Microsoft Defender XDR 첫 번째 인시던트 수정

적용 대상:

• Microsoft Defender XDR

Microsoft Defender XDR 위협의 억제 및 근절을 보장하기 위한 검색 및 분석 기능을 제공합니다. 포함에는 공격의 영향을 줄이는 단계가 포함되어 있으며, 제거를 통해 공격자 활동의 모든 추적이 네트워크에서 제거됩니다.

Microsoft Defender XDR 수정은 자동화되거나 인시던트 응답자가 수행한 수동 작업을 통해 수행할 수 있습니다. 디바이스, 파일 및 ID에서 수정 작업을 수행할 수 있습니다.

자동 수정

Microsoft Defender XDR 가장 파괴적인 공격에 대처하기 위해 네트워크 내의 위협 인텔리전스와 신호를 활용합니다. 랜섬웨어, BEC(비즈니스 메일 손상) 및 AiTM(악의적 사용자- 중간) 피싱은 자동 공격 중단 기능을 통해 즉시 포함할 수 있는 가장 복잡한 공격 중 일부입니다. 공격이 중단되면 인시던트 응답자가 공격을 인수하고 완전히 조사하고 필요한 수정을 적용할 수 있습니다.

자동 공격 중단이 인시던트 대응에 어떻게 도움이 되는지 알아봅니다.

한편, Microsoft Defender XDR 자동화된 조사 및 대응 기능은 악의적이고 의심스러운 항목에 대한 수정 작업을 자동으로 조사하고 적용할 수 있습니다. 이러한 기능은 조사 및 해결을 위협에 맞게 확장하여 인시던트 응답자가 영향력이 큰 공격에 집중할 수 있도록 합니다.

자동화된 조사 및 응답 기능을 구성 하고 관리할 수 있습니다. 알림 센터를 통해 모든 과거 및 보류 중인 작업을 볼 수도 있습니다.

참고

검토 후 자동 작업을 실행 취소할 수 있습니다.

조사 작업의 속도를 높이기 위해 Power Automate를 사용하여 경고를 심사할 수 있습니다. 또한 자동화 및 플레이북을 사용하여 자동화된 수정을 만들 수 있습니다. Microsoft에는 다음 시나리오 에 대한 플레이북 템플릿이 GitHub 에 있습니다.

• 사용자 유효성 검사를 요청한 후 중요한 파일 공유 제거
• 자주 실행되지 않는 국가 경고 자동 심사
• 계정을 사용하지 않도록 설정하기 전에 관리자 작업 요청
• 악성 받은 편지함 규칙 사용 안 함

플레이북은 Power Automate를 사용하여 특정 조건이 트리거되면 특정 활동을 자동화하는 사용자 지정 로봇 프로세스 자동화 흐름을 만듭니다. 조직은 기존 템플릿에서 또는 처음부터 플레이북을 만들 수 있습니다. 인시던트 후 검토 중에 플레이북을 만들어 해결된 인시던트에서 수정 작업을 만들 수도 있습니다.

Power Automate가 이 비디오를 통해 인시던트 대응을 자동화하는 데 어떻게 도움이 되는지 알아봅니다.

수동 수정

보안 팀은 공격에 대응하는 동안 포털의 수동 수정 작업을 활용하여 공격이 더 이상 손상되는 것을 막을 수 있습니다. 일부 작업은 즉시 위협을 중지할 수 있으며, 다른 작업은 추가 법의학 분석을 지원합니다. 이러한 작업은 organization 내에 배포된 Defender 워크로드에 따라 모든 엔터티에 적용할 수 있습니다.

장치에 대한 작업

• 디바이스 격리 - 네트워크에서 디바이스 연결을 끊어 영향을 받는 디바이스를 격리합니다. 디바이스는 지속적인 모니터링을 위해 엔드포인트용 Defender 서비스에 연결된 상태로 유지됩니다.

• 앱 실행 제한 - Microsoft에서 발급한 인증서로 서명된 경우에만 파일을 실행할 수 있도록 하는 코드 무결성 정책을 적용하여 애플리케이션을 제한합니다.

