Microsoft Defender XDR 경고 조사

적용 대상:

• Microsoft Defender XDR

참고

이 문서에서는 Microsoft Defender XDR 보안 경고에 대해 설명합니다. 그러나 사용자가 Microsoft 365에서 특정 활동을 수행할 때 활동 경고를 사용하여 자신 또는 다른 관리자에게 메일 알림 보낼 수 있습니다. 자세한 내용은 Create 활동 경고 - Microsoft Purview | Microsoft Docs.

경고는 모든 인시던트의 기초이며 환경에서 악의적이거나 의심스러운 이벤트가 발생했음을 나타냅니다. 경고는 일반적으로 광범위한 공격의 일부이며 인시던트에 대한 단서를 제공합니다.

Microsoft Defender XDR 관련 경고가 함께 집계되어 인시던트가 형성됩니다. 인시던트에서는 항상 공격의 광범위한 컨텍스트를 제공하지만, 심층 분석이 필요할 때 경고를 분석하는 것이 유용할 수 있습니다.

경고 큐에는 현재 경고 집합이 표시됩니다. Microsoft Defender 포털의 빠른 시작 시 인시던트 > & 경고 경고에서 경고 큐로 이동합니다.

엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender 및 Microsoft Defender XDR 같은 다양한 Microsoft 보안 솔루션의 경고가 여기에 표시됩니다.

기본적으로 Microsoft Defender 포털의 경고 큐에는 지난 30일 동안의 신규 및 진행 중인 경고가 표시됩니다. 가장 최근 경고가 목록 맨 위에 있으므로 가장 먼저 볼 수 있습니다.

기본 경고 큐에서 필터 를 선택하여 경고의 하위 집합을 지정할 수 있는 필터 창을 볼 수 있습니다. 다음은 예입니다.

다음 기준에 따라 경고를 필터링할 수 있습니다.

• 심각도
• 상태
• 서비스 원인
• 엔터티(영향을 받는 자산)
• 자동화된 조사 상태

Office 365용 Defender 경고에 필요한 역할

Office 365용 Microsoft Defender 경고에 액세스하려면 다음 역할 중 일부가 있어야 합니다.

• Microsoft Entra 전역 역할의 경우:

  • 전역 관리자
  • 보안 관리자
  • 보안 운영자
  • 전역 읽기 권한자
  • 보안 읽기 권한자

• Office 365 보안 & 규정 준수 역할 그룹

  • 준수 관리자
  • 조직 관리

• 사용자 지정 역할

경고 분석

기본 경고 페이지를 보려면 경고 이름을 선택합니다. 다음은 예입니다.

경고 관리 창에서 기본 경고 페이지 열기 작업을 선택할 수도 있습니다.

경고 페이지는 다음 섹션으로 구성됩니다.

• 시간순으로 이 경고와 관련된 이벤트 및 경고의 체인인 경고 스토리
• 요약 정보

경고 페이지 전체에서 엔터티 옆에 있는 타원(...)을 선택하여 경고를 다른 인시던트에 연결하는 것과 같은 사용 가능한 작업을 볼 수 있습니다. 사용 가능한 작업 목록은 경고 유형에 따라 다릅니다.

경고 소스

Microsoft Defender XDR 경고는 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Microsoft Defender for Identity 등의 솔루션에서 발생할 수 있습니다. Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection 및 Microsoft 데이터 손실 방지를 위한 앱 거버넌스 추가 기능입니다. 경고에 앞에 문자가 추가된 경고가 표시될 수 있습니다. 다음 표는 경고에 추가된 문자를 기반으로 경고 소스의 매핑을 이해하는 데 도움이 되는 지침을 제공합니다.

참고

• 앞에 추가된 GUID는 통합 경고 큐, 통합 경고 페이지, 통합 조사 및 통합 인시던트와 같은 통합 환경에만 적용됩니다.
• 앞에 추가된 문자는 경고의 GUID를 변경하지 않습니다. GUID에 대한 유일한 변경 내용은 앞에 추가된 구성 요소입니다.

