영어로 읽기

다음을 통해 공유


Microsoft Defender 디바이스 엔터티 페이지

Microsoft Defender 포털의 디바이스 엔터티 페이지는 디바이스 엔터티를 조사하는 데 도움이 됩니다. 페이지에는 지정된 디바이스 엔터티에 대한 모든 중요한 정보가 포함되어 있습니다. 경고 또는 인시던트가 디바이스가 의심스럽거나 손상되었을 수 있음을 나타내는 경우 디바이스의 세부 정보를 조사하여 경고 또는 인시던트와 관련될 수 있는 다른 동작 또는 이벤트를 식별하고 위반의 잠재적 scope 검색합니다. 디바이스 엔터티 페이지를 사용하여 몇 가지 일반적인 보안 작업과 보안 위협을 완화하거나 수정하기 위한 몇 가지 대응 작업을 수행할 수도 있습니다.

중요

디바이스 엔터티 페이지에 표시되는 콘텐츠 집합은 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity 디바이스 등록에 따라 약간 다를 수 있습니다.

organization Defender 포털에 Microsoft Sentinel 온보딩된 경우 추가 정보가 표시됩니다.

Microsoft Sentinel 디바이스 엔터티를 호스트 엔터티라고도 합니다. 자세히 알아보기.

Microsoft Sentinel 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기의 경우 Microsoft Sentinel Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.

디바이스 엔터티는 다음 영역에서 찾을 수 있습니다.

  • 자산 아래의 디바이스 목록
  • 경고 큐
  • 개별 경고/인시던트
  • 모든 개별 사용자 엔터티 페이지
  • 모든 개별 파일 세부 정보 보기
  • 모든 IP 주소 또는 도메인 세부 정보 보기
  • 활동 로그
  • 고급 헌팅 쿼리
  • 알림 센터

포털에서 디바이스를 볼 때마다 디바이스를 선택하여 디바이스에 대한 자세한 정보를 표시하는 디바이스의 엔터티 페이지를 열 수 있습니다. 예를 들어 인시던트 & 경고 인시던트 자산 디바이스의 Microsoft Defender 포털에서 인>던트 > 경고에 나열된 디바이스의 >>세부 정보를 볼 수 있습니다.

Microsoft Defender 포털의 인시던트에 대한 사용자 페이지의 스크린샷.

디바이스 엔터티 페이지는 해당 정보를 탭 형식으로 표시합니다. 이 문서에서는 각 탭에서 사용할 수 있는 정보 유형과 지정된 디바이스에서 수행할 수 있는 작업을 설명합니다.

다음 탭이 디바이스 엔터티 페이지에 표시됩니다.

엔터티 페이지 헤더

엔터티 페이지의 맨 위 섹션에는 다음 세부 정보가 포함됩니다.

  • 엔터티 이름
  • 위험 심각도, 중요도디바이스 값 지표
  • 디바이스를 분류할 수 있는 태그입니다. 엔드포인트용 Defender, Defender for Identity 또는 사용자가 추가할 수 있습니다. Microsoft Defender for Identity 태그는 편집할 수 없습니다.
  • 응답 작업 도 여기에 있습니다. 아래에서 자세히 알아보세요.

개요

기본 탭은 개요입니다. 디바이스에 대한 가장 중요한 보안 팩트를 빠르게 살펴볼 수 있습니다. 개요 탭에는 디바이스 세부 정보 사이드바와 상위 수준 정보를 표시하는 일부 카드가 있는 dashboard 포함되어 있습니다.

디바이스 세부 정보

사이드바에는 디바이스의 전체 이름 및 노출 수준이 나열됩니다. 또한 다음과 같이 확장하거나 축소할 수 있는 작은 하위 섹션에서 몇 가지 중요한 기본 정보를 제공합니다.

