Microsoft Defender for Office 365 Safe Attachments에서 동적 전송 기능은 전체 폭발 검사를 유지하는 동시에 전송 시간을 단축하도록 특별히 설계되었습니다. Microsoft는 동적 전송 기능을 사용하면 "메시지 본문을 즉시 전송하고 검사하는 동안 첨부 파일을 임시 파일로 대체"한다고 설명합니다. 샌드박스 검사 결과가 정상으로 확인되면 원본 파일이 자동으로 다시 삽입됩니다.
맬웨어가 발견되면 첨부 파일이 차단/제거되고, 메시지는 정책(예: 격리)에 따라 처리됩니다. 이 옵션은 질문의 두 가지 요건을 모두 충족합니다. (1) 사용자가 메시지를 빠르게 받을 수 있고(전체 메시지 전달까지 오래 기다릴 필요가 없음), (2) 첨부 파일은 사용자가 열기 전에 자동으로 삭제되므로 보안이 약화되지 않습니다.
반면, '차단'은 악성 파일 전송을 지연시키거나 중단합니다. 탐지된 악성 첨부 파일을 .txt 요약으로 대체하지만, 안전한 항목의 초기 전송 시간은 단축하지 않습니다. 보호 기능을 적용하지 않고 로그만 모니터링합니다. 따라서 보호 기능을 손상시키지 않고 전송 지연 시간을 줄이면서 악성 코드를 차단하려면 안전한 첨부 파일 정책에서 동적 전송을 구성하세요.

설명
그래픽 사용자 인터페이스 설명이 포함된 그림이 자동으로 생성됨

참조:
https://docs.microsoft.com/en-us/azure/sentinel/roles

설명:

Microsoft Defender for Cloud(이전의 Azure Security Center)에서 워크플로 자동화를 사용하면 수정 작업을 트리거하여 보안 경고 및 권장 사항에 자동으로 대응할 수 있습니다.
Defender 경고 또는 권장 사항에 따라 자동 수정을 적용하기 위해 Azure Policy를 만들면 리소스가 규정을 준수하지 않는 것으로 확인되었을 때 정책이 수행하는 작업이 다음과 같이 결정됩니다.
* DeployIfNotExists는 자동 수정에 사용하기에 적합한 효과입니다. 이 효과는 일치하는 비준수 리소스가 감지되면 수정 작업(예: 로직 앱 또는 기타 자동화)을 자동으로 배포합니다. Defender for Cloud에서 누락된 보안 구성을 배포하거나 자동 수정 워크플로를 시작하는 데 일반적으로 사용됩니다.
* Append는 리소스에 메타데이터나 매개변수를 추가할 뿐, 수정 작업을 시행하거나 배포하지는 않습니다.
* EnforceRegoPolicy는 Defender 워크플로가 아닌 Gatekeeper 정책(Kubernetes)에 대한 컨테이너 규정 준수에 사용됩니다.
자동화 메커니즘의 경우:
* "Azure Security Center 경고가 생성되거나 트리거될 때" 트리거가 있는 Azure Logic Apps 앱이 올바른 선택입니다. 이 Logic App은 새 경고가 발생할 때마다 실행되는 워크플로 자동화 엔진 역할을 합니다. VM 격리, 사용자 비활성화 또는 SOC 팀에 알림과 같은 작업을 수행할 수 있습니다.
* "Azure Security Center 경고에 대한 응답이 트리거될 때" 트리거를 사용하면 수동 응답 후에만 활성화되고 자동으로는 활성화되지 않습니다.
* 웹후크가 포함된 자동화 런북은 사용자 지정 자동화에 사용할 수 있지만, Defender 워크플로 자동화는 Logic Apps와 기본적으로 통합되며 런북과 직접 통합되지는 않습니다.

설명:

참조:
https://docs.microsoft.com/en-us/azure/governance/policy/concepts/effects
https://docs.microsoft.com/en-us/azure/security-center/워크플로-오토메이션