다음을 통해 공유

Microsoft Defender XDR에서 경고 조사

  • 아티클

적용 대상:

  • Microsoft Defender XDR

참고

이 문서에서는 Microsoft Defender XDR의 보안 경고에 대해 설명합니다. 그러나 사용자가 Microsoft 365에서 특정 활동을 수행할 때 활동 경고를 사용하여 자신 또는 다른 관리자에게 전자 메일 알림을 보낼 수 있습니다. 자세한 내용은 활동 경고 만들기 - Microsoft Purview | Microsoft Docs.

경고는 모든 인시던트의 기초이며 환경에서 악의적이거나 의심스러운 이벤트가 발생했음을 나타냅니다. 경고는 일반적으로 광범위한 공격의 일부이며 인시던트에 대한 단서를 제공합니다.

Microsoft Defender XDR에서 관련 경고는 인 시던트 형성을 위해 함께 집계됩니다. 인시던트에서는 항상 공격의 광범위한 컨텍스트를 제공하지만, 심층 분석이 필요할 때 경고를 분석하는 것이 유용할 수 있습니다.

경고 큐에는 현재 경고 집합이 표시됩니다. Microsoft Defender 포털의 빠른 시작 시 인시던트 & 경고 경고에서 경고 > 큐로 이동합니다.

Microsoft Defender 포털의 경고 섹션

엔드포인트용 Microsoft Defender, Office 365용 Defender, Microsoft Sentinel, 클라우드용 Defender, Defender for Identity, Defender for Cloud Apps, Defender XDR, 앱 거버넌스, Microsoft Entra ID Protection 및 Microsoft 데이터 손실 방지와 같은 다양한 Microsoft 보안 솔루션의 경고가 여기에 표시됩니다.

기본적으로 Microsoft Defender 포털의 경고 큐에는 지난 7일 동안의 신규 및 진행 중인 경고가 표시됩니다. 가장 최근 경고가 목록 맨 위에 있으므로 가장 먼저 볼 수 있습니다.

기본 경고 큐에서 필터 를 선택하여 경고의 하위 집합을 지정할 수 있는 필터 창을 볼 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털의 필터 섹션입니다.

다음 기준에 따라 경고를 필터링할 수 있습니다.

  • 심각도
  • 상태
  • Categories
  • 서비스/검색 원본
  • 태그
  • 정책
  • 엔터티(영향을 받는 자산)
  • 자동화된 조사 상태
  • 경고 구독 ID

참고

이제 Microsoft Defender XDR 고객은 손상된 디바이스가 IoT용 Microsoft Defender 및 엔드포인트용 Microsoft Defender의 디바이스 검색 통합을 통해 엔터프라이즈 네트워크에 연결된 OT(운영 기술) 디바이스와 통신하는 경고로 인시던트를 필터링할 수 있습니다. 이러한 인시던트를 필터링하려면 서비스/검색 원본에서 Any 를 선택한 다음 제품 이름에서 Microsoft Defender for IoT 를 선택하거나 Defender 포털의 Microsoft Defender for IoT에서 인시던트 및 경고 조사를 참조하세요. 디바이스 그룹을 사용하여 사이트별 경고를 필터링할 수도 있습니다. Defender for IoT 필수 구성 요소에 대한 자세한 내용은 Microsoft Defender XDR에서 엔터프라이즈 IoT 모니터링 시작을 참조하세요.

경고에는 특정 색 배경이 있는 시스템 태그 및/또는 사용자 지정 태그가 있을 수 있습니다. 사용자 지정 태그는 흰색 배경을 사용하고 시스템 태그는 일반적으로 빨간색 또는 검은색 배경색을 사용합니다. 시스템 태그는 인시던트에서 다음을 식별합니다.

