Microsoft Defender XDR의 경고, 인시던트 및 상관 관계

• 적용 대상:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR에서 경고 는 다양한 위협 탐지 활동으로 인한 원본 컬렉션의 신호입니다. 이러한 신호는 사용자 환경에서 악의적이거나 의심스러운 이벤트가 발생함을 나타냅니다. 경고는 종종 더 광범위하고 복잡한 공격 스토리의 일부일 수 있으며, 관련 경고는 집계되고 상호 연결되어 이러한 공격 스토리를 나타내는 인시던트를 형성합니다 .

인시던트에는 공격의 전체 그림이 표시됩니다. Microsoft Defender XDR 알고리즘은 모든 Microsoft 보안 및 규정 준수 솔루션의 신호(경고)와 Microsoft Sentinel 및 클라우드용 Microsoft Defender를 통한 방대한 외부 솔루션의 상관 관계를 자동으로 지정합니다. Defender XDR은 AI를 사용하여 원격 분석 원본을 지속적으로 모니터링하고 이미 열려 있는 인시던트에 더 많은 증거를 추가하여 여러 신호를 동일한 공격 스토리에 속하는 것으로 식별합니다.

인시던트도 "사례 파일"로 작동하여 조사를 관리하고 문서화할 수 있는 플랫폼을 제공합니다. 이와 관련하여 인시던트의 기능에 대한 자세한 내용은 Microsoft Defender 포털의 인시던트 응답을 참조하세요.

중요

Microsoft Sentinel은 Microsoft Defender 포털의 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

인시던트 및 경고의 주요 특성과 이러한 특성 간의 차이점에 대한 요약은 다음과 같습니다.

사건:

• SOC(보안 운영 센터) 작업의 주요 "측정 단위"입니다.
• 공격의 광범위한 컨텍스트( 공격 스토리)를 표시합니다.
• 위협 및 조사 결과를 조사하는 데 필요한 모든 정보의 "사례 파일"을 나타냅니다.
• Microsoft Defender XDR에서 하나 이상의 경고를 포함하도록 생성되며 대부분의 경우 많은 경고가 포함됩니다.
• 자동화 규칙, 공격 중단 및 플레이북을 사용하여 위협에 대한 일련의 자동 대응을 트리거합니다.
• 위협 및 조사 및 해결과 관련된 모든 활동을 기록합니다.

경고:

• 사건을 이해하고 조사하는 데 필수적인 이야기의 개별 부분을 나타냅니다.
• Defender 포털 내부 및 외부의 다양한 원본에서 만들어집니다.
• 심층 분석이 필요할 때 가치를 추가하기 위해 스스로 분석할 수 있습니다.
• 잠재적인 위협 영향을 최소화하기 위해 경고 수준에서 자동 조사 및 응답을 트리거할 수 있습니다.

경고 소스

Microsoft Defender XDR 경고는 많은 원본에서 생성됩니다.

• Microsoft Defender XDR의 일부인 솔루션

  • 엔드포인트용 Microsoft Defender
  • Office 365용 Microsoft Defender
  • ID용 Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Cloud Apps의 앱 거버넌스 추가 기능
  • Microsoft Entra ID 보호
  • Microsoft 데이터 손실 방지

• Microsoft Defender 보안 포털과 통합된 기타 서비스

  • Microsoft Sentinel
  • 경고를 Microsoft Sentinel에 전달하는 비 Microsoft 보안 솔루션
  • Microsoft Defender for Cloud

Microsoft Defender XDR 자체도 경고를 만듭니다. 통합 보안 운영 플랫폼에 온보딩된 Microsoft Sentinel을 통해 Microsoft Defender XDR의 상관 관계 엔진은 이제 Microsoft Sentinel에서 수집한 모든 원시 데이터에 액세스할 수 있습니다. ( 고급 헌팅 테이블에서 이 데이터를 찾을 수 있습니다.) Defender XDR의 고유한 상관 관계 기능은 디지털 자산의 모든 타사 솔루션에 대한 또 다른 데이터 분석 및 위협 탐지 계층을 제공합니다. 이러한 검색은 Microsoft Sentinel의 분석 규칙에서 이미 제공한 경고 외에도 Defender XDR 경고를 생성합니다.

다른 원본의 경고가 함께 표시되면 각 경고의 원본은 경고 ID 앞에 추가된 문자 집합으로 표시됩니다. 경고 원본 테이블은 경고 원본을 경고 ID 접두사에 매핑합니다.

인시던트 생성 및 경고 상관 관계

이전 섹션에 설명된 대로 Microsoft Defender 보안 포털의 다양한 검색 메커니즘에 의해 경고가 생성되면 Defender XDR은 다음 논리에 따라 새 인시던트 또는 기존 인시던트에 배치합니다.

