Microsoft Defender XDR 위협 분석

  • 아티클

적용 대상:

  • Microsoft Defender XDR

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

위협 분석은 전문 Microsoft 보안 연구원의 제품 내 위협 인텔리전스 솔루션입니다. 다음과 같은 새로운 위협에 직면하면서 보안팀이 최대한 효율적으로 작업할 수 있도록 지원하도록 설계되었습니다.

  • 활성 위협 행위자 및 해당 캠페인
  • 인기 있는 새로운 공격 기술
  • 주요 취약성
  • 일반적인 공격 표면
  • 널리 사용되는 맬웨어

이 짧은 비디오를 시청하여 위협 분석이 최신 위협을 추적하고 중지하는 데 어떻게 도움이 되는지 자세히 알아보세요.

Microsoft Defender XDR 탐색 모음의 왼쪽 위 또는 알려진 영향과 노출 측면에서 조직에 대한 주요 위협을 보여 주는 전용 dashboard 카드 위협 분석에 액세스할 수 있습니다.

위협 분석 방문 페이지의 스크린샷

활성 또는 진행 중인 캠페인에 대한 가시성을 확보하고 위협 분석을 통해 수행할 작업을 파악하면 보안 운영팀에서 정보에 입각한 의사 결정을 내리는 데 도움이 될 수 있습니다.

더 정교한 악의적 사용자와 새로운 위협이 자주 널리 나타나고 있으므로 신속하게 다음을 할 수 있어야 합니다.

  • 새로운 위협 식별 및 대응
  • 현재 공격을 받고 있는지 알아보기
  • 자산에 대한 위협의 영향 평가
  • 위협에 대한 복원력 또는 노출 검토
  • 위협을 중지하거나 포함하기 위해 수행할 수 있는 완화, 복구 또는 방지 작업 식별

각 보고서는 추적된 위협에 대한 분석과 해당 위협을 방어하는 방법에 대한 광범위한 지침을 제공합니다. 또한 네트워크의 데이터를 통합하여 위협이 활성 상태인지 여부와 적용 가능한 보호 기능이 있는지 여부를 나타냅니다.

위협 분석 대시보드 보기

위협 분석 dashboard(security.microsoft.com/threatanalytics3)은 organization 가장 관련성이 큰 보고서를 강조 표시합니다. 위협을 다음 섹션으로 요약합니다.

  • 최신 위협은 활성 및 해결된 경고 수와 함께 가장 최근에 게시되거나 업데이트된 위협 보고서를 나열합니다.
  • 영향력이 큰 위협은 organization 가장 큰 영향을 주는 위협을 나열합니다. 이 섹션에는 활성 및 해결된 경고 수가 가장 많은 위협을 먼저 나열합니다.
  • 가장 높은 노출 - 조직에 가장 높은 노출이 있는 위협을 나열합니다. 위협에 대한 노출 수준은 위협과 관련된 취약성의 심각도 및 해당 취약성에 의해 악용될 수 있는 organization 디바이스 수의 두 가지 정보를 사용하여 계산됩니다.

위협 분석 dashboard 스크린샷

대시보드에서 위협을 선택하여 해당 위협에 대한 보고서를 봅니다. 읽고 싶은 위협 분석 보고서와 관련된 키워드(keyword) 키에 대한 Search 필드를 선택할 수도 있습니다.

범주별 보고서 보기

위협 보고서 목록을 필터링하고 특정 위협 유형 또는 보고서 유형에 따라 가장 관련성이 큰 보고서를 볼 수 있습니다.

  • 위협 태그 - 특정 위협 범주에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 랜섬웨어 태그에는 랜섬웨어 와 관련된 모든 보고서가 포함됩니다.
  • 보고서 유형 - 특정 보고서 유형에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 도구 & 기술 태그에는 도구 및 기술을 다루는 모든 보고서가 포함됩니다.

다양한 태그에는 위협 보고서 목록을 효율적으로 검토하고 특정 위협 태그 또는 보고서 유형에 따라 보기를 필터링하는 데 도움이 되는 동일한 필터가 있습니다. 예를 들어 랜섬웨어 범주와 관련된 모든 위협 보고서 또는 취약성이 포함된 위협 보고서를 확인합니다.

Microsoft 위협 인텔리전스 팀은 각 위협 보고서에 위협 태그를 추가했습니다. 현재 4개의 위협 태그를 사용할 수 있습니다.

  • 랜섬웨어
  • 피싱
  • 취약성
  • 활동 그룹

위협 태그는 위협 분석 페이지의 맨 위에 표시됩니다. 각 태그 아래에 사용 가능한 보고서 수에 대한 카운터가 있습니다.

