다음을 통해 공유

프로젝트 사용

  • 아티클

중요

2024년 6월 30일에는 Defender TI(Microsoft Defender 위협 인텔리전스) 독립 실행형 포털(https://ti.defender.microsoft.com)이 사용 중지되고 더 이상 액세스할 수 없게 됩니다. 고객은 Microsoft Defender 포털 또는 Microsoft Copilot for Security Defender TI를 계속 사용할 수 있습니다. 자세한 정보

Microsoft Defender 위협 인텔리전스(Defender TI)를 사용하면 개인 또는 팀 프로젝트를 개발하여 관심 지표와 조사로부터 IOC(손상 지표)를 구성할 수 있습니다. 프로젝트에는 연결된 모든 아티팩트 목록과 이름, 설명, 협력자 및 모니터링 프로필을 유지하는 자세한 기록이 포함됩니다.

Microsoft Defender 포털 내의 Intel 탐색기에서 IP 주소, 도메인 또는 호스트를 검색하고 액세스할 수 있는 프로젝트 내에 해당 표시기가 나열되면 프로젝트 탭으로 이동하여 표시기에 대한 자세한 컨텍스트를 보려면 프로젝트의 세부 정보로 이동한 후 다른 데이터 세트를 검토하여 자세한 내용을 확인할 수 있습니다. 또한 위협 인텔리전스> Intel 프로젝트로 이동하여 Defender 포털에서 프라이빗 팀 프로젝트를 볼 수있습니다.

프로젝트의 세부 정보를 방문하면 관련된 모든 아티팩트의 목록과 앞에서 설명한 모든 컨텍스트를 유지하는 자세한 기록이 표시됩니다. 사용자와 organization 내의 다른 사용자는 더 이상 서로 통신하는 데 시간을 할애할 필요가 없습니다. Defender TI 내에서 위협 행위자 프로필을 빌드할 수 있습니다. 이 프로필은 "살아있는" 지표 집합으로 사용될 수 있습니다. 새 정보를 검색하거나 찾을 때 해당 프로젝트에 추가할 수 있습니다.

Defender TI 플랫폼을 사용하면 조사에서 관심 지표 및 IOC를 구성하기 위한 여러 프로젝트 유형을 개발할 수 있습니다.

프로젝트 소유자는 협력자(Defender TI 프리미엄 라이선스를 사용하여 Azure 테넌트에서 나열된 사용자)를 추가할 수 있습니다. 그러면 프로젝트의 소유자인 것처럼 프로젝트를 변경할 수 있습니다. 그러나 협력자는 프로젝트를 삭제할 수 없습니다. 협력자는 Intel 프로젝트 페이지의 공유 프로젝트 탭에서 공유 된 프로젝트를 볼 수 있습니다.

다운로드 아이콘을 선택하여 프로젝트 내에서 아티팩트도 다운로드 할 수 있습니다. 이 기능은 위협 헌팅 팀이 조사 결과를 사용하여 IOC를 차단하거나 SIEM(보안 정보 및 이벤트 관리) 애플리케이션 내에서 더 많은 검색 규칙을 빌드할 수 있는 좋은 방법입니다.

질문 프로젝트는 다음 답변에 도움이 될 수 있습니다.

  • 동료 팀 구성원 중 한 명이 이 지표를 포함하는 팀 프로젝트를 만들었나요?

    • 그렇다면 이 팀 구성원이 캡처한 다른 관련 IOC는 무엇이며 조사 유형을 설명하기 위해 어떤 설명과 태그가 포함되었나요?

  • 이 팀 구성원은 언제 마지막으로 프로젝트를 편집했나요?

프로젝트 세부 정보 스크린샷

필수 구성 요소

  • Microsoft Entra ID 또는 개인 Microsoft 계정. 로그인 또는 계정 만들기

  • Defender TI 프리미엄 라이선스.

    참고

    Defender TI 프리미엄 라이선스가 없는 사용자는 무료 Defender TI 제품에 계속 액세스할 수 있습니다.

Microsoft Defender 포털에서 Defender TI Intel 프로젝트 페이지 열기

Intel 프로젝트 페이지에는 사용자가 소유하거나 테넌트에서 다른 Defender TI 사용자가 공유한 프로젝트가 표시됩니다.

