다음을 통해 공유


Microsoft Defender 포털의 인시던트 대응

Microsoft Defender 포털의 인 시던 트 는 공격 스토리를 구성하는 관련 경고 및 관련 데이터의 컬렉션입니다. SOC가 공격을 조사하고 이에 대한 응답을 관리, 구현 및 문서화하는 데 사용할 수 있는 사례 파일이기도 합니다.

Microsoft Sentinel 및 Microsoft Defender 서비스는 의심스럽거나 악의적인 이벤트 또는 활동을 검색할 때 경고를 만듭니다. 개별 경고는 완료되거나 지속적인 공격에 대한 중요한 증거를 제공합니다. 그러나 점점 더 널리 퍼지고 정교한 공격은 일반적으로 디바이스, 사용자 및 사서함과 같은 다양한 유형의 자산 엔터티에 대해 다양한 기술과 벡터를 사용합니다. 그 결과 디지털 자산의 여러 자산 엔터티에 대한 여러 원본의 여러 경고가 생성됩니다.

개별 경고는 각각 이야기의 일부만 알려주고 공격에 대한 인사이트를 얻기 위해 개별 경고를 수동으로 그룹화하기 때문에 어렵고 시간이 오래 걸릴 수 있으므로 통합 보안 운영 플랫폼은 Microsoft Sentinel과 Microsoft Defender XDR 모두에서 관련된 경고를 자동으로 식별하고 해당 경고와 관련 정보를 인시던트에 집계합니다.

Microsoft Defender XDR이 엔터티의 이벤트를 인시던트에 연결하는 방법

관련 경고를 인시던트에 그룹화하면 공격에 대한 포괄적인 보기를 제공합니다. 예를 들어 다음을 볼 수 있습니다.

  • 공격이 시작된 위치.
  • 어떤 전술이 사용되었는지.
  • 공격이 디지털 자산에 얼마나 멀리 들어갔는지.
  • 영향을 받은 디바이스, 사용자 및 사서함 수와 같은 공격 범위입니다.
  • 공격과 관련된 모든 데이터입니다.

Microsoft Defender 포털의 통합 보안 운영 플랫폼에는 인시던트 심사, 조사 및 해결을 자동화하고 지원하는 방법이 포함되어 있습니다.

  • Defender의 Microsoft Copilot 는 AI를 활용하여 명확하게 설명된 공격 사례를 사용한 엔드투엔드 인시던트 조사 및 대응, 단계별 실행 가능한 수정 지침 및 인시던트 활동 요약 보고서, 자연어 KQL 헌팅 및 전문가 코드 분석을 포함하여 복잡하고 시간이 많이 걸리는 일일 워크플로를 통해 분석가를 지원하여 Microsoft Sentinel 및 Defender XDR 데이터 전반의 SOC 효율성에 최적화합니다.

    이 기능은 Microsoft Sentinel이 통합 플랫폼, 사용자 및 엔터티 동작 분석, 변칙 검색, 다단계 위협 탐지 등의 영역에서 제공하는 다른 AI 기반 기능 외에도 제공됩니다.

  • 자동화된 공격 중단은 Microsoft Defender XDR 및 Microsoft Sentinel에서 수집된 신뢰도 높은 신호를 사용하여 위협을 포함하고 영향을 제한하는 컴퓨터 속도로 활성 공격을 자동으로 중단합니다.

  • 사용하도록 설정하면 Microsoft Defender XDR은 자동화 및 인공 지능을 통해 Microsoft 365 및 Entra ID 원본의 경고를 자동으로 조사하고 해결할 수 있습니다. 추가 수정 단계를 수행하여 공격을 해결할 수도 있습니다.

  • Microsoft Sentinel 자동화 규칙은 원본에 관계없이 인시던트 심사, 할당 및 관리를 자동화할 수 있습니다. 콘텐츠에 따라 인시던트에 태그를 적용하고, 노이즈(가양성) 인시던트 표시 안 함, 적절한 기준을 충족하는 해결된 인시던트 닫기, 이유를 지정하고 주석을 추가할 수 있습니다.

중요

Microsoft Sentinel은 이제 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

Microsoft Defender 포털의 인시던트 및 경고

Microsoft Defender 포털의 빠른 시작 시 조사 & 대응 > 인시던트 > & 경고 인시던트에서 인시던트 관리를 관리합니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 페이지입니다.

인시던트 이름을 선택하면 다음을 포함하여 인시던트 전체 공격 스토리 부터 시작하여 인시던트 페이지가 표시됩니다.

  • 인시던트 내 경고 페이지: 인시던트와 관련된 경고의 범위 및 동일한 탭의 해당 정보입니다.

  • 그래프: 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스, 앱 및 사서함과 같이 공격의 대상을 구성하는 자산 엔터티와 연결하는 공격의 시각적 표현입니다.

그래프에서 직접 자산 및 기타 엔터티 세부 정보를 보고 계정 비활성화, 파일 삭제 또는 디바이스 격리와 같은 응답 옵션을 사용하여 작업할 수 있습니다.

