Microsoft 365 Defender에서 경고 조사

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender

참고

이 문서에서는 Microsoft 365 Defender 보안 경고에 대해 설명합니다. 그러나 사용자가 Microsoft 365에서 특정 활동을 수행할 때 활동 경고를 사용하여 자신 또는 다른 관리자에게 전자 메일 알림을 보낼 수 있습니다. 자세한 내용은 활동 경고 만들기 - Microsoft Purview | Microsoft Docs.

경고는 모든 인시던트 기반이며 사용자 환경에서 악의적이거나 의심스러운 이벤트가 발생했음을 나타냅니다. 경고는 일반적으로 광범위한 공격의 일부이며 인시던트에 대한 단서를 제공합니다.

Microsoft 365 Defender 관련 경고는 인시던트 형성을 위해 함께 집계됩니다. 인시던트에서는 항상 공격의 광범위한 컨텍스트를 제공하지만, 심층 분석이 필요할 때 경고를 분석하는 것이 유용할 수 있습니다.

경고 큐에는 현재 경고 집합이 표시됩니다. Microsoft 365 Defender 포털의 빠른 시작 시 인시던트 & 경고 > 경고에서 경고 큐로 이동합니다.

Microsoft 365 Defender 포털의 경고 섹션

엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender 및 Microsoft 365 Defender 같은 다양한 Microsoft 보안 솔루션의 경고가 여기에 표시됩니다.

기본적으로 Microsoft 365 Defender 포털의 경고 큐에는 지난 30일 동안의 신규 및 진행 중인 경고가 표시됩니다. 가장 최근 경고는 목록 맨 위에 있으므로 먼저 확인할 수 있습니다.

기본 경고 큐에서 필터 를 선택하여 경고의 하위 집합을 지정할 수 있는 필터 창을 볼 수 있습니다. 다음은 예입니다.

Microsoft 365 Defender 포털의 필터 섹션입니다.

다음 기준에 따라 경고를 필터링할 수 있습니다.

  • 심각도
  • 상태
  • 서비스 원인
  • 엔터티(영향을 받은 자산)
  • 자동화된 조사 상태

Office 365용 Defender 경고에 필요한 역할

Office 365용 Microsoft Defender 경고에 액세스하려면 다음 역할 중 일부가 있어야 합니다.

  • Azure AD(Azure Active Directory) 전역 역할의 경우:

    • 전역 관리자
    • 보안 관리자
    • 보안 운영자
    • 전역 읽기 권한자
    • 보안 읽기 권한자
  • Office 365 보안 & 규정 준수 역할 그룹

    • 규정 준수 관리자
    • 조직 관리
  • 사용자 지정 역할

경고 분석

기본 경고 페이지를 보려면 경고의 이름을 선택합니다. 다음은 예입니다.

Microsoft 365 Defender 포털에서 경고의 세부 정보를 보여 주는 스크린샷

경고 관리 창에서 기본 경고 페이지 열기 작업을 선택할 수도 있습니다.

경고 페이지는 다음 섹션으로 구성됩니다.

  • 시간순으로 이 경고와 관련된 이벤트 및 경고의 체인인 경고 스토리
  • 요약 세부 정보

경고 페이지 전체에서 엔터티 옆에 있는 타원(...)을 선택하여 경고를 다른 인시던트에 연결하는 것과 같은 사용 가능한 작업을 볼 수 있습니다. 사용 가능한 작업 목록은 경고 유형에 따라 달라집니다.

경고 원본

Microsoft 365 Defender 경고는 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Microsoft Defender for Identity 같은 솔루션에서 발생할 수 있습니다. Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Apps, Azure Active Directory ID 보호 및 Microsoft 데이터 손실 방지를 위한 앱 거버넌스 추가 기능입니다. 경고에 앞에 문자가 추가된 경고가 표시될 수 있습니다. 다음 표에서는 경고의 앞에 추가된 문자를 기반으로 경고 원본의 매핑을 이해하는 데 도움이 되는 지침을 제공합니다.

