엔드포인트용 Microsoft Defender 보안 운영 가이드

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

이 문서에서는 organization 엔드포인트용 Microsoft Defender 성공적으로 작동하기 위한 요구 사항 및 작업에 대한 개요를 제공합니다. 이러한 작업은 SOC(보안 운영 센터)가 검색된 엔드포인트용 Microsoft Defender 보안 위협을 효과적으로 감지하고 대응하는 데 도움이 됩니다.

이 문서에서는 보안 팀이 organization 수행할 수 있는 매일, 매주, 매월 및 임시 작업에 대해서도 설명합니다.

참고

권장되는 단계입니다. 사용자 고유의 정책과 환경에 대해 검사 목적에 맞는지 확인합니다.

필수 조건:

정기적인 보안 운영 프로세스를 지원하도록 Microsoft Defender 엔드포인트를 설정해야 합니다. 이 문서에서는 다루지 않지만 다음 문서에서는 구성 및 설정 정보를 제공합니다.

• 일반 엔드포인트용 Defender 설정 구성

  • 일반
  • 권한
  • 규칙
  • 디바이스 관리
  • Microsoft Defender 보안 센터 표준 시간대 설정 구성

• Microsoft Defender XDR 인시던트 알림 설정

  정의된 Microsoft Defender XDR 인시던트에 대한 메일 알림 얻으려면 메일 알림 구성하는 것이 좋습니다. 메일로 인시던트 알림을 참조하세요.

• SIEM에 연결(Sentinel)

  기존 SIEM(보안 정보 및 이벤트 관리) 도구가 있는 경우 Microsoft Defender XDR 통합할 수 있습니다. microsoft Sentinel과 MICROSOFT DEFENDER XDR 및 Microsoft Defender XDR 통합과SIEM 도구 통합을 참조하세요.

• 데이터 검색 구성 검토

  엔드포인트용 Microsoft Defender 디바이스 검색 구성을 검토하여 필요에 따라 구성되었는지 확인합니다. 디바이스 검색 개요를 참조하세요.

일상 활동

일반

• 작업 검토

  알림 센터에서 자동화된 작업과 수동 모두에서 사용자 환경에서 수행된 작업을 검토합니다. 이 정보를 통해 AIR(자동 조사 및 응답)이 예상대로 수행되고 있는지 확인하고 검토해야 하는 수동 작업을 식별할 수 있습니다. 수정 작업을 보려면 알림 센터 방문을 참조하세요.

보안 운영 팀

• Microsoft Defender XDR 인시던트 큐 모니터링

  엔드포인트용 Microsoft Defender IOC(손상 지표) 또는 IOA(공격 지표)를 식별하고 경고를 생성하면 경고가 인시던트에 포함되고 Microsoft Defender 포털(https://security.microsoft.com)의 인시던트 큐에 표시됩니다.

  이러한 인시던트를 검토하여 엔드포인트용 Microsoft Defender 경고에 대응하고 인시던트가 수정되면 resolve. 이메일별 인시던트 알림 및 엔드포인트용 Microsoft Defender 인시던트 큐 보기 및 구성을 참조하세요.

• 가양성 및 거짓 부정 검색 관리

  인시던트 큐를 검토하고, 가양성 및 거짓 부정 검색을 식별하고, 검토를 위해 제출합니다. 이렇게 하면 사용자 환경에서 경고를 효과적으로 관리하고 경고를 보다 효율적으로 만들 수 있습니다. 엔드포인트용 Microsoft Defender 가양성/부정 문제 해결을 참조하세요.

• 위협 분석 영향 높은 위협 검토

  위협 분석을 검토하여 환경에 영향을 주는 캠페인을 식별합니다. "영향력이 큰 위협" 테이블에는 organization 가장 큰 영향을 미친 위협이 나열됩니다. 이 섹션에서는 활성 경고가 있는 디바이스 수에 따라 위협의 순위를 지정합니다. 위협 분석을 통해 새로운 위협 추적 및 대응을 참조하세요.

보안 관리 팀

• 상태 보고서 검토

  상태 보고서를 검토하여 해결해야 하는 디바이스 상태 추세를 식별합니다. 디바이스 상태 보고서는 엔드포인트용 MICROSOFT DEFENDER AV 서명, 플랫폼 상태 및 EDR 상태를 다룹니다. 엔드포인트용 Microsoft Defender 디바이스 상태 보고서를 참조하세요.

• EDR(엔드포인트 검색 및 응답) 센서 상태 확인

  EDR 상태는 엔드포인트용 Defender가 취약성을 경고하고 식별하는 데 필요한 신호를 수신하는지 확인하기 위해 EDR 서비스에 대한 연결을 유지 관리합니다.

  비정상 디바이스를 검토합니다. 디바이스 상태, 센서 상태 & OS 보고서를 참조하세요.