섹션 포함된 정보
VM 세부 정보 컴퓨터 및 도메인 이름 및 ID, 상태 및 온보딩 상태, 처음 및 마지막으로 본 타임스탬프, IP 주소 등
DLP 정책 동기화 세부 정보 관련된 경우
구성 상태 엔드포인트용 Microsoft Defender 구성에 대한 세부 정보
클라우드 리소스 세부 정보 클라우드 플랫폼, 리소스 ID, 구독 정보 등
하드웨어 및 펌웨어 VM, 프로세서 및 BIOS 정보 등
장치 관리 등록 상태 및 관리 정보 엔드포인트용 Microsoft Defender
디렉터리 데이터 UAC 플래그, SPN 및 그룹 멤버 자격.

대시보드

개요 탭의 기본 부분에는 몇 가지 dashboard 형식의 표시 카드가 표시됩니다.

  • 심각도별로 그룹화된 지난 6개월 동안 디바이스와 관련된 활성 경고 및 위험 수준
  • 디바이스의 보안 평가 및 노출 수준
  • 지난 30일 동안 디바이스에서 사용자 로그온
  • 디바이스 상태 상태 및 디바이스의 최신 검사에 대한 기타 정보입니다.

노출 수준은 디바이스가 보안 권장 사항을 준수하는 정도와 관련이 있으며 위험 수준은 활성 경고의 유형 및 심각도를 비롯한 여러 요인에 따라 계산됩니다.

Microsoft Defender 포털의 디바이스 엔터티 페이지에 대한 개요 탭의 스크린샷

인시던트 및 경고

인시던트 및 경고 탭에는 온보딩된 경우 Microsoft Sentinel 포함하여 여러 Microsoft Defender 검색 원본에서 발생한 경고가 포함된 인시던트 목록이 포함되어 있습니다. 이 목록은 인시던트 큐의 필터링된 버전이며 인시던트 또는 경고, 심각도(높음, 중간, 낮음, 정보), 큐의 상태(신규, 진행 중, 해결됨), 분류(설정되지 않음, 거짓 경고, 실제 경고), 조사 상태, 범주, 처리하도록 할당된 사람 및 관찰된 마지막 활동에 대한 간략한 설명을 보여 줍니다.

각 항목에 대해 표시되는 열을 사용자 지정할 수 있습니다. 심각도, 상태 또는 디스플레이의 다른 열을 기준으로 경고를 필터링할 수도 있습니다.

영향을 받은 엔터티 열은 인시던트 또는 경고에서 참조되는 모든 디바이스 및 사용자 엔터티를 나타냅니다.

인시던트 또는 경고를 선택하면 플라이아웃이 나타납니다. 이 패널에서 인시던트 또는 경고를 관리하고 인시던트/경고 번호 및 관련 디바이스와 같은 자세한 정보를 볼 수 있습니다. 한 번에 여러 경고를 선택할 수 있습니다.

인시던트 또는 경고의 전체 페이지 보기를 보려면 제목을 선택합니다.

Microsoft Defender 포털의 디바이스 엔터티 페이지에 대한 인시던트 및 경고 탭의 스크린샷

타임라인

타임라인 탭에는 디바이스에서 관찰된 모든 이벤트의 시간순 보기가 표시됩니다. 이렇게 하면 디바이스와 관련하여 모든 이벤트, 파일 및 IP 주소의 상관 관계를 지정할 수 있습니다.

목록에 표시되는 열을 모두 사용자 지정할 수 있습니다. 기본 열에는 이벤트 시간, 활성 사용자, 작업 유형, 연결된 엔터티(프로세스, 파일, IP 주소) 및 이벤트에 대한 추가 정보가 나열됩니다.

페이지 맨 위에 있는 전체 타임라인 그래프를 따라 기간의 테두리를 슬라이딩하여 이벤트가 표시되는 기간을 제어할 수 있습니다. 목록 맨 위에 있는 드롭다운에서 기간을 선택할 수도 있습니다(기본값은 30일). 보기를 추가로 제어하려면 이벤트 그룹별로 필터링하거나 열을 사용자 지정할 수 있습니다.

다운로드를 위해 최대 7일 분량의 이벤트를 CSV 파일로 내보낼 수 있습니다.