시나리오	Decision
경고는 특정 시간 프레임 내의 모든 경고 원본에서 충분히 고유합니다.	Defender XDR은 새 인시던트 를 만들고 경고를 추가합니다.
경고는 특정 시간 프레임 내에서 동일한 원본 또는 원본 간에 다른 경고와 충분히 관련이 있습니다.	Defender XDR은 기존 인시던트에 경고를 추가합니다.

Microsoft Defender가 단일 인시던트에서 경고를 상호 연결하는 데 사용하는 기준은 독점적인 내부 상관 관계 논리의 일부입니다. 또한 이 논리는 새 인시던트에 적절한 이름을 지정해야 합니다.

인시던트 상관 관계 및 병합

인시던트가 생성되면 Microsoft Defender XDR의 상관 관계 활동이 중지되지 않습니다. Defender XDR은 인시던트 간 및 인시던트 간 경고 간에 공통점과 관계를 계속 검색합니다. 두 개 이상의 인시던트가 충분히 비슷하게 결정되면 Defender XDR은 인시던트가 단일 인시던트에 병합됩니다.

Defender XDR은 어떻게 이러한 결정을 내릴 수 있나요?

Defender XDR의 상관 관계 엔진은 데이터에 대한 심층적인 지식과 공격 동작에 따라 별도의 인시던트에서 경고 간의 공통 요소를 인식할 때 인시던트가 병합됩니다. 이러한 요소 중 일부는 다음과 같습니다.

• 엔터티 - 사용자, 디바이스, 사서함 등과 같은 자산
• 아티팩트 - 파일, 프로세스, 전자 메일 보낸 사람 등
• 시간 프레임
• 다단계 공격을 가리키는 이벤트 시퀀스(예: 피싱 이메일 검색에 밀접하게 따르는 악의적인 이메일 클릭 이벤트).

인시던트가 병합 되지 않는 경우는 언제인가요?

상관 관계 논리에서 두 인시던트가 병합되어야 한다고 나타내는 경우에도 Defender XDR은 다음과 같은 상황에서 인시던트가 병합되지 않습니다.

• 인시던트 중 하나에 "Closed" 상태가 있습니다. 해결된 인시던트가 다시 열리지 않습니다.
• 병합할 수 있는 두 인시던트가 서로 다른 두 사람에게 할당됩니다.
• 두 인시던트가 병합되면 병합된 인시던트에 있는 엔터티 수가 허용되는 최대값보다 높아질 수 있습니다.
• 두 인시던트에는 조직에서 정의한 대로 서로 다른 디바이스 그룹의 디바이스 가 포함됩니다.
  (이 조건은 기본적으로 적용되지 않습니다. 사용하도록 설정해야 합니다.)

인시던트가 병합되면 어떻게 되나요?

두 개 이상의 인시던트가 병합되면 이를 흡수하기 위해 새 인시던트가 만들어지지 않습니다. 대신 한 인시던트 내용이 다른 인시던트로 마이그레이션되고 프로세스에서 중단된 인시던트가 자동으로 닫힙니다. 중단된 인시던트가 더 이상 Microsoft Defender XDR에서 표시되지 않거나 사용할 수 없으며, 이에 대한 참조는 통합 인시던트로 리디렉션됩니다. 중단되고 폐쇄된 인시던트가 Azure Portal의 Microsoft Sentinel에서 계속 액세스할 수 있습니다. 인시던트 내용은 다음과 같은 방법으로 처리됩니다.

• 중단된 인시던트에 포함된 경고는 통합 인시던트로 이동됩니다.
• 엔터티(자산 등)는 연결된 경고를 따릅니다.
• 중단된 인시던트 생성과 관련하여 기록된 분석 규칙은 통합 인시던트에 기록된 규칙에 추가됩니다.
• 현재 중단된 인시던트에 대한 메모 및 활동 로그 항목은 통합 인시던트로 이동 되지 않습니다 . 중단된 인시던트의 의견 및 활동 기록을 보려면 Azure Portal의 Microsoft Sentinel에서 인시던트 를 엽니다.

수동 상관 관계

Microsoft Defender XDR은 이미 고급 상관 관계 메커니즘을 사용하지만 지정된 경고가 특정 인시던트에 속하는지 여부를 다르게 결정할 수 있습니다. 이러한 경우 한 인시던트에서 경고를 연결 해제하고 다른 인시던트에 연결할 수 있습니다. 모든 경고는 인시던트에 속해야 하므로 경고를 다른 기존 인시던트에 연결하거나 해당 지점에서 만든 새 인시던트에 연결할 수 있습니다.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.

다음 단계

인시던트, 조사 및 대응에 대한 자세한 정보: Microsoft Defender 포털의 인시던트 대응

참고 항목

• Microsoft Defender XDR의 인시던트 성능
• Microsoft Defender XDR 내부: 인시던트에 대한 공격 상관 관계 및 통합