Microsoft Defender XDR 인시던트 조사

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft Defender XDR

Microsoft Defender XDR 모든 관련 경고, 자산, 조사 및 디바이스, 사용자 및 사서함의 증거를 인시던트에 집계하여 공격의 전체 범위를 포괄적으로 살펴볼 수 있도록 합니다.

인시던트 내에서 네트워크에 영향을 주는 경고를 분석하고, 그 의미를 이해하고, 효과적인 수정 계획을 고안할 수 있도록 증거를 수집합니다.

초기 조사

세부 정보를 살펴보기 전에 속성 및 인시던트 전체 공격 이야기를 살펴보십시오.

검사 표시 열에서 인시던트 를 선택하여 시작할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털에서 인시던트 선택

이렇게 하면 인시던트에 대한 심각도, 할당된 사람, MITRE ATT&인시던트에 대한 CK™ 범주와 같은 인시던트에 대한 주요 정보가 포함된 요약 창이 열립니다. 다음은 예입니다.

Microsoft Defender 포털에서 인시던트에 대한 요약 세부 정보를 표시하는 창입니다.

여기에서 인시던트 페이지 열기를 선택할 수 있습니다. 그러면 경고, 디바이스, 사용자, 조사 및 증거에 대한 전체 공격 스토리 정보와 탭을 찾을 수 있는 인시던트에 대한 기본 페이지가 열립니다.

인시던트 큐에서 인시던트 이름을 선택하여 인시던트에 대한 기본 페이지를 열 수도 있습니다.

공격 스토리

공격 스토리는 동일한 탭에서 공격의 전체 스토리를 보면서 공격을 신속하게 검토, 조사 및 수정하는 데 도움이 됩니다. 또한 엔터티 세부 정보를 검토하고 컨텍스트를 잃지 않고 파일을 삭제하거나 디바이스를 격리하는 등의 수정 작업을 수행할 수 있습니다.

공격 스토리는 다음 비디오에서 간략하게 설명합니다.

공격 스토리 내에서 경고 페이지와 인시던트 그래프를 찾을 수 있습니다.

인시던트 경고 페이지에는 다음 섹션이 있습니다.

  • 다음을 포함하는 경고 스토리:

    • 무슨 일이 있었나요
    • 수행한 작업
    • 관련 이벤트
  • 오른쪽 창의 경고 속성(상태, 세부 정보, 설명 등)

모든 경고에 경고 스토리 섹션에 나열된 하위 섹션이 모두 있는 것은 아닙니다.

그래프는 공격의 전체 scope, 시간이 지남에 따라 공격이 네트워크를 통해 확산되는 방법, 시작된 위치 및 공격자가 얼마나 멀리 갔는지를 보여줍니다. 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스 및 사서함과 같은 관련 자산과 연결합니다.

그래프에서 다음을 수행할 수 있습니다.

  • 시간이 지남에 따라 발생한 그래프에서 경고 및 노드를 재생하여 공격의 연대기를 이해합니다.

    공격 스토리 그래프 페이지에서 경고 및 노드 재생을 보여 주는 스크린샷

  • 엔터티 창을 열어 엔터티 세부 정보를 검토하고 파일 삭제 또는 디바이스 격리와 같은 수정 작업을 수행할 수 있습니다.

    공격 스토리 그래프 페이지의 엔터티 세부 정보 검토를 보여 주는 스크린샷.

  • 관련된 엔터티에 따라 경고를 강조 표시합니다.

  • 디바이스, 파일, IP 주소 또는 URL의 엔터티 정보를 헌팅합니다.

go hunt 옵션은 고급 헌팅 기능을 활용하여 엔터티에 대한 관련 정보를 찾습니다. Go Hunt 쿼리는 조사 중인 특정 엔터티와 관련된 이벤트 또는 경고에 대한 관련 스키마 테이블을 확인합니다. 옵션을 선택하여 엔터티에 대한 관련 정보를 찾을 수 있습니다.

  • 사용 가능한 모든 쿼리를 참조하세요. 이 옵션은 조사 중인 엔터티 형식에 대해 사용 가능한 모든 쿼리를 반환합니다.
  • 모든 활동 – 쿼리는 엔터티와 연결된 모든 활동을 반환하여 인시던트의 컨텍스트를 포괄적으로 볼 수 있습니다.
  • 관련 경고 – 쿼리는 특정 엔터티와 관련된 모든 보안 경고를 검색하고 반환하여 정보를 놓치지 않도록 합니다.

