Microsoft Defender 포털에서 인시던트 우선 순위 지정

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 포털의 통합 보안 운영 플랫폼은 상관 관계 분석을 적용하고 관련 경고 및 다양한 제품의 자동화된 조사를 인시던트에 집계합니다. 또한 Microsoft Sentinel 및 Defender XDR 전체 제품 제품군에서 통합 플랫폼의 엔드 투 엔드 가시성을 고려할 때 악의적인 것으로만 식별할 수 있는 활동에 대한 고유한 경고를 트리거합니다. 이 보기는 보안 분석가에게 광범위한 공격 스토리를 제공하여 organization 전체에서 복잡한 위협을 더 잘 이해하고 처리하는 데 도움이 됩니다.

중요

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼에 대한 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.

인시던트 큐

인시던트 큐에는 디바이스, 사용자, 사서함 및 기타 리소스에서 생성된 인시던트 컬렉션이 표시됩니다. 인시던트를 정렬하여 인시던트 심사라고 하는 프로세스인 정보에 입각한 사이버 보안 대응 결정의 우선 순위를 지정하고 만드는 데 도움이 됩니다.

2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.

Microsoft Defender 포털의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 큐에 연결할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 큐 스크린샷

가장 최근 인시던트 및 경고를 선택하여 최근 24시간 동안 발생한 경고 수 및 인시던트 수에 대한 타임라인 그래프를 보여 주는 상위 섹션의 확장을 전환합니다.

24시간 인시던트 그래프의 스크린샷

그 아래에는 Microsoft Defender 포털의 인시던트 큐에 지난 6개월 동안 발생한 인시던트가 표시됩니다. 가장 최근 인시던트가 목록 맨 위에 있으므로 먼저 볼 수 있습니다. 위쪽의 드롭다운에서 다른 시간 프레임을 선택하여 선택할 수 있습니다.

인시던트 큐에는 인시던트의 다양한 특성 또는 영향을 받은 엔터티에 대한 가시성을 제공하는 사용자 지정 가능한 열(열 사용자 지정 선택)이 있습니다. 이 필터링은 분석을 위한 인시던트 우선 순위 지정과 관련하여 정보에 입각한 결정을 내리는 데 도움이 됩니다.

인시던트 페이지 필터 및 열 컨트롤의 스크린샷

인시던트 이름

한눈에 볼 수 있도록 Microsoft Defender XDR 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 인시던트 이름을 자동으로 생성합니다. 이 특정 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다.

예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.

Microsoft Sentinel을 통합 보안 운영 플랫폼에 온보딩한 경우 Microsoft Sentinel에서 발생하는 모든 경고 및 인시던트가 온보딩 전이나 이후에 만들어졌는지 여부에 관계없이 이름이 변경될 수 있습니다.

자동화 규칙을 트리거하기 위한 조건으로 인시던트 이름을 사용하지 않는 것이 좋습니다. 인시던트 이름이 조건이고 인시던트 이름이 변경되면 규칙이 트리거되지 않습니다.

필터

인시던트 큐는 또한 여러 필터링 옵션을 제공합니다. 이 옵션을 적용하면 환경에서 모든 기존 인시던트에 대한 광범위한 스윕을 수행하거나 특정 시나리오 또는 위협에 집중할 수 있습니다. 사고 큐 필터를 적용 하면 즉시 주의가 필요한 사고를 결정할 수 있습니다.

시던트 목록 위의 필터 목록에는 현재 적용된 필터가 표시됩니다.

기본 인시던트 큐에서 필터 추가 를 선택하여 필터 추가 드롭다운을 볼 수 있습니다. 이 드롭다운에서 인시던트 큐에 적용할 필터를 지정하여 표시된 인시던트 집합을 제한할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 큐에 대한 필터 창입니다.

사용하려는 필터를 선택한 다음 목록 맨 아래에서 추가 를 선택하여 사용할 수 있도록 합니다.

이제 선택한 필터가 기존 적용된 필터와 함께 표시됩니다. 새 필터를 선택하여 조건을 지정합니다. 예를 들어 "서비스/검색 원본" 필터를 선택한 경우 해당 필터를 선택하여 목록을 필터링할 원본을 선택합니다.

인시던트 목록 위의 필터 목록에서 필터를 선택하여 필터 창을 볼 수도 있습니다.

이 표에는 사용할 수 있는 필터 이름이 나열되어 있습니다.