  • 랜섬웨어 또는 자격 증명 피싱과 같은 공격 유형
  • 자동 조사 및 대응 및 자동 공격 중단과 같은 자동 작업
  • 인시던트를 처리하는 Defender 전문가
  • 시던트에 관련된 중요한 자산

미리 정의된 분류를 기반으로 하는 Microsoft의 보안 노출 관리는 디바이스, ID 및 클라우드 리소스를 중요한 자산으로 자동으로 태그를 지정합니다. 이 기본 제공 기능은 조직의 중요하고 가장 중요한 자산을 보호할 수 있도록 합니다. 또한 보안 운영 팀이 조사 및 수정의 우선 순위를 지정하는 데 도움이 됩니다. 중요한 자산 관리에 대해 자세히 알아보세요.

Office 365용 Defender 경고에 필요한 역할

Office 365용 Microsoft Defender 경고에 액세스하려면 다음 역할 중 일부가 있어야 합니다.

  • Microsoft Entra 전역 역할의 경우:

    • 전역 관리자
    • 보안 관리자
    • 보안 운영자
    • 전역 읽기 권한자
    • 보안 읽기 권한자

  • Office 365 보안 & 규정 준수 역할 그룹

    • 준수 관리자
    • 조직 관리

  • 사용자 지정 역할

참고

보안을 강화하려면 권한이 적은 역할을 사용하는 것이 좋습니다. 권한이 많은 전역 관리자 역할은 다른 역할이 적합하지 않은 경우에만 비상 상황에서만 사용해야 합니다.

경고 분석

기본 경고 페이지를 보려면 경고 이름을 선택합니다. 다음은 예입니다.

Microsoft Defender 포털의 경고 세부 정보를 보여 주는 스크린샷

경고 관리 창에서 기본 경고 페이지 열기 작업을 선택할 수도 있습니다.

경고 페이지는 다음 섹션으로 구성됩니다.

  • 시간순으로 이 경고와 관련된 이벤트 및 경고의 체인인 경고 스토리
  • 요약 정보

경고 페이지 전체에서 엔터티 옆에 있는 타원(...)을 선택하여 경고를 다른 인시던트에 연결하는 것과 같은 사용 가능한 작업을 볼 수 있습니다. 사용 가능한 작업 목록은 경고 유형에 따라 다릅니다.

경고 소스

Microsoft Defender XDR 경고는 엔드포인트용 Microsoft Defender, Office 365용 Defender, Defender for Identity, Defender for Cloud Apps, 클라우드용 Microsoft Defender 앱용 앱 거버넌스 추가 기능, Microsoft Entra ID Protection 및 Microsoft 데이터 손실 방지와 같은 솔루션에서 제공됩니다. 경고에 앞에 문자가 추가된 경고가 표시될 수 있습니다. 다음 표는 경고에 추가된 문자를 기반으로 경고 소스의 매핑을 이해하는 데 도움이 되는 지침을 제공합니다.

참고

  • 앞에 추가된 GUID는 통합 경고 큐, 통합 경고 페이지, 통합 조사 및 통합 인시던트와 같은 통합 환경에만 적용됩니다.
  • 앞에 추가된 문자는 경고의 GUID를 변경하지 않습니다. GUID에 대한 유일한 변경 내용은 앞에 추가된 구성 요소입니다.
경고 소스 앞에 추가된 문자가 있는 경고 ID
Microsoft Defender XDR ra{GUID}
ta{GUID} ThreatExperts의 경고에 대한
ea{GUID} 사용자 지정 검색의 경고에 대한
Office 365용 Microsoft Defender fa{GUID}
예: fa123a456b-c789-1d2e-12f1g33h445h6i
엔드포인트용 Microsoft Defender da{GUID}
ed{GUID} 사용자 지정 검색의 경고에 대한
ID용 Microsoft Defender aa{GUID}
예: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
예: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection ad{GUID}
앱 거버넌스 ma{GUID}
Microsoft 데이터 손실 방지 dl{GUID}
Microsoft Defender for Cloud dc{GUID}
Microsoft Sentinel sn{GUID}

Microsoft Entra IP 경고 서비스 구성

  1. Microsoft Defender 포털(security.microsoft.com)으로 이동하여 설정>Microsoft Defender XDR을 선택합니다.

  2. 목록에서 경고 서비스 설정을 선택한 다음 Microsoft Entra ID Protection 경고 서비스를 구성합니다.