참고

  • 앞에 추가된 GUID는 통합 경고 큐, 통합 경고 페이지, 통합 조사 및 통합 인시던트와 같은 통합 환경에만 적용됩니다.
  • 앞에 추가된 문자는 경고의 GUID를 변경하지 않습니다. GUID에 대한 유일한 변경 내용은 앞에 추가된 구성 요소입니다.
경고 원본 앞에 추가된 문자
Microsoft 365 Defender ra
ta ThreatExperts용
ea for DetectionSource = DetectionSource.CustomDetection
Office 365용 Microsoft Defender fa{GUID}
예: fa123a456b-c789-1d2e-12f1g33h445h6i
엔드포인트용 Microsoft Defender da 또는 ed 사용자 지정 검색 경고의 경우
Microsoft Defender for Identity aa{GUID}
예: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
예: ca123a456b-c789-1d2e-12f1g33h445h6i
AAD(Azure Active Directory) ID 보호 ad
앱 거버넌스 ma
Microsoft 데이터 손실 방지 dl

AAD IP 경고 서비스 구성

  1. Microsoft 365 Defender 포털(security.microsoft.com)으로 이동하여 설정을> 선택합니다Microsoft 365 Defender.

  2. 목록에서 경고 서비스 설정을 선택한 다음 Azure AD ID 보호 경고 서비스를 구성합니다.

    Microsoft 365 Defender 포털에서 Azure AD ID 보호 경고 설정의 스크린샷

기본적으로 보안 운영 센터에 대한 가장 관련성이 큰 경고만 사용하도록 설정됩니다. 모든 AAD IP 위험 검색을 얻으려면 경고 서비스 설정 섹션에서 변경할 수 있습니다.

Microsoft 365 Defender 포털의 인시던트 페이지에서 직접 경고 서비스 설정에 액세스할 수도 있습니다.

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

영향을 받는 자산 분석

수행된 작업 섹션에는 이 경고의 영향을 받는 사서함, 디바이스 및 사용자와 같은 영향을 받는 자산 목록이 있습니다.

알림 센터에서 보기를 선택하여 Microsoft 365 Defender 포털에서 알림 센터의기록 탭을 볼 수도 있습니다.

경고 스토리에서 경고의 역할 추적

경고 스토리는 프로세스 트리 뷰에서 경고와 관련된 모든 자산 또는 엔터티를 표시합니다. 타이틀의 경고는 선택한 경고의 페이지에 처음 연결할 때 포커스가 있는 경고입니다. 경고 스토리의 자산은 확장 가능하고 클릭할 수 있습니다. 경고 페이지의 컨텍스트에서 바로 조치를 취할 수 있도록 하여 추가 정보를 제공하고 응답을 신속하게 처리합니다.

참고

경고 스토리 섹션에는 두 개 이상의 경고가 포함될 수 있으며, 선택한 경고 전후에 동일한 실행 트리와 관련된 추가 경고가 나타날 수 있습니다.

세부 정보 페이지에서 추가 경고 정보 보기

세부 정보 페이지에는 선택한 경고의 세부 정보와 관련된 세부 정보 및 작업이 표시됩니다. 경고 스토리에서 영향을 받는 자산 또는 엔터티를 선택하는 경우 세부 정보 페이지가 변경되어 선택한 개체에 대한 컨텍스트 정보와 작업을 제공합니다.

관심 있는 엔터티를 선택하면 세부 정보 페이지가 변경되어 선택한 엔터티 유형에 대한 정보, 사용 가능한 기록 정보 및 경고 페이지에서 직접 이 엔터티에 대한 작업을 수행할 수 있는 옵션이 표시됩니다.

경고 관리

경고를 관리하려면 경고 페이지의 요약 세부 정보 섹션에서 경고 관리를 선택합니다. 단일 경고의 경우 경고 관리 창의 예는 다음과 같습니다.

Microsoft 365 Defender 포털의 경고 관리 섹션 스크린샷

경고 관리 창을 사용하면 다음을 보거나 지정할 수 있습니다.

