다음을 통해 공유


자동화된 조사 후 수정 작업 검토

적용 대상:

수정 작업

자동화된 조사가 실행되면 조사된 각 증거에 대한 판결이 생성됩니다. 평결은 악의적이거나의심스럽거나 위협을 찾을 수 없습니다.

에 따라 다름

수정 작업은 자동으로 또는 organization 보안 운영 팀의 승인에 따라 발생할 수 있습니다.

참고

디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.

다음은 몇 가지 예입니다.

  • 예제 1: Fabrikam의 디바이스 그룹은 전체 - 위협 자동 수정 (권장 설정)으로 설정됩니다. 이 경우 자동 조사 후 악의적인 것으로 간주되는 아티팩트( 완료된 작업 검토 참조)에 대해 수정 작업이 자동으로 수행됩니다.

  • 예제 2: Contoso의 디바이스는 세미로 설정된 디바이스 그룹에 포함되며 모든 수정에 대한 승인이 필요합니다. 이 경우 Contoso의 보안 운영 팀은 자동화된 조사 후 모든 수정 작업을 검토하고 승인해야 합니다( 보류 중인 작업 검토 참조).

  • 예제 3: Tailspin Toys에는 디바이스 그룹이 자동 응답 없음 (권장되지 않음)으로 설정되어 있습니다. 이 경우 자동화된 조사가 발생하지 않습니다. 수정 작업이 수행되거나 보류 중이 아니고 디바이스에 대한 알림 센터에 작업이 기록되지 않습니다( 디바이스 그룹 관리 참조).

자동으로 수행되거나 승인되면 자동 조사 및 수정으로 인해 하나 이상의 수정 작업이 발생할 수 있습니다.

  • 파일 격리
  • 레지스트리 키 제거
  • 프로세스 종료
  • 서비스 중지
  • 드라이버 사용 안 함
  • 예약된 작업 제거

보류 중인 작업 검토

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 작업 센터를 선택합니다.

  3. 보류 중 탭에서 항목을 검토합니다.

  4. 작업을 선택하여 플라이아웃 창을 엽니다.

  5. 플라이아웃 창에서 정보를 검토한 다음, 다음 단계 중 하나를 수행합니다.

    • 조사에 대한 자세한 내용을 보려면 조사 페이지 열기를 선택합니다.
    • 보류 중인 작업을 시작하려면 승인을 선택합니다.
    • 보류 중인 작업이 수행되지 않도록 하려면 거부를 선택합니다.
    • Go Hunt를 선택하여 고급 헌팅으로 이동합니다.

수정 작업 승인 또는 거부

수정 상태 승인이 보류 중인 인시던트인 경우 인시던트 내에서 수정 작업을 승인하거나 거부할 수도 있습니다.

  1. 탐색 창에서 인시던트 & 경고 인시던트로> 이동합니다.
  2. 자동화된 조사 상태에 대한 보류 중인 작업을 필터링합니다(선택 사항).
  3. 인시던트 이름을 선택하여 요약 페이지를 엽니다.
  4. 증거 및 응답 탭을 선택합니다.
  5. 목록에서 항목을 선택하여 플라이아웃 창을 엽니다.
  6. 정보를 검토한 다음 다음 단계 중 하나를 수행합니다.
    • 보류 중인 작업 승인 옵션을 선택하여 보류 중인 작업을 시작합니다.
    • 보류 중인 작업이 수행되지 않도록 하려면 보류 중인 작업 거부 옵션을 선택합니다.

Microsoft Defender 포털의 인시던트에 대한 증거 및 응답 관리 창의 승인\거부 옵션

완료된 작업 검토

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 작업 센터를 선택합니다.

  3. 기록 탭에서 항목을 검토합니다.

  4. 항목을 선택하여 해당 수정 작업에 대한 자세한 내용을 확인합니다.

완료된 작업 실행 취소

디바이스 또는 파일이 위협이 아니라고 판단한 경우 해당 작업이 자동으로 수행되었든 수동으로 수행되었는지 여부에 관계없이 수행된 수정 작업을 실행 취소할 수 있습니다. 알림 센터의 기록 탭에서 다음 작업을 실행 취소할 수 있습니다.

작업 원본 지원되는 작업
  • 자동 조사
  • 수동 응답 작업(아래 참고 사항 참조)
  • Microsoft Defender 바이러스 백신
  • 드라이버 사용 안 함
  • 디바이스 격리
  • 파일 격리
  • 레지스트리 키 제거
  • 예약된 작업 제거
  • 코드 실행 제한
  • 서비스 중지

참고

엔드포인트용 Defender 플랜 1비즈니스용 Microsoft Defender 다음 수동 응답 작업만 포함합니다.

