Microsoft Defender XDR 조사 및 대응
다음은 Microsoft Defender XDR 대한 기본 조사 및 응답 작업입니다.
사고 대응
Microsoft 365 서비스 및 앱은 의심스럽거나 악의적인 이벤트 또는 활동을 검색할 때 경고를 만듭니다. 개별 경고는 완료되거나 진행 중인 공격에 대한 중요한 단서를 제공합니다. 그러나 공격은 일반적으로 디바이스, 사용자 및 사서함과 같은 다양한 유형의 엔터티에 대해 다양한 기술을 사용합니다. 결과는 테넌트에서 여러 엔터티에 대한 여러 경고입니다. 공격에 대한 인사이트를 얻기 위해 개별 경고를 함께 꿰뚫는 것은 어렵고 시간이 오래 걸릴 수 있으므로 Microsoft Defender XDR 경고와 관련 정보를 인시던트로 자동으로 집계합니다.
지속적으로 인시던트 큐에서 분석 및 해결을 위해 우선 순위가 가장 높은 인시던트를 식별하고 대응을 준비해야 합니다. 이러한 조치는 다음으로 구성됩니다.
- 인시던트 큐 필터링 및 정렬을 통해 우선 순위가 가장 높은 인시던트 결정에 우선 순위를 지정합니다. 이를 심사라고도 합니다.
- 제목을 수정하고, 분석가에게 할당하고, 태그와 주석을 추가하고, 해결되면 분류하여 인시던트를 관리합니다.
각 인시던트에 대해 인시던트 대응 워크플로를 사용하여 인시던트 및 해당 경고 및 데이터를 분석하여 공격을 포함하고, 위협을 근절하고, 공격으로부터 복구하고, 인시던트로부터 알아봅니다. Microsoft Defender XDR 대해서는 이 예제를 참조하세요.
자동화된 조사 및 수정
organization Microsoft Defender XDR 사용하는 경우 보안 운영 팀은 악의적이거나 의심스러운 활동 또는 아티팩트가 검색될 때마다 Microsoft Defender 포털 내에서 경고를 받습니다. 발생할 수 있는 위협의 끝임없는 흐름을 고려할 때 보안 팀은 쏟아지는 경고를 처리하는 데 어려움을 겪는 경우가 많습니다. 다행히 Microsoft Defender XDR 보안 운영 팀이 위협을 보다 효율적이고 효과적으로 해결하는 데 도움이 될 수 있는 자동 조사 및 대응(AIR) 기능이 포함되어 있습니다.
자동 조사가 완료되면 인시던트의 모든 증거에 대한 평가 결과가 생성됩니다. 평가 결과에 따라 수정 작업이 식별됩니다. 경우에 따라 수정 작업이 자동으로 수행됩니다. 다른 경우 수정 작업은 Microsoft Defender XDR 알림 센터를 통해 승인을 기다립니다.
자세한 내용은 Microsoft Defender XDR 자동 조사 및 응답을 참조하세요.
고급 헌팅을 사용하여 위협에 대한 사전 검색
공격에 대응하는 것만으로는 충분하지 않습니다. 랜섬웨어와 같은 확장된 다단계 공격의 경우 진행 중인 공격의 증거를 사전에 검색하고 완료하기 전에 이를 중지하기 위한 조치를 취해야 합니다.
고급 헌팅은 Microsoft Defender XDR 쿼리 기반 위협 헌팅 도구로, 최대 30일의 원시 데이터를 탐색할 수 있습니다. 네트워크의 이벤트를 사전에 검사하여 위협 지표와 엔터티를 찾을 수 있습니다. Microsoft Defender XDR 데이터에 대한 이러한 유연한 액세스를 통해 알려진 위협과 잠재적 위협 모두에 대한 제한 없는 헌팅이 가능합니다.
동일한 위협 헌팅 쿼리를 사용하여 사용자 지정 검색 규칙을 빌드할 수 있습니다. 이러한 규칙은 자동으로 실행되어 의심스러운 위반 활동, 잘못 구성된 컴퓨터 및 기타 결과에 대해 검사 대응합니다.
자세한 내용은 Microsoft Defender XDR 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.
위협 분석을 사용하여 새로운 위협보다 앞서 나가기
위협 분석은 새로운 위협에 직면하면서 보안 팀이 최대한 효율적으로 작업할 수 있도록 설계된 Microsoft Defender XDR 위협 인텔리전스 기능입니다. 여기에는 다음에 대한 자세한 분석 및 정보가 포함됩니다.
- 활성 위협 행위자와 해당 캠페인
- 인기 있는 새로운 공격 기술
- 주요 취약성
- 일반적인 공격 표면
- 널리 사용되는 맬웨어
위협 분석에는 식별된 각 위협에 대한 Microsoft 365 테넌트 내의 관련 인시던트 및 영향을 받은 자산에 대한 정보도 포함됩니다.
확인된 각 위협에는 사이버 보안 검색 및 분석의 최전선에 있는 Microsoft 보안 연구원이 작성한 위협에 대한 포괄적인 분석인 분석가 보고서가 포함됩니다. 이러한 보고서는 Microsoft Defender XDR 공격이 표시되는 방식에 대한 정보를 제공할 수도 있습니다.
자세한 내용은 Microsoft Defender XDR 위협 분석을 참조하세요.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.