고급 헌팅 쿼리 결과에 대한 작업 수행
적용 대상:
- Microsoft Defender XDR
중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
강력하고 포괄적인 작업 옵션을 사용하여 고급 헌팅 에서 찾은 위협을 신속하게 포함하거나 손상된 자산을 해결할 수 있습니다. 이러한 옵션을 사용하면 다음을 수행할 수 있습니다.
- 디바이스에서 다양한 작업 수행
- 파일 격리
필요한 사용 권한
고급 헌팅을 통해 디바이스에 대한 작업을 수행하려면 디바이스에서 수정 작업을 제출할 수 있는 권한이 있는 엔드포인트용 Microsoft Defender 역할이 필요합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
작업을 수행할 수 없는 경우 전역 관리자에게 다음 사용 권한을 얻는 방법에 대해 문의하세요.
활성 수정 작업 > 위협 및 취약성 관리 - 수정 처리
고급 헌팅을 통해 전자 메일에 대한 작업을 수행하려면 전자 메일을 검색하고 제거하는 Office 365용 Microsoft Defender 역할이 필요합니다.
디바이스에서 다양한 작업 수행
쿼리 결과의 열로 식별된 DeviceId
디바이스에서 다음 작업을 수행할 수 있습니다.
- 영향을 받는 디바이스를 격리하여 감염을 포함하거나 공격이 횡적으로 이동하는 것을 방지합니다.
- 조사 패키지를 수집하여 더 많은 포렌식 정보를 얻습니다.
- 바이러스 백신 검사를 실행하여 최신 보안 인텔리전스 업데이트를 사용하여 위협을 찾고 제거합니다.
- 디바이스 및 영향을 받는 다른 디바이스에서 위협을 검사 수정하기 위한 자동화된 조사를 시작합니다.
- 앱 실행을 Microsoft 서명된 실행 파일로만 제한하여 맬웨어 또는 기타 신뢰할 수 없는 실행 파일을 통한 후속 위협 활동을 방지합니다.
엔드포인트용 Microsoft Defender 통해 이러한 응답 작업을 수행하는 방법에 대해 자세히 알아보려면 디바이스의 응답 작업에 대해 읽어보세요.
파일 격리
파일이 발견되면 자동으로 격리되도록 파일에 격리 작업을 배포할 수 있습니다. 이 작업을 선택할 때 다음 열 중에서 선택하여 쿼리 결과에서 격리할 파일을 식별할 수 있습니다.
-
SHA1
: 대부분의 고급 헌팅 테이블에서 이 열은 기록된 작업의 영향을 받는 파일의 SHA-1을 나타냅니다. 예를 들어 파일이 복사된 경우 영향을 받는 이 파일은 복사된 파일입니다. -
InitiatingProcessSHA1
: 대부분의 고급 헌팅 테이블에서 이 열은 기록된 작업을 시작하는 파일을 참조합니다. 예를 들어 자식 프로세스가 시작된 경우 이 초기자 파일은 부모 프로세스의 일부가 됩니다. -
SHA256
: 이 열은 열로 식별된SHA1
파일과 동등한 SHA-256입니다. -
InitiatingProcessSHA256
: 이 열은 열로 식별된InitiatingProcessSHA1
파일과 동등한 SHA-256입니다.
격리 작업이 수행되는 방법 및 파일을 복원하는 방법에 대해 자세히 알아보려면 파일에 대한 응답 작업을 참조하세요.
참고
파일을 찾아 격리하려면 쿼리 결과에 디바이스 식별자로 값도 포함되어 DeviceId
야 합니다.
설명된 작업을 수행하려면 쿼리 결과에서 하나 이상의 레코드를 선택한 다음 , 작업 수행을 선택합니다. 마법사는 원하는 작업을 선택한 다음 제출하는 과정을 안내합니다.
전자 메일에 대한 다양한 작업 수행
디바이스 중심 수정 단계 외에도 쿼리 결과의 전자 메일에 대한 몇 가지 작업을 수행할 수도 있습니다. 작업을 수행할 레코드를 선택하고 작업 수행을 선택한 다음 작업 선택에서 다음 중에서 원하는 항목을 선택합니다.
Move to mailbox folder
- 전자 메일 메시지를 정크, 받은 편지함 또는 지운 편지함 폴더로 이동하려면 이 작업을 선택합니다.받은 편지함 옵션을 선택하여 격리된 항목(instance, 가양성의 경우)으로 구성된 전자 메일 결과를 이동할 수 있습니다.
Delete email
- 전자 메일 메시지를 지운 편지함 폴더(일시 삭제)로 이동하거나 영구적으로 삭제하려면 이 작업을 선택합니다(하드 삭제).일시 삭제를 선택하면 발신자가 organization 있는 경우 보낸 사람의 보낸 편지함 폴더에서 메시지가 자동으로 일시 삭제됩니다.
보낸 사람의 복사본 자동 일시 삭제는 테이블이 아닌
UrlClickEvents
및EmailPostDeliveryEvents
테이블을 사용하는EmailEvents
결과에 사용할 수 있습니다. 또한 결과에는 작업 수행 마법사에 표시할 이 작업 옵션의 열EmailDirection
과SenderFromAddress
열이 포함되어야 합니다. 보낸 사람의 복사본 클린 organization 내 전자 메일 및 아웃바운드 전자 메일에 적용되므로 이러한 전자 메일 메시지에 대해 보낸 사람의 복사본만 일시 삭제됩니다. 인바운드 메시지가 scope 않습니다.참조로 다음 쿼리를 참조하세요.
EmailEvents | where ThreatTypes contains "spam" | project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation
수정 이름과 알림 센터 기록에서 쉽게 추적하기 위해 수행된 작업에 대한 간단한 설명을 제공할 수도 있습니다. 승인 ID를 사용하여 알림 센터에서 이러한 작업을 필터링할 수도 있습니다. 이 ID는 마법사의 끝에 제공됩니다.
이러한 이메일 작업은 사용자 지정 검색 에도 적용됩니다.
수행된 작업 검토
각 작업은 알림 센터기록(security.microsoft.com/action-center/history)의 알림 센터에> 개별적으로 기록됩니다. 알림 센터로 이동하여 각 작업의 상태 검사.
참고
이 문서의 일부 테이블은 엔드포인트용 Microsoft Defender 사용할 수 없습니다. Microsoft Defender XDR 켜서 더 많은 데이터 원본을 사용하여 위협을 헌팅합니다. 엔드포인트용 Microsoft Defender 고급 헌팅 쿼리 마이그레이션의 단계에 따라 고급 헌팅 워크플로를 엔드포인트용 Microsoft Defender Microsoft Defender XDR 이동할 수 있습니다.
관련 문서
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.