Microsoft Defender 포털에서 인시던트에 대한 공격 스토리 페이지를 보여 주는 스크린샷

인시던트 페이지는 다음 탭으로 구성됩니다.

  • 공격 스토리

    위에서 언급한 이 탭에는 수행된 모든 경고, 자산 엔터티 및 수정 작업을 포함하여 공격의 타임라인이 포함됩니다.

  • 경고

    인시던트, 해당 원본 및 정보와 관련된 모든 경고입니다.

  • 자산

    인시던트에 속하거나 관련된 것으로 확인된 모든 자산(디바이스, 사용자, 사서함, 앱 및 클라우드 리소스와 같은 보호된 엔터티)

  • 조사

    조사 상태 및 결과를 포함하여 인시던트 경고에 의해 트리거 되는 모든 자동화된 조사입니다.

  • 증거 및 응답

    인시던트 경고의 모든 의심스러운 엔터티는 공격 스토리를 지원하는 증거를 구성합니다. 이러한 엔터티에는 IP 주소, 파일, 프로세스, URL, 레지스트리 키 및 값 등이 포함될 수 있습니다.

  • 요약

    경고와 관련된 영향을 받은 자산에 대한 간략한 개요입니다.

참고

지원되지 않는 경고 유형 경고 상태가 표시되면 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.

Microsoft Defender 포털의 인시던트 대응 워크플로 예제

다음은 Microsoft Defender 포털을 사용하여 Microsoft 365의 인시던트에 대응하기 위한 워크플로 예제입니다.

Microsoft Defender 포털에 대한 인시던트 대응 워크플로의 예입니다.

지속적인 기준에 따라 인시던트 큐에서 분석 및 해결을 위해 우선순위가 가장 높은 인시던트를 식별하고 대응을 준비합니다. 이러한 조치는 다음으로 구성됩니다.

  • 인시던트 큐 필터링 및 정렬을 통해 우선 순위가 가장 높은 인시던트 결정 심사
  • 타이틀을 수정하고, 분석가에게 할당하고, 태그와 주석을 추가하여 인시던트를 관리합니다.

Microsoft Sentinel 자동화 규칙을 사용하여 일부 인시던트가 생성될 때 자동으로 심사 및 관리(및 응답)하여 큐에서 가장 쉽게 처리할 수 있는 인시던트가 제거될 수 있습니다.

사용자 고유의 인시던트 대응 워크플로에 대해 다음 단계를 고려합니다.

단계 단계
각 인시던트에 대해 공격 및 경고 조사 및 분석을 시작합니다.
  1. 인시던트의 공격 스토리를 보고 해당 범위, 심각도, 검색 원본 및 영향을 받는 자산 엔터티를 이해합니다.
  2. 인시던트 내의 경고 스토리를 사용하여 해당 원본, 범위 및 심각도를 이해하기 위해 경고 분석을 시작합니다.
  3. 필요에 따라 영향을 받은 디바이스, 사용자 및 사서함에 대한 정보를 그래프로 수집합니다. 모든 엔터티를 선택하여 모든 세부 정보가 포함된 플라이아웃을 엽니다. 자세한 인사이트를 보려면 엔터티 페이지로 이동합니다.
  4. 조사 탭을 사용하여 Microsoft Defender XDR이 일부 경고를 자동으로 해결하는 방법을 알아보세요.
  5. 필요에 따라 인시던트에 대한 데이터 집합의 정보를 사용하여 증거 및 응답 탭을 사용하여 자세한 내용을 확인합니다.
분석 후 또는 분석 중에 억제를 수행하여 보안 위협의 공격 및 제거에 대한 추가 영향을 줄입니다. 예를 들면 다음과 같습니다.
  • 손상된 사용자 사용 안 함
  • 영향을 받은 디바이스 격리
  • 적대적인 IP 주소를 차단합니다.
  • 가능하면 테넌트 리소스를 인시던트 이전 상태로 복원하여 공격으로부터 복구합니다.
    인시던트 해결 및 결과 문서화 인시던트 후 학습에 시간을 내어 다음을 수행합니다.
  • 공격의 유형과 그 영향에 대해 이해합니다.
  • 보안 공격 추세에 대한 위협 분석 및 보안 커뮤니티의 공격을 조사합니다.
  • 인시던트 해결에 사용한 워크플로를 회수하고 필요한 경우 표준 워크플로, 프로세스, 정책 및 플레이북을 업데이트합니다.
  • 보안 구성의 변경이 필요한지 여부를 결정하고 구현합니다.
  • 보안 분석을 처음 접하는 경우 추가 정보는 첫 번째 인시던트에 대응하고 예제 인시던트를 단계별로 진행하는 소개를 참조하세요.

    Microsoft 제품의 인시던트 대응에 대한 자세한 내용은 이 문서를 참조하세요.

    Microsoft Defender 포털에서 보안 작업 통합

    다음은 Microsoft Defender 포털에서 SecOps(보안 작업) 프로세스를 통합하는 예제입니다.

