자산 조사

Microsoft 365 Defender Microsoft Defender for Identity 사용자, 컴퓨터 및 디바이스가 의심스러운 활동을 수행하거나 손상의 징후를 보이는 경우 증거를 제공합니다. 이 문서에서는 조직의 위험을 결정하고, 수정 방법을 결정하고, 유사한 향후 공격을 방지하는 가장 좋은 방법을 결정하는 데 도움이 되는 조사 제안을 제공합니다.

의심스러운 사용자에 대한 조사 단계

참고

Microsoft 365 Defender 사용자 프로필을 보는 방법에 대한 자세한 내용은 사용자 조사를 참조하세요.

경고 또는 인시던트가 사용자가 의심스럽거나 손상되었을 수 있음을 나타내는 경우 다음 세부 정보 및 활동에 대한 사용자 프로필을 확인하고 조사합니다.

1. 사용자는 누구인가요?

   1. 사용자가 중요한 사용자인가요(예: 관리자 또는 관심 목록 등)?
   2. 조직 내에서 해당 역할은 무엇인가요?
   3. 그것들은 조직 트리에서 중요하나요?

2. 조사할 의심스러운 활동:

   1. Defender for Identity 또는 엔드포인트용 Microsoft Defender, 클라우드용 Microsoft Defender, Microsoft Defender for Cloud Apps와 같은 보안 도구에서 사용자에게 다른 경고가 열렸나요?
   2. 사용자가 로그온에 실패했나요?
   3. 사용자가 액세스한 리소스는?
   4. 사용자가 중요 리소스에 액세스했나요?
   5. 사용자가 액세스한 리소스에 액세스하도록 되어 있나요?
   6. 사용자가 로그인한 디바이스는 무엇입니까?
   7. 사용자가 해당 디바이스에 로그인해야 하나요?
   8. 사용자와 중요한 사용자 간에 횡 적 이동 경로(LMP)가 있나요?

이러한 질문에 대한 답변을 사용하여 계정이 손상된 것으로 표시되는지 또는 의심스러운 활동이 악의적인 작업을 암시하는지 확인합니다.

다음 보기에서 ID 정보를 찾을 수 있습니다.

• ID 페이지
• 경고 큐
• 개별 경고/인시던트
• 디바이스 페이지
• 활동 로그
• 고급 헌팅 쿼리
• 조치 센터

ID 세부 정보

특정 ID를 조사할 때 다음이 표시됩니다.

• 개요
  개요에는 Azure Active Directory(Azure AD) ID 위험 수준, 사용자가 로그인한 디바이스 수, 사용자가 처음 및 마지막으로 본 경우, 사용자의 계정 및 더 중요한 정보와 같은 ID 세부 정보가 포함됩니다.
  또한 인시던트 및 경고 시각적 보기, 조사 우선 순위 점수, 조직 트리, 엔터티 태그 및 채점된 활동 타임라인을 볼 수 있습니다.

• 활성 경고 탭
  경고 탭에는 이 탭의 지난 180일 동안의 사용자와 관련된 활성 경고가 포함되어 있습니다. 경고 심각도 및 경고가 생성된 시간과 같은 정보는 이 탭에서 사용할 수 있습니다.

• 조직 탭에서 관찰됨
  이 탭에는 다음이 포함됩니다.

  • 디바이스 - 지난 180일 동안 가장 적게 사용된 것을 포함하여 ID가 로그인한 디바이스입니다.
  • 위치 - 지난 30일 동안의 ID에 대해 관찰된 위치입니다.
  • 그룹 - ID에 대해 관찰된 모든 온-프레미스 그룹입니다.
  • 횡적 이동 경로 - 온-프레미스 환경에서 프로파일된 모든 횡적 이동 경로입니다.

• ID 타임라인 탭
  타임라인은 지난 30일 동안 사용자의 ID에서 관찰된 활동 및 경고를 나타냅니다. Microsoft Defender for Identity, Microsoft Defender for Cloud Apps 및 엔드포인트용 Microsoft Defender 워크로드 간에 사용자의 ID 항목을 통합합니다. 타임라인을 사용하면 특정 기간에 사용자가 수행했거나 수행된 활동에 집중할 수 있습니다.

• 수정 작업
  계정을 사용하지 않도록 설정하거나 암호를 다시 설정하여 손상된 사용자에게 응답할 수 있습니다. 사용자에 대한 작업을 수행한 후 알림 센터에서 활동 세부 정보를 확인할 수 있습니다.

Microsoft 365 Defender 포털에서 ID를 조사하는 방법에 대한 자세한 내용은 사용자 조사를 참조하세요.

의심스러운 디바이스에 대한 조사 단계

디바이스 프로필 페이지에 액세스하려면 조사하려는 경고에 언급된 특정 디바이스를 선택합니다. 조사를 지원하기 위해 경고 증거에는 의심스러운 각 활동에 연결된 모든 디바이스와 사용자가 나열됩니다.

다음 세부 정보 및 활동에 대한 디바이스 프로필을 확인하고 조사합니다.

• 의심스러운 활동 기간 동안 어떤 일이 있었나요?

  1. 디바이스에 로그인한 사용자는 무엇입니까?
  2. 해당 사용자가 일반적으로 원본 또는 대상 디바이스에 로그인하거나 액세스하나요?
  3. 어떤 리소스에 액세스되었나요? 어떤 사용자에 의해?
  • 리소스에 액세스했다면 중요한 리소스였습니까?
  1. 사용자가 해당 리소스에 액세스하기로 되어 있었나요?
  2. 디바이스에 액세스한 사용자가 다른 의심스러운 활동을 수행했나요?

• 조사할 의심스러운 활동:

  1. Defender for Identity 또는 엔드포인트용 Microsoft Defender, 클라우드용 Microsoft Defender, Microsoft Defender for Cloud Apps와 같은 보안 도구에서 다른 경고가 이 경고와 동시에 열렸나요?
  2. 실패한 로그온이 있었나요?
  3. 새 프로그램이 배포 또는 설치되었나요?

이러한 질문에 대한 답변을 사용하여 디바이스가 손상된 것으로 표시되는지 또는 의심스러운 활동이 악의적인 작업을 암시하는지 여부를 확인합니다.

Microsoft 365 Defender 포털에서 디바이스를 조사하는 방법에 대한 자세한 내용은 디바이스 조사를 참조하세요.

다음 단계

• Microsoft Defender for Identity LMP(수평 이동 경로)
• Microsoft 365 Defender 사용자 조사
• Microsoft 365 Defender에서 인시던트 조사

자세한 정보

• 대화형 가이드 사용해 보기: Investigate and respond to attacks with Microsoft Defender for Identity(Microsoft Defender for Identity를 통해 공격 조사 및 공격에 대응)