• 바이러스 백신 검사 실행 - 디바이스에 대해 원격으로 Defender 바이러스 백신 검사를 시작합니다. 검사는 Defender 바이러스 백신이 활성 바이러스 백신 솔루션인지 여부에 관계없이 다른 바이러스 백신 솔루션과 함께 실행할 수 있습니다.

• 조사 패키지 수집 - 조사 또는 응답 프로세스의 일부로 디바이스에서 조사 패키지를 수집할 수 있습니다. 조사 패키지를 수집하여 디바이스의 현재 상태를 식별하고 공격자가 사용하는 도구와 기술을 더 잘 이해할 수 있습니다.

• 자동화된 조사 시작 - 디바이스에서 새로운 범용 자동 조사를 시작합니다. 조사가 실행되는 동안 디바이스에서 생성된 다른 경고는 조사가 완료될 때까지 진행 중인 자동화된 조사에 추가됩니다. 또한 다른 디바이스에서 동일한 위협이 표시되면 해당 디바이스가 조사에 추가됩니다.

• 라이브 응답 시작 - 원격 셸 연결을 사용하여 디바이스에 즉시 액세스할 수 있으므로 심층 조사 작업을 수행하고 즉각적인 대응 조치를 취하여 식별된 위협을 실시간으로 즉시 포함할 수 있습니다. 라이브 응답은 포렌식 데이터를 수집하고, 스크립트를 실행하고, 분석을 위해 의심스러운 엔터티를 보내고, 위협을 수정하고, 새로운 위협을 사전에 헌팅할 수 있도록 하여 조사를 향상하도록 설계되었습니다.

• Defender 전문가에게 문의 - 잠재적으로 손상되거나 이미 손상된 디바이스에 대한 자세한 정보는 Microsoft Defender 전문가에게 문의할 수 있습니다. Microsoft Defender 전문가는 포털 내에서 직접 참여하여 시기 적절하게 정확한 응답을 받을 수 있습니다. 이 작업은 디바이스와 파일 모두에서 사용할 수 있습니다.

디바이스에 대한 다른 작업은 다음 자습서를 통해 사용할 수 있습니다.

• 엔드포인트용 Defender를 통해 사용하도록 설정된 디바이스의 응답 작업

참고

공격 스토리 내의 그래프에서 바로 디바이스에 대한 작업을 수행할 수 있습니다.

파일에 대한 작업

• 파일 중지 및 격리 - 실행 중인 프로세스 중지, 파일 격리 및 레지스트리 키와 같은 영구 데이터 삭제가 포함됩니다.
• 파일을 차단하거나 허용하는 표시기 추가 - 잠재적으로 악성 파일 또는 의심되는 맬웨어를 금지하여 공격이 더 확산되지 않도록 방지합니다. 이 작업을 수행하면 organization 디바이스에서 파일을 읽거나 쓰거나 실행할 수 없습니다.
• 파일 다운로드 또는 수집 – 분석가가 organization 추가 분석을 위해 암호로 보호된 .zip 보관 파일에서 파일을 다운로드할 수 있습니다.
• 심층 분석 – 완전히 계측된 안전한 클라우드 환경에서 파일을 실행합니다. 심층 분석 결과에는 파일의 활동, 관찰된 동작 및 삭제된 파일, 레지스트리 수정 및 IP 주소와의 통신과 같은 관련 아티팩트가 표시됩니다.

다른 공격 수정

참고

이러한 자습서는 사용자 환경에서 다른 Defender 워크로드를 사용하도록 설정한 경우에 적용됩니다.

다음 자습서에서는 엔터티를 조사하거나 특정 위협에 대응할 때 적용할 수 있는 단계와 작업을 열거합니다.

• Office 365용 Defender 통해 손상된 전자 메일 계정에 응답
• Defender for Vulnerability Management를 사용하여 취약성 수정
• Defender for Identity를 통한 사용자 계정에 대한 수정 작업
• Defender for Cloud Apps를 사용하여 앱을 제어하는 정책 적용

다음 단계

• 공격 시뮬레이션 학습을 통해 공격 시뮬레이션
• Virtual Ninja 학습을 통해 Microsoft Defender XDR 살펴보기

참고 항목

• 인시던트 조사
• Microsoft Defender XDR Ninja 학습을 통해 포털의 기능 및 기능 알아보기

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.