    Microsoft Defender 포털의 Microsoft Entra ID Protection 경고 설정 스크린샷

기본적으로 보안 운영 센터에 대한 가장 관련성이 큰 경고만 사용하도록 설정됩니다. 모든 Microsoft Entra IP 위험 검색을 가져오려면 경고 서비스 설정 섹션에서 변경할 수 있습니다.

Microsoft Defender 포털의 인시던트 페이지에서 직접 경고 서비스 설정에 액세스할 수도 있습니다.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

영향을 받는 자산 분석

수행한 작업 섹션에는 이 경고의 영향을 받는 편지함, 장치 및 사용자와 같은 영향을 받는 자산 목록이 있습니다.

알림 센터에서 보기를 선택하여 Microsoft Defender 포털에서 알림 센터의기록 탭을 볼 수도 있습니다.

경고 스토리에서 경고의 역할 추적

경고 스토리는 프로세스 트리 보기에서 경고와 관련된 모든 자산 또는 엔터티를 표시합니다. 타이틀의 경고는 선택한 경고 페이지에 처음 방문했을 때 초점이 맞춰진 경고입니다. 경고 스토리의 자산은 확장 가능하고 클릭할 수 있습니다. 추가 정보를 제공하고 경고 페이지의 컨텍스트에서 바로 조치를 취할 수 있도록 하여 응답을 신속하게 처리합니다.

참고

경고 스토리 섹션에는 두 개 이상의 경고가 포함될 수 있으며, 선택한 경고 전후에 동일한 실행 트리와 관련된 추가 경고가 나타날 수 있습니다.

세부 정보 페이지에서 더 많은 경고 정보 보기

세부 정보 페이지에는 선택한 경고의 세부 정보와 관련된 세부 정보 및 작업이 표시됩니다. 경고 스토리에서 영향을 받는 자산 또는 엔터티를 선택하면 선택한 개체에 대한 컨텍스트 정보 및 작업을 제공하도록 세부 정보 페이지가 변경됩니다.

관심 있는 엔터티를 선택하면 세부 정보 페이지가 변경되어 선택한 엔터티 유형에 대한 정보, 사용 가능한 경우 기록 정보 및 경고 페이지에서 직접 이 엔터티에 대한 작업을 수행할 수 있는 옵션이 표시됩니다.

경고 관리

경고를 관리하려면 경고 페이지의 요약 세부 정보 섹션에서 경고 관리를 선택합니다. 단일 경고의 경우 경고 관리 창의 예는 다음과 같습니다.

Microsoft Defender 포털의 경고 관리 섹션 스크린샷

경고 관리 창을 사용하면 다음을 보거나 지정할 수 있습니다.

  • 경고 상태(신규, 해결됨, 진행 중).
  • 경고가 할당된 사용자 계정입니다.
  • 경고 분류:
    • 설정 안 됨 (기본값).
    • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 경보에 이 분류를 사용하세요. 이 위협 유형을 지정하면 보안 팀이 위협 패턴을 확인하고 조직으로부터 조직을 보호하기 위해 조치를 수행합니다.
    • 활동 유형이 있는 정보 및 예상 활동입니다. 기술적으로 정확하지만 정상적인 동작 또는 시뮬레이션된 위협 활동을 나타내는 경고에는 이 옵션을 사용합니다. 일반적으로 이러한 경고를 무시하려고 하지만 실제 공격자 또는 맬웨어에 의해 활동이 트리거되는 향후 유사한 활동을 기대합니다. 이 범주의 옵션을 사용하여 보안 테스트, 빨간색 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 경고를 분류합니다.
    • 악의적인 활동이 없거나 거짓 알람이 있더라도 생성된 경고 유형에 대한 가양성입니다. 이 범주의 옵션을 사용하여 정상 이벤트 또는 활동으로 잘못 식별된 경고를 악의적이거나 의심스러운 것으로 분류합니다. 실제 위협을 파악하는 데 유용할 수 있는 '정보 제공, 예상 활동'에 대한 경고와 달리 일반적으로 이러한 경고를 다시 보고 싶지는 않습니다. 경고를 가양성으로 분류하면 Microsoft Defender XDR이 검색 품질을 개선하는 데 도움이 됩니다.
  • 경고에 대한 설명입니다.