및 이벤트를 선택하고 결과 플라이아웃 패널에서 세부 정보를 확인하여 개별 이벤트의 세부 정보를 드릴다운합니다. 아래 의 이벤트 세부 정보를 참조하세요.

참고

방화벽 이벤트를 표시하려면 감사 정책을 사용하도록 설정해야 합니다. 필터링 플랫폼 연결 감사를 참조하세요.

방화벽은 다음 이벤트를 다룹니다.

  • 5025 - 방화벽 서비스가 중지됨
  • 5031 - 애플리케이션이 네트워크에서 들어오는 연결을 수락하지 못하도록 차단됨
  • 5157 - 차단된 연결

Microsoft Defender 포털의 디바이스 엔터티 페이지에 대한 타임라인 탭의 스크린샷

이벤트 세부 정보

이벤트를 선택하여 해당 이벤트에 대한 관련 세부 정보를 봅니다. 플라이아웃 패널이 표시 되어 이벤트에 대 한 훨씬 더 많은 정보를 표시 합니다. 표시되는 정보의 유형은 이벤트 유형에 따라 달라집니다. 적용 가능하고 데이터를 사용할 수 있는 경우 파일 또는 프로세스 체인과 같은 관련 엔터티 및 해당 관계를 보여 주는 그래프가 표시될 수 있습니다. 이벤트에 적용되는 MITRE ATT&CK 전술 및 기술에 대한 요약 설명도 표시될 수 있습니다.

이벤트 및 관련 이벤트를 추가로 검사하려면 관련 이벤트에 대한 헌팅을 선택하여 고급 헌팅 쿼리를 신속하게 실행할 수 있습니다. 쿼리는 선택한 이벤트와 동일한 엔드포인트에서 동시에 발생한 다른 이벤트 목록을 반환합니다.

이벤트 세부 정보 패널의 스크린샷

보안 권장 사항

보안 권장 사항 탭에는 디바이스를 보호하기 위해 수행할 수 있는 작업이 나열됩니다. 이 목록에서 항목을 선택하면 권장 사항을 적용하는 방법에 대한 지침을 얻을 수 있는 플라이아웃이 열립니다.

이전 탭과 마찬가지로 표시된 열을 사용자 지정할 수 있습니다.

기본 보기에는 해결된 보안 약점, 관련 위협, 위협의 영향을 받는 관련 구성 요소 또는 소프트웨어 등을 자세히 설명하는 열이 포함됩니다. 항목은 권장 사항의 상태 필터링할 수 있습니다.

보안 권장 사항에 대해 자세히 알아보세요.

디바이스 엔터티 페이지의 보안 권장 사항 탭 스크린샷

인벤토리

이 탭에는 소프트웨어, 취약한 구성 요소, 브라우저 확장 및 인증서의 네 가지 구성 요소 유형에 대한 인벤토리가 표시됩니다.

소프트웨어 인벤토리

이 카드 디바이스에 설치된 소프트웨어를 나열합니다.

기본 보기에는 소프트웨어 공급업체, 설치된 버전 번호, 알려진 소프트웨어 약점 수, 위협 인사이트, 제품 코드 및 태그가 표시됩니다. 표시되는 항목 수와 표시되는 열을 모두 사용자 지정할 수 있습니다.

이 목록에서 항목을 선택하면 선택한 소프트웨어에 대한 자세한 내용과 소프트웨어가 마지막으로 발견된 경로 및 타임스탬프가 포함된 플라이아웃이 열립니다.

이 목록은 제품 코드, 약점 및 위협의 존재로 필터링할 수 있습니다.

Microsoft Defender 포털의 디바이스 프로필에 대한 소프트웨어 인벤토리 탭의 스크린샷

취약한 구성 요소

이 카드 취약성이 포함된 소프트웨어 구성 요소를 나열합니다.

기본 보기 및 필터링 옵션은 소프트웨어와 동일합니다.

플라이아웃에 추가 정보를 표시할 항목을 선택합니다.

