우 제한해야 하는 매우 권한 있는 역할입니다.
Teams 메시지 엔터티 패널을 찾을 수 있는 위치
Defender 포털의 최상위 수준에서 Teams 메시지 엔터티 패널에 대한 직접 링크가 없습니다. 대신 Teams 메시지 엔터티 패널은 다음 위치에서 사용할 수 있습니다.
의 격리 페이지에서 https://security.microsoft.com/quarantine: Teams 메시지 탭 > 을 선택하면 검사 상자가 아닌 행의 아무 곳이나 클릭하여 항목을 선택합니다. 열리는 세부 정보 플라이아웃은 Teams 메시지 엔터티 패널입니다.
의 제출 페이지에서https://security.microsoft.com/reportsubmission:
Teams 메시지 탭 > 을 선택하면 검사 상자가 아닌 행의 아무 곳이나 클릭하여 항목을 선택합니다.
검사 상자 이외의 행의 아무 곳이나 클릭하여 사용자 보고 탭 > 에서 Teams 항목을 선택합니다. 열리는 세부 정보 플라이아웃은 Teams 메시지 엔터티 패널입니다.
메시지 유형> 필터링 Teams를 선택하여 항목을 필터링>할
수있습니다.
의 고급 헌팅 페이지에서 https://security.microsoft.com/v2/advanced-hunting쿼리 결과의 MessageEvents 테이블에서 TeamsMessageId 값(링크)을 선택합니다. 열리는 세부 정보 플라이아웃은 Teams 메시지 엔터티 패널입니다. 예시:
UrlClickEvents | where ThreatTypes !="" and Workload =="Teams" | summarize count() by Url, ThreatTypes, ActionType, Workload | project Url, ThreatTypes, ActionType, Workload, ClickCount=count_ | top 20 by ClickCount UrlClickEvents | limit 100 MessageEvents | limit 100
Teams 메시지 엔터티 패널의 내용
다음 정보는 Teams 메시지 엔터티 패널의 맨 위에서 사용할 수 있습니다.
- 플라이아웃 제목은 Teams 메시지의 제목 또는 처음 100자입니다.
- 현재 메시지 평결입니다.
- 메시지의 링크 수입니다.
- 플라이아웃 맨 위에서 사용할 수 있는 작업은 Teams 메시지 엔터티 패널을 연 위치에 따라 달라집니다.
팁
현재 메시지의 Email 요약 패널을 벗어나지 않고 다른 Teams 메시지에 대한 세부 정보를 보려면 플라이아웃 맨 위에 있는 이전 항목 및 다음 항목을 사용합니다
.
Teams 메시지 엔터티 패널의 다음 섹션은 열 위치에 따라 달라집니다.
Teams 메시지 엔터티 패널의 나머지 부분에는 열 위치에 관계없이 다음 정보가 포함됩니다.
메시지 세부 정보 섹션:
- 위협
- 메시지 위치
- 보낸 사람 주소
- 받은 시간
- 검색 기술
- Teams 메시지 ID: 이 값을 defender for Office 365 Teams 메시지의 식별자로 사용할 수 있습니다.
보낸 사람 섹션:
- 보낸 사람의 이름 및 전자 메일 주소
- 도메인
- 외부: 값 예 는 내부 사용자와 외부 사용자 간에 메시지가 전송되었음을 나타냅니다.
다음 섹션 중 하나는 채팅 또는 채널에서 메시지가 표시되는지 여부에 따라 달라집니다.
- 채팅: 참가자 섹션:
- 대화 유형
- 채팅 이름
- 이름 및 전자 메일: 모든 참가자(보낸 사람 포함)의 이름과 이메일 주소를 포함합니다. 참가자가 10명 이상인 경우 의심되는 위협 시 채팅의 모든 참가자를 나열하는 보조 패널에도 연결됩니다.
- 채널: 채널 세부 정보 섹션:
- 대화 유형
- 대화 이름: 채널의 이름을 포함합니다.
- 이름 및 전자 메일: 채널의 이름과 주소를 포함합니다.
- 채팅: 참가자 섹션:
URL 섹션:
- 이름 및 형식 Teams 메시지의 URL을 포함합니다.
- 위협
메시지에 10개 이상의 URL이 있는 경우 모든 URL 보기를 선택하여 모든 URL을 확인합니다.
Teams 메시지 엔터티 패널의 Teams 채팅에서 사용자 제거
팁
현재 이 기능은 미리 보기로 제공되며, 모든 조직에서 사용할 수 없으며 변경될 수 있습니다.
채팅에서 organization 내부 사용자만 제거할 수 있습니다.
채팅에서 사용자를 제거하면 채팅 발신자가 차단되지 않으며 제거된 사용자는 보낸 사람과 새 채팅을 시작할 수 있습니다.
Teams 엔터티 패널에서 플라이아웃 맨 위에 있는 작업 수행(종종 추가 작업 아래
)을 선택하여 
Teams 채팅에서 사용자를 제거할 수 있습니다.
작업 수행 마법사에서 다음 단계를 수행합니다.
응답 작업 선택 페이지의 대화 수준 작업 섹션에서 대화에서 사용자 제거를 선택한 다음, 다음을 선택합니다.
대상 엔터티 선택 페이지에서 다음 옵션을 구성합니다.
- 이름 사용자 제거 시나리오의 고유한 설명이 포함된 이름을 입력합니다.
- 설명: 선택적 세부 정보를 입력합니다.
페이지의 나머지 부분에는 채팅의 사용자에 대한 다음 정보가 포함된 세부 정보 테이블이 포함되어 있습니다.
- 영향을 받은 자산: 사용자의 이메일 주소입니다.
- 작업: 이 값은 항상 대화에서 사용자 제거입니다.
- 대상 엔터티: 채팅의 스레드 ID GUID 값입니다.
- 만료 날짜
기본적으로 채팅에서 제거할 수 없는 외부 사용자를 포함하여 채팅의 모든 사용자가 선택됩니다. 채팅에서 제거할 내부 사용자가 선택되어 있는지 확인합니다.
대상 엔터티 선택 페이지에서 완료되면 다음을 선택합니다.
검토 및 제출 페이지에서 이전 선택 항목을 검토합니다.
뒤로를 선택하여 돌아가서 선택 항목을 변경합니다.
검토 및 제출 페이지에서 완료되면 제출을 선택합니다.
Teams 채팅에서 사용자 제거는 의 알림 센터 페이지 기록 탭에 https://security.microsoft.com/action-center/history기록됩니다. 작업 유형>Teams 대화에서 사용자 제거 및/또는 엔터티 형식>Teams 메시지를 기준으로 결과를 필터링할 수 있습니다. 경고 세부 정보에서 사용자가 Teams 채팅에서 제거되었거나 제거되지 않은 것을 확인할 수 있습니다.
팁
Teams 채팅에서 사용자를 제거해도 조사 ID 또는 자동 조사가 만들어지지는 않습니다.
자세한 내용
Office 365 Email 엔터티 페이지의 Microsoft Defender 및 작동 방식