Office 365용 Microsoft Defender AIR(자동 조사 및 대응)

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Office 365용 Microsoft Defender 보안 운영 팀의 시간과 노력을 절약할 수 있는 강력한 AIR(자동 조사 및 대응) 기능이 포함되어 있습니다. 경고가 트리거되면 보안 운영 팀이 해당 경고를 검토하고, 우선 순위를 지정하고, 대응해야 합니다. 들어오는 경고의 볼륨을 유지하는 것은 압도적일 수 있습니다. 이러한 작업 중 일부를 자동화하면 도움이 될 수 있습니다.

AIR를 사용하면 보안 운영 팀이 보다 효율적이고 효과적으로 운영할 수 있습니다. AIR 기능에는 현재 존재하는 잘 알려진 위협에 대응하는 자동화된 조사 프로세스가 포함됩니다. 적절한 수정 작업은 승인을 기다리고 있으므로 보안 운영 팀이 검색된 위협에 효과적으로 대응할 수 있습니다. AIR를 사용하면 보안 운영 팀이 트리거되는 중요한 경고를 놓치지 않고 우선 순위가 높은 작업에 집중할 수 있습니다.

이 문서에서는 다음에 대해 설명합니다.

• AIR의 전체 흐름;
• AIR를 가져오는 방법; 및
• AIR 기능을 구성하거나 사용하는 데 필요한 권한 입니다.

이 문서에는 다음 단계와 자세히 알아볼 수 있는 리소스도 포함되어 있습니다.

AIR의 전체 흐름

경고가 트리거되고 보안 플레이북이 자동화된 조사를 시작하여 결과 및 권장 작업이 발생합니다. AIR의 전체 흐름은 단계별로 다음과 같습니다.

1. 자동화된 조사는 다음 방법 중 하나로 시작됩니다.

   • 경고 는 메일에서 의심스러운 항목(예: 메시지, 첨부 파일, URL 또는 손상된 사용자 계정)에 의해 트리거됩니다. 인시던트가 생성되고 자동화된 조사가 시작됩니다. 또는
   • 보안 분석가는 Explorer 사용하는 동안 자동화된 조사를 시작합니다.

2. 자동화된 조사가 실행되는 동안 해당 전자 메일과 관련된 엔터티 (예: 파일, URL 및 받는 사람)에 대한 데이터를 수집합니다. 새 경고 및 관련 경고가 트리거되면 조사의 scope 증가할 수 있습니다.

3. 자동 조사 중 및 후에 세부 정보 및 결과를 볼 수 있습니다. 결과에는 발견된 기존 위협에 대응하고 수정하기 위해 수행할 수 있는 권장 작업이 포함될 수 있습니다.

4. 보안 운영 팀은 조사 결과 및 권장 사항을 검토하고 수정 작업을 승인하거나 거부합니다.

5. 보류 중인 수정 작업이 승인되거나 거부되면 자동화된 조사가 완료됩니다.

참고

조사 결과 권장 조치가 수행되지 않으면 자동화된 조사가 종료되고 자동화된 조사의 일부로 검토된 내용에 대한 세부 정보는 조사 페이지에서 계속 사용할 수 있습니다.

Office 365용 Microsoft Defender 수정 작업은 자동으로 수행되지 않습니다. 수정 작업은 조직의 보안 팀이 승인한 경우에만 적용될 수 있습니다. AIR 기능은 수정 작업을 식별하고 정보에 입각한 결정을 내리는 데 필요한 세부 정보를 제공하여 보안 운영 팀 시간을 절약합니다.

각 자동화된 조사 중 및 이후에 보안 운영 팀은 다음을 수행할 수 있습니다.

• 조사와 관련된 경고에 대한 세부 정보 보기
• 조사 결과 세부 정보 보기
• 조사 결과 작업 검토 및 승인

팁

자세한 개요는 AIR 작동 방식을 참조하세요.

AIR를 가져오는 방법

AIR 기능은 감사 로깅이 켜져 있는 한(기본적으로 켜져 있는) Office 365용 Microsoft Defender 플랜 2에 포함됩니다.

또한 organization 경고 정책, 특히 위협 관리 범주의 기본 정책을 검토해야 합니다.

자동화된 조사를 트리거하는 경고 정책은 무엇입니까?

Microsoft 365는 Exchange 관리자 권한 남용, 맬웨어 활동, 잠재적 외부 및 내부 위협 및 정보 거버넌스 위험을 식별하는 데 도움이 되는 많은 기본 제공 경고 정책을 제공합니다. 몇 가지 기본 경고 정책은 자동화된 조사를 트리거할 수 있습니다. 다음 표에서는 자동화된 조사를 트리거하는 경고, Microsoft Defender 포털의 심각도 및 생성 방법에 대해 설명합니다.

