위협 조사 및 응답
팁
Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
Office 365용 Microsoft Defender 위협 조사 및 대응 기능은 다음을 통해 보안 분석가와 관리자가 organization Microsoft 365 비즈니스 사용자를 보호하는 데 도움이 됩니다.
- 사이버 공격을 쉽게 식별, 모니터링 및 이해할 수 있도록 합니다.
- Exchange Online, SharePoint Online, 비즈니스용 OneDrive 및 Microsoft Teams의 위협을 신속하게 해결하는 데 도움이 됩니다.
- 보안 운영이 organization 대한 사이버 공격을 방지하는 데 도움이 되는 통찰력과 지식을 제공합니다.
- Office 365 중요한 이메일 기반 위협에 대해 자동화된 조사 및 대응을 채택합니다.
위협 조사 및 대응 기능은 Microsoft Defender 포털에서 사용할 수 있는 위협 및 관련 대응 작업에 대한 인사이트를 제공합니다. 이러한 인사이트는 organization 보안 팀이 전자 메일 또는 파일 기반 공격으로부터 사용자를 보호하는 데 도움이 될 수 있습니다. 이 기능은 신호를 모니터링하고 사용자 활동, 인증, 이메일, 손상된 PC 및 보안 인시던트와 같은 여러 원본에서 데이터를 수집하는 데 도움이 됩니다. 비즈니스 의사 결정자와 보안 운영 팀은 이 정보를 사용하여 organization 대한 위협을 이해하고 대응하고 지적 재산을 보호할 수 있습니다.
위협 조사 및 대응 도구에 대해 알아보기
Microsoft Defender 포털 https://security.microsoft.com 의 위협 조사 및 대응 기능은 다음을 포함하는 도구 및 응답 워크플로 집합입니다.
탐색기
Explorer(및 실시간 검색)를 사용하여 위협을 분석하고, 시간 경과에 따른 공격 양을 확인하고, 위협 패밀리, 공격자 인프라 등을 기준으로 데이터를 분석합니다. Explorer(위협 Explorer라고도 함)는 보안 분석가의 조사 워크플로의 시작점입니다.
의 Microsoft Defender 포털https://security.microsoft.com에서 이 보고서를 보고 사용하려면 Email & 협업>Explorer 이동합니다. 또는 Explorer 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/threatexplorer.
위협 인텔리전스 연결 Office 365
이 기능은 활성 Office 365 E5 또는 G5 또는 Microsoft 365 E5 또는 G5 구독 또는 위협 인텔리전스 추가 기능이 있는 경우에만 사용할 수 있습니다. 자세한 내용은 Office 365 Enterprise E5 제품 페이지를 참조하세요.
Office 365용 Microsoft Defender 데이터는 Microsoft Defender XDR 통합되어 Office 365 사서함 및 Windows 디바이스에서 포괄적인 보안 조사를 수행합니다.
인시던트
인시던트 목록(조사라고도 함)을 사용하여 비행 중 보안 인시던트 목록을 확인합니다. 인시던트 는 의심스러운 이메일 메시지와 같은 위협을 추적하고 추가 조사 및 수정을 수행하는 데 사용됩니다.
의 Microsoft Defender 포털https://security.microsoft.com에서 organization 대한 현재 인시던트 목록을 보려면 인시던트 & 경고>인시던트로 이동합니다. 또는 인시던트 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/incidents.
공격 시뮬레이션 교육
공격 시뮬레이션 훈련 사용하여 organization 현실적인 사이버 공격을 설정하고 실행하고 실제 사이버 공격이 비즈니스에 영향을 미치기 전에 취약한 사람들을 식별합니다. 자세한 내용은 피싱 공격 시뮬레이션을 참조하세요.
의 Microsoft Defender 포털https://security.microsoft.com에서 이 기능을 보고 사용하려면 Email & 협업>공격 시뮬레이션 훈련 이동합니다. 또는 공격 시뮬레이션 훈련 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/attacksimulator?viewid=overview.
자동화된 조사 및 응답
AIR(자동 조사 및 대응) 기능을 사용하여 organization 위협으로부터 위험에 처한 콘텐츠, 디바이스 및 사용자와 상관 관계를 지정하는 시간과 노력을 절약할 수 있습니다. AIR 프로세스는 특정 경고가 트리거되거나 보안 운영 팀에서 시작할 때마다 시작될 수 있습니다. 자세한 내용은 Office 365 자동 조사 및 응답을 참조하세요.
위협 인텔리전스 위젯
Office 365용 Microsoft Defender 플랜 2 제품의 일부로 보안 분석가는 알려진 위협에 대한 세부 정보를 검토할 수 있습니다. 이는 사용자를 안전하게 유지하기 위해 수행할 수 있는 추가 예방 조치/단계가 있는지 여부를 결정하는 데 유용합니다.
이러한 기능을 얻으려면 어떻게 해야 할까요?
Microsoft 365 위협 조사 및 대응 기능은 Enterprise E5 또는 특정 구독에 대한 추가 기능으로 포함된 Office 365용 Microsoft Defender 플랜 2에 포함되어 있습니다. 자세한 내용은 Office 365용 Defender 플랜 1 및 플랜 2 치트 시트를 참조하세요.
필요한 역할 및 사용 권한 할당
Office 365용 Microsoft Defender 역할 기반 액세스 제어를 사용합니다. 권한은 Microsoft Entra ID, Microsoft 365 관리 센터 또는 Microsoft Defender 포털의 특정 역할을 통해 할당됩니다.
팁
보안 관리자와 같은 일부 역할은 Microsoft Defender 포털에서 할당할 수 있지만 대신 Microsoft 365 관리 센터 또는 Microsoft Entra ID 사용하는 것이 좋습니다. 역할, 역할 그룹 및 권한에 대한 자세한 내용은 다음 리소스를 참조하세요.
활동 | 역할 및 사용 권한 |
---|---|
Microsoft Defender 취약성 관리 dashboard 사용 최근 또는 현재 위협에 대한 정보 보기 |
다음 중 하나가 필요합니다.
이러한 역할은 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에서 할당할 수 있습니다. |
Explorer(및 실시간 검색)를 사용하여 위협 분석 | 다음 중 하나가 필요합니다.
이러한 역할은 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에서 할당할 수 있습니다. |
인시던트 보기(조사라고도 함) 인시던트에 전자 메일 메시지 추가 |
다음 중 하나가 필요합니다.
이러한 역할은 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에서 할당할 수 있습니다. |
인시던트에서 전자 메일 작업 트리거 의심스러운 전자 메일 메시지 찾기 및 삭제 |
다음 중 하나가 필요합니다.
전역 관리자* 및 보안 관리자 역할은 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에서 할당할 수 있습니다. 검색 및 제거 역할은 Microsoft 36 Defender 포털(https://security.microsoft.com)의 Email & 공동 작업 역할에 할당되어야 합니다. |
Office 365용 Microsoft Defender 플랜 2를 엔드포인트용 Microsoft Defender 통합 OFFICE 365용 MICROSOFT DEFENDER 플랜 2를 SIEM 서버와 통합 |
전역 관리자* 또는 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에 할당된 보안 관리자 역할입니다. --- 플러스 --- 추가 애플리케이션(예: Microsoft Defender 보안 센터 또는 SIEM 서버)에 할당된 적절한 역할입니다. |
중요
* 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 organization 대한 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.