다음을 통해 공유


자동 조사의 세부 내용과 결과

적용 대상:

  • Microsoft Defender XDR

Microsoft Defender XDR 자동화된 조사가 실행되면 자동 조사 프로세스 중 및 이후에 해당 조사에 대한 세부 정보를 사용할 수 있습니다. 필요한 권한이 있는 경우 최신 상태 및 보류 중인 작업을 승인할 수 있는 기능을 제공하는 조사 세부 정보 보기에서 이러한 세부 정보를 볼 수 있습니다.

(NEW) 통합 조사 페이지

조사 페이지는 최근 디바이스, 이메일 및 공동 작업 콘텐츠에 대한 정보를 포함하도록 업데이트되었습니다. 새로운 통합 조사 페이지는 공용 언어를 정의하고 엔드포인트용 Microsoft DefenderOffice 365용 Microsoft Defender 전체에서 자동 조사를 위한 통합 환경을 제공합니다. 통합 조사 페이지에 액세스하려면 표시되는 노란색 배너의 링크를 선택합니다.

조사 세부정보 보기 열기

다음 방법 중 하나를 사용 하여 조사 세부정보 보기를 열 수 있습니다.

작업 센터에서 항목 선택

향상된 알림 센터 (https://security.microsoft.com/action-center)는 디바이스 간 수정 작업 , 메일 & 협업 콘텐츠 및 ID를 함께 제공합니다. 나열되는 작업에는 자동 또는 수동으로 수행된 수정 작업이 포함됩니다. 알림 센터에서 승인 대기 중인 작업과 이미 승인되거나 완료된 작업을 볼 수 있습니다. 조사 페이지와 같은 자세한 정보로 이동할 수도 있습니다.

작업을 승인, 거부 또는 실행 취소할 수 있는 특정 권한이 있어야 합니다.

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 작업 센터를 선택합니다.

  3. 보류 중인 또는 기록 탭에서 항목을 선택 합니다. 플라이아웃 창이 열립니다.

  4. 플라이아웃 창에서 정보를 검토한 다음, 다음 단계 중 하나를 수행합니다.

    • 조사에 대한 자세한 내용을 보려면 조사 페이지 열기를 선택합니다.
    • 보류 중인 작업을 시작하려면 승인을 선택합니다.
    • 보류 중인 작업이 수행되지 않도록 하려면 거부를 선택합니다.
    • Go Hunt를 선택하여 고급 헌팅으로 이동합니다.

문제 세부정보 페이지에서 조사 오픈

세부정보 페이지를 통해 알람 원인 장치, 사용자, 사서함 등 사건에 대한 세부 정보를 확인할 수 있습니다.

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 인시던트 & 경고 인시던트> 를 선택합니다.

  3. 목록에서 항목을 선택한 다음 인시 던트 페이지 열기를 선택합니다.

  4. 조사 탭을 선택한 다음 목록에서 조사를 선택합니다. 플라이아웃 창이 열립니다.

  5. 조사 페이지 열기를 선택합니다.

다음은 예입니다.

Microsoft Defender 포털의 조사 페이지

조사 세부정보

조사 세부정보 보기를 사용 하여 과거, 현재 및 보류 중인 활동을 확인하고 조사합니다. 다음은 예입니다.

Microsoft Defender 포털의 조사 세부 정보 페이지

조사 세부정보 보기에서 아래 테이블에 설명되어 있는 것 처럼 조사 그래프, 알람, 장치, 항목, 주요 발견 사항, 대상, 로그보류 활동을 확인할 수 있습니다.

참고

조사 세부 정보 페이지에 표시되는 특정 탭은 구독에 포함된 사항에 따라 달라집니다. 예를 들어 구독에 Office 365용 Microsoft Defender 플랜 2가 포함되어 있지 않으면 사서함 탭이 표시되지 않습니다.

Tab 설명
조사 그래프 조사 내용이 시각적으로 표시 됩니다. 위협 대상과 목록 알람과 현재 활동이나 보류중인 활동을 보여줍니다.
그래프에서 항목을 선택하면 세부 정보를 볼 수 있습니다. 예를 들어 증거 아이콘을 선택하면 검색된 엔터티와 해당 평결을 볼 수 있는 증거 탭으로 이동합니다.
경고 조사와 관련 된 알람목록을 보여줍니다. 경고는 사용자의 디바이스, Office 앱, Microsoft Defender for Cloud Apps 및 기타 Microsoft Defender XDR 기능의 위협 방지 기능에서 나올 수 있습니다.

