다음을 통해 공유

보안 경고 보기 및 관리

경고 큐에는 네트워크의 ID에서 플래그가 지정된 경고 목록이 표시됩니다. 기본적으로 큐는 지난 7일 동안 그룹화된 보기에 표시된 경고를 표시합니다. 가장 최근 경고는 가장 최근의 경고를 먼저 볼 수 있도록 목록 맨 위에 표시됩니다.

경고 큐 보기

Microsoft Defender 포털에서 인시던트 & 경고로 이동한 다음 경고로 이동합니다.

지난 7일 동안의 경고는 다음 정보와 함께 표시됩니다.

  • 경고 이름
  • 태그
  • 심각도
  • 조사 상태
  • 상태
  • 범주
  • 검색 원본
  • 영향을 받은 자산
  • 첫 번째 작업
  • 마지막 작업

Defender 포털의 경고 페이지를 보여 주는 스크린샷 의심되는 무차별 암호 대입이라는 두 개의 경고가 전체 경고 세부 정보와 함께 나열됩니다.

경고 큐 보기 사용자 지정

몇 가지 방법으로 경고 큐의 보기를 사용자 지정할 수 있습니다. 페이지 맨 위에 있는 도구를 사용하여 다음을 수행할 수 있습니다.

  • 보기를 사용자 지정하여 열을 추가하거나 제거합니다.
  • 필터를 적용합니다.
  • 기간을 사용자 지정합니다. 1일, 3일, 1주, 30일, 6개월과 같은 특정 기간에 대한 경고를 표시합니다.
  • 분석을 위해 자세한 Excel 보고서를 내보냅니다.

경고 보기 필터링

다음 필터를 적용하여 경고에 대한 보다 집중적인 보기를 얻을 수 있습니다.

경고 설명
심각도 경고 심각도는 공격자가 가질 수 있는 액세스 양, 공격이 성공할 경우의 잠재적 영향 및 경고가 진정한 긍정일 가능성을 포함하여 여러 요인을 기반으로 합니다. 경고 유형 및 할당된 심각도 수준의 전체 목록은 보안 경고 이름 매핑 및 고유한 외부 ID를 참조하세요.
상태 상태에 따라 경고 목록을 필터링하도록 선택할 수 있습니다. 예를 들어 새로 만들기,진행 중 또는 해결됨 경고만 표시하도록 필터링할 수 있습니다.
탐지 소스 Microsoft Defender for Identity 또는 Microsoft Defender XDR 검색 원본에 따라 경고를 필터링할 수 있습니다.
태그 경고에 할당된 태그에 따라 경고를 필터링할 수 있습니다.

경고 보기

다음 중 하나에서 경고 이름을 선택하여 여러 위치에서 개별 경고에 액세스할 수 있습니다.

  • 경고 페이지
  • 인시던트 페이지
  • ID 페이지
  • 개별 디바이스의 페이지
  • 고급 헌팅 페이지

경고 페이지

경고 페이지는 선택한 경고와 관련된 공격 신호와 경고를 결합하여 자세한 경고 스토리를 구성하여 경고에 대한 컨텍스트를 제공합니다. 경고 페이지를 사용하면 경고에 대한 신속한 심사, 조사 및 효과적인 조치를 취할 수 있습니다.

참고

Microsoft Defender for Identity 경고는 현재 Microsoft Defender XDR 포털의 두 가지 레이아웃에 표시됩니다. 경고 보기는 서로 다른 정보를 표시하지만 모든 경고는 Defender for Identity 센서의 검색을 기반으로 합니다. 표시되는 레이아웃과 정보의 차이는 Microsoft Defender 제품 전반에서 통합 경고 환경으로의 지속적인 전환의 일부입니다.

Defender for Identity 및 Defender XDR 경고를 보려면 필터를 선택한 다음 서비스 원본에서 Microsoft Defender for IdentityDefender XDR 선택하고 적용을 선택합니다.

서비스당 경고 필터 메뉴를 보여 주는 스크린샷

경고 Microsoft Defender for Identity

페이지 맨 위에는 경고의 계정, 대상 호스트원본 호스트 에 대한 섹션이 있습니다. 경고에 따라 추가 호스트, 계정, IP 주소, 도메인 및 보안 그룹에 대한 세부 정보가 표시될 수 있습니다. 관련된 엔터티에 대한 자세한 내용을 보려면 해당 엔터티를 선택합니다.

  • 경고 스토리 섹션은 경고의 세부 정보와 함께 전체 스토리를 제공하는 정보를 제공합니다. 경고 스토리는 다음 두 섹션으로 나뉩니다.
    • 발생한 일에는 경고의 타임라인 및 경고와 관련된 엔터티가 포함됩니다.
    • 경고 그래프 는 경고와 관련된 엔터티 및 해당 관계를 포함하여 경고의 시각적 표현을 제공합니다. 그래프는 엔터티가 연결되는 방식과 엔터티가 경고와 어떻게 관련되는지 이해하는 데 도움이 됩니다.
  • 중요한 정보는 경고 조사를 지원하는 기술 컨텍스트를 제공합니다. 이 정보를 사용하여 활동이 예상되었는지 의심스러운지 확인하고 인시던트 포함 또는 에스컬레이션을 위해 수행할 작업을 결정할 수 있습니다.
  • 활동 세부 정보는 타임스탬프, 기본 개체, 검색 scope 및 경고에 대한 기타 세부 정보를 포함하여 자세한 정보를 제공합니다.
  • 페이지 오른쪽의 세부 정보 창에는 경고 세부 정보, 메모 & 기록을 포함하여 경고에 대한 추가 정보가 제공됩니다. 세부 정보 창에는 다음과 같은 추가 옵션도 제공됩니다.
    • 경고 관리
    • 경고 내보내기
    • 경고를 다른 인시던트로 이동
    • 경고 분류

Defender for Identity 경고 구조를 보여 주는 스크린샷

경고 Microsoft Defender XDR

페이지 맨 위에는 경고의 계정, 대상 호스트원본 호스트 에 대한 섹션이 있습니다. 경고에 따라 추가 호스트, 계정, IP 주소, 도메인 및 보안 그룹에 대한 세부 정보에 대한 단추가 표시될 수 있습니다. 관련된 엔터티에 대한 자세한 내용을 보려면 해당 엔터티를 선택합니다.