  • 경고 상태(새로 만들기, 해결됨, 진행 중)입니다.
  • 경고가 할당된 사용자 계정입니다.
  • 경고의 분류:
    • 설정 안 됨 (기본값).
    • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 경고에는 이 분류를 사용합니다. 이 위협 유형을 지정하면 보안 팀이 위협 패턴을 확인하고 조직으로부터 조직을 보호하기 위해 조치를 수행합니다.
    • 활동 유형이 있는 정보 및 예상 활동입니다. 기술적으로 정확하지만 정상적인 동작 또는 시뮬레이션된 위협 활동을 나타내는 경고에는 이 옵션을 사용합니다. 일반적으로 이러한 경고를 무시하려고 하지만 실제 공격자 또는 맬웨어에 의해 활동이 트리거되는 향후 유사한 활동을 기대합니다. 이 범주의 옵션을 사용하여 보안 테스트, 빨간색 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 경고를 분류합니다.
    • 악의적인 활동이 없거나 거짓 알람이 있더라도 생성된 경고 유형에 대한 가양성입니다. 이 범주의 옵션을 사용하여 정상 이벤트 또는 활동으로 잘못 식별된 경고를 악의적이거나 의심스러운 것으로 분류합니다. 실제 위협을 파악하는 데 유용할 수 있는 '정보 제공, 예상 활동'에 대한 경고와 달리 일반적으로 이러한 경고를 다시 보고 싶지는 않습니다. 경고를 가양성으로 분류하면 Microsoft 365 Defender 검색 품질을 개선하는 데 도움이 됩니다.
  • 경고에 대한 주석입니다.

참고

2022년 8월 29일 경, 이전에 지원된 경고 결정 값('Apt' 및 'SecurityPersonnel')은 더 이상 사용되지 않으며 API를 통해 더 이상 사용할 수 없습니다.

참고

관리의 한 가지 방법은 태그를 사용하여 경고합니다. Office 365용 Microsoft Defender 태그 지정 기능은 점진적으로 롤아웃되고 있으며 현재 미리 보기로 제공됩니다.

현재 수정된 태그 이름은 업데이트 후에 생성된 경고에만 적용됩니다. 수정 전에 생성된 경고는 업데이트된 태그 이름을 반영하지 않습니다.

특정 경고와 유사한 경고 집합을 관리하려면 경고 페이지의 요약 세부 정보 섹션에 있는 INSIGHT 상자에서 유사한 경고 보기를 선택합니다.

Microsoft 365 Defender 포털에서 경고 선택 스크린샷

경고 관리 창에서 관련된 모든 경고를 동시에 분류할 수 있습니다. 다음은 예입니다.

Microsoft 365 Defender 포털에서 관련 경고 관리 스크린샷

유사한 경고가 이미 과거에 분류된 경우 Microsoft 365 Defender 권장 사항을 사용하여 다른 경고가 해결된 방법을 알아보면 시간을 절약할 수 있습니다. 요약 세부 정보 섹션에서 권장 사항을 선택합니다.

경고에 대한 권장 사항을 선택하는 예제의 스크린샷

권장 사항 탭은 조사, 수정 및 방지를 위한 다음 단계의 작업 및 조언을 제공합니다. 다음은 예입니다.

경고 권장 사항의 예 스크린샷

경고 표시 안 함

SOC(보안 운영 센터) 분석가로서 가장 큰 문제 중 하나는 매일 트리거되는 경고 수를 심사하는 것입니다. 우선 순위가 낮은 경고의 경우 분석가는 수동 프로세스인 경향이 있는 경고를 심사하고 해결해야 합니다. SOC 분석가의 시간은 심각도가 높고 우선 순위가 높은 경고에만 집중하려고 하는 것이 중요합니다.

경고 표시 안 함을 사용하면 경고를 미리 조정하고 관리할 수 있습니다. 이렇게 하면 특정 예상 조직 동작이 발생하고 규칙 조건이 충족될 때마다 경고를 자동으로 숨기거나 해결하여 경고 큐를 간소화하고 심사 시간을 절약할 수 있습니다.