경고 소스	앞에 추가된 문자
Microsoft Defender XDR	ra ta ThreatExperts용 ea for DetectionSource = DetectionSource.CustomDetection
Office 365용 Microsoft Defender	fa{GUID} 예: fa123a456b-c789-1d2e-12f1g33h445h6i
엔드포인트용 Microsoft Defender	사용자 지정 감지 경고의 경우 da 또는 ed
Microsoft Defender for Identity	aa{GUID} 예: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps	ca{GUID} 예: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection	ad
앱 거버넌스	ma
Microsoft 데이터 손실 방지	dl

Microsoft Entra IP 경고 서비스 구성

1. Microsoft Defender 포털(security.microsoft.com)으로 이동하여 설정을> 선택합니다Microsoft Defender XDR.

2. 목록에서 경고 서비스 설정을 선택한 다음, Microsoft Entra ID Protection 경고 서비스를 구성합니다.

   

기본적으로 보안 운영 센터에 대한 가장 관련성이 큰 경고만 사용하도록 설정됩니다. 모든 Microsoft Entra IP 위험 검색을 얻으려면 경고 서비스 설정 섹션에서 변경할 수 있습니다.

Microsoft Defender 포털의 인시던트 페이지에서 직접 경고 서비스 설정에 액세스할 수도 있습니다.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

영향을 받는 자산 분석

수행한 작업 섹션에는 이 경고의 영향을 받는 편지함, 장치 및 사용자와 같은 영향을 받는 자산 목록이 있습니다.

알림 센터에서 보기를 선택하여 Microsoft Defender 포털에서 알림 센터의기록 탭을 볼 수도 있습니다.

경고 스토리에서 경고의 역할 추적

경고 스토리는 프로세스 트리 보기에서 경고와 관련된 모든 자산 또는 엔터티를 표시합니다. 타이틀의 경고는 선택한 경고 페이지에 처음 방문했을 때 초점이 맞춰진 경고입니다. 경고 스토리의 자산은 확장 가능하고 클릭할 수 있습니다. 추가 정보를 제공하고 경고 페이지의 컨텍스트에서 바로 조치를 취할 수 있도록 하여 응답을 신속하게 처리합니다.

참고

경고 스토리 섹션에는 두 개 이상의 경고가 포함될 수 있으며, 선택한 경고 전후에 동일한 실행 트리와 관련된 추가 경고가 나타날 수 있습니다.

세부 정보 페이지에서 더 많은 경고 정보 보기

세부 정보 페이지에는 선택한 경고의 세부 정보와 관련된 세부 정보 및 작업이 표시됩니다. 경고 스토리에서 영향을 받는 자산 또는 엔터티를 선택하면 선택한 개체에 대한 컨텍스트 정보 및 작업을 제공하도록 세부 정보 페이지가 변경됩니다.

관심 있는 엔터티를 선택하면 세부 정보 페이지가 변경되어 선택한 엔터티 유형에 대한 정보, 사용 가능한 경우 기록 정보 및 경고 페이지에서 직접 이 엔터티에 대한 작업을 수행할 수 있는 옵션이 표시됩니다.

경고 관리

경고를 관리하려면 경고 페이지의 요약 세부 정보 섹션에서 경고 관리를 선택합니다. 단일 경고의 경우 경고 관리 창의 예는 다음과 같습니다.

경고 관리 창을 사용하면 다음을 보거나 지정할 수 있습니다.

• 경고 상태(신규, 해결됨, 진행 중).
• 경고가 할당된 사용자 계정입니다.
• 경고 분류:
  • 설정 안 됨 (기본값).
  • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 경보에 이 분류를 사용하세요. 이 위협 유형을 지정하면 보안 팀에서 위협 패턴을 확인하고 해당 패턴으로부터 organization 보호하기 위해 조치를 수행합니다.
  • 활동 유형이 있는 정보 및 예상 활동입니다. 기술적으로 정확하지만 정상적인 동작 또는 시뮬레이션된 위협 활동을 나타내는 경고에는 이 옵션을 사용합니다. 일반적으로 이러한 경고를 무시하려고 하지만 실제 공격자 또는 맬웨어에 의해 활동이 트리거되는 향후 유사한 활동을 기대합니다. 이 범주의 옵션을 사용하여 보안 테스트, 빨간색 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 경고를 분류합니다.
  • 악의적인 활동이 없거나 거짓 알람이 있더라도 생성된 경고 유형에 대한 가양성입니다. 이 범주의 옵션을 사용하여 정상 이벤트 또는 활동으로 잘못 식별된 경고를 악의적이거나 의심스러운 것으로 분류합니다. 실제 위협을 파악하는 데 유용할 수 있는 '정보 제공, 예상 활동'에 대한 경고와 달리 일반적으로 이러한 경고를 다시 보고 싶지는 않습니다. 경고를 가양성으로 분류하면 Microsoft Defender XDR 검색 품질을 개선하는 데 도움이 됩니다.
• 경고에 대한 설명입니다.