브라우저 확장

이 카드 디바이스에 설치된 브라우저 확장을 보여 줍니다. 표시되는 기본 필드는 확장 이름, 설치된 브라우저, 버전, 권한 위험(확장에서 요청한 디바이스 또는 사이트에 대한 액세스 유형에 따라) 및 상태. 필요에 따라 공급업체를 표시할 수도 있습니다.

플라이아웃에 추가 정보를 표시할 항목을 선택합니다.

인증서

이 카드 디바이스에 설치된 모든 인증서를 표시합니다.

기본적으로 표시되는 필드는 인증서 이름, 발급 날짜, 만료 날짜, 키 크기, 발급자, 서명 알고리즘, 키 사용량 및 인스턴스 수입니다.

목록은 상태, 자체 서명 여부, 키 크기, 서명 해시 및 키 사용으로 필터링할 수 있습니다.

인증서를 선택하여 플라이아웃에 자세한 정보를 표시합니다.

검색된 취약성

이 탭에는 디바이스에 영향을 줄 수 있는 CVE(일반적인 취약성 및 악용)가 나열되어 있습니다.

기본 보기에는 CVE의 심각도, CVE와 관련된 소프트웨어인 CVSS(Common Vulnerability Score), CVE가 게시되었을 때, CVE가 처음 검색되고 마지막으로 업데이트된 경우 및 CVE와 관련된 위협이 나열됩니다.

이전 탭과 마찬가지로 표시할 열을 사용자 지정할 수 있습니다. 목록은 심각도, 위협 상태, 디바이스 노출 및 태그로 필터링할 수 있습니다.

이 목록에서 항목을 선택하면 CVE를 설명하는 플라이아웃이 열립니다.

Microsoft Defender 포털의 디바이스 프로필에 대한 검색된 취약성 탭의 스크린샷

누락된 KB

누락된 KB 탭에는 디바이스에 아직 적용되지 않은 Microsoft 업데이트 나열됩니다. 문제의 "KB"는 이러한 업데이트를 설명하는 기술 자료 문서입니다. 예를 들어 KB4551762.

기본 보기에는 업데이트, OS 버전, KB ID 번호, 영향을 받는 제품, 주소가 지정된 CVE 및 태그가 포함된 공지가 나열됩니다.

표시할 열을 사용자 지정할 수 있습니다.

항목을 선택하면 업데이트에 연결되는 플라이아웃이 열립니다.

Sentinel 이벤트

organization Defender 포털에 Microsoft Sentinel 온보딩한 경우 이 추가 탭은 디바이스 엔터티 페이지에 있습니다. 이 탭은 Microsoft Sentinel 호스트 엔터티 페이지를 가져옵니다.

Sentinel 타임라인

이 타임라인 Microsoft Sentinel 호스트 엔터티로 알려진 디바이스 엔터티와 연결된 경고를 표시합니다. 이러한 경고에는 인시던트 및 경고 탭에 표시되는 경고와 타사, 타사 데이터 원본에서 Microsoft Sentinel 만든 경고가 포함됩니다.

또한 이 타임라인 이 사용자 엔터티를 참조하는 다른 조사, 외부 데이터 원본의 사용자 활동 이벤트 및 Microsoft Sentinel 변칙 규칙에 의해 검색된 비정상적인 동작을 참조하는 다른 조사의 책갈피가 지정된 헌팅을 보여 줍니다.

Insights

엔터티 인사이트는 보다 효율적이고 효과적으로 조사할 수 있도록 Microsoft 보안 연구원이 정의한 쿼리입니다. 이러한 인사이트는 자동으로 디바이스 엔터티에 대한 큰 질문을 하여 테이블 형식 데이터 및 차트 형태로 중요한 보안 정보를 제공합니다. 인사이트에는 로그인, 그룹 추가, 프로세스 실행, 비정상적인 이벤트 등에 관한 데이터가 포함되며 비정상적인 동작을 감지하는 고급 기계 학습 알고리즘이 포함됩니다.

다음은 표시된 몇 가지 인사이트입니다.