    Microsoft Defender XDR에 대한 보안 작업의 예

    일상적인 작업에는 다음이 포함될 수 있습니다.

    월별 작업에는 다음이 포함될 수 있습니다.

    분기별 작업에는 CISO(최고 정보 보안 책임자)에 대한 보안 결과 보고서 및 브리핑이 포함될 수 있습니다.

    연간 작업에는 직원, 시스템 및 프로세스를 테스트하기 위한 주요 인시던트 또는 위반 연습 수행이 포함될 수 있습니다.

    매일, 매월, 분기별 및 연간 작업을 사용하여 프로세스, 정책 및 보안 구성을 업데이트하거나 구체화할 수 있습니다.

    자세한 내용은 보안 작업에 Microsoft Defender XDR 통합을 참조하세요 .

    Microsoft 제품 전반의 SecOps 리소스

    Microsoft 제품 전반의 SecOps에 대한 자세한 내용은 다음 리소스를 참조하세요.

    전자 메일로 인시던트 알림

    Microsoft Defender 포털을 설정하여 직원에게 새 인시던트 또는 기존 인시던트에 대한 업데이트에 대한 이메일을 알릴 수 있습니다. 다음을 기반으로 알림을 받도록 선택할 수 있습니다.

    • 경고 심각도
    • 경고 소스
    • 디바이스 그룹

    인시던트에 대한 이메일 알림을 설정하려면 인시 던트에 대한 이메일 알림 받기를 참조하세요.

    보안 분석가를 위한 교육

    Microsoft Learn의 이 학습 모듈을 사용하여 Microsoft Defender XDR을 사용하여 인시던트 및 경고를 관리하는 방법을 이해합니다.

    교육: Microsoft Defender XDR을 사용하여 인시던트 조사
    Microsoft Defender XDR 교육 아이콘을 사용하여 인시던트 조사 Microsoft Defender XDR은 여러 서비스의 위협 데이터를 통합하고 AI를 사용하여 인시던트 및 경고로 결합합니다. 인시던트와 후속 조치와 해결을 위한 관리 사이의 시간을 최소화하는 방법을 배워보세요.

    27분 - 6단원

    다음 단계

    보안 팀의 환경 수준 또는 역할에 따라 나열된 단계를 사용합니다.

    경험 수준

    보안 분석 및 인시던트 대응에 대한 경험 수준을 보려면 이 표를 따르세요.

    수준 단계
    새로운
    1. 예제 공격을 사용하여 Microsoft Defender 포털에서 일반적인 분석, 수정 및 인시던트 후 검토 프로세스를 단계별 둘러보려면 첫 번째 인시던트 대응 연습을 참조하세요.
    2. 심각도 및 기타 요인에 따라 우선 순위를 지정 해야 하는 인시던트 확인
    3. 인시던트 관리 워크플로에 따라 태그 및 주석의 이름 바꾸기, 할당, 분류 및 추가를 포함하는 인시던트 관리
    경험을 가진
    1. Microsoft Defender 포털의 인 시던트 페이지에서 인시던트 큐를 시작합니다. 여기에서 다음을 수행할 수 있습니다.
    2. 위협 분석을 사용하여 새로운 위협을 추적하고 대응합니다.
    3. 고급 위협 헌팅을 사용하여 위협을 사전에 헌팅합니다.
    4. 피싱, 암호 스프레이 및 앱 동의 허용 공격에 대한 자세한 지침은 이러한 인시던트 대응 플레이북 을 참조하세요.

    보안 팀 역할

    보안 팀 역할에 따라 이 표를 따릅니다.

    역할 단계
    인시던트 응답자(계층 1) Microsoft Defender 포털의 인 시던트 페이지에서 인시던트 큐를 시작합니다. 여기에서 다음을 수행할 수 있습니다.
    • 심각도 및 기타 요인에 따라 우선 순위를 지정 해야 하는 인시던트 확인
    • 인시던트 관리 워크플로에 따라 태그 및 주석의 이름 바꾸기, 할당, 분류 및 추가를 포함하는 인시던트 관리
    보안 조사자 또는 분석가(계층 2)
    1. Microsoft Defender 포털의 인시던트 페이지에서 인시던트에 대한 조사를 수행합니다.
    2. 피싱, 암호 스프레이 및 앱 동의 허용 공격에 대한 자세한 지침은 이러한 인시던트 대응 플레이북 을 참조하세요.
    고급 보안 분석가 또는 위협 헌터(계층 3)
    1. Microsoft Defender 포털의 인시던트 페이지에서 인시던트에 대한 조사를 수행합니다.
    2. 위협 분석을 사용하여 새로운 위협을 추적하고 대응합니다.
    3. 고급 위협 헌팅을 사용하여 위협을 사전에 헌팅합니다.
    4. 피싱, 암호 스프레이 및 앱 동의 허용 공격에 대한 자세한 지침은 이러한 인시던트 대응 플레이북 을 참조하세요.
    SOC 관리자 Microsoft Defender XDR을 SOC(보안 운영 센터)에 통합하는 방법을 참조하세요.

    더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.