참고

2022년 8월 29일 경, 이전에 지원된 경고 결정 값('Apt' 및 'SecurityPersonnel')은 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.

참고

관리의 한 가지 방법은 태그를 사용하여 경고합니다. Office 365용 Microsoft Defender 태그 지정 기능은 점진적으로 롤아웃되고 있으며 현재 미리 보기로 제공됩니다.

현재 수정된 태그 이름은 업데이트 후에 생성된 경고에만 적용됩니다. 수정 전에 생성된 경고는 업데이트된 태그 이름을 반영하지 않습니다.

특정 경고와 유사한 경고 집합을 관리하려면 경고 페이지의 요약 세부 정보 섹션에 있는 INSIGHT 상자에서 유사한 경고 보기를 선택합니다.

경고 관리 창에서 관련된 모든 경고를 동시에 분류할 수 있습니다. 다음은 예입니다.

유사한 경고가 이미 과거에 분류된 경우 Microsoft Defender XDR 권장 사항을 사용하여 다른 경고가 해결된 방법을 알아보면 시간을 절약할 수 있습니다. 요약 세부 정보 섹션에서 추천을 선택합니다.

권장 사항 탭은 조사, 해결 및 예방을 위한 다음 단계 조치 및 조언을 제공합니다. 다음은 예입니다.

경고 조정

SOC(보안 운영 센터) 분석가로서 가장 큰 문제 중 하나는 매일 트리거되는 경고 수를 심사하는 것입니다. 분석가의 시간은 심각도가 높고 우선 순위가 높은 경고에만 집중하려고 하는 것이 중요합니다. 한편 분석가는 수동 프로세스인 경향이 있는 낮은 우선 순위 경고를 심사하고 resolve 합니다.

경고 튜닝은 경고를 미리 조정하고 관리하는 기능을 제공합니다. 이렇게 하면 특정 예상 조직 동작이 발생하고 규칙 조건이 충족될 때마다 경고를 자동으로 숨기거나 해결하여 경고 큐를 간소화하고 심사 시간을 절약할 수 있습니다.

파일, 프로세스, 예약된 작업 및 경고를 트리거하는 기타 여러 증거 유형과 같은 '증거 유형'을 기반으로 규칙 조건을 만들 수 있습니다. 규칙을 만든 후 선택한 경고 또는 규칙 조건을 충족하는 경고 유형에 규칙을 적용하여 경고를 조정할 수 있습니다.

또한 이 기능은 다양한 Microsoft Defender XDR 서비스 원본에서 발생하는 경고도 다룹니다. 공개 미리 보기의 경고 튜닝 기능은 엔드포인트용 Defender, Office 365용 Defender, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID Protection(Microsoft Entra IP) 등과 같은 워크로드에서 이러한 원본을 플랫폼 및 계획에서 사용할 수 있는 경우 경고를 가져오는 것입니다. 이전에는 경고 튜닝 기능이 엔드포인트용 Defender 워크로드에서만 경고를 캡처했습니다.

참고

경고 억제라고도 하는 경고 튜닝을 주의해서 사용하는 것이 좋습니다. 특정 상황에서 알려진 내부 비즈니스 애플리케이션 또는 보안 테스트는 예상된 활동을 트리거하며 이러한 경고를 보고 싶지 않습니다. 따라서 이러한 경고 유형을 조정하는 규칙을 만들 수 있습니다.

경고를 조정하는 규칙 조건 Create

Microsoft Defender XDR 경고를 조정하는 방법에는 두 가지가 있습니다. 설정 페이지에서 경고를 튜닝하려면 다음을 수행합니다.

1. 설정으로 이동합니다. 왼쪽 창에서 규칙 으로 이동하여 경고 튜닝을 선택합니다.

   

   새 규칙 추가를 선택하여 새 경고를 튜닝합니다. 목록에서 규칙을 선택하여 이 보기에서 기존 규칙을 편집할 수도 있습니다.