  • 호스트에서 찍은 스크린샷.
  • Microsoft에서 서명되지 않은 프로세스가 검색되었습니다.
  • Windows 프로세스 실행 정보입니다.
  • Windows 로그인 작업.
  • 계정에 대한 작업입니다.
  • 호스트에서 이벤트 로그가 지워진 경우
  • 그룹 추가.
  • 호스트, 사용자, 호스트의 그룹 열거형.
  • 애플리케이션 제어를 Microsoft Defender.
  • 엔트로피 계산을 통해 희귀도를 처리합니다.
  • 비정상적으로 많은 수의 보안 이벤트입니다.
  • 관심 목록 인사이트(미리 보기).
  • Windows Defender 바이러스 백신 이벤트.

인사이트는 다음 데이터 원본을 기반으로 합니다.

  • Syslog(Linux)
  • SecurityEvent(Windows)
  • AuditLogs(Microsoft Entra ID)
  • SigninLogs(Microsoft Entra ID)
  • OfficeActivity(Office 365)
  • BehaviorAnalytics(Microsoft Sentinel UEBA)
  • 하트비트(Azure Monitor 에이전트)
  • CommonSecurityLog(Microsoft Sentinel)

사용자 엔터티 페이지의 Sentinel 이벤트 탭 스크린샷

이 패널에서 인사이트를 자세히 살펴보려면 인사이트와 함께 링크를 선택합니다. 링크는 고급 헌팅 페이지로 이동하며, 여기서 원시 결과와 함께 인사이트의 기본 쿼리를 표시합니다. 쿼리를 수정하거나 결과를 드릴다운하여 조사를 확장하거나 호기심을 충족할 수 있습니다.

인사이트 쿼리가 있는 고급 헌팅 화면의 스크린샷

응답 작업

대응 작업은 위협을 분석, 조사 및 방어하는 바로 가기를 제공합니다.

Microsoft Defender 포털의 디바이스 엔터티 페이지에 대한 작업 표시줄 스크린샷

중요

  • 응답 작업은 디바이스가 엔드포인트용 Microsoft Defender 등록된 경우에만 사용할 수 있습니다.
  • 엔드포인트용 Microsoft Defender 등록된 디바이스는 디바이스의 OS 및 버전 번호에 따라 다양한 응답 작업을 표시할 수 있습니다.

응답 작업은 특정 디바이스 페이지의 맨 위에서 실행되며 다음을 포함합니다.

작업 설명
디바이스 값
중요도 설정
태그 관리 이 디바이스에 적용한 사용자 지정 태그를 업데이트.
디바이스 부정확성 보고
바이러스 백신 검사 실행 바이러스 백신 정의를 업데이트 Microsoft Defender 바이러스 백신 검사를 즉시 실행합니다. 빠른 검사 또는 전체 검사 중에서 선택합니다.
조사 패키지 수집 디바이스에 대한 정보를 수집합니다. 조사가 완료되면 다운로드할 수 있습니다.
앱 실행 제한 Microsoft에서 서명하지 않은 애플리케이션이 실행되지 않도록 방지합니다.
자동화된 조사 시작 위협을 자동으로 조사하고 수정합니다. 이 페이지에서 실행되도록 자동화된 조사를 수동으로 트리거할 수 있지만 특정 경고 정책은 자체적으로 자동 조사를 트리거합니다.
라이브 응답 세션 시작 심층 보안 조사를 위해 디바이스에 원격 셸을 로드합니다.
디바이스 격리 디바이스를 Microsoft Defender 연결하면서 organization 네트워크에서 격리합니다. 통신을 위해 디바이스가 격리된 동안 Outlook, Teams 및 비즈니스용 Skype 실행할 수 있도록 선택할 수 있습니다.
Microsoft Defender 전문가에게 질문하기
알림 센터 현재 실행 중인 모든 응답 작업에 대한 정보를 표시합니다. 다른 작업이 이미 선택된 경우에만 사용할 수 있습니다.
격리 스크립트에서 강제 릴리스 다운로드
제외
탐색
문제 해결 모드 켜기
정책 동기화

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.