초기 설정 후 사용 권한을 편집하거나 업데이트하려면 설정>Defender 전문가>권한으로 이동합니다.
수정에서 디바이스 및 사용자 제외
XDR용 Defender 전문가를 사용하면 디바이스 및 사용자를 전문가가 수행한 수정 작업에서 제외하고 대신 해당 엔터티에 대한 수정 지침을 얻을 수 있습니다. 이러한 제외는 엔드포인트용 Microsoft Defender의 식별된 디바이스 그룹과 Microsoft Entra ID의 식별된 사용자 그룹을 기반으로 합니다.
디바이스 그룹을 제외하려면 다음을 수행합니다.
동일한 Defender 전문가 설정의 제외에서 디바이스 그룹 탭으로 이동합니다.
+ 디바이스 그룹 추가를 선택한 다음, 제외할 디바이스 그룹을 검색하여 선택합니다.
참고
이 페이지에는 기존 디바이스 그룹만 나열됩니다. 새 디바이스 그룹을 만들려면 먼저 Microsoft Defender 포털에서 엔드포인트용 Defender 설정으로 이동해야 합니다. 그런 다음 이 페이지를 새로 고쳐 새로 만든 그룹을 검색하고 선택합니다.
디바이스 그룹 만들기에 대해 자세히 알아보기
디바이스 그룹 추가를 선택합니다.
디바이스 그룹 탭으로 돌아가서 제외된 디바이스 그룹 목록을 검토합니다. 제외 목록에서 디바이스 그룹을 제거하려면 해당 그룹을 선택한 다음, 디바이스 그룹 제거를 선택합니다.
다음을 선택하여 제외 목록을 확인하고 연락처 또는 그룹 추가를 진행합니다. 그렇지 않으면 건너뛰기 를 선택하면 추가된 모든 제외 항목이 삭제됩니다.
사용자 그룹을 제외하려면 다음을 수행합니다.
동일한 Defender 전문가 설정 설정의 제외에서 사용자 그룹 탭으로 이동합니다.
+ 사용자 그룹 추가를 선택한 다음, 제외할 사용자 그룹을 검색하여 선택합니다.
참고
이 페이지에는 기존 사용자 그룹만 나열됩니다. 새 사용자 그룹을 만들려면 먼저 Microsoft Entra ID 관리 센터에 전역 관리자로 로그인해야 합니다. 그런 다음 이 페이지를 새로 고쳐 새로 만든 그룹을 검색하고 선택합니다.
사용자 그룹 만들기에 대해 자세히 알아보기
사용자 그룹 추가를 선택합니다.
사용자 그룹 탭으로 돌아가 제외된 사용자 그룹 목록을 검토합니다. 제외 목록에서 사용자 그룹을 제거하려면 해당 그룹을 선택한 다음 , 사용자 그룹 제거를 선택합니다.
다음을 선택하여 제외 목록을 확인하고 연락처 또는 그룹 추가를 진행합니다. 그렇지 않으면 건너뛰기 를 선택하면 추가된 모든 제외 항목이 삭제됩니다.
참고
Microsoft Entra ID 보안 그룹에 사용자를 추가해야만 사용자를 제외할 수 있습니다. 현재 온-프레미스 Entra ID 사용자를 제외할 수 없습니다.
초기 설정 후 제외를 편집하거나 업데이트하려면 설정>Defender 전문가>제외로 이동한 다음 디바이스 그룹 또는 사용자 그룹 탭으로 이동합니다.
중요한 문제에 대해 연락할 사람을 알려주세요.
XDR용 Defender 전문가를 사용하면 중요한 인시던트, 서비스 업데이트, 가끔 쿼리 및 기타 권장 사항이 있는 경우 알림을 받아야 하는 조직 내의 개인 또는 그룹을 결정할 수 있습니다.
인시던트 알림 연락처 – 이러한 연락처는 관리되는 응답 작업 또는 즉각적인 대응이 필요한 모든 통신에 대해 알릴 수 있는 사람 또는 팀입니다. 통신의 긴급한 특성을 감안할 때 이러한 연락처를 항상 사용할 수 있는 것이 좋습니다.
