다음을 통해 공유


쿼리 결과를 인시던트에 연결

적용 대상:

  • Microsoft Defender XDR

인시던트 기능에 대한 링크를 사용하여 조사 중인 새 인시던트 또는 기존 인시던트에 고급 헌팅 쿼리 결과를 추가할 수 있습니다. 이 기능을 사용하면 고급 헌팅 활동에서 레코드를 쉽게 캡처할 수 있으므로 인시던트에 대한 이벤트의 보다 풍부한 타임라인 또는 컨텍스트를 만들 수 있습니다.

  1. 고급 헌팅 쿼리 페이지에서 먼저 제공된 쿼리 필드에 쿼리를 입력한 다음 , 쿼리 실행을 선택하여 결과를 가져옵니다.

    Microsoft Defender 포털의 쿼리 페이지

  2. 결과 페이지에서 작업 중인 새 조사 또는 현재 조사와 관련된 이벤트 또는 레코드를 선택한 다음 인시 던트에 연결을 선택합니다.

    Microsoft Defender 포털의 결과 탭의 인시던트에 연결 옵션

  3. 인시던트에 연결 창에서 경고 세부 정보 섹션을 찾은 다음, 새 인시던트 Create 선택하여 이벤트를 경고로 변환하고 새 인시던트로 그룹화합니다.

    Microsoft Defender 포털의 인시던트에 연결 창의 경고 세부 정보 섹션

    또는 기존 인시던트에 연결을 선택하여 선택한 레코드를 기존 인시던트에 추가합니다. 기존 인시던트 드롭다운 목록에서 관련 인시던트 를 선택합니다. 인시던트 이름 또는 ID의 처음 몇 문자를 입력하여 기존 인시던트도 찾을 수 있습니다.

    Microsoft Defender 포털의 경고 세부 정보 섹션

  4. 두 선택 항목 중 하나에 대해 다음 세부 정보를 입력한 다음 , 다음을 선택합니다.

    • 경고 제목 - 인시던트 응답자가 이해할 수 있는 결과에 대한 설명 제목을 제공합니다. 이 설명 제목은 경고 제목이 됩니다.
    • 심각도 - 경고 그룹에 적용할 수 있는 심각도를 선택합니다.
    • 범주 - 경고에 적합한 위협 범주를 선택합니다.
    • 설명 - 그룹화된 경고에 대한 유용한 설명을 제공합니다.
    • 권장 작업 - 수정 작업을 제공합니다.
  5. 영향을 받는 엔터티 섹션에서 영향을 받거나 영향을 받는 엔터티에 기본 선택합니다. 쿼리 결과를 기반으로 하는 해당 엔터티만 이 섹션에 표시됩니다. 이 예제에서는 쿼리를 사용하여 가능한 전자 메일 반출 인시던트와 관련된 이벤트를 찾았으므로 Sender는 영향을 받는 엔터티입니다. 4개의 다른 보낸 사람이 있는 경우 instance 대해 4개의 경고가 생성되고 선택한 인시던트에 연결됩니다.

    Microsoft Defender 포털의 인시던트에 연결 섹션의 영향을 받은 엔터티

  6. 다음을 선택합니다.

  7. 요약 섹션에서 제공한 세부 정보를 검토합니다. Microsoft Defender 포털의 인시던트에 연결 섹션의 결과 페이지

  8. 완료를 선택합니다.

인시던트에서 연결된 레코드 보기

인시던트 이름을 선택하여 이벤트가 연결된 인시던트 를 볼 수 있습니다. Microsoft Defender 포털의 요약 탭에 있는 이벤트 세부 정보 화면

이 예제에서는 선택한 4개의 이벤트를 나타내는 4개의 경고가 새 인시던트에 성공적으로 연결되었습니다.

각 경고 페이지에서 이벤트 또는 이벤트에 대한 전체 정보를 타임라인 보기(사용 가능한 경우) 및 쿼리 결과 보기에서 찾을 수 있습니다. Microsoft Defender 포털의 타임라인 탭에 있는 이벤트의 전체 세부 정보

이벤트를 선택하여 레코드 검사 창을 열 수도 있습니다. Microsoft Defender 포털의 타임라인 탭에서 이벤트의 레코드 세부 정보 검사

고급 헌팅을 사용하여 추가된 이벤트에 대한 필터

수동 검색 원본으로 인시던트 큐 및 경고 큐를 필터링하여 고급 헌팅에서 생성된 경고를 볼 수 있습니다.

Microsoft Defender 포털의 필터 페이지에서 인시던트 및 경고 큐의 수동 필터링

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.