필터 이름 설명/조건
상태 새로 만들기, 진행 중 또는 해결됨을 선택합니다.
경고 심각도
인시던트 심각도		 경고 또는 인시던트의 심각도는 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지고 일반적으로 가장 즉각적인 주의가 필요합니다. 높음, 중간, 음 또는 정보를 선택합니다.
인시던트 할당 할당된 사용자 또는 사용자를 선택합니다.
다중 서비스 원인 둘 이상의 서비스 원본에 대한 필터인지 여부를 지정합니다.
서비스/검색 원본 다음 중 하나 이상의 경고를 포함하는 인시던트 지정:
  • ID용 Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • 엔드포인트용 Microsoft Defender
  • Microsoft Defender XDR
  • Office 365용 Microsoft Defender
  • 앱 거버넌스
  • Microsoft Entra ID Protection
  • Microsoft 데이터 손실 방지
  • Microsoft Defender for Cloud
  • Microsoft Sentinel

    이러한 서비스의 대부분은 메뉴에서 확장하여 지정된 서비스 내에서 검색 원본의 추가 선택을 표시할 수 있습니다.
    		•
    태그 목록에서 하나 이상의 태그 이름을 선택합니다.
    여러 범주 필터가 둘 이상의 범주에 대한 것인지 여부를 지정합니다.
    범주 특정 전술, 기술 또는 공격 구성 요소에 집중할 범주를 선택합니다.
    엔터티 사용자, 디바이스, 사서함 또는 애플리케이션 이름과 같은 자산의 이름을 지정합니다.
    데이터 민감도 일부 공격은 민감하거나 가치있는 데이터 수집을 목적으로 합니다. 특정 민감도 레이블에 필터를 적용하면 중요한 정보가 잠재적으로 손상되었는지 신속하게 확인하고 이러한 인시던트 해결의 우선 순위를 지정할 수 있습니다.

    이 필터는 Microsoft Purview Information Protection 민감도 레이블을 적용한 경우에만 정보를 표시합니다.
    Device groups 디바이스 그룹 이름을 지정합니다.
    OS 플랫폼 디바이스 운영 체제를 지정합니다.
    분류 관련 경고의 분류 집합을 지정합니다.
    자동화된 조사 상태 자동 조사의 상태 지정합니다.
    관련 위협 명명된 위협을 지정합니다.
    알림 정책 경고 정책 제목을 지정합니다.

    기본 필터는 신규진행 중의 상태 높음,중간 또는 음의 심각도로 모든 경고 및 인시던트 표시입니다.

    필터 목록에서 필터 이름에서 X 를 선택하여 필터를 빠르게 제거할 수 있습니다 .

    저장된 필터 쿼리 Create 필터 집합을 선택하여 인시던트 페이지 내에서 필터 집합을 >만들 수도 있습니다. 필터 집합이 만들어지지 않은 경우 저장 을 선택하여 만듭니다.

    Microsoft Defender 포털에서 인시던트 큐에 대한 필터 집합 만들기 옵션입니다.

    사용자 지정 필터를 URL로 저장

    인시던트 큐에서 유용한 필터를 구성한 후에는 브라우저 탭의 URL을 책갈피로 지정하거나 웹 페이지, Word 문서 또는 원하는 위치에 링크로 저장할 수 있습니다. 책갈피를 사용하면 인시던트 큐의 주요 보기(예: )에 대한 단일 클릭 액세스 권한을 제공합니다.

    • 새 인시던트
    • 심각도가 높은 인시던트
    • 할당되지 않은 인시던트
    • 심각도가 높고 할당되지 않은 인시던트
    • 나에게 할당된 인시던트
    • 나에게 할당된 인시던트 및 엔드포인트용 Microsoft Defender
    • 특정 태그 또는 태그가 있는 인시던트
    • 특정 위협 범주가 있는 인시던트
    • 특정 관련 위협이 있는 인시던트
    • 특정 행위자를 사용하는 인시던트

    유용한 필터 뷰 목록을 URL로 컴파일하고 저장한 후에는 이를 사용하여 신속하게 큐의 인시던트 처리 및 우선 순위를 지정하고 후속 할당 및 분석을 위해 인시던트 관리 합니다.

    인시던트 목록 위의 이름 또는 ID에 대한 Search 상자에서 다양한 방법으로 인시던트 검색을 통해 원하는 항목을 빠르게 찾을 수 있습니다.

    인시던트 이름 또는 ID로 Search

    인시던트 ID 또는 인시던트 이름을 입력하여 인시던트에 대해 직접 Search. 검색 결과 목록에서 인시던트를 선택하면 Microsoft Defender 포털에서 인시던트 속성이 포함된 새 탭을 열어 조사를 시작할 수 있습니다.

    영향을 받는 자산별 Search

    사용자, 디바이스, 사서함, 애플리케이션 이름 또는 클라우드 리소스와 같은 자산의 이름을 지정하고 해당 자산과 관련된 모든 인시던트를 찾을 수 있습니다.

    시간 범위 지정

    인시던트 기본 목록은 지난 6개월 동안 발생한 인시던트에 대한 것입니다. 다음을 선택하여 일정 아이콘 옆의 드롭다운 상자에서 새 시간 범위를 지정할 수 있습니다.

    • 1일
    • 3일
    • 1주
    • 30일
    • 30일
    • 6개월
    • 날짜와 시간을 모두 지정할 수 있는 사용자 지정 범위

    다음 단계

    우선 순위가 가장 높은 인시던트가 필요한 인시던트가 결정되면 다음을 선택합니다.

    • 태그, 할당, 가양성 인시던트에 대한 즉각적인 해결 및 주석에 대한 인시던트 속성을 관리합니다.
    • 조사를 시작 합니다.

    참고 항목

    더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.