자동화된 조사 및 응답을 사용하여 손상된 사용자 계정 해결
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
Office 365용 Microsoft Defender 플랜 2에는 강력한 AIR(자동 조사 및 대응) 기능이 포함되어 있습니다. 이러한 기능을 사용하면 보안 운영 팀이 위협을 처리하는 데 많은 시간과 노력을 절약할 수 있습니다. 이 문서에서는 AIR 기능의 측면 중 하나인 손상된 사용자 보안 플레이북에 대해 설명합니다.
손상된 사용자 보안 플레이북을 사용하면 organization 보안 팀이 다음을 수행할 수 있습니다.
- 손상된 사용자 계정의 검색 속도를 향상합니다.
- 계정이 손상되면 위반 scope 제한합니다.
- 손상된 사용자에게 보다 효과적이고 효율적으로 대응합니다.
손상된 사용자 경고
사용자 계정이 손상되면 비정형 또는 비정상적인 동작이 발생합니다. 예를 들어 피싱 및 스팸 메시지는 신뢰할 수 있는 사용자 계정에서 내부적으로 전송될 수 있습니다. Office 365용 Defender Office 365 내에서 이메일 패턴 및 공동 작업에서 이러한 변칙을 검색할 수 있습니다. 이 경우 경고가 트리거되고 위협 완화 프로세스가 시작됩니다.
손상된 사용자 조사 및 대응
사용자 계정이 손상되면 경고가 트리거됩니다. 그리고 경우에 따라 해당 사용자 계정이 차단되고 organization 보안 운영 팀에서 문제가 해결될 때까지 추가 전자 메일 메시지를 보내지 못하게 됩니다. 다른 경우에는 자동화된 조사가 시작되므로 보안 팀이 수행해야 하는 권장 작업이 발생할 수 있습니다.
중요
다음 작업을 수행하려면 적절한 권한이 있어야 합니다. AIR 기능을 사용하는 데 필요한 권한을 참조하세요.
이 짧은 비디오를 시청하여 AIR(자동 조사 및 대응) 및 손상된 사용자 경고를 사용하여 Office 365용 Microsoft Defender 사용자 손상을 감지하고 대응하는 방법을 알아봅니다.
제한된 사용자 보기 및 조사
제한된 사용자 목록으로 이동할 수 있는 몇 가지 옵션이 있습니다. 예를 들어 Microsoft Defender 포털에서 Email & 협업>제한된 사용자 검토>로 이동하면됩니다. 다음 절차에서는 트리거되었을 수 있는 다양한 종류의 경고를 확인하는 좋은 방법인 경고 dashboard 사용하여 탐색하는 방법을 설명합니다.
에서 https://security.microsoft.com Microsoft Defender 포털을 열고 인시던트 & 경고 경고로> 이동합니다. 또는 경고 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/alerts.
경고 페이지에서 기간을 기준으로 결과를 필터링하고 User라는 정책은 전자 메일 보내기가 제한됩니다.
이름을 클릭하여 항목을 선택하면 사용자가 전자 메일 보내기가 제한된 페이지가 열리고 검토할 추가 세부 정보가 표시됩니다. 경고 관리 단추 옆에 있는 추가 옵션을 클릭한 다음 제한된 사용자 세부 정보 보기를 선택하여 제한된 사용자 페이지로 이동하여 제한된 사용자를 해제할 수 있습니다.
자동화된 조사에 대한 세부 정보 보기
자동화된 조사가 시작되면 Microsoft Defender 포털의 알림 센터에서 세부 정보 및 결과를 볼 수 있습니다.
자세한 내용은 조사 세부 정보 보기를 참조하세요.
다음 사항에 유의하세요.
경고를 계속 유지합니다. 아시다시피, 손상이 감지되지 않는 시간이 길어질수록 organization, 고객 및 파트너에게 광범위한 영향과 비용이 발생할 가능성이 커집니다. 조기 검색 및 시기 적절한 대응은 특히 사용자의 계정이 손상된 경우 위협을 완화하는 데 중요합니다.
Automation은 보안 운영 팀을 지원합니다. 자동화된 조사 및 대응 기능은 초기에 손상된 사용자를 감지하고 보안 운영 팀이 위협을 수정하기 위한 조치를 취할 수 있도록 할 수 있습니다. 이에 대한 도움이 필요하세요? 작업 검토 및 승인을 참조하세요.