  • 경고 스토리 섹션은 경고의 세부 정보와 함께 전체 스토리를 제공하는 정보를 제공합니다. 경고 스토리는 다음 두 섹션으로 나뉩니다.
    • 발생한 일에는 경고의 타임라인 및 경고와 관련된 엔터티가 포함됩니다.
  • 페이지 오른쪽의 세부 정보 창에는 경고 세부 정보, 메모 & 기록을 포함하여 경고에 대한 추가 정보가 제공됩니다. 세부 정보 창에는 다음과 같은 추가 옵션도 제공됩니다.
    • 경고 관리
    • 경고를 다른 인시던트로 이동
    • 경고 분류

Defender for XDR 경고 구조를 보여 주는 스크린샷

보안 경고 관리

경고를 선택하면 다음 작업을 수행할 수 있는 경고 관리 창이 열립니다.

경고의 상태 변경

조사가 진행됨에 따라 상태 변경하여 경고를 새로 만들기, 진행 중 또는 해결됨으로 분류할 수 있습니다. 이렇게 하면 팀이 경고에 응답하는 방법을 구성하고 관리하는 데 도움이 됩니다. 예를 들어 팀 리더는 모든 새 경고를 검토하고 추가 분석을 위해 진행 중인 큐에 할당하도록 결정할 수 있습니다. 팀 리더는 경고가 무해하거나 관련이 없거나(예: 보안 관리자에 속한 디바이스) 이전 경고를 통해 처리되고 있는 디바이스에서 오는 경우 해결된 큐에 경고를 할당할 수 있습니다.

경고를 다른 인시던트로 이동

경고 또는 기존 인시던트에 대한 링크에서 새 인시던트를 만들 수 있습니다.

경고를 다른 인시던트로 이동하는 옵션을 보여 주는 스크린샷

경고 할당

경고가 아직 할당되지 않은 경우 할당을 선택하여 자신에게 경고를 할당할 수 있습니다.

자신에게 경고를 할당하는 방법을 보여 주는 스크린샷

경고에 주석 추가

경고에 주석을 추가하여 추가 컨텍스트 또는 정보를 제공할 수 있습니다. 이는 팀과 인사이트를 공유하거나 조사 프로세스를 문서화하는 데 유용합니다. 경고가 변경되거나 주석이 표시될 때마다 메모 및 기록 섹션에 기록됩니다.

Microsoft Defender 포털의 메모 & 기록 섹션을 보여 주는 스크린샷 메모를 입력하기 위한 텍스트 상자가 제공됩니다.

보안 경고 분류

각 경고에 대해 다음 질문을 하여 경고 분류를 결정하고 다음에 수행할 작업을 결정하는 데 도움을 주세요.

  1. 보안 경고가 TP, B-TP 또는 FP인가요?
  2. 사용자 환경에서 이 특정 보안 경고는 얼마나 일반적인가요?
  3. 경고가 동일한 유형의 컴퓨터 또는 사용자에 의해 트리거되었나요? 예를 들어 역할이 동일한 서버 또는 동일한 그룹/부서의 사용자인가요? 컴퓨터 또는 사용자가 비슷한 경우 향후 추가 FP 경고를 방지하기 위해 제외하기로 결정할 수 있습니다.

적절한 조사 후에는 모든 Defender for Identity 보안 경고를 다음 활동 유형 중 하나로 분류할 수 있습니다.

  • TP(True positive) : Defender for Identity에서 검색한 악의적인 작업입니다.

  • 양성 진양성(B-TP): 인증된 애플리케이션에서 생성된 침투 테스트 또는 알려진 활동과 같이 실제이지만 악의적이지는 않은 Id용 Defender에서 검색한 작업입니다.

  • FP(가양성) : 활동이 발생하지 않았음을 의미하는 거짓 경보입니다.

경고를 true 또는 false 경고로 분류하는 방법을 보여 주는 스크린샷

참고

정확히 동일한 유형의 경고가 증가하면 일반적으로 경고의 의심/중요도 수준이 줄어듭니다. 반복된 경고의 경우 구성을 확인하고 보안 경고 세부 정보 및 정의를 사용하여 반복을 트리거하는 일이 정확히 무엇인지 파악합니다.

경고 조정

경고를 조정하여 조정하고 최적화하여 가양성 감소. 경고 튜닝을 사용하면 SOC 팀이 우선 순위가 높은 경고에 집중하고 시스템 전체에서 위협 탐지 범위를 개선할 수 있습니다. Microsoft Defender XDR 증거 유형에 따라 규칙 조건을 만든 다음 조건과 일치하는 규칙 유형에 규칙을 적용합니다.

자세한 내용은 경고 튜닝을 참조하세요.

관련 콘텐츠