  • 바이러스 백신 검사 실행
  • 디바이스 격리
  • 파일 중지 및 격리
  • 파일을 차단하거나 허용하는 표시기 추가

한 번에 여러 작업을 실행 취소하려면

  1. 알림 센터(https://security.microsoft.com/action-center)로 이동하여 로그인합니다.

  2. 기록 탭에서 실행 취소할 작업을 선택합니다. 작업 유형이 동일한 항목을 선택해야 합니다. 플라이아웃 창이 열립니다.

  3. 플라이아웃 창에서 실행 취소를 선택합니다.

여러 디바이스에서 격리에서 파일을 제거하려면

  1. 알림 센터(https://security.microsoft.com/action-center)로 이동하여 로그인합니다.

  2. 기록 탭에서 작업 유형 격리 파일이 있는 항목을 선택합니다.

  3. 플라이아웃 창에서 이 파일의 X에 적용 추가 인스턴스를 선택한 다음, 실행 취소를 선택합니다.

자동화 수준, 자동화된 조사 결과 및 결과 작업

자동화 수준은 특정 수정 작업이 자동으로 수행되는지 아니면 승인 시만 수행되는지에 영향을 줍니다. 경우에 따라 보안 운영 팀은 자동화된 조사 결과에 따라 더 많은 단계를 수행해야 합니다. 다음 표에서는 자동화 수준, 자동화된 조사 결과 및 각 사례에서 수행할 작업을 요약합니다.

디바이스 그룹 설정 자동화된 조사 결과 수행할 작업
전체 - 자동으로 위협 수정
(권장)
증거의 조각에 대한 악의적 인 판결에 도달합니다.

적절한 수정 작업이 자동으로 수행됩니다.

완료된 작업 검토
세미 - 모든 수정에 대한 승인 필요 증거의 조각에 대한 악성 또는 의심스러운 중 하나의 판결에 도달합니다.

수정 작업은 계속 진행하기 위해 승인을 보류 중입니다.

보류 중인 작업 승인(또는 거부)
세미 - 핵심 폴더 수정에 대한 승인 필요 증거의 조각에 대한 악의적 인 판결에 도달합니다.

아티팩트가 파일 또는 실행 파일이고 Windows 폴더 또는 프로그램 파일 폴더와 같은 운영 체제 디렉터리에 있는 경우 수정 작업은 승인을 보류 중입니다.

아티팩트가 운영 체제 디렉터리에 없는 경우 수정 작업이 자동으로 수행됩니다.

  1. 보류 중인 작업 승인(또는 거부)
  2. 완료된 작업 검토
세미 - 핵심 폴더 수정에 대한 승인 필요 의심스러운 판결은 증거의 조각에 도달합니다.

수정 작업은 승인을 보류 중입니다.

보류 중인 작업을 승인(또는 거부)합니다.
세미 - 비 임시 폴더 수정에 대한 승인 필요 증거의 조각에 대한 악의적 인 판결에 도달합니다.

아티팩트가 사용자의 다운로드 폴더 또는 임시 폴더와 같이 임시 폴더에 없는 파일 또는 실행 파일인 경우 수정 작업은 승인 보류 중입니다.

아티팩트가 임시 폴더에 있는 파일 또는 실행 파일인 경우 수정 작업이 자동으로 수행됩니다.

  1. 보류 중인 작업 승인(또는 거부)
  2. 완료된 작업 검토
세미 - 비 임시 폴더 수정에 대한 승인 필요 의심스러운 판결은 증거의 조각에 도달합니다.

수정 작업은 승인을 보류 중입니다.

보류 중인 작업 승인(또는 거부)
전체 또는 반자동화 수준 발견 된 위협 없음 의 판결은 증거의 조각에 도달합니다.

수정 작업은 수행되지 않으며 승인 보류 중인 작업은 없습니다.

자동화된 조사의 세부 정보 및 결과 보기
자동화된 응답 없음 (권장되지 않음) 자동화된 조사가 실행되지 않으므로 평결에 도달하지 않으며 수정 작업이 수행되거나 승인을 기다리고 있지 않습니다. 전체 또는 세미 자동화를 사용하도록 디바이스 그룹을 설정하거나 변경하는 것이 좋습니다.

모든 평결은 알림 센터에서 추적됩니다.

참고

비즈니스용 Defender에서 자동 조사 및 수정 기능은 전체 - 위협 수정을 자동으로 사용하도록 미리 설정됩니다. 이러한 기능은 기본적으로 모든 디바이스에 적용됩니다.

다음 단계

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.