파일, 프로세스, 예약된 작업 및 경고를 트리거하는 다른 많은 증거 유형과 같은 '증거 유형'을 기반으로 규칙 조건을 만들 수 있습니다. 규칙을 만든 후 사용자는 선택한 경고 또는 규칙 조건을 충족하는 경고 유형에 규칙을 적용하여 경고를 표시하지 않을 수 있습니다.

참고

경고를 표시하지 않는 것이 좋습니다. 그러나 특정 상황에서 알려진 내부 비즈니스 애플리케이션 또는 보안 테스트는 예상된 활동을 트리거하며 이러한 경고를 보고 싶지 않습니다. 따라서 경고에 대한 억제 규칙을 만들 수 있습니다.

경고를 표시하지 않는 규칙 조건 만들기

경고에 대한 표시 안 함 규칙을 만들려면 다음을 수행합니다.

  1. 조사된 경고를 선택합니다. 주 경고 페이지의 요약 세부 정보 섹션에서 제거 규칙 만들기 를 선택합니다.

    분리 규칙 만들기 작업의 스크린샷

  2. 제거 규칙 만들기 창에서 이 경고 유형만을 선택하여 선택한 경고에 규칙을 적용합니다.

    그러나 규칙 조건을 충족하는 경고 유형에 규칙을 적용하려면 IOC 조건에 따라 모든 경고 유형을 선택합니다.

    IOC는 파일, 프로세스, 예약된 작업 및 경고를 트리거하는 기타 증거 유형과 같은 지표입니다.

    참고

    더 이상 '사용자 지정 검색' 원본에 의해 트리거되는 경고를 표시하지 않을 수 없습니다. 이 경고에 대한 표시 안 함 규칙을 만들 수 없습니다.

  3. IOCs 섹션에서 경고를 발생시킨 '증거'에 관계없이 경고를 표시하지 않도록 IOC를 선택합니다.

    여러 규칙 조건을 설정하려면 IOC 선택을 선택합니다. AND, OR 및 그룹화 옵션을 사용하여 경고를 유발하는 이러한 여러 '증거 유형' 간의 관계를 빌드합니다.

    1. 예를 들어 조건 섹션에서 트리거하는 증명 정보 엔터티 역할: 트리거,등가 를 선택하고 드롭다운 목록에서 증명 정보 유형을 선택합니다.

      증거 유형 드롭다운 목록의 스크린샷

    2. 이 'evidence'의 모든 속성은 아래의 해당 필드에서 새 하위 그룹으로 자동으로 채워집니다.

      증명 정보 자동 채우기 속성의 스크린샷.

      참고

      조건 값은 대/소문자를 구분하지 않습니다.

    3. 요구 사항에 따라 이 '증거'의 속성을 편집 및/또는 삭제할 수 있습니다(지원되는 경우 와일드카드 사용).

    4. 파일 및 프로세스 외에 AMSI(AntiMalware Scan Interface) 스크립트, WMI(Windows Management Instrumentation) 이벤트 및 예약된 작업은 증거 유형 드롭다운 목록에서 선택할 수 있는 새로 추가된 증거 유형 중 일부입니다.

      다른 유형의 증거 스크린샷.

    5. 다른 IOC를 추가하려면 필터 추가를 클릭합니다.

      참고

      경고 유형을 표시하지 않려면 규칙 조건에 IOC를 하나 이상 추가해야 합니다.

  4. 또는 IOC 섹션의 모든 경고 7 관련 IOC 자동 채우기를 선택하여 조건 섹션에서 모든 경고 관련 증거 유형 및 해당 속성을 한 번에 추가할 수 있습니다.

    모든 경고 관련 IOC 자동 채우기 스크린샷

  5. 범위 섹션에서 특정 디바이스, 여러 디바이스, 디바이스 그룹, 전체 조직 또는 사용자를 선택하여 조건 하위 섹션에서 범위를 설정합니다.

    참고

    범위사용자에 대해서만 설정된 경우 관리 권한이 있어야 합니다. 디바이스, 디바이스 그룹과 함께 사용자에 대해 범위가 설정된 경우 관리 권한이 필요하지 않습니다.

    제거 규칙 만들기 창의 스크린샷: 조건, 범위, 작업.

