다음을 통해 공유

태그 사용

  • 아티클

중요

2024년 6월 30일에는 Defender TI(Microsoft Defender 위협 인텔리전스) 독립 실행형 포털(https://ti.defender.microsoft.com)이 사용 중지되고 더 이상 액세스할 수 없게 됩니다. 고객은 Microsoft Defender 포털 또는 Microsoft Copilot for Security Defender TI를 계속 사용할 수 있습니다. 자세한 정보

defender TI(Microsoft Defender 위협 인텔리전스) 태그는 시스템에서 파생되었든 다른 사용자가 생성하든 아티팩트를 빠르게 파악할 수 있습니다. 태그는 분석가가 현재 사건과 조사, 그리고 향상된 분석을 위해 과거 상황을 연결하는 데 도움이 됩니다.

Defender TI는 시스템 태그 와 사용자 지정 태그라는 두 가지 유형의 태그를 제공합니다.

필수 구성 요소

  • Microsoft Entra ID 또는 개인 Microsoft 계정. 로그인 또는 계정 만들기

  • Defender TI 프리미엄 라이선스.

    참고

    Defender TI 프리미엄 라이선스가 없는 사용자는 무료 Defender TI 제품에 계속 액세스할 수 있습니다.

시스템 태그

Defender TI는 분석을 안내할 수 있도록 시스템 태그를 자동으로 생성합니다. 이러한 태그는 사용자 부분에 대한 입력이나 노력이 필요하지 않습니다.

시스템 태그에는 다음이 포함될 수 있습니다.

  • 라우팅할: 아티팩트가 액세스할 수 있음을 나타냅니다.
  • Asn: IP 주소 ASN(자치 시스템 번호) 설명의 약어 부분을 태그로 끌어와 분석가에게 IP 주소가 속한 사용자에 대한 컨텍스트를 제공합니다.
  • 동적: IP 없음 또는 IP 변경과 같은 동적 DNS(도메인 이름 시스템) 서비스가 도메인을 소유하는지 여부를 나타냅니다.
  • 싱크홀: IP 주소가 보안 조직에서 공격 캠페인을 조사하는 데 사용하는 연구 싱크홀임을 나타냅니다. 따라서 연결된 도메인은 서로 직접 연결되지 않습니다.

시스템 태그.

사용자 지정 태그  

사용자 지정 태그는 IOC(손상 지표)에 컨텍스트를 가져오고 공개 보고에서 잘못 알려져 있거나 분류된 도메인을 식별하여 분석을 더욱 간단하게 만듭니다. 자체 조사에 따라 이러한 태그를 수동으로 만들고 이러한 태그를 사용하면 테넌트 내의 다른 Defender TI 프리미엄 라이선스 사용자와 아티팩트 관련 주요 인사이트를 공유할 수 있습니다.

사용자 지정 태그.

사용자 지정 태그 추가, 수정 및 제거

태그 표시줄에 사용자 지정 태그를 입력하여 태그 클러스터에 사용자 지정 태그를 추가할 수 있습니다. 사용자와 팀 구성원은 organization Defender TI 고객인 경우 이러한 태그를 볼 수 있습니다. 시스템에 입력된 태그는 비공개이며 더 큰 커뮤니티와 공유되지 않습니다.

태그를 수정하거나 제거할 수도 있습니다. 태그를 추가하면 사용자 또는 organization 내의 다른 유료 라이선스 사용자가 태그를 수정하거나 제거할 수 있으므로 보안 팀 간에 쉽게 협업할 수 있습니다.

  1. Defender 포털에 액세스하고 Microsoft 인증 프로세스를 완료합니다. Defender 포털에 대해 자세히 알아보기

  2. 위협 인텔리전스>Intel 탐색기로 이동합니다.

  3. Intel 탐색기 검색 창에서 에 대한 태그를 추가하려는 표시기를 Search.

    태그 검색.

  4. 페이지의 왼쪽 위 모서리에서 태그 편집 을 선택합니다.

    태그는 태그 편집을 검색합니다.

  5. 표시되는 사용자 지정 태그 팝업 창에서 이 표시기와 연결하려는 태그를 추가합니다. 새 표시기를 추가하려면 Tab 키를 눌러 새 표시기를 추가합니다.

    태그 검색 태그 추가.

  6. 모든 태그 추가가 완료되면 저장 을 선택하여 변경 내용을 저장합니다.

    태그는 태그 저장을 검색합니다.

  7. 3단계를 반복하여 태그를 편집합니다. 끝에 있는 X 를 선택하여 태그를 제거한 다음, 4~6단계를 반복하여 새 태그를 추가합니다.

  8. 변경 내용을 저장합니다.

사용자 지정 태그 보기 및 검색

IP 주소, 도메인 또는 호스트 아티팩트를 검색한 후 사용자 또는 다른 사용자가 테넌트 내에서 추가한 태그를 볼 수 있습니다.

사용자 지정 태그 검색.

  1. Defender 포털에 액세스하고 Microsoft 인증 프로세스를 완료합니다.

  2. 위협 인텔리전스>Intel 탐색기로 이동합니다.

  3. Intel 탐색기 검색 창 드롭다운에서 태그 검색 유형을 선택한 다음 태그 값을 검색하여 동일한 태그 값을 공유하는 다른 모든 지표를 식별합니다.

    Intel 탐색기에서 태그에 대한 Search.

일반적인 태그 사용 사례 워크플로

인시던트를 조사하고 있으며 피싱과 관련이 있다고 가정해 보겠습니다. 해당 인시던트 관련 IOC에 태그로 추가할 phish 수 있습니다. 나중에 인시던트 대응 및 위협 헌팅 팀은 이러한 IOC를 추가로 분석하고 위협 인텔리전스 대응팀과 협력하여 피싱 인시던트에 책임이 있는 행위자 그룹을 식별할 수 있습니다. 그런 다음 해당 IOC에 다른 [actor name] 태그를 추가하거나 사용자 지정 태그와 같은 다른 관련 IOC에 연결한 인프라를 [SHA-1 hash] 추가할 수 있습니다.

참고 항목