참고

2022년 8월 29일 경, 이전에 지원된 경고 결정 값('Apt' 및 'SecurityPersonnel')은 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.

참고

관리의 한 가지 방법은 태그를 사용하여 경고합니다. Office 365용 Microsoft Defender에 대한 태그 지정 기능은 점진적으로 출시되고 있으며 현재 미리 보기로 제공됩니다.

현재 수정된 태그 이름은 업데이트 후에 생성된 경고에만 적용됩니다. 수정 전에 생성된 경고는 업데이트된 태그 이름을 반영하지 않습니다.

특정 경고와 유사한 경고 집합을 관리하려면 경고 페이지의 요약 세부 정보 섹션에 있는 INSIGHT 상자에서 유사한 경고 보기를 선택합니다.

Microsoft Defender 포털에서 경고 선택 스크린샷

경고 관리 창에서 관련된 모든 경고를 동시에 분류할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털에서 관련 경고 관리 스크린샷

과거에 유사한 경고가 이미 분류된 경우 Microsoft Defender XDR 권장 사항을 사용하여 다른 경고가 해결된 방법을 알아보면 시간을 절약할 수 있습니다. 요약 세부 정보 섹션에서 추천을 선택합니다.

경고에 대한 권장 사항을 선택하는 예제의 스크린샷

권장 사항 탭은 조사, 해결 및 예방을 위한 다음 단계 조치 및 조언을 제공합니다. 다음은 예입니다.

경고 권장 사항의 예 스크린샷

경고 조정

SOC(보안 운영 센터) 분석가로서 가장 큰 문제 중 하나는 매일 트리거되는 경고 수를 심사하는 것입니다. 분석가의 시간은 심각도가 높고 우선 순위가 높은 경고에만 집중하려고 하는 것이 중요합니다. 한편, 분석가는 수동 프로세스인 경향이 있는 낮은 우선 순위 경고를 심사하고 해결해야 합니다.

이전에 경고 억제라고도 하는 경고 튜닝은 경고를 미리 조정하고 관리하는 기능을 제공합니다. 이렇게 하면 특정 예상 조직 동작이 발생하고 규칙 조건이 충족될 때마다 경고 큐를 간소화하고 경고를 자동으로 숨기거나 해결하여 심사 시간을 절약할 수 있습니다.

경고 튜닝 규칙은 파일, 프로세스, 예약된 작업 및 경고를 트리거하는 기타 유형의 증거와 같은 증거 유형을 기반으로 조건을 지원합니다. 경고 튜닝 규칙을 만든 후 선택한 경고 또는 정의된 조건을 충족하는 경고 유형에 적용하여 경고를 튜닝합니다.

일반 공급으로 경고 튜닝은 엔드포인트용 Defender에서만 경고를 캡처합니다. 그러나 미리 보기에서 경고 튜닝은 Office 365용 Defender, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID Protection(Microsoft Entra IP) 등 다른 Microsoft Defender XDR 서비스로도 확장됩니다( 플랫폼 및 계획에서 사용할 수 있는 경우).

주의

알려진 내부 비즈니스 애플리케이션 또는 보안 테스트가 예상 활동을 트리거하고 경고를 보고 싶지 않은 시나리오의 경우 경고 튜닝을 주의해서 사용하는 것이 좋습니다.

경고를 조정하는 규칙 조건 만들기

Microsoft Defender XDR 설정 영역 또는 경고 세부 정보 페이지에서 경고 튜닝 규칙을 만듭니다. 계속하려면 다음 탭 중 하나를 선택합니다.

  1. Microsoft Defender 포털에서 설정 > Microsoft Defender XDR > 경고 튜닝을 선택합니다.

    Microsoft Defender XDR 설정 페이지의 경고 튜닝 옵션 스크린샷

  2. 새 규칙 추가를 선택하여 새 경고를 튜닝하거나 기존 규칙 행을 선택하여 변경합니다. 규칙 제목을 선택하면 연결된 경고 목록을 보거나 조건을 편집하거나 규칙을 켜고 끌 수 있는 규칙 세부 정보 페이지가 열립니다.