  6. 작업 섹션에서 경고 숨기기 또는 경고 해결의 적절한 작업을 수행합니다.

    이름, 주석을 입력하고 저장을 클릭합니다.

  7. 향후 IOC가 차단되지 않도록 방지합니다.

    표시 안 함 규칙을 저장하면 표시되는 제거 규칙 만들기 성공 페이지에서 선택한 IOC를 "허용 목록"에 표시기로 추가하고 나중에 차단되지 않도록 할 수 있습니다.

    모든 경고 관련 IOC가 목록에 표시됩니다.

    제거 조건에서 선택한 IOC는 기본적으로 선택됩니다.

    1. 예를 들어 허용할 파일을 IOC(증명 정보 선택)에 추가할 수 있습니다. 기본적으로 경고를 트리거한 파일이 선택됩니다.
    2. 적용할 선택 범위에 범위를 입력합니다. 기본적으로 관련 경고의 범위가 선택됩니다.
    3. 저장을 클릭합니다. 이제 파일이 허용 목록에 있으므로 차단되지 않습니다.

    제거 규칙을 성공적으로 만든 스크린샷

  8. 새 제거 경고 기능은 기본적으로 사용할 수 있습니다.

    그러나 설정 > 엔드포인트 > 경고 표시 안 됨으로 이동하여 Microsoft 365 Defender Portal에서 이전 환경으로 다시 전환한 다음 새 억제 규칙 만들기 사용 토글을 해제할 수 있습니다.

    표시 안 함 규칙 만들기 기능을 켜고 끄기 위한 토글의 스크린샷

    참고

    곧 새 경고 표시 안 함 환경만 사용할 수 있습니다. 이전 환경으로 돌아갈 수 없습니다.

  9. 기존 규칙 편집:

    항상 Microsoft Defender 포털에서 관련 규칙을 선택하고 규칙 편집을 클릭하여 규칙 조건 및 새 규칙 또는 기존 규칙의 범위를 추가하거나 변경할 수 있습니다.

    기존 규칙을 편집하려면 새 제거 규칙 만들기 사용 토글이 사용하도록 설정되어 있는지 확인합니다.

    제거 규칙 편집 스크린샷

경고 해결

경고 분석이 완료되고 해결되면 경고 또는 유사한 경고에 대한 경고 관리 창으로 이동하여 상태를 해결됨으로 표시한 다음 위협 유형, 활동 유형이 있는 정보, 예상 활동 또는 가양성으로 True 긍정으로 분류합니다.

경고를 분류하면 Microsoft 365 Defender 검색 품질을 개선하는 데 도움이 됩니다.

Power Automate를 사용하여 경고 심사

SecOps(최신 보안 운영) 팀은 효과적으로 작동하려면 자동화가 필요합니다. SecOps 팀은 실제 위협을 헌팅하고 조사하는 데 집중하기 위해 Power Automate를 사용하여 경고 목록을 심사하고 위협이 아닌 경고를 제거합니다.

경고 해결 기준

  • 사용자에게 업무 외 메시지가 켜져 있습니다.
  • 사용자에게 높은 위험으로 태그가 지정되지 않음

둘 다 true이면 SecOps는 경고를 합법적인 여행으로 표시하고 해결합니다. 경고가 해결된 후 Microsoft Teams에 알림이 게시됩니다.

Power Automate를 Microsoft Defender for Cloud Apps 연결

자동화를 만들려면 Power Automate를 Microsoft Defender for Cloud Apps 연결하려면 API 토큰이 필요합니다.

  1. 설정을 클릭하고 보안 확장을 선택한 다음 API 토큰 탭에서 토큰 추가를 클릭합니다.

  2. 토큰의 이름을 입력한 다음 생성을 클릭합니다. 토큰은 나중에 필요하므로 저장합니다.

자동화된 흐름 만들기

이 짧은 비디오를 시청하여 자동화가 효율적으로 작동하여 원활한 워크플로를 만드는 방법과 Power Automate를 Defender for Cloud Apps에 연결하는 방법을 알아봅니다.

다음 단계

In-Process 인시던트에 필요한 경우 조사를 계속합니다.

참고 항목