   

2. 경고 조정 창의 서비스 원본 아래 드롭다운 메뉴에서 규칙이 적용되는 서비스 원본을 선택할 수 있습니다.

   

   참고

   사용자에게 권한이 있는 서비스만 표시됩니다.

3. IOC 섹션에서 경고를 트리거하는 IOC (손상 지표)를 추가합니다. 특정 IOC 또는 경고에 추가된 IOC에 의해 트리거될 때 경고를 중지하는 조건을 추가할 수 있습니다.

   IOC는 파일, 프로세스, 예약된 작업 및 경고를 트리거하는 기타 증거 유형과 같은 지표입니다.

   

   여러 규칙 조건을 설정하려면 AND, OR 및 그룹화 옵션을 사용하여 경고를 유발하는 이러한 여러 '증거 유형' 간의 관계를 빌드합니다.

   1. 예를 들어 트리거하는 증명 정보 엔터티 역할: 트리거, 같음및 을 선택하여 경고에 추가된 IOC에 의해 트리거될 때 경고를 중지합니다. 이 'evidence'의 모든 속성은 아래의 해당 필드에서 새 하위 그룹으로 자동으로 채워집니다.

   참고

   조건 값은 대/소문자를 구분하지 않습니다.

   2. 요구 사항에 따라 이 '증거'의 속성을 편집 및/또는 삭제할 수 있습니다(지원되는 경우 와일드카드 사용).

   3. 파일 및 프로세스 외에 AMSI(AntiMalware Scan Interface) 스크립트, WMI(Windows Management Instrumentation) 이벤트 및 예약된 작업은 증거 유형 드롭다운 목록에서 선택할 수 있는 새로 추가된 증거 유형 중 일부입니다.

   4. 다른 IOC를 추가하려면 필터 추가를 클릭합니다.

   참고

   경고 유형을 조정하려면 규칙 조건에 IOC를 하나 이상 추가해야 합니다.

4. 작업 섹션에서 경고 숨기기 또는 경고 해결의 적절한 작업을 수행합니다.

   이름, 설명을 입력하고 저장을 클릭합니다.

   참고

   경고 제목(이름)은 경고 제목을 결정하는 경고 유형(IoaDefinitionId)을 기반으로 합니다. 경고 유형이 동일한 두 경고는 다른 경고 제목으로 변경할 수 있습니다.

   

경고 페이지에서 경고를 튜닝하려면 다음 을 수행합니다 .

1. 인시던트 및경고 아래의 경고 페이지에서 경고를 선택합니다. 또는 인시던트 페이지에서 인시던트 세부 정보를 검토할 때 경고를 선택할 수 있습니다.

   경고 세부 정보 페이지의 오른쪽에서 자동으로 열리는 경고 조정 창을 통해 경고를 조정할 수 있습니다.

   

2. 경고 유형 섹션에서 경고가 적용되는 조건을 선택합니다. 선택한 경고에 규칙을 적용하려면 이 경고 유형만 을 선택합니다.

   그러나 규칙 조건을 충족하는 경고 유형에 규칙을 적용하려면 IOC 조건에 따라 모든 경고 유형을 선택합니다.

   

3. 경고 튜닝이 엔드포인트별 Defender인 경우 범위 섹션을 작성해야 합니다. 규칙이 organization 모든 디바이스에 적용되는지 또는 특정 디바이스에 적용되는지 선택합니다.

   참고

   모든 organization 규칙을 적용하려면 관리 역할 권한이 필요합니다.

   

4. 특정 IOC 또는 경고에 추가된 IOC에 의해 트리거될 때 경고를 중지하는 조건 섹션에 조건을 추가합니다. 특정 디바이스, 여러 디바이스, 디바이스 그룹, 전체 organization 또는 이 섹션에서 사용자가 선택할 수 있습니다.

   참고

   범위가 사용자에 대해서만 설정된 경우 관리 권한이 있어야 합니다. 디바이스, 디바이스 그룹과 함께 사용자에 대해 범위가 설정된 경우 관리 권한이 필요하지 않습니다.

   

5. IOC 섹션에서 규칙이 적용되는 IOC 를 추가합니다. 경고의 원인이 된 '증거'에 관계없이 모든 IOC 를 선택하여 경고를 중지할 수 있습니다.

   

6. 또는 IOC 섹션에서 모든 경고 7 관련 IOC 자동 채우기를 선택하여 조건 섹션에서 모든 경고 관련 증명 정보 유형 및 해당 속성을 한 번에 추가할 수 있습니다.