서비스 검토 연락처 – 이러한 연락처는 서비스 제공 팀에서 수행하는 지속적인 보안 브리핑에 참여할 수 있는 사람 또는 팀입니다.
식별되면 개인 또는 그룹은 인시던트 알림 또는 서비스 검토 목적으로 연락처임을 알리는 이메일을 받게 됩니다.
알림 연락처를 추가하려면 다음을 수행합니다.
동일한 Defender 전문가 설정 설정의 연락처에서 제공된 텍스트 필드에 연락처 사용자 또는 팀을 검색하고 추가합니다.
Defender 전문가가 즉각적인 주의가 필요한 문제에 대해 호출할 수 있는 전화 번호 (선택 사항)를 추가합니다.
연락처 드롭다운 상자에서 인시던트 알림 또는 서비스 검토를 선택합니다.
추가를 선택합니다.
다음을 선택하여 연락처 목록을 확인하고 인시던트 알림을 받을 수 있는 Teams 채널을 만듭니다.
초기 설정 후 알림 연락처를 편집하거나 업데이트하려면 설정>Defender 전문가>알림 연락처로 이동합니다.
Microsoft Teams에서 관리되는 응답 알림 및 업데이트 받기
전자 메일 및 포털 내 채팅 외에도 Microsoft Teams를 사용하여 관리되는 응답에 대한 업데이트를 받고 전문가와 실시간으로 통신할 수도 있습니다. 이 설정을 켜면 Defender 전문가 팀 이라는 새 팀이 만들어집니다. 여기서 진행 중인 인시던트 관련 관리형 응답 알림이 관리되는 응답 채널의 새 게시물로 전송됩니다.
Teams 채팅 사용에 대해 자세히 알아보기
중요
Defender 전문가는 생성된 Defender 전문가 팀의 모든 채널에 게시된 모든 메시지에 액세스할 수 있습니다. Defender 전문가가 이 팀의 메시지에 액세스하지 못하도록 하려면 Teams의 앱 으로 이동한 다음, 앱 관리>Defender 전문가>제거로 이동합니다. 이 제거 작업은 되돌릴 수 없습니다.
Teams 알림 및 채팅을 켜려면 다음을 수행합니다.
동일한 Defender 전문가 설정 설정의 Teams에서 Teams에서 통신 확인란을 선택합니다.
XDR용 Defender 전문가는 특히 새 디바이스 및 ID 추가와 같은 환경이 변경된 경우 준비 평가를 주기적으로 검토합니다. 초기 온보딩 이후의 준비 평가를 정기적으로 모니터링하고 실행하여 환경에 위험을 줄이기 위한 강력한 보안 태세를 갖추도록 하는 것이 중요합니다.
필요한 모든 작업을 완료하고 준비 평가에서 온보딩 목표를 충족한 후 SDM(서비스 제공 관리자)은 XDR 서비스용 Defender 전문가의 모니터링 단계를 시작합니다. 여기서 며칠 동안 전문가는 대기 중인 위협, 위험 원본 및 정상적인 활동을 식별하기 위해 환경을 면밀히 모니터링하기 시작합니다. 중요한 자산을 더 잘 이해하면 서비스를 간소화하고 응답을 미세 조정할 수 있습니다.
전문가가 사용자를 대신하여 포괄적인 대응 작업을 수행하기 시작하면 수정 단계가 필요한 인시던트에 대한 알림 과 중요한 인시던트에 대한 대상 권장 사항을 수신하기 시작합니다. 또한 중요한 쿼리 및 정기적인 비즈니스 및 보안 상태 검토와 관련하여 전문가 또는 SDM과 채팅할 수 있습니다. 또한 사용자를 대신하여 조사하고 해결한 인시던트 수에 대한 실시간 보고서를 볼 수도 있습니다.
Microsoft Applied Skills 자격 증명을 취득하려면 학습자는 Microsoft Defender XDR을 사용하여 사이버 위협을 검색하고 대응하는 기능을 입증해야 합니다. 이 자격 증명을 취득하려는 응시자는 엔드포인트에 대한 공격을 조사하고 증거를 수집하는 데 능숙해야 합니다. 또한 엔드포인트용 Microsoft Defender와 KQL(Kusto 쿼리 언어)을 사용한 환경도 있어야 합니다.