공격 스토리에서 디바이스에서 이동 사냥 옵션 선택

결과 로그 또는 경고는 결과를 선택한 다음 인시던트에 연결을 선택하여 인 시던트에 연결할 수 있습니다.

go hunt 쿼리 결과에서 인시던트에 대한 링크 옵션 강조 표시

요약

요약 페이지를 사용하여 인시던트의 상대적 중요도를 평가하고 관련 경고 및 영향을 받은 엔터티에 신속하게 액세스합니다. 요약 페이지에서는 인시던트에 대해 알아야 할 주요 사항을 스냅샷 한눈에 볼 수 있습니다.

Microsoft Defender 포털에서 인시던트에 대한 요약 정보를 보여 주는 스크린샷

정보는 이 섹션에서 구성됩니다.

섹션 설명
경고 및 범주 킬 체인에 대해 공격이 얼마나 진행되었는지에 대한 시각적 및 숫자 보기입니다. 다른 Microsoft 보안 제품과 마찬가지로 Microsoft Defender XDR MITRE ATT&CK™ 프레임워크에 맞춰집니다. 경고 타임라인 경고가 발생한 시간순 순서와 각 경고의 상태 및 이름을 보여 줍니다.
범위 영향을 받은 디바이스, 사용자 및 사서함 수를 표시하고 위험 수준 및 조사 우선 순위 순서대로 엔터티를 나열합니다.
증거 인시던트에 의해 영향을 받는 엔터티 수를 표시합니다.
인시던트 정보 태그, 상태 및 심각도와 같은 인시던트의 속성을 표시합니다.

경고

경고 탭에서 인시던트와 관련된 경고 및 다음과 같은 기타 정보에 대한 경고 큐를 볼 수 있습니다.

  • 심각도.
  • 경고에 관련된 엔터티입니다.
  • 경고의 원본(Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Defender for Cloud Apps 및 앱 거버넌스 추가 기능)입니다.
  • 그들이 함께 연결된 이유.

다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 경고 창

기본적으로 경고는 시간순으로 정렬되어 시간이 지남에 따라 공격이 어떻게 수행되었는지 확인할 수 있습니다. 인시던트 내에서 경고를 선택하면 Microsoft Defender XDR 전체 인시던트 컨텍스트와 관련된 경고 정보를 표시합니다.

다른 트리거된 경고로 인해 현재 경고가 발생한 경고의 이벤트와 디바이스, 파일, 사용자 및 사서함을 포함하여 공격에 관련된 모든 영향을 받는 엔터티 및 활동을 볼 수 있습니다.

다음은 예입니다.

Microsoft Defender 포털의 인시던트 내 경고 세부 정보입니다.

경고 조사에서 경고 큐 및 경고 페이지를 사용하는 방법을 알아봅니 .

자산

새 자산 탭을 사용하여 모든 자산을 한 곳에서 쉽게 보고 관리할 수 있습니다 . 이 통합 보기에는 디바이스, 사용자, 사서함 및 앱이 포함됩니다.

자산 탭에는 이름 옆에 총 자산 수가 표시됩니다. 자산 탭을 선택할 때 해당 범주 내의 자산 수가 포함된 다양한 범주 목록이 표시됩니다.

Microsoft Defender 포털의 인시던트에 대한 자산 페이지

디바이스

디바이스 보기에는 인시던트 관련 모든 디바이스가 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 디바이스 페이지

목록에서 디바이스를 선택하면 선택한 디바이스를 관리할 수 있는 막대가 열립니다. 신속하게 내보내기, 태그 관리, 자동화된 조사 등을 시작할 수 있습니다.

디바이스에 대한 검사 표시를 선택하여 디바이스, 디렉터리 데이터, 활성 경고 및 로그온한 사용자의 세부 정보를 볼 수 있습니다. 엔드포인트용 Defender 디바이스 인벤토리에서 디바이스 세부 정보를 보려면 디바이스 이름을 선택합니다. 다음은 예입니다.

Microsoft Defender 포털의 자산 페이지에 있는 디바이스 옵션입니다.

디바이스 페이지에서 모든 경고, 타임라인 및 보안 권장 사항과 같은 디바이스에 대한 추가 정보를 수집할 수 있습니다. 예를 들어 타임라인 탭에서 디바이스 타임라인 스크롤하고 머신에서 관찰된 모든 이벤트 및 동작을 시간순으로 보고 경고가 발생한 후 산재할 수 있습니다. 예제는 다음과 같습니다.

Microsoft Defender 포털의 디바이스 페이지에 있는 디바이스의 세부 정보입니다.

디바이스 페이지에서 주문형 검사를 수행할 수 있습니다. Microsoft Defender 포털에서 엔드포인트 디바이스 인벤토리를 >선택합니다. 경고가 있는 디바이스를 선택한 다음 바이러스 백신 검사를 실행합니다. 바이러스 백신 검사와 같은 작업은 추적되며 디바이스 인벤토리 페이지에 표시됩니다. 자세한 내용은 디바이스에서 Microsoft Defender 바이러스 백신 검사 실행을 참조하세요.