  3. 경고 조정 창의 서비스 원본 선택에서 적용할 규칙을 지정할 서비스 원본을 선택합니다. 권한이 있는 서비스만 목록에 표시됩니다. 예:

    경고 튜닝 페이지의 서비스 원본 드롭다운 메뉴 스크린샷

  4. 조건 영역에서 경고 트리거에 대한 조건을 추가합니다. 예를 들어 특정 파일을 만들 때 경고가 트리거되지 않도록 하려면 File:Custom 트리거에 대한 조건을 정의하고 파일 세부 정보를 정의합니다.

    경고 튜닝 페이지의 IOC 메뉴 스크린샷

    • 나열된 트리거는 선택한 서비스 원본에 따라 다릅니다. 트리거는 파일, 프로세스, 예약된 작업 및 AMSI(맬웨어 방지 검색 인터페이스) 스크립트, WMI(Windows Management Instrumentation) 이벤트 또는 예약된 작업을 포함하여 경고를 트리거할 수 있는 기타 증거 유형과 같은 모든 IOC(손상 지표)입니다.

    • 여러 규칙 조건을 설정하려면 필터 추가 를 선택하고 AND, OR 및 그룹화 옵션을 선택하여 경고를 트리거하는 여러 증거 유형 간의 관계를 정의합니다. 추가 증거 속성은 조건 값을 정의할 수 있는 새 하위 그룹으로 자동으로 채워집니다. 조건 값은 대/소문자를 구분하지 않으며 일부 속성은 와일드카드를 지원합니다.

  5. 경고 조정 창의 작업 영역에서 경고 숨기기 또는 경고 해결 중에서 규칙에서 수행할 관련 작업을 선택합니다.

  6. 경고의 의미 있는 이름과 경고를 설명하는 주석을 입력한 다음 저장을 선택합니다.

참고

경고 제목(이름)은 경고 제목을 결정하는 경고 유형(IoaDefinitionId)을 기반으로 합니다. 경고 유형이 동일한 두 경고는 다른 경고 제목으로 변경할 수 있습니다.

경고 해결

경고 분석이 완료되고 해결되면 경고 또는 유사한 경고에 대한 경고 관리 창으로 이동하여 상태를 해결됨으로 표시한 다음 위협 유형, 활동 유형이 있는 정보, 예상 활동 또는 가양성으로 True 긍정으로 분류합니다.

경고를 분류하면 Microsoft Defender XDR이 검색 품질을 개선하는 데 도움이 됩니다.

Power Automate를 사용하여 경고 심사

SecOps(최신 보안 운영) 팀은 효과적으로 작동하려면 자동화가 필요합니다. SecOps 팀은 실제 위협을 헌팅하고 조사하는 데 집중하기 위해 Power Automate를 사용하여 경고 목록을 심사하고 위협이 아닌 경고를 제거합니다.

경고 해결 기준

  • 사용자에게 업무 외 메시지가 켜져 있습니다.
  • 사용자에게 높은 위험으로 태그가 지정되지 않음

둘 다 true이면 SecOps는 경고를 합법적인 여행으로 표시하고 해결합니다. 경고가 해결된 후 Microsoft Teams에 알림이 게시됩니다.

Microsoft Defender for Cloud Apps에 Power Automate 연결

자동화를 만들려면 Power Automate를 Microsoft Defender for Cloud Apps에 연결하려면 API 토큰이 필요합니다.

  1. Microsoft Defender를 열고 설정>Cloud Apps>API 토큰을 선택한 다음, API 토큰 탭에서 토큰 추가를 선택합니다.

  2. 토큰의 이름을 입력한 다음 생성을 선택합니다. 토큰은 나중에 필요하므로 저장합니다.

자동화된 흐름 만들기

이 짧은 비디오를 시청하여 자동화가 효율적으로 작동하여 원활한 워크플로를 만드는 방법과 Power Automate를 Defender for Cloud Apps에 연결하는 방법을 알아봅니다.

다음 단계

In-Process 인시던트에 필요한 경우 조사를 계속합니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.