지원되지 않는 경고 유형이 표시되면 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.
장치 Lists 수정 수준과 함께 조사에 포함된 디바이스입니다. (수정 수준은 디바이스 그룹의 자동화 수준에 해당합니다.)
사서함 검색된 위협의 영향을 받는 사서함을 Lists.
사용자 검색된 위협의 영향을 받는 사용자 계정을 Lists.
증거 Lists 경고 또는 조사에 의해 제기 된 증거의 조각입니다. 평가 결과(악성, 의심스러움, 알 수 없음 또는 발견된 위협 없음) 및 수정 상태를 포함합니다.
항목 각 엔터티 유형에 대한 평과 결과(악성, 의심스러움 또는 발견된 위협 없음)를 비롯해 분석된 각 엔터티에 대한 세부 정보를 제공합니다.
로그 경고가 트리거된 후 수행된 모든 조사 작업에 대한 자세한 보기를 시간순으로 제공합니다.
보류 중인 작업 기록 진행 하려면 승인이 필요한 항목을 나열 합니다. 알림 센터(https://security.microsoft.com/action-center)로 이동하여 보류 중인 작업을 승인합니다.

조사 상태

다음 표에는 조사 상태 및 표시 내용이 나와 있습니다.

조사 상태 정의
양성 아티팩트가 조사되었고 위협이 발견되지 않았다고 결정했습니다.
PendingResource 수정 작업이 승인을 보류 중이거나 아티팩트가 발견된 디바이스를 일시적으로 사용할 수 없으므로 자동화된 조사가 일시 중지됩니다.
UnsupportedAlertType 이러한 유형의 경고에는 자동화된 조사를 사용할 수 없습니다. 고급 헌팅을 사용하여 수동으로 추가 조사를 수행할 수 있습니다.
실패 하나 이상의 조사 분석기가 조사를 완료할 수 없는 문제가 발생했습니다. 수정 작업이 승인된 후에도 조사가 실패하는 경우 수정 작업이 여전히 성공했을 수 있습니다.
성공적으로 수정됨 자동화된 조사가 완료되고 모든 수정 작업이 완료되거나 승인되었습니다.

조사 상태가 표시되는 방식에 대한 자세한 컨텍스트를 제공하기 위해 다음 표에는 경고 및 해당 자동 조사 상태가 나와 있습니다. 이 테이블은 보안 운영 팀이 Microsoft Defender 포털에 표시할 수 있는 내용의 예로 포함되어 있습니다.

경고 이름 심각도 조사 상태 상태 범주
wim 디스크 이미지 파일에서 맬웨어가 검색됨 정보 양성 해결됨 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 UnsupportedAlertType 신규 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 UnsupportedAlertType 신규 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 UnsupportedAlertType 신규 맬웨어
zip 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
zip 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
zip 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
zip 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
Wpakill hacktool이 방지되었습니다. 낮음 실패 신규 맬웨어
GendowsBatch hacktool이 방지되었습니다. 낮음 실패 신규 맬웨어
Keygen hacktool이 방지되었습니다. 낮음 실패 신규 맬웨어
zip 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
zip 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
rar 보관 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
iso 디스크 이미지 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
iso 디스크 이미지 파일에서 맬웨어가 검색됨 정보 PendingResource 신규 맬웨어
pst outlook 데이터 파일에서 맬웨어가 검색됨 정보 UnsupportedAlertType 신규 맬웨어
pst outlook 데이터 파일에서 맬웨어가 검색됨 정보 UnsupportedAlertType 신규 맬웨어
MediaGet이 검색됨 보통 PartiallyInvestigated 신규 맬웨어
TrojanEmailFile 보통 SuccessfullyRemediated 해결됨 맬웨어
CustomEnterpriseBlock 맬웨어가 방지되었습니다. 정보 SuccessfullyRemediated 해결됨 맬웨어
활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. 낮음 SuccessfullyRemediated 해결됨 맬웨어
활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. 낮음 SuccessfullyRemediated 해결됨 맬웨어
활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. 낮음 SuccessfullyRemediated 해결됨 맬웨어
TrojanEmailFile 보통 양성 해결됨 맬웨어
CustomEnterpriseBlock 맬웨어가 방지되었습니다. 정보 UnsupportedAlertType 신규 맬웨어
CustomEnterpriseBlock 맬웨어가 방지되었습니다. 정보 SuccessfullyRemediated 해결됨 맬웨어
TrojanEmailFile 보통 SuccessfullyRemediated 해결됨 맬웨어
TrojanEmailFile 보통 양성 해결됨 맬웨어
활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. 낮음 PendingResource 신규 맬웨어

다음 단계

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.