엔드포인트용 Microsoft Defender 경고 큐 보기 및 구성
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
경고 큐에는 네트워크의 디바이스에서 플래그가 지정된 경고 목록이 표시됩니다. 기본적으로 큐는 지난 7일 동안 그룹화된 보기에 표시된 경고를 표시합니다. 가장 최근 경고는 가장 최근의 경고를 먼저 볼 수 있도록 목록 맨 위에 표시됩니다.
참고
자동화된 조사 및 수정을 통해 경고가 크게 감소하여 보안 운영 전문가가 보다 정교한 위협 및 기타 높은 가치의 이니셔티브에 집중할 수 있습니다. 경고에 지원되는 운영 체제가 있는 디바이스에서 자동 조사를 위해 지원되는 엔터티(예: 파일)가 포함된 경우 자동화된 조사 및 수정이 시작될 수 있습니다. 자동화된 조사에 대한 자세한 내용은 자동화된 조사 개요를 참조하세요.
경고 보기를 사용자 지정하기 위해 선택할 수 있는 몇 가지 옵션이 있습니다.
위쪽 탐색에서 다음을 수행할 수 있습니다.
- 열을 추가하거나 제거할 열 사용자 지정
- 필터 적용
- 1일, 3일, 1주, 30일 및 6개월과 같은 특정 기간에 대한 경고 표시
- 경고 목록을 Excel로 내보내기
- 알림 관리
경고 정렬 및 필터링
다음 필터를 적용하여 경고 목록을 제한하고 경고에 대한 보다 집중적인 보기를 얻을 수 있습니다.
심각도
경고 심각도 | 설명 |
---|---|
높음 (빨강) |
일반적으로 APT(고급 영구 위협)와 관련된 경고입니다. 이러한 경고는 디바이스에 가해질 수 있는 손상의 심각도로 인해 높은 위험을 나타냅니다. 자격 증명 도용 도구 활동, 그룹과 연결되지 않은 랜섬웨어 활동, 보안 센서 변조 또는 인간 악의적인 사용자를 나타내는 악의적인 활동 등을 예로 들 수 있습니다. |
보통 (주황색) |
APT(고급 영구 위협)의 일부일 수 있는 엔드포인트 검색 및 대응 위반 후 동작의 경고입니다. 이러한 동작에는 공격 단계의 일반적인 관찰된 동작, 비정상적인 레지스트리 변경, 의심스러운 파일 실행 등이 포함됩니다. 일부는 내부 보안 테스트의 일부일 수 있지만 고급 공격의 일부일 수도 있으므로 조사가 필요합니다. |
낮음 (노란색) |
널리 퍼진 맬웨어와 관련된 위협에 대한 경고입니다. 예를 들어 해킹 도구, 탐색 명령 실행, 로그 지우기 등과 같은 맬웨어가 아닌 해킹 도구는 organization 대상으로 하는 고급 위협을 나타내지 않는 경우가 많습니다. organization 사용자가 격리된 보안 도구 테스트에서도 발생할 수 있습니다. |
정보 (회색) |
네트워크에 유해한 것으로 간주되지는 않지만 잠재적인 보안 문제에 대한 조직의 보안 인식을 유도할 수 있는 경고입니다. |
경고 심각도 이해
Microsoft Defender 바이러스 백신 및 엔드포인트용 Defender 경고 심각도는 서로 다른 범위를 나타내기 때문에 다릅니다.
Microsoft Defender 바이러스 백신 위협 심각도는 검색된 위협(맬웨어)의 절대 심각도를 나타내며 감염된 경우 개별 디바이스에 대한 잠재적 위험에 따라 할당됩니다.
엔드포인트용 Defender 경고 심각도는 검색된 동작의 심각도, 디바이스에 대한 실제 위험, organization 대한 잠재적 위험을 나타냅니다.
예를 들어 다음과 같습니다.
- 방지되고 디바이스를 감염시키지 않은 Microsoft Defender 바이러스 백신 검색 위협에 대한 엔드포인트용 Defender 경고의 심각도는 실제 손상이 없으므로 "정보"로 분류됩니다.
- 실행하는 동안 상업용 맬웨어에 대한 경고가 검색되었지만 Microsoft Defender 바이러스 백신에 의해 차단되고 수정되었습니다. 개별 디바이스에 약간의 손상을 주었지만 조직의 위협이 발생하지 않을 수 있기 때문에 "낮음"으로 분류됩니다.
- 실행 중 검색된 맬웨어에 대한 경고는 개별 디바이스뿐만 아니라 organization 위협이 될 수 있으며 결국 차단되었는지 여부에 관계없이 "보통" 또는 "높음"으로 순위가 매겨질 수 있습니다.
- 차단되거나 수정되지 않은 의심스러운 동작 경고는 동일한 조직 위협 고려 사항에 따라 "낮음", "보통" 또는 "높음"으로 순위가 지정됩니다.
상태
상태에 따라 경고 목록을 필터링하도록 선택할 수 있습니다.
참고
지원되지 않는 경고 유형 경고 상태 표시되는 경우 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.
Categories
MITRE ATT&CK 매트릭스의 엔터프라이즈 공격 전술에 맞게 경고 범주를 다시 정의했습니다. 새 범주 이름은 모든 새 경고에 적용됩니다. 기존 경고는 이전 범주 이름을 유지합니다.
서비스 원인
다음 서비스 원본에 따라 경고를 필터링할 수 있습니다.
- ID용 Microsoft Defender
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- Microsoft Defender XDR
- Office 365용 Microsoft Defender
- 앱 거버넌스
- Microsoft Entra ID Protection
이제 Microsoft 엔드포인트 알림 고객은 엔드포인트용 Microsoft Defender 서비스 원본 아래에 중첩된 Microsoft Defender 전문가를 필터링하여 서비스에서 검색을 필터링하고 볼 수 있습니다.
참고
바이러스 백신 필터는 디바이스가 기본 실시간 보호 맬웨어 방지 제품으로 Microsoft Defender 바이러스 백신을 사용하는 경우에만 표시됩니다.
태그
경고에 할당된 태그에 따라 경고를 필터링할 수 있습니다.
정책
다음 정책에 따라 경고를 필터링할 수 있습니다.
검색 원본 | API 값 |
---|---|
타사 센서 | ThirdPartySensors |
바이러스 검사 | WindowsDefenderAv |
자동 조사 | AutomatedInvestigation |
사용자 지정 검색 | CustomDetection |
사용자 지정 TI | CustomerTI |
Edr | WindowsDefenderAtp |
Microsoft Defender XDR | Mtp |
Office 365용 Microsoft Defender | OfficeATP |
Microsoft Defender 전문가 | ThreatExperts |
Smartscreen | WindowsDefenderSmartScreen |
항목
엔터티 이름 또는 ID에 따라 경고를 필터링할 수 있습니다.
자동화된 조사 상태
자동 조사 상태에 따라 경고를 필터링하도록 선택할 수 있습니다.
관련 항목
- 엔드포인트용 Microsoft Defender 경고 관리
- 엔드포인트용 Microsoft Defender 경고 조사
- 엔드포인트용 Microsoft Defender 경고와 연결된 파일 조사
- 엔드포인트용 Microsoft Defender 디바이스 목록에서 디바이스 조사
- 엔드포인트용 Microsoft Defender 경고와 연결된 IP 주소 조사
- 엔드포인트용 Microsoft Defender 경고와 연결된 도메인 조사
- 엔드포인트용 Microsoft Defender 사용자 계정 조사
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.