XDR 인시던트 업데이트에 대한 Defender 전문가 이해 및 관리
적용 대상:
다음 섹션에서는 SOC 팀이 인시던트 알림 수신과 관련하여 가질 수 있는 질문을 나열합니다.
Microsoft Defender 포털 및 Graph 보안 API에서
| 질문 | 답변 |
|---|---|
| Defender 전문가 분석가가 인시던트 작업을 시작했는지 어떻게 알 수 있나요? | Defender 전문가 분석가가 인시던트 작업을 시작하면 인시던트의 할당 대상 필드가 Defender 전문가로 업데이트됩니다. |
| Defender 전문가 분석가가 인시던트를 해결했는지 어떻게 알 수 있나요? | Defender 전문가 분석가가 인시던트를 해결하면 인시 던트의 상태 필드가 해결됨으로 업데이트됩니다. |
| Defender 전문가 분석가가 인시던트를 해결하도록 이끈 결론은 어떻게 알 수 있나요? | Defender 전문가 분석가는 인시던트를 해결하면 인시던트의 분류 및 결정 필드를 수정하고 주석 섹션에 간결한 요약 을 제공합니다. 인시던트가 True Positive로 분류되면 Microsoft Defender 포털의 관리형 응답 플라이아웃 패널에 포괄적인 조사 요약이 표시됩니다. |
| 인시던트를 조사할 때 Defender 전문가 분석가가 내 테넌트에서 수행한 작업을 어떻게 알 수 있나요? | 조사하는 각 인시던트에 대해 Defender 전문가 분석가는 Microsoft Defender 포털의 관리되는 응답 플라이아웃 패널에 있는 인시던트의 조사 요약에서 테넌트 내에서 수행한 모든 작업을 요약합니다. Microsoft Purview 규정 준수 포털 또는 Office 365 관리 활동 API를 통해 감사 로그를 검색 하여 이러한 작업 및 테넌트 로그인 시간에 대한 정보를 검색할 수도 있습니다. |
| Defender 전문가 분석가가 SOC 팀을 위해 응답 작업을 보냈는지 어떻게 알 수 있나요? | Defender 전문가 분석가는 MICROSOFT Defender 포털의 인시던트 관리형 대응 플라이아웃 패널에서 SOC 팀이 인시던트에 대해 수행할 것을 권장하는 응답 작업을 게시합니다. 현재 인시던트의 할당 대상 필드가 고객 으로 업데이트되고 해당 상태가대기 중인 고객 작업으로 업데이트됩니다. Microsoft Defender 포털의 설정>Defender 전문가>알림 연락처에 지정한 인시던트 연락처도 주의가 필요한 응답 작업이 있는 경우 해당 이메일 알림을 받습니다. Microsoft Defender 포털의 설정>Defender 전문가> Teams에서 설정한 경우Teams 알림도 받게 됩니다. |
| 조사 또는 응답 작업에 대해 Defender 전문가 분석가에게 질문하려면 어떻게 해야 하나요? | Defender 전문가 분석가가 True Positive 인시던트 관리 형 응답 플라이아웃 패널에 조사 요약 및 권장 응답 작업을 게시한 후 동일한 패널의 채팅 탭을 사용하여 Defender 전문가 팀에게 인시던트 및 조사에 대해 질문할 수 있습니다. 또는 지정된 인시던트 연락처가 Defender 전문가로부터 받은 Teams 또는 이메일 알림에 직접 응답하여 질문할 수 있습니다. |
| 어떤 인시던트에 보류 중인 응답 작업이 있는지 어떻게 알 수 있나요? | Microsoft Defender 포털 홈페이지의 Defender 전문가 카드에는 메시지를 표시하는 링크가 포함되어 있습니다(예: 작업을 기다리는 인시던트 3건). 이 링크를 선택하면 특히 주의가 필요한 필터링된 인시던트 목록으로 이동합니다. 할당 대상을 고객으로 선택하거나 대기 중인 고객 작업으로 상태를 선택하여 Microsoft Defender 포털에서 인시던트 큐를 필터링할 수 있습니다. |
Microsoft Sentinel에서
| 질문 | 답변 |
|---|---|
| Sentinel에서 Defender 전문가 업데이트를 얻으려면 어떻게 하나요? | Microsoft Defender XDR과 Microsoft Sentinel 간에 데이터 커넥터를 사용하도록 설정한 경우 Defender의 Defender 전문가가 인시던트에 대한 업데이트를 Microsoft Sentinel과 동기화합니다.
