Microsoft Defender 포털에서 인시던트 우선 순위 지정
Microsoft Defender 포털의 통합 보안 운영 플랫폼은 상관 관계 분석을 적용하고 관련 경고 및 다양한 제품의 자동화된 조사를 인시던트에 집계합니다. 또한 Microsoft Sentinel 및 Defender XDR 전체 제품 제품군에서 통합 플랫폼의 엔드 투 엔드 가시성을 감안할 때 악의적인 것으로만 식별될 수 있는 활동에 대한 고유한 경고를 트리거합니다. 이 보기는 보안 분석가에게 광범위한 공격 스토리를 제공하여 organization 전체에서 복잡한 위협을 더 잘 이해하고 처리하는 데 도움이 됩니다.
중요
Microsoft Sentinel 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기의 경우 Microsoft Sentinel Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.
인시던트 큐에는 디바이스, 사용자, 사서함 및 기타 리소스에서 생성된 인시던트 컬렉션이 표시됩니다. 인시던트를 정렬하여 인시던트 심사라고 하는 프로세스인 정보에 입각한 사이버 보안 대응 결정의 우선 순위를 지정하고 만드는 데 도움이 됩니다.
Microsoft Defender 포털의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 큐에 연결할 수 있습니다. 다음은 예입니다.
가장 최근 인시던트 및 경고를 선택하여 최근 24시간 동안 발생한 경고 수 및 인시던트 수에 대한 타임라인 그래프를 보여 주는 상위 섹션의 확장을 전환합니다.
그 아래에는 Microsoft Defender 포털의 인시던트 큐에 지난 6개월 동안 발생한 인시던트가 표시됩니다. 위쪽의 드롭다운에서 다른 시간 프레임을 선택하여 선택할 수 있습니다. 인시던트에 대한 최신 자동 또는 수동 업데이트에 따라 인시던트가 정렬됩니다. 마지막 업데이트 시간 열별로 인시던트 정렬을 통해 최신 자동 또는 수동 업데이트에 따라 인시던트 보기를 수행할 수 있습니다.
인시던트 큐에는 인시던트의 다양한 특성 또는 영향을 받은 엔터티에 대한 가시성을 제공하는 사용자 지정 가능한 열이 있습니다. 이 필터링은 분석을 위한 인시던트 우선 순위 지정과 관련하여 정보에 입각한 결정을 내리는 데 도움이 됩니다. 기본 보기에 따라 다음 사용자 지정을 수행하려면 열 사용자 지정 을 선택합니다.
- 인시던트 큐에 표시하려는 열을 확인/선택 취소합니다.
- 열을 끌어 열의 순서를 정렬합니다.
한눈에 볼 수 있도록 Microsoft Defender XDR 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 인시던트 이름을 자동으로 생성합니다. 이 특정 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다.
예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.
통합 보안 운영 플랫폼에 Microsoft Sentinel 온보딩한 경우 Microsoft Sentinel 발생하는 모든 경고 및 인시던트가 온보딩 전이나 이후에 만들어졌는지 여부에 관계없이 이름이 변경될 수 있습니다.
자동화 규칙을 트리거하기 위한 조건으로 인시던트 이름을 사용하지 않는 것이 좋습니다. 인시던트 이름이 조건이고 인시던트 이름이 변경되면 규칙이 트리거되지 않습니다.
인시던트 큐는 또한 여러 필터링 옵션을 제공합니다. 이 옵션을 적용하면 환경에서 모든 기존 인시던트에 대한 광범위한 스윕을 수행하거나 특정 시나리오 또는 위협에 집중할 수 있습니다. 사고 큐 필터를 적용 하면 즉시 주의가 필요한 사고를 결정할 수 있습니다.
인 시던트 목록 위의 필터 목록에는 현재 적용된 필터가 표시됩니다.
기본 인시던트 큐에서 필터 추가 를 선택하여 필터 추가 드롭다운을 볼 수 있습니다. 이 드롭다운에서 인시던트 큐에 적용할 필터를 지정하여 표시된 인시던트 집합을 제한할 수 있습니다. 다음은 예입니다.
사용하려는 필터를 선택한 다음 목록 맨 아래에서 추가 를 선택하여 사용할 수 있도록 합니다.
이제 선택한 필터가 기존 적용된 필터와 함께 표시됩니다. 새 필터를 선택하여 조건을 지정합니다. 예를 들어 "서비스/검색 원본" 필터를 선택한 경우 해당 필터를 선택하여 목록을 필터링할 원본을 선택합니다.
인시던트 목록 위의 필터 목록에서 필터를 선택하여 필터 창을 볼 수도 있습니다.
이 표에는 사용할 수 있는 필터 이름이 나열되어 있습니다.