   

7. 작업 섹션에서 경고 숨기기 또는 경고 해결의 적절한 작업을 수행합니다.

   이름, 주석을 입력하고 저장을 클릭합니다.

   

8. 향후 IOC가 차단되지 않도록 방지합니다.

   경고 튜닝 규칙을 저장하면 표시되는 규칙 만들기 성공 페이지에서 선택한 IOC를 "허용 목록"에 표시기로 추가하고 나중에 차단되지 않도록 할 수 있습니다.

   모든 경고 관련 IOC가 목록에 표시됩니다.

   제거 조건에서 선택한 IOC는 기본적으로 선택됩니다.

   1. 예를 들어 허용할 파일을 IOC(증명 정보 선택)에 추가할 수 있습니다. 기본적으로 경고를 트리거한 파일이 선택됩니다.
   2. 적용할 선택 scope scope 입력합니다. 기본적으로 관련 경고에 대한 scope 선택됩니다.
   3. 저장을 클릭합니다. 이제 파일이 허용 목록에 있으므로 차단되지 않습니다.

9. 새 경고 튜닝 기능은 기본적으로 사용할 수 있습니다.

   그러나 설정 >> Microsoft Defender XDR 규칙 > 경고 튜닝으로 이동하여 Microsoft Defender 포털에서 이전 환경으로 다시 전환한 다음 새 튜닝 규칙 만들기 사용 토글을 해제할 수 있습니다.

   참고

   곧 새 경고 튜닝 환경만 사용할 수 있습니다. 이전 환경으로 돌아갈 수 없습니다.

10. 기존 규칙 편집:

    항상 Microsoft Defender 포털에서 관련 규칙을 선택하고 규칙 편집을 클릭하여 규칙 조건 및 새 규칙 또는 기존 규칙의 scope 추가하거나 변경할 수 있습니다.

    기존 규칙을 편집하려면 새 경고 튜닝 규칙 만들기 사용 토글이 사용하도록 설정되어 있는지 확인합니다.

경고 해결

경고 분석이 완료되고 해결되면 경고 또는 유사한 경고에 대한 경고 관리 창으로 이동하여 상태 해결됨으로 표시한 다음 위협 유형, 활동 유형이 있는 정보, 예상 활동 또는 가양성으로 True 긍정으로 분류합니다.

경고를 분류하면 Microsoft Defender XDR 검색 품질을 개선하는 데 도움이 됩니다.

Power Automate를 사용하여 경고 심사

SecOps(최신 보안 운영) 팀은 효과적으로 작동하려면 자동화가 필요합니다. SecOps 팀은 실제 위협을 헌팅하고 조사하는 데 집중하기 위해 Power Automate를 사용하여 경고 목록을 심사하고 위협이 아닌 경고를 제거합니다.

경고 해결 기준

• 사용자에게 업무 외 메시지가 켜져 있습니다.
• 사용자에게 높은 위험으로 태그가 지정되지 않음

둘 다 true이면 SecOps는 경고를 합법적인 여행으로 표시하고 해결합니다. 경고가 해결된 후 Microsoft Teams에 알림이 게시됩니다.

Power Automate를 Microsoft Defender for Cloud Apps 연결

자동화를 만들려면 Power Automate를 Microsoft Defender for Cloud Apps 연결하려면 API 토큰이 필요합니다.

1. Microsoft Defender 열고 설정>Cloud Apps>API 토큰을 선택한 다음, API 토큰 탭에서 토큰 추가를 선택합니다.

2. 토큰의 이름을 입력한 다음 생성을 선택합니다. 토큰은 나중에 필요하므로 저장합니다.

자동화된 흐름 Create

이 짧은 비디오를 시청하여 자동화가 효율적으로 작동하여 원활한 워크플로를 만드는 방법과 Power Automate를 Defender for Cloud Apps에 연결하는 방법을 알아봅니다.

다음 단계

In-Process 인시던트에 필요한 경우 조사를 계속합니다.

참고 항목

• 인시던트 개요
• 인시던트 관리
• 인시던트 조사
• Defender에서 데이터 손실 방지 경고 조사
• Microsoft Entra ID Protection

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.