• Microsoft Defender 바이러스 백신 상태 확인

  환경에서 엔드포인트용 Defender의 최상의 성능과 최신 검색을 위해 Microsoft Defender 바이러스 백신 업데이트의 상태 보는 것이 중요합니다. 디바이스 상태 페이지에는 플랫폼, 인텔리전스 및 엔진 버전에 대한 현재 상태 표시됩니다. 디바이스 상태, Microsoft Defender 바이러스 백신 상태 보고서를 참조하세요.

주간 활동

일반

• 메시지 센터

  Microsoft Defender XDR Microsoft 365 메시지 센터를 사용하여 새로운 기능 및 변경된 기능, 계획된 유지 관리 또는 기타 중요한 공지 사항과 같은 향후 변경 사항을 알립니다.

  메시지 센터 메시지를 검토하여 환경에 영향을 주는 향후 변경 내용을 이해합니다.

  상태 탭의 Microsoft 365 관리 센터 액세스할 수 있습니다. Microsoft 365 서비스 상태를 검사 방법을 참조하세요.

보안 운영 팀

• 위협 보고 검토

  상태 보고서를 검토하여 해결해야 하는 디바이스 위협 추세를 식별합니다. 위협 방지 보고서를 참조하세요.

• 위협 분석 검토

  위협 분석을 검토하여 환경에 영향을 주는 캠페인을 식별합니다. 위협 분석을 통해 새로운 위협 추적 및 대응을 참조하세요.

보안 관리 팀

• TVM(위협 및 취약성) 상태 검토

  TVM을 검토하여 조치가 필요한 새로운 취약성 및 권장 사항을 식별합니다. 취약성 관리 dashboard 참조하세요.

• 공격 표면 감소 보고 검토

  ASR 보고서를 검토하여 환경에 영향을 주는 파일을 식별합니다. 공격 표면 감소 규칙 보고서를 참조하세요.

• 웹 보호 이벤트 검토

  웹 방어 보고서를 검토하여 차단된 IP 주소 또는 URL을 식별합니다. 웹 보호를 참조하세요.

월별 활동

일반

최근 릴리스된 업데이트를 이해하려면 다음 문서를 검토하세요.

• 엔드포인트용 Microsoft Defender의 새로운 기능

• Windows의 엔드포인트용 Microsoft Defender 새로운 기능

• Mac의 엔드포인트용 Microsoft Defender 새로운 기능

• Linux의 엔드포인트용 Microsoft Defender 새로운 기능

• iOS의 엔드포인트용 Microsoft Defender 새로운 기능

• Android의 엔드포인트용 Microsoft Defender 새로운 기능

보안 관리 팀

• 정책에서 제외된 디바이스 검토

  엔드포인트용 Defender 정책에서 제외된 디바이스가 있는 경우 해당 디바이스를 정책에서 제외해야 하는지 여부를 검토하고 확인합니다.

  참고

  문제 해결 모드를 검토하여 문제를 해결합니다. 엔드포인트용 Microsoft Defender 문제 해결 모드 시작을 참조하세요.

정기적 으로

이러한 작업은 보안 상태에 대한 유지 관리로 간주되며 지속적인 보호에 중요합니다. 그러나 시간과 노력이 필요할 수 있으므로 이러한 작업을 수행하기 위해 유지할 수 있는 표준 일정을 설정하는 것이 좋습니다.

• 제외 검토

  사용자 환경에서 설정된 제외를 검토하여 더 이상 제외할 필요가 없는 항목을 제외하여 보호 격차를 만들지 않았는지 확인합니다.

• Defender 정책 구성 검토

  Defender 구성 설정을 주기적으로 검토하여 필요에 따라 설정되었는지 확인합니다.

• 자동화 수준 검토

  자동화된 조사 및 수정 기능에서 자동화 수준을 검토합니다. 자동화된 조사 및 수정의 자동화 수준을 참조하세요.

• 사용자 지정 검색 검토

  생성된 사용자 지정 검색이 여전히 유효하고 효과적인지 주기적으로 검토합니다. 사용자 지정 검색 검토를 참조하세요.

• 경고 표시 안 함 검토

  생성된 경고 제거 규칙을 주기적으로 검토하여 여전히 필요하고 유효한지 확인합니다. 경고 표시 안 함 검토를 참조하세요.

문제 해결

다음 문서에서는 엔드포인트용 Microsoft Defender 서비스를 설정할 때 발생할 수 있는 오류를 해결하고 수정하기 위한 지침을 제공합니다.

• 센서 상태 문제 해결
• 클라이언트 분석기를 사용한 센서 상태 문제 해결
• 실시간 대응 문제 해결
• LiveAnalyzer를 사용하여 지원 로그 수집
• 공격 표면 축소 문제 해결
• 온보딩 문제 해결

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.