자세히 알아보기. Microsoft Defender XDR 인시던트에 할당됨, 상태 및 분류 필드는 Sentinel의 해당 필드, 즉 소유자, 상태 및 종결 이유에 매핑됩니다. |
| Sentinel에서 Defender 전문가 업데이트를 가져와서 플레이북을 자동으로 트리거하려면 어떻게 해야 하나요? | Defender 전문가 업데이트를 받으려면 먼저 Sentinel에서 다음 Defender 전문가 업데이트로 트리거되는 자동화 규칙을 설정합니다.
|
| Sentinel에서 Defender 전문가가 게시한 관리되는 응답 작업에 액세스하는 방법 | Defender 전문가가 Microsoft Defender 포털에서 인시던트에 대한 관리되는 대응 작업을 게시하면 소유자 필드가 자동으로 고객 으로 업데이트되고 Sentinel에서 대기 중인 고객 작업 태그를 사용할 수 있습니다. 이러한 필드 변경 내용을 트리거로 사용하여 Microsoft Defender 포털에서 해당 인시던트에 대한 관리되는 응답 패널을 검토할 수 있습니다. |
타사 SIEM, SOAR 또는 ITSM 앱에서
| 질문 | 답변 |
|---|---|
| Microsoft Defender XDR에서 Defender 전문가 업데이트를 가져와서 타사 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션, 자동화 및 응답) 또는 ITSM(IT 서비스 관리) 앱과 동기화하려면 어떻게 해야 하나요? |
Graph 보안 API(microsoft.graph.security.incident)를 통해 Microsoft Defender XDR에서 Defender 전문가 업데이트를 받을 수 있습니다. 동기화 프로세스를 시작하려면 다음을 수행합니다.
|
| Microsoft Defender 포털의 Defender 전문가가 게시한 관리되는 응답 작업을 타사 SIEM, SOAR 또는 ITSM 앱과 동기화할 수 있나요? | Defender 전문가가 Microsoft Defender 포털에서 인시던트에 대한 관리형 대응 작업을 게시하면 할당 대상 필드가 고객 으로 변경되고 상태 필드가 대기 중인 고객 작업으로 업데이트됩니다. Graph Security API를 통해 이러한 필드를 동기화한 다음, 이러한 변경 내용을 트리거로 사용하여 Microsoft Defender 포털에서 관리되는 응답 작업을 검토할 수 있습니다. 관리형 응답 작업은 올해 말 Graph Security API에서 사용할 수 있을 것으로 예상되며, 이 시점에서 타사 앱과 동기화할 수 있습니다. |
다른 통신 서비스에서
| 질문 | 답변 |
|---|---|
| Microsoft Defender XDR에서 메일로 Defender 전문가 업데이트를 받을 수 있나요? | Defender 전문가 분석가가 인시던트에 대한 권장 응답 작업을 게시하면 지정된 인시던트 연락처는 Microsoft Defender 포털의 설정>Defender 전문가>알림 연락처 에 지정된 이메일 주소에 해당하는 이메일 알림을 받게 됩니다. 또한 모든 인시던트 업데이트를 지정된 전자 메일 주소로 자동으로 보내도록 논리 앱을 구성할 수 있습니다. |
| Microsoft Teams의 Microsoft Defender XDR에서 Defender 전문가 업데이트를 받을 수 있나요? | 양방향 채팅 기능은 Microsoft Defender 포털에서 인시던트의 관리형 응답 플라이아웃 패널을 통해 액세스할 수 있습니다. 또한 관리형 응답이 게시될 때 알림을 받고 Microsoft Teams 내에서 직접 Defender 전문가와 실시간 채팅 대화에 참여할 수 있습니다. Teams 설정에 대해 자세히 알아보기 |
| Microsoft Defender XDR에서 SMS 또는 전화 통화 업데이트 또는 Slack과 같은 타사 통신 서비스에서 Defender 전문가 업데이트를 받을 수 있나요? | Slack, Twilio, Azure Communication Services 등과 같은 통신 서비스에서 알림을 보내도록 논리 앱을 구성할 수 있습니다. |
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.