학습
인증
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel, 클라우드용 Microsoft Defender 및 Microsoft 365 Defender를 사용하여 위협을 조사, 검색 및 완화하세요.
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
엔드포인트용 Defender는 경고를 통해 가능한 악성 이벤트, 특성 및 컨텍스트 정보를 알 수 있습니다. 새 경고의 요약이 표시되며 경고 큐의 모든 경고에 액세스할 수 있습니다.
경고 큐에서 경고를 선택하거나 개별 디바이스에 대한 디바이스 페이지의 경고 탭을 선택하여 경고를 관리할 수 있습니다.
이러한 위치 중 하나에서 경고를 선택하면 경고 관리 창이 표시됩니다.
새 엔드포인트용 Microsoft Defender 경고 페이지를 사용하는 방법을 알아보려면 이 비디오를 시청하세요.
경고 또는 기존 인시던트에 대한 링크에서 새 인시던트를 만들 수 있습니다.
경고가 아직 할당되지 않은 경우 할당을 선택하여 자신에게 경고를 할당할 수 있습니다.
경고가 Microsoft Defender XDR 표시되지 않도록 해야 하는 시나리오가 있을 수 있습니다. 엔드포인트용 Defender를 사용하면 organization 알려진 도구 또는 프로세스와 같이 무해한 것으로 알려진 특정 경고에 대한 억제 규칙을 만들 수 있습니다.
기존 경고에서 제거 규칙을 만들 수 있습니다. 필요한 경우 비활성화하고 다시 사용할 수 있습니다.
제거 규칙을 만들 때 규칙이 만들어진 시점부터 적용됩니다. 규칙은 규칙을 만들기 전에 큐에 이미 있는 기존 경고에 영향을 미치지 않습니다. 규칙은 규칙을 만든 후 설정된 조건을 충족하는 경고에만 적용됩니다.
표시 안 함 규칙에 대한 두 가지 컨텍스트 중에서 선택할 수 있습니다.
규칙의 컨텍스트를 사용하면 포털에 표시되는 항목을 조정하고 실제 보안 경고만 포털에 표시되도록 할 수 있습니다.
다음 표의 예제를 사용하여 억제 규칙의 컨텍스트를 선택할 수 있습니다.
컨텍스트 | 정의 | 예제 시나리오 |
---|---|---|
이 디바이스에서 경고 표시 안 함 | 동일한 경고 제목과 해당 특정 디바이스의 경고만 표시되지 않습니다. 해당 디바이스의 다른 모든 경고는 표시되지 않습니다. |
|
내 organization 경고 표시 안 함 | 모든 디바이스에서 동일한 경고 제목이 있는 경고는 표시되지 않습니다. |
|
경고가 표시되지 않거나 해결되는 시기를 제어하는 사용자 지정 규칙을 Create. 경고 제목, 손상 표시기 및 조건을 지정하여 경고가 표시되지 않는 경우에 대한 컨텍스트를 제어할 수 있습니다. 컨텍스트를 지정한 후에는 작업을 구성하고 경고에 scope 수 있습니다.
표시하지 않을 경고를 선택합니다. 그러면 경고 관리 창이 표시됩니다.
Create 제거 규칙을 선택합니다.
이러한 특성을 사용하여 억제 조건을 만들 수 있습니다. AND 연산자는 각 조건 사이에 적용되므로 모든 조건이 충족되는 경우에만 제거가 발생합니다.
트리거 IOC를 선택합니다.
작업을 지정하고 경고에 scope.
경고를 자동으로 resolve 포털에서 숨길 수 있습니다. 자동으로 해결되는 경고는 경고 큐, 경고 페이지 및 디바이스 타임라인 해결된 섹션에 표시되며 엔드포인트용 Defender API에서 해결된 것으로 표시됩니다.
숨김으로 표시된 경고는 디바이스의 연결된 경고와 dashboard 전체 시스템에서 표시되지 않으며 엔드포인트용 Defender API에서 스트리밍되지 않습니다.
규칙 이름 및 주석을 입력합니다.
저장을 클릭합니다.
탐색 창에서 설정>엔드포인트>규칙>경고 표시 안 함을 선택합니다.
표시 안 함 규칙 목록에는 organization 사용자가 만든 모든 규칙이 표시됩니다.
억제 규칙 관리에 대한 자세한 내용은 억제 규칙 관리를 참조하세요.
조사가 진행됨에 따라 상태 변경하여 경고를 새로 만들기, 진행 중 또는 해결됨으로 분류할 수 있습니다. 이렇게 하면 팀이 경고에 응답하는 방법을 구성하고 관리하는 데 도움이 됩니다.
예를 들어 팀 리더는 모든 새 경고를 검토하고 추가 분석을 위해 진행 중인 큐에 할당하도록 결정할 수 있습니다.
또는 팀 리더가 경고가 무해하다는 것을 알고 있거나, 관련이 없거나(예: 보안 관리자에 속한 디바이스) 이전 경고를 통해 처리되고 있는 경우 해결 된 큐에 경고를 할당할 수 있습니다.
분류를 설정하지 않도록 선택하거나 경고가 실제 경고인지 아니면 거짓 경고인지 지정할 수 있습니다. 참 긍정/가양성의 분류를 제공하는 것이 중요합니다. 이 분류는 경고 품질을 모니터링하고 경고를 보다 정확하게 만드는 데 사용됩니다. "결정" 필드는 "참 긍정" 분류에 대한 추가 충실도를 정의합니다.
경고를 분류하는 단계는 이 비디오에 포함되어 있습니다.
경고를 추가하고 경고에 대한 기록 이벤트를 확인하여 경고에 대한 이전 변경 내용을 확인할 수 있습니다.
경고가 변경되거나 주석이 표시될 때마다 메모 및 기록 섹션에 기록됩니다.
추가된 메모는 창에 바로 표시됩니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
학습
인증
Microsoft Certified: Security Operations Analyst Associate - Certifications
Microsoft Sentinel, 클라우드용 Microsoft Defender 및 Microsoft 365 Defender를 사용하여 위협을 조사, 검색 및 완화하세요.