Microsoft Defender 포털에서 인시던트 우선 순위 지정
Microsoft Defender 포털의 통합 보안 운영 플랫폼은 상관 관계 분석을 적용하고 관련 경고 및 다양한 제품의 자동화된 조사를 인시던트에 집계합니다. 또한 Microsoft Sentinel 및 Defender XDR 전체 제품 제품군에서 통합 플랫폼의 엔드 투 엔드 가시성을 고려할 때 악의적인 것으로만 식별할 수 있는 활동에 대한 고유한 경고를 트리거합니다. 이 보기는 보안 분석가에게 광범위한 공격 스토리를 제공하여 organization 전체에서 복잡한 위협을 더 잘 이해하고 처리하는 데 도움이 됩니다.
중요
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼에 대한 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.
인시던트 큐
인시던트 큐에는 디바이스, 사용자, 사서함 및 기타 리소스에서 생성된 인시던트 컬렉션이 표시됩니다. 인시던트를 정렬하여 인시던트 심사라고 하는 프로세스인 정보에 입각한 사이버 보안 대응 결정의 우선 순위를 지정하고 만드는 데 도움이 됩니다.
팁
2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.
Microsoft Defender 포털의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 큐에 연결할 수 있습니다. 다음은 예입니다.
가장 최근 인시던트 및 경고를 선택하여 최근 24시간 동안 발생한 경고 수 및 인시던트 수에 대한 타임라인 그래프를 보여 주는 상위 섹션의 확장을 전환합니다.
그 아래에는 Microsoft Defender 포털의 인시던트 큐에 지난 6개월 동안 발생한 인시던트가 표시됩니다. 가장 최근 인시던트가 목록 맨 위에 있으므로 먼저 볼 수 있습니다. 위쪽의 드롭다운에서 다른 시간 프레임을 선택하여 선택할 수 있습니다.
인시던트 큐에는 인시던트의 다양한 특성 또는 영향을 받은 엔터티에 대한 가시성을 제공하는 사용자 지정 가능한 열(열 사용자 지정 선택)이 있습니다. 이 필터링은 분석을 위한 인시던트 우선 순위 지정과 관련하여 정보에 입각한 결정을 내리는 데 도움이 됩니다.
인시던트 이름
한눈에 볼 수 있도록 Microsoft Defender XDR 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 인시던트 이름을 자동으로 생성합니다. 이 특정 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다.
예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.
Microsoft Sentinel을 통합 보안 운영 플랫폼에 온보딩한 경우 Microsoft Sentinel에서 발생하는 모든 경고 및 인시던트가 온보딩 전이나 이후에 만들어졌는지 여부에 관계없이 이름이 변경될 수 있습니다.
자동화 규칙을 트리거하기 위한 조건으로 인시던트 이름을 사용하지 않는 것이 좋습니다. 인시던트 이름이 조건이고 인시던트 이름이 변경되면 규칙이 트리거되지 않습니다.
필터
인시던트 큐는 또한 여러 필터링 옵션을 제공합니다. 이 옵션을 적용하면 환경에서 모든 기존 인시던트에 대한 광범위한 스윕을 수행하거나 특정 시나리오 또는 위협에 집중할 수 있습니다. 사고 큐 필터를 적용 하면 즉시 주의가 필요한 사고를 결정할 수 있습니다.
인 시던트 목록 위의 필터 목록에는 현재 적용된 필터가 표시됩니다.
기본 인시던트 큐에서 필터 추가 를 선택하여 필터 추가 드롭다운을 볼 수 있습니다. 이 드롭다운에서 인시던트 큐에 적용할 필터를 지정하여 표시된 인시던트 집합을 제한할 수 있습니다. 다음은 예입니다.
사용하려는 필터를 선택한 다음 목록 맨 아래에서 추가 를 선택하여 사용할 수 있도록 합니다.
이제 선택한 필터가 기존 적용된 필터와 함께 표시됩니다. 새 필터를 선택하여 조건을 지정합니다. 예를 들어 "서비스/검색 원본" 필터를 선택한 경우 해당 필터를 선택하여 목록을 필터링할 원본을 선택합니다.
인시던트 목록 위의 필터 목록에서 필터를 선택하여 필터 창을 볼 수도 있습니다.
이 표에는 사용할 수 있는 필터 이름이 나열되어 있습니다.