위협 분석 보고서 태그의 스크린샷.

목록에서 원하는 보고서 유형을 설정하려면 필터를 선택하고 목록에서 선택한 다음 적용을 선택합니다.

필터 목록의 스크린샷.

둘 이상의 필터를 설정한 경우 위협 태그 열을 선택하여 위협 분석 보고서 목록을 위협 태그별로 정렬할 수도 있습니다.

위협 태그 열의 스크린샷.

위협 분석 보고서 보기

각 위협 분석 보고서는 다음과 같은 여러 섹션에 정보를 제공합니다.

개요: 위협을 신속하게 이해하고, 위협을 평가하고, 방어를 검토합니다.

개요 섹션에서는 자세한 분석가 보고서의 미리 보기를 제공합니다. 또한 organization 대한 위협의 영향과 잘못 구성되고 패치되지 않은 디바이스를 통한 노출을 강조하는 차트를 제공합니다.

위협 분석 보고서의 개요 섹션 스크린샷

organization 미치는 영향 평가

각 보고서에는 위협의 조직 영향에 대한 정보를 제공하도록 설계된 차트가 포함되어 있습니다.

  • 관련 인시던트 - 추적된 위협이 다음 데이터를 사용하여 organization 미치는 영향에 대한 개요를 제공합니다.
    • 활성 경고 수 및 연결된 활성 인시던트 수
    • 활성 인시던트의 심각도
  • 시간에 따른 경고 - 시간에 따른 관련 활성해결된 경고의 수를 표시합니다. 해결된 경고 수는 organization 위협과 관련된 경고에 응답하는 빈도를 나타냅니다. 이상적으로 차트는 며칠 내에 해결된 경고를 표시해야 합니다.
  • 영향을 받은 자산 - 현재 추적된 위협과 연결된 하나 이상의 활성 경고가 있는 고유한 디바이스 및 메일 계정(사서함)의 수를 보여 줍니다. 위협 전자 메일을 받은 사서함에 대해 경고가 트리거됩니다. 위협 전자 메일을 배달하는 재정의에 대한 조직 및 사용자 수준 정책을 모두 검토합니다.
  • 전자 메일 시도 방지 - 배달 전에 차단되었거나 정크 메일 폴더로 배달된 지난 7일의 전자 메일 수를 보여 줍니다.

보안 복원력 및 태세 검토

각 보고서에는 지정된 위협에 대한 organization 복원력에 대한 개요를 제공하는 차트가 포함되어 있습니다.

  • 보안 구성 상태 - 잘못 구성된 보안 설정이 있는 디바이스 수를 표시합니다. 권장 보안 설정을 적용하여 위협을 완화합니다. 디바이스는 추적된 모든 설정을 적용한 경우 보안으로 간주됩니다.
  • 취약성 패치 상태-취약한 디바이스의 수를 보여 줄 수 있습니다. 보안 업데이트 또는 패치를 적용하여 위협에 악용된 취약성을 해결합니다.

분석가 보고서: Microsoft 보안 연구원으로부터 전문가 인사이트 얻기

분석가 보고서 섹션에서 자세한 전문가 쓰기를 읽어보세요. 대부분의 보고서는 MITRE ATT&CK 프레임워크에 매핑된 전술 및 기술, 철저한 권장 사항 목록 및 강력한 위협 헌팅 지침을 포함하여 공격 체인에 대한 자세한 설명을 제공합니다.

분석가 보고서에 대해 자세히 알아보기

관련 인시던트 탭에서는 추적된 위협과 관련된 모든 인시던트 목록을 제공합니다. 인시던트를 할당하거나 각 인시던트에 연결된 경고를 관리할 수 있습니다.

위협 분석 보고서의 관련 인시던트 섹션 스크린샷.

영향을 받는 자산: 영향을 받는 디바이스 및 사서함 목록 가져오기

자산이 해결되지 않은 활성 경고의 영향을 받는 경우 영향을 받은 것으로 간주합니다. 영향을 받은 자산 탭에는 다음과 같은 유형의 영향을 받은 자산이 나열됩니다.

  • 영향을 받은 디바이스 - 해결되지 않은 엔드포인트용 Microsoft Defender 경고가 있는 엔드포인트입니다. 이러한 경고는 일반적으로 알려진 위협 지표 및 활동을 볼 때 발생합니다.
  • 영향을 받는 사서함 - Office 365용 Microsoft Defender 경고를 트리거한 전자 메일 메시지를 받은 사서함입니다. 경고를 트리거하는 대부분의 메시지는 일반적으로 차단되지만, 사용자 또는 조직 수준 정책은 필터를 재정의할 수 있습니다.