사용자

사용자 보기에는 인시던트에 속하거나 관련된 것으로 식별된 모든 사용자가 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 사용자 페이지입니다.

사용자의 검사 표시를 선택하여 사용자 계정 위협, 노출 및 연락처 정보에 대한 세부 정보를 볼 수 있습니다. 사용자 이름을 선택하여 추가 사용자 계정 세부 정보를 확인합니다.

추가 사용자 정보를 보고 사용자를 조사할 때 인시던트 사용자를 관리하는 방법을 알아봅니다.

사서함

사서함 보기에는 인시던트에 속하거나 관련된 것으로 확인된 모든 사서함이 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 사서함 페이지입니다.

사서함의 검사 표시를 선택하여 활성 경고 목록을 볼 수 있습니다. 사서함 이름을 선택하여 Office 365용 Defender 대한 Explorer 페이지에서 추가 사서함 세부 정보를 확인합니다.

보기에는 인시던트에 속하거나 관련된 것으로 식별된 모든 앱이 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 앱 페이지입니다.

앱의 검사 표시를 선택하여 활성 경고 목록을 볼 수 있습니다. 앱 이름을 선택하여 Defender for Cloud Apps의 Explorer 페이지에서 추가 세부 정보를 확인합니다.

조사

조사 탭에는 이 인시던트에서 경고에 의해 트리거되는 모든 자동화된 조사가 나열됩니다. 자동화된 조사는 엔드포인트용 Defender 및 Office 365용 Defender 실행되도록 자동화된 조사를 구성한 방법에 따라 수정 작업을 수행하거나 분석가의 작업 승인을 기다립니다.

Microsoft Defender 포털의 인시던트에 대한 조사 페이지

조사를 선택하여 조사 및 수정 상태 대한 전체 정보를 보려면 세부 정보 페이지로 이동합니다. 조사의 일환으로 승인을 위해 보류 중인 작업이 있는 경우 보류 중인 작업 기록 탭에 표시됩니다. 인시던트 수정의 일부로 조치를 취합니다.

다음을 보여 주는 조사 그래프 탭도 있습니다.

  • organization 영향을 받은 자산에 대한 경고 연결입니다.
  • 경고와 관련된 엔터티 및 공격 스토리의 일부인 방법.
  • 인시던트에 대한 경고입니다.

조사 그래프를 사용하면 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스 및 사서함과 같은 관련 자산과 연결하여 공격의 전체 scope 빠르게 이해할 수 있습니다.

자세한 내용은 Microsoft Defender XDR 자동 조사 및 응답을 참조하세요.

증거 및 응답

증거 및 응답 탭에는 인시던트에서 경고에 지원되는 모든 이벤트 및 의심스러운 엔터티가 표시됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 증거 및 대응 페이지

Microsoft Defender XDR 경고에서 인시던트의 지원되는 모든 이벤트 및 의심스러운 엔터티를 자동으로 조사하여 중요한 이메일, 파일, 프로세스, 서비스, IP 주소 등에 대한 정보를 제공합니다. 이렇게 하면 인시던트에서 잠재적인 위협을 신속하게 감지하고 차단할 수 있습니다.

분석된 각 엔터티는 평결(악성, 의심, 정리) 및 수정 상태 표시됩니다. 이렇게 하면 전체 인시던트에 대한 수정 상태 다음 단계를 수행할 수 있는지 이해하는 데 도움이 됩니다.

수정 작업 승인 또는 거부

수정 상태 승인 보류 중인 인시던트가 있는 경우 인시던트 내에서 수정 작업을 승인하거나 거부할 수 있습니다.

  1. 탐색 창에서 인시던트 & 경고 인시던트로> 이동합니다.
  2. 자동화된 조사 상태에 대한 보류 중인 작업을 필터링합니다(선택 사항).
  3. 인시던트 이름을 선택하여 요약 페이지를 엽니다.
  4. 증거 및 응답 탭을 선택합니다.
  5. 목록에서 항목을 선택하여 플라이아웃 창을 엽니다.
  6. 정보를 검토한 다음 다음 단계 중 하나를 수행합니다.
    • 보류 중인 작업 승인 옵션을 선택하여 보류 중인 작업을 시작합니다.
    • 보류 중인 작업이 수행되지 않도록 하려면 보류 중인 작업 거부 옵션을 선택합니다.

Microsoft Defender 포털의 인시던트에 대한 증거 및 응답 관리 창의 승인\거부 옵션입니다.

다음 단계

필요에 따라:

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.