Microsoft Defender XDR 인시던트 관리

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft Defender XDR

인시던트 관리는 인시던트 워크플로에서 시간을 최적화하고 위협을 보다 신속하게 억제하고 해결하기 위해 인시던트 이름을 지정하고 할당하고 태그를 지정하는 데 중요합니다.

2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.

Microsoft Defender 포털(security.microsoft.com)의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 관리를 수행할 수 있습니다. 다음은 예입니다.

인시던트 큐 내의 인시던트 관리 옵션 강조 표시 및 Microsoft Defender 포털의 빠른 실행 창

인시던트 관리 방법은 다음과 같습니다.

인시던트에 대한 인시던트 관리 창에서 인시던트를 관리할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 관리 창

다음의 인시던트 관리 링크에서 이 창을 표시할 수 있습니다.

  • 경고 스토리 페이지.
  • 인시던트 큐의 인시던트 속성 창입니다.
  • 인시던트 요약 페이지입니다.
  • 인시던트 페이지의 오른쪽 위에 있는 인시던트 옵션을 관리합니다.

한 인시던트에서 다른 인시던트로 경고를 이동하려는 경우 경고 탭에서 이 작업을 수행하여 모든 관련 경고를 포함하는 더 크거나 작은 인시던트가 생성됩니다.

인시던트 이름 편집

Microsoft Defender XDR 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 이름을 자동으로 할당합니다. 인시던트 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다. 예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.

인시던트 관리 창의 인시던트 이름 필드에서 인시던트 이름을 편집할 수 있습니다.

참고

자동 인시던트 명명 기능이 출시되기 전에 존재한 인시던트 이름은 그대로 유지됩니다.

인시던트 심각도 할당 또는 변경

인시던트 관리 창의 심각도 필드에서 인 시던 트의 심각도를 할당하거나 변경할 수 있습니다. 인시던트의 심각도는 관련 경고의 가장 높은 심각도에 따라 결정됩니다. 인시던트의 심각도는 높음, 중간, 낮음 또는 정보로 설정할 수 있습니다.

인시던트 태그 추가

예를 들어 인시던트 그룹에 공통 특성을 플래그 지정하기 위해, 사용자 지정 태그를 인시던트에 추가할 수 있습니다. 나중에 특정 태그가 포함된 모든 인시던트의 인시던트 큐를 필터링할 수 있습니다.

이전에 사용하고 선택한 태그 목록에서 선택하는 옵션은 입력을 시작한 후에 나타납니다.

인시던트 할당

할당 대상 상자를 선택하고 인시던트를 할당할 사용자 계정을 지정할 수 있습니다. 인시던트를 다시 할당하려면 계정 이름 옆에 있는 "x"를 선택하여 현재 할당 계정을 제거한 다음 할당 대상 상자를 선택합니다. 인시던트 소유권을 할당하면 연결된 모든 경고에 동일한 소유권이 할당됩니다.

인시던트 큐를 필터링하여 할당된 인시던트 목록을 가져올 수 있습니다.

  1. 인시던트 큐에서 필터를 선택합니다.
  2. 인시던트 할당 섹션에서 모두 선택을 취소합니다. 나에게 할당됨, 다른 사용자에게 할당됨 또는 사용자 그룹에 할당됨을 선택합니다.
  3. 적용을 선택한 다음 필터 창을 닫습니다.

그런 다음, 결과 URL을 브라우저에 책갈피로 저장하여 할당된 인시던트 목록을 빠르게 볼 수 있습니다.

인시던트 해결

인시던트 해결을 선택하여 인시던트를 수정할 때 토글을 오른쪽으로 이동합니다. 인시던트를 해결하면 인시던트와 관련된 모든 연결 및 활성 경고도 해결됩니다.

확인되지 않은 인시던트가 활성으로 표시됩니다.

분류 지정

분류 필드에서 인시던트가 다음인지 여부를 지정합니다.

  • 설정되지 않음 (기본값).
  • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 인시던트에 이 분류를 사용합니다. 위협 유형을 지정하면 보안 팀이 위협 패턴을 보고 조직을 방어하는 데 도움이 됩니다.
  • 활동 유형이 있는 정보 및 예상 활동입니다. 이 범주의 옵션을 사용하여 보안 테스트, 레드 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 인시던트 분류를 수행합니다.
  • 판단하는 인시던트 유형에 대한 가양성은 기술적으로 부정확하거나 오해의 소지가 있으므로 무시할 수 있습니다.

인시던트 분류 및 상태 및 형식 지정은 Microsoft Defender XDR 조정하여 시간이 지남에 따라 더 나은 검색 결정을 제공하는 데 도움이 됩니다.

메모 추가

주석 필드를 사용하여 인시던트에 여러 주석을 추가할 수 있습니다. 주석 필드는 텍스트 및 서식, 링크 및 이미지를 지원합니다. 각 주석은 30,000자로 제한됩니다.

모든 주석은 인시던트 기록 이벤트에 추가됩니다. 요약 페이지의 메모 및 기록 링크에서 인시던트 주석 및 기록을 볼 수 있습니다.

활동 로그

활동 로그에는 감사 및 메모라고 하는 인시던트에 대해 수행된 모든 주석 및 작업의 목록이 표시됩니다. 사용자가든 시스템에서든 인시던트에 대한 모든 변경 내용은 활동 로그에 기록됩니다. 활동 로그는 인시던트 페이지 또는 인시던트 쪽 창의 활동 로그 옵션에서 사용할 수 있습니다.

Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 옵션 강조 표시

메모 및 작업으로 로그 내의 활동을 필터링할 수 있습니다. 콘텐츠: 감사, 메모를 클릭한 다음, 콘텐츠를 선택하여 활동을 필터링합니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 창 내의 필터 옵션 강조 표시

활동 로그 내에서 사용할 수 있는 주석 상자를 사용하여 고유한 주석을 추가할 수도 있습니다. 주석 상자는 텍스트 및 서식, 링크 및 이미지를 허용합니다.

Microsoft Defender 포털의 인시던트 페이지에서 주석 상자 강조 표시

다음 단계

새 인시던트에 대한 조사를 시작합니다.

In-Process 인시던트에 대한 조사를 계속합니다.

해결된 인시던트에 대해 인시던트 후 검토를 수행합니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.