경고	심각도	경고 생성 방법
잠재적으로 악의적인 URL 클릭이 검색되었습니다.	High	이 경고는 다음 중 어느 것이라도 발생할 때 생성됩니다. organization 안전한 링크로 보호되는 사용자가 악의적인 링크를 클릭합니다. URL에 대한 평결 변경 내용은 Office 365용 Microsoft Defender 사용자는 organization 안전 링크 정책에 따라 안전한 링크 경고 페이지를 재정의합니다. 이 경고를 트리거하는 이벤트에 대한 자세한 내용은 안전한 링크 정책 설정을 참조하세요.
사용자가 전자 메일 메시지를 맬웨어 또는 피싱으로 보고합니다.	낮음	이 경고는 organization 사용자가 Microsoft 보고서 메시지 또는 보고서 피싱 추가 기능을 사용하여 메시지를 피싱 메일로 보고할 때 생성됩니다.
악성 파일이 포함된 전자 메일 메시지가 전달 후 제거됨	정보	이 경고는 악성 파일이 포함된 모든 메시지가 organization 사서함으로 배달될 때 생성됩니다. 이 이벤트가 발생하면 Microsoft는 ZAP(0시간 자동 제거)를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다.
맬웨어가 포함된 Email 메시지는 배달 후 제거됩니다.	정보	이 경고는 맬웨어가 포함된 전자 메일 메시지가 organization 사서함으로 배달될 때 생성됩니다. 이 이벤트가 발생하면 Microsoft는 ZAP(0시간 자동 제거)를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다.
악성 URL이 포함된 전자 메일 메시지가 전달 후 제거됨	정보	이 경고는 악의적인 URL이 포함된 메시지가 organization 사서함으로 배달될 때 생성됩니다. 이 이벤트가 발생하면 Microsoft는 ZAP(0시간 자동 제거)를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다.
피싱 URL이 포함된 Email 메시지는 배달 후 제거됩니다.	정보	이 경고는 피시가 포함된 모든 메시지가 organization 사서함으로 배달될 때 생성됩니다. 이 이벤트가 발생하면 Microsoft는 ZAP를 사용하여 Exchange Online 사서함에서 감염된 메시지를 제거합니다.
의심스러운 전자 메일 보내기 패턴이 검색됨	Medium	이 경고는 organization 누군가가 의심스러운 이메일을 보냈으며 전자 메일 전송이 제한될 위험이 있을 때 생성됩니다. 경고는 계정이 손상되었지만 사용자를 제한할 만큼 심각하지는 않음을 나타낼 수 있는 동작에 대한 조기 경고입니다. 드물긴 하지만 이 정책에 의해 생성된 경고는 변칙일 수 있습니다. 그러나 사용자 계정이 손상되었는지 여부를 검사 것이 좋습니다.
사용자가 전자 메일을 보낼 수 없습니다.	High	이 경고는 organization 누군가가 아웃바운드 메일을 보내는 것을 제한할 때 생성됩니다. 이 경고는 일반적으로 전자 메일 계정이 손상되면 발생합니다. 제한된 사용자에 대한 자세한 내용은 제한된 엔터티 페이지에서 차단된 사용자 제거를 참조하세요.
관리 트리거된 이메일 수동 조사	정보	이 경고는 관리자가 위협 Explorer 전자 메일에 대한 수동 조사를 트리거할 때 생성됩니다. 이 경고는 organization 조사가 시작되었음을 알 수 있습니다.
트리거된 사용자 손상 조사 관리	Medium	이 경고는 관리자가 위협 Explorer 메일 보낸 사람 또는 받는 사람에 대한 수동 사용자 손상 조사를 트리거할 때 생성됩니다. 이 경고는 사용자 손상 조사가 시작되었음을 organization 알 수 있습니다.

팁

경고 정책에 대해 자세히 알아보거나 기본 설정을 편집하려면 Microsoft Defender 포털의 경고 정책을 참조하세요.

AIR 기능을 사용하는 데 필요한 권한

AIR을 사용하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

• Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)(PowerShell이 아닌 Defender 포털에만 영향을 줍니다.):

  • 자동화된 조사를 시작하거나 권장 작업 승인 또는 거부: 보안 운영자/Email 고급 수정 작업(관리).

• Microsoft Defender 포털에서 공동 작업 권한을 Email &.

  • AIR 기능 설정: 조직 관리 또는 보안 관리자 역할 그룹의 멤버 자격.
  • 자동화된 조사를 시작 하거나 권장 작업을 승인하거나 거부합니다.
    • 조직 관리, 보안 관리자, 보안 운영자, 보안 읽기 권한자 또는 전역 읽기 권한자 역할 그룹의 멤버 자격입니다. 및
    • Search 및 제거 역할이 할당된 역할 그룹의 멤버 자격입니다. 기본적으로 이 역할은 데이터 조사 자 및 조직 관리 역할 그룹에 할당됩니다. 또는 사용자 지정 역할 그룹을 만들어Search 및 제거 역할을 할당할 수 있습니다.

• Microsoft Entra 권한:

  • AIR 기능 설정전역 관리자 또는 보안 관리자 역할의 멤버 자격.
  • 자동화된 조사를 시작 하거나 권장 작업을 승인하거나 거부합니다.
    • 전역 관리자, 보안 관리자, 보안 운영자, 보안 읽기 권한자 또는 전역 읽기 권한자 역할의 멤버 자격입니다. 및
    • Search 및 제거 역할이 할당된 Email & 협업 역할 그룹의 멤버 자격입니다. 기본적으로 이 역할은 데이터 조사 자 및 조직 관리 역할 그룹에 할당됩니다. 또는 사용자 지정 Email & 공동 작업 역할 그룹을 만들어Search 및 제거 역할을 할당할 수 있습니다.

  Microsoft Entra 권한은 사용자에게 Microsoft 365의 다른 기능에 필요한 권한과 권한을 부여합니다.

필요한 라이선스

Office 365용 Microsoft Defender 플랜 2 라이선스를 할당해야 합니다.

• 보안 관리자(전역 관리자 포함)
• organization 보안 운영 팀(보안 읽기 권한자 및 Search 및 제거 역할이 있는 사용자 포함)
• 최종 사용자

다음 단계

• AIR 사용 시작
• 자동화된 조사의 세부 정보 및 결과 보기
• 보류 중인 작업 검토 및 승인
• 보류 중 또는 완료된 수정 작업 보기