필터 이름 | 설명/조건 |
---|---|
상태 | 새로 만들기, 진행 중 또는 해결됨을 선택합니다. |
경고 심각도 인시던트 심각도 |
경고 또는 인시던트의 심각도는 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지고 일반적으로 가장 즉각적인 주의가 필요합니다. 높음, 중간, 낮음 또는 정보를 선택합니다. |
인시던트 할당 | 할당된 사용자 또는 사용자를 선택합니다. |
다중 서비스 원인 | 둘 이상의 서비스 원본에 대한 필터인지 여부를 지정합니다. |
서비스/검색 원본 | 다음 중 하나 이상의 경고를 포함하는 인시던트 지정: 이러한 서비스의 대부분은 메뉴에서 확장하여 지정된 서비스 내에서 검색 원본의 추가 선택을 표시할 수 있습니다. |
태그 | 목록에서 하나 이상의 태그 이름을 선택합니다. |
여러 범주 | 필터가 둘 이상의 범주에 대한 것인지 여부를 지정합니다. |
범주 | 특정 전술, 기술 또는 공격 구성 요소에 집중할 범주를 선택합니다. |
엔터티 | 사용자, 디바이스, 사서함 또는 애플리케이션 이름과 같은 자산의 이름을 지정합니다. |
데이터 민감도 | 일부 공격은 민감하거나 가치있는 데이터 수집을 목적으로 합니다. 특정 민감도 레이블에 필터를 적용하면 중요한 정보가 잠재적으로 손상되었는지 신속하게 확인하고 이러한 인시던트 해결의 우선 순위를 지정할 수 있습니다. 이 필터는 Microsoft Purview Information Protection 민감도 레이블을 적용한 경우에만 정보를 표시합니다. |
Device groups | 디바이스 그룹 이름을 지정합니다. |
OS 플랫폼 | 디바이스 운영 체제를 지정합니다. |
분류 | 관련 경고의 분류 집합을 지정합니다. |
자동화된 조사 상태 | 자동 조사의 상태 지정합니다. |
관련 위협 | 명명된 위협을 지정합니다. |
알림 정책 | 경고 정책 제목을 지정합니다. |
경고 구독 ID | 구독 ID에 따라 경고를 지정합니다. |
기본 필터는 신규 및 진행 중의 상태 높음,중간 또는 낮음의 심각도로 모든 경고 및 인시던트 표시입니다.
필터 목록에서 필터 이름에서 X 를 선택하여 필터를 빠르게 제거할 수 있습니다 .
저장된 필터 쿼리 필터 집합 만들기를 선택하여 인시던트 페이지 내에서 필터 집합을 만들 수도 있습니다>. 필터 집합이 만들어지지 않은 경우 저장 을 선택하여 만듭니다.
참고
Microsoft Defender XDR 고객은 이제 손상된 디바이스가 IoT용 Microsoft Defender 디바이스 검색 통합을 통해 엔터프라이즈 네트워크에 연결된 OT(운영 기술) 디바이스와 통신하는 경고로 인시던트를 필터링할 수 엔드포인트용 Microsoft Defender. 이러한 인시던트를 필터링하려면 서비스/검색 원본에서 Any를 선택한 다음 제품 이름에서 IoT에 대한 Microsoft Defender 선택하거나 Defender 포털에서 Microsoft Defender for IoT의 인시던트 및 경고 조사를 참조하세요. 디바이스 그룹을 사용하여 사이트별 경고를 필터링할 수도 있습니다. Defender for IoT 필수 구성 요소에 대한 자세한 내용은 Microsoft Defender XDR 엔터프라이즈 IoT 모니터링 시작을 참조하세요.
인시던트 큐에서 유용한 필터를 구성한 후에는 브라우저 탭의 URL을 책갈피로 지정하거나 웹 페이지, Word 문서 또는 원하는 위치에 링크로 저장할 수 있습니다. 책갈피를 사용하면 인시던트 큐의 주요 보기(예: )에 대한 단일 클릭 액세스 권한을 제공합니다.
- 새 인시던트
- 심각도가 높은 인시던트
- 할당되지 않은 인시던트
- 심각도가 높고 할당되지 않은 인시던트
- 나에게 할당된 인시던트
- 나에게 할당된 인시던트 및 엔드포인트용 Microsoft Defender
- 특정 태그 또는 태그가 있는 인시던트
- 특정 위협 범주가 있는 인시던트
- 특정 관련 위협이 있는 인시던트
- 특정 행위자를 사용하는 인시던트
유용한 필터 뷰 목록을 URL로 컴파일하고 저장한 후에는 이를 사용하여 신속하게 큐의 인시던트 처리 및 우선 순위를 지정하고 후속 할당 및 분석을 위해 인시던트 관리 합니다.
인시던트 목록 위의 이름 또는 ID 검색 상자에서 다양한 방법으로 인시던트 검색을 통해 원하는 항목을 빠르게 찾을 수 있습니다.
인시던트 ID 또는 인시던트 이름을 입력하여 인시던트를 직접 검색합니다. 검색 결과 목록에서 인시던트를 선택하면 Microsoft Defender 포털에서 인시던트 속성이 포함된 새 탭을 열어 조사를 시작할 수 있습니다.
사용자, 디바이스, 사서함, 애플리케이션 이름 또는 클라우드 리소스와 같은 자산의 이름을 지정하고 해당 자산과 관련된 모든 인시던트를 찾을 수 있습니다.
인시던트 기본 목록은 지난 6개월 동안 발생한 인시던트에 대한 것입니다. 다음을 선택하여 일정 아이콘 옆의 드롭다운 상자에서 새 시간 범위를 지정할 수 있습니다.
- 1일
- 3일
- 1주
- 30일
- 30일
- 6개월
- 날짜와 시간을 모두 지정할 수 있는 사용자 지정 범위
우선 순위가 가장 높은 인시던트가 필요한 인시던트가 결정되면 다음을 선택합니다.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.