필터 이름 | 설명/조건 |
---|---|
상태 | 새로 만들기, 진행 중 또는 해결됨을 선택합니다. |
경고 심각도 인시던트 심각도 |
경고 또는 인시던트의 심각도는 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지고 일반적으로 가장 즉각적인 주의가 필요합니다. 높음, 중간, 낮음 또는 정보를 선택합니다. |
인시던트 할당 | 할당된 사용자 또는 사용자를 선택합니다. |
다중 서비스 원인 | 둘 이상의 서비스 원본에 대한 필터인지 여부를 지정합니다. |
서비스/검색 원본 | 다음 중 하나 이상의 경고를 포함하는 인시던트 지정: 이러한 서비스의 대부분은 메뉴에서 확장하여 지정된 서비스 내에서 검색 원본의 추가 선택을 표시할 수 있습니다. |
태그 | 목록에서 하나 이상의 태그 이름을 선택합니다. |
여러 범주 | 필터가 둘 이상의 범주에 대한 것인지 여부를 지정합니다. |
범주 | 특정 전술, 기술 또는 공격 구성 요소에 집중할 범주를 선택합니다. |
엔터티 | 사용자, 디바이스, 사서함 또는 애플리케이션 이름과 같은 자산의 이름을 지정합니다. |
데이터 민감도 | 일부 공격은 민감하거나 가치있는 데이터 수집을 목적으로 합니다. 특정 민감도 레이블에 필터를 적용하면 중요한 정보가 잠재적으로 손상되었는지 신속하게 확인하고 이러한 인시던트 해결의 우선 순위를 지정할 수 있습니다. 이 필터는 Microsoft Purview Information Protection 민감도 레이블을 적용한 경우에만 정보를 표시합니다. |
Device groups | 디바이스 그룹 이름을 지정합니다. |
OS 플랫폼 | 디바이스 운영 체제를 지정합니다. |
분류 | 관련 경고의 분류 집합을 지정합니다. |
자동화된 조사 상태 | 자동 조사의 상태 지정합니다. |
관련 위협 | 명명된 위협을 지정합니다. |
알림 정책 | 경고 정책 제목을 지정합니다. |
기본 필터는 신규 및 진행 중의 상태 높음,중간 또는 낮음의 심각도로 모든 경고 및 인시던트 표시입니다.
필터 목록에서 필터 이름에서 X 를 선택하여 필터를 빠르게 제거할 수 있습니다 .
저장된 필터 쿼리 Create 필터 집합을 선택하여 인시던트 페이지 내에서 필터 집합을 >만들 수도 있습니다. 필터 집합이 만들어지지 않은 경우 저장 을 선택하여 만듭니다.
사용자 지정 필터를 URL로 저장
인시던트 큐에서 유용한 필터를 구성한 후에는 브라우저 탭의 URL을 책갈피로 지정하거나 웹 페이지, Word 문서 또는 원하는 위치에 링크로 저장할 수 있습니다. 책갈피를 사용하면 인시던트 큐의 주요 보기(예: )에 대한 단일 클릭 액세스 권한을 제공합니다.
- 새 인시던트
- 심각도가 높은 인시던트
- 할당되지 않은 인시던트
- 심각도가 높고 할당되지 않은 인시던트
- 나에게 할당된 인시던트
- 나에게 할당된 인시던트 및 엔드포인트용 Microsoft Defender
- 특정 태그 또는 태그가 있는 인시던트
- 특정 위협 범주가 있는 인시던트
- 특정 관련 위협이 있는 인시던트
- 특정 행위자를 사용하는 인시던트
유용한 필터 뷰 목록을 URL로 컴파일하고 저장한 후에는 이를 사용하여 신속하게 큐의 인시던트 처리 및 우선 순위를 지정하고 후속 할당 및 분석을 위해 인시던트 관리 합니다.
검색
인시던트 목록 위의 이름 또는 ID에 대한 Search 상자에서 다양한 방법으로 인시던트 검색을 통해 원하는 항목을 빠르게 찾을 수 있습니다.
인시던트 이름 또는 ID로 Search
인시던트 ID 또는 인시던트 이름을 입력하여 인시던트에 대해 직접 Search. 검색 결과 목록에서 인시던트를 선택하면 Microsoft Defender 포털에서 인시던트 속성이 포함된 새 탭을 열어 조사를 시작할 수 있습니다.
영향을 받는 자산별 Search
사용자, 디바이스, 사서함, 애플리케이션 이름 또는 클라우드 리소스와 같은 자산의 이름을 지정하고 해당 자산과 관련된 모든 인시던트를 찾을 수 있습니다.
시간 범위 지정
인시던트 기본 목록은 지난 6개월 동안 발생한 인시던트에 대한 것입니다. 다음을 선택하여 일정 아이콘 옆의 드롭다운 상자에서 새 시간 범위를 지정할 수 있습니다.
- 1일
- 3일
- 1주
- 30일
- 30일
- 6개월
- 날짜와 시간을 모두 지정할 수 있는 사용자 지정 범위
다음 단계
우선 순위가 가장 높은 인시던트가 필요한 인시던트가 결정되면 다음을 선택합니다.
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기