위협 분석 보고서의 영향을 받은 자산 섹션의 스크린샷.

방지된 전자 메일 시도: 차단되거나 정크된 위협 메일 보기

Office 365용 Microsoft Defender는 일반적으로 악성 링크 또는 첨부 파일을 포함하여 알려진 위협 표시기가 있는 전자 메일을 차단합니다. 경우에 따라 의심스러운 콘텐츠를 확인하는 사전 필터링 메커니즘은 대신 정크 메일 폴더에 위협 전자 메일을 보냅니다. 두 경우 모두 디바이스에서 맬웨어 코드를 실행하는 위협이 발생할 가능성이 줄어듭니다.

전자 메일 방지 탭에는 배달 전에 차단되었거나 Office 365용 Microsoft Defender 정크 메일 폴더로 전송된 모든 전자 메일이 나열됩니다.

위협 분석 보고서의 차단된 전자 메일 시도 섹션 스크린샷.

노출 및 완화: 완화 목록 및 디바이스 상태 검토

노출 & 완화 섹션에서 위협에 대한 조직의 복원력을 높이는 데 도움이 될 수 있는 실행 가능한 특정 권장 사항 목록을 검토합니다. 추적된 완화 목록에는 다음이 포함됩니다.

  • 보안 업데이트 - 온보딩된 디바이스에서 발견된 취약성에 대해 지원되는 소프트웨어 보안 업데이트 배포
  • 지원되는 보안 구성
    • 클라우드 제공 보호
    • PUA(사용자 동의 없이 설치된 애플리케이션) 보호
    • 실시간 보호

이 섹션의 완화 정보는 보고서의 다양한 링크에서 자세한 드릴다운 정보를 제공하는 Microsoft Defender 취약성 관리 데이터를 통합합니다.

보안 구성 세부 정보를 보여 주는 위협 분석 보고서의 완화 섹션

취약성 세부 정보를 보여 주는 위협 분석 보고서의 완화 섹션

위협 분석 보고서의 노출 & 완화 섹션

보고서 업데이트에 대한 메일 알림 설정

위협 분석 보고서에 대한 업데이트를 보내는 메일 알림 설정할 수 있습니다. 메일 알림 만들려면 Microsoft Defender XDR 위협 분석 업데이트에 대한 메일 알림 가져오기의 단계를 수행합니다.

추가 보고서 세부 정보 및 제한 사항

참고

통합 보안 환경의 일부로 이제 위협 분석은 엔드포인트용 Microsoft Defender 뿐만 아니라 Office 365용 Microsoft Defender 라이선스 소유자에도 사용할 수 있습니다.

Microsoft 365 보안 포털(Microsoft Defender XDR)을 사용하지 않는 경우 Microsoft Defender 보안 센터 포털()에서 보고서 세부 정보(Office 데이터에 대한 Microsoft Defender 없음)를 볼 수도 있습니다. 엔드포인트용 Microsoft Defender).

위협 분석 보고서에 액세스하려면 특정 역할 및 권한이 필요합니다. 자세한 내용은 역할 기반 액세스 제어의 사용자 지정 역할을 참조하여 Microsoft Defender XDR.

  • 경고, 인시던트 또는 영향을 받은 자산 데이터를 보려면 Office 또는 엔드포인트용 Microsoft Defender 경고 데이터 또는 둘 다에 대해 Microsoft Defender 수 있는 권한이 있어야 합니다.
  • 방지된 전자 메일 시도를 보려면 Office 헌팅 데이터를 Microsoft Defender 수 있는 권한이 있어야 합니다.
  • 완화를 보려면 엔드포인트용 Microsoft Defender Defender 취약성 관리 데이터에 대한 권한이 있어야 합니다.

위협 분석 데이터를 확인할 때 다음 요소를 기억하세요.

  • 차트는 추적되는 완화만 반영합니다. 차트에 표시되지 않는 추가 완화 방법이 있는지 보고서 개요를 확인합니다.
  • 완화가 완전한 복원력을 보장하지는 않습니다. 제공된 완화는 복원력을 개선하는 데 필요한 최상의 조치를 반영합니다.
  • 디바이스는 서비스에 데이터를 전송하지 않은 경우 "사용할 수 없음"으로 계산됩니다.
  • 바이러스 백신 관련 통계는 Microsoft Defender 바이러스 백신 설정을 기반으로 합니다. 타사 바이러스 백신 솔루션이 있는 디바이스는 "노출됨"으로 표시될 수 있습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.