  1. Defender 포털에 액세스하고 Microsoft 인증 프로세스를 완료합니다. Defender 포털에 대해 자세히 알아보기
  2. 위협 인텔리전스>Intel 프로젝트로 이동합니다.

프로젝트 만들기

다음과 같은 두 가지 방법으로 Defender 포털에서 프로젝트를 만들 수 있습니다.

  1. Intel 프로젝트 페이지에서 프로젝트를 만들려면 새 프로젝트를 선택합니다.

    Intel 프로젝트 페이지에서 새 프로젝트를 Create.

  2. Intel 탐색기 페이지에서 조사를 수행하는 동안 새 프로젝트를 만들려면 Intel 탐색기 검색에서 표시기 검색을 수행한 다음, 추가를선택하여 검색 결과에새 프로젝트> 추가를 선택합니다.

    검색 결과에서 새 프로젝트를 Create.

표시되는 새 프로젝트 쪽 패널에서 필요한 필드를 입력하고 저장을 선택합니다.

새 프로젝트를 추가합니다.

프로젝트 관리

프로젝트를 만든 후에는 Intel 프로젝트 페이지에서 관리할 수 있습니다. 이 페이지에는 액세스할 수 있는 모든 프로젝트가 표시되고 프로젝트 속성에 따라 필터링 메커니즘이 제공됩니다.

기본적으로 Intel 프로젝트 페이지에는 테넌트에서 모든 Defender TI 사용자와 연결된 팀 프로젝트가 표시됩니다. 만든 개인 프로젝트 또는 기여하기 위해 공유한 프로젝트만 볼 수 있습니다.

프로젝트 관리.

  • 프로젝트의 세부 정보를 보려면 프로젝트 이름을 선택합니다.
  • 프로젝트를 직접 변경하려면 프로젝트 페이지의 오른쪽 위 모서리에서 편집 을 선택합니다. 프로젝트에 대한 액세스 수준이 충분한 경우에만 프로젝트를 편집할 수 있습니다.
  • 프로젝트에 아티팩트 를 수동으로 추가하려면 프로젝트 페이지의 오른쪽 위 모서리에서 아티팩트 추가 를 선택합니다.
  • 프로젝트를 삭제하려면 프로젝트 제거를 선택합니다. 소유한 프로젝트만 삭제할 수 있습니다.

모범 사례

Defender TI를 사용하여 잠재적 위협을 조사하는 경우 다음 워크플로를 실행하는 것이 좋습니다. 이러한 단계를 통해 전술 인텔리전스로 전환하기 전에 전략 및 운영 인텔리전스를 수집할 수 있습니다.

Defender TI 내에서 다양한 유형의 검색을 수행합니다. 따라서 특정 지표를 조사하기 전에 광범위한 결과를 제공하는 방식으로 인텔리전스 수집 방법에 접근하는 것이 중요합니다. 예를 들어 Intel 탐색기 페이지에서 IP 주소를 검색하는 경우 해당 IP 주소와 연결된 문서는 무엇인가요? 이러한 문서에서는 데이터 세트 보강을 위해 IP 주소의 데이터 탭으로 직접 탐색할 수 없는 IP 주소에 대해 설명합니다. 예를 들어 이 IP 주소가 가능한 C2(명령 및 제어) 서버로 식별되었나요? 위협 행위자란? 문서에 나열된 다른 관련 IOC는 무엇이며, 위협 행위자가 사용하는 TTP(전술, 기술 및 프로시저)는 무엇이며 대상을 지정하는 사람은 누구인가요?

Defender TI에서 다양한 유형의 검색을 수행하는 것 외에도 조사에 대해 다른 사용자와 공동 작업할 수 있습니다. 즉, 프로젝트를 만들고, 프로젝트에 조사와 관련된 지표를 추가하고, 둘 이상의 사람이 동일한 조사를 수행하는 경우 프로젝트에 협력자를 추가하는 것이 좋습니다. 이렇게 하면 동일한 IOC를 분석하는 데 소요되는 시간을 줄일 수 있으며 더 빠른 워크플로가 관찰됩니다.