Microsoft Defender 포털의 인시던트 대응
Microsoft Defender 포털의 인시던트 는 관련 경고 및 관련 데이터의 컬렉션으로, 공격 스토리를 구성합니다. SOC가 공격을 조사하고 이에 대한 응답을 관리, 구현 및 문서화하는 데 사용할 수 있는 사례 파일이기도 합니다.
Microsoft Sentinel 및 Microsoft Defender 서비스는 의심스럽거나 악의적인 이벤트 또는 활동을 검색할 때 경고를 만듭니다. 개별 경고는 완료되거나 지속적인 공격에 대한 중요한 증거를 제공합니다. 그러나 점점 더 널리 퍼지고 정교한 공격은 일반적으로 디바이스, 사용자 및 사서함과 같은 다양한 유형의 자산 엔터티에 대해 다양한 기술과 벡터를 사용합니다. 그 결과 디지털 자산의 여러 자산 엔터티에 대한 여러 원본의 여러 경고가 생성됩니다.
개별 경고는 각각 이야기의 일부만 알려주며 공격에 대한 인사이트를 얻기 위해 개별 경고를 수동으로 그룹화하기 때문에 어렵고 시간이 많이 걸릴 수 있으므로 통합 보안 운영 플랫폼은 Microsoft Sentinel 및 Microsoft Defender XDR 관련된 경고를 자동으로 식별하고 해당 경고와 관련 정보를 인시던트에 집계합니다.
관련 경고를 인시던트에 그룹화하면 공격에 대한 포괄적인 보기를 제공합니다. 예를 들어 다음을 볼 수 있습니다.
- 공격이 시작된 위치.
- 어떤 전술이 사용되었는지.
- 공격이 디지털 자산에 얼마나 멀리 들어갔는지.
- 영향을 받은 디바이스, 사용자 및 사서함 수와 같은 공격의 scope.
- 공격과 관련된 모든 데이터입니다.
Microsoft Defender 포털의 통합 보안 운영 플랫폼에는 인시던트 심사, 조사 및 해결을 자동화하고 지원하는 방법이 포함되어 있습니다.
Defender의 Microsoft Copilot는 AI를 활용하여 명확하게 설명된 공격 사례를 사용한 엔드투엔드 인시던트 조사 및 대응, 단계별 실행 가능한 수정 지침 및 인시던트 활동 요약 보고서, 자연어 KQL 헌팅 및 전문가 코드 분석을 포함하여 복잡하고 시간이 많이 소요되는 일일 워크플로로 분석가를 지원하여 Microsoft Sentinel 및 Defender XDR 데이터 전반의 SOC 효율성에 최적화합니다.
이 기능은 Microsoft Sentinel이 통합 플랫폼, 사용자 및 엔터티 동작 분석, 변칙 검색, 다단계 위협 탐지 등의 영역에서 제공하는 다른 AI 기반 기능 외에도 제공됩니다.
자동화된 공격 중단은 Microsoft Defender XDR 및 Microsoft Sentinel에서 수집된 신뢰도 높은 신호를 사용하여 위협을 포함하고 영향을 제한하는 컴퓨터 속도로 활성 공격을 자동으로 중단합니다.
사용하도록 설정하면 Microsoft Defender XDR 자동화 및 인공 지능을 통해 Microsoft 365 및 Entra ID 원본의 경고를 자동으로 조사하고 resolve 수 있습니다. 추가 수정 단계를 수행하여 공격을 resolve 수도 있습니다.
Microsoft Sentinel 자동화 규칙은 원본에 관계없이 인시던트 심사, 할당 및 관리를 자동화할 수 있습니다. 콘텐츠에 따라 인시던트에 태그를 적용하고, 노이즈(가양성) 인시던트 표시 안 함, 적절한 기준을 충족하는 해결된 인시던트 닫기, 이유를 지정하고 주석을 추가할 수 있습니다.
중요
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼에 대한 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.
Microsoft Defender 포털의 인시던트 및 경고
팁
2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.
Microsoft Defender 포털의 빠른 시작 시 조사 & 대응 > 인시던트 > & 경고 인시던트에서 인시던트 관리를 관리합니다. 다음은 예입니다.
인시던트 이름을 선택하면 다음을 포함하여 인시던트 전체 공격 스토리 부터 시작하여 인시던트 페이지가 표시됩니다.
인시던트 내 경고 페이지: 인시던트와 관련된 경고의 scope 및 동일한 탭의 해당 정보입니다.
그래프: 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스, 앱 및 사서함과 같이 공격의 대상을 구성하는 자산 엔터티와 연결하는 공격의 시각적 표현입니다.
그래프에서 직접 자산 및 기타 엔터티 세부 정보를 보고 계정 비활성화, 파일 삭제 또는 디바이스 격리와 같은 응답 옵션을 사용하여 작업할 수 있습니다.
인시던트 페이지는 다음 탭으로 구성됩니다.
공격 스토리
위에서 언급한 이 탭에는 수행된 모든 경고, 자산 엔터티 및 수정 작업을 포함하여 공격의 타임라인 포함됩니다.
경고
인시던트, 해당 원본 및 정보와 관련된 모든 경고입니다.
자산
인시던트에 속하거나 관련된 것으로 확인된 모든 자산(디바이스, 사용자, 사서함, 앱 및 클라우드 리소스와 같은 보호된 엔터티)
조사
조사 상태 및 결과를 포함하여 인시던트 경고에 의해 트리거되는 모든 자동화된 조사입니다.
증거 및 응답
인시던트 경고의 모든 의심스러운 엔터티는 공격 스토리를 지원하는 증거를 구성합니다. 이러한 엔터티에는 IP 주소, 파일, 프로세스, URL, 레지스트리 키 및 값 등이 포함될 수 있습니다.
요약
경고와 관련된 영향을 받은 자산에 대한 간략한 개요입니다.
참고
지원되지 않는 경고 유형 경고 상태 표시되는 경우 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.
Microsoft Defender 포털의 인시던트 대응 워크플로 예제
다음은 Microsoft Defender 포털을 사용하여 Microsoft 365의 인시던트에 대응하기 위한 워크플로 예제입니다.
지속적인 기준에 따라 인시던트 큐에서 분석 및 해결을 위해 우선순위가 가장 높은 인시던트를 식별하고 대응을 준비합니다. 이러한 조치는 다음으로 구성됩니다.
Microsoft Sentinel 자동화 규칙을 사용하여 일부 인시던트가 생성될 때 자동으로 심사 및 관리(및 응답)하여 큐에서 가장 쉽게 처리할 수 있는 인시던트가 제거될 수 있습니다.
사용자 고유의 인시던트 대응 워크플로에 대해 다음 단계를 고려합니다.
| 단계 | 단계 |
|---|---|
| 각 인시던트에 대해 공격 및 경고 조사 및 분석을 시작합니다. |
|
| 분석 후 또는 분석 중에 억제를 수행하여 보안 위협의 공격 및 제거에 대한 추가 영향을 줄입니다. | 예를 들면 다음과 같습니다. |
| 가능하면 테넌트 리소스를 인시던트 이전 상태로 복원하여 공격으로부터 복구합니다. | |
| 인시던트 해결 및 결과 문서화 | 인시던트 후 학습에 시간을 내어 다음을 수행합니다. |
보안 분석을 처음 접하는 경우 추가 정보는 첫 번째 인시던트에 대응하고 예제 인시던트를 단계별로 진행하는 소개를 참조하세요.
Microsoft 제품의 인시던트 대응에 대한 자세한 내용은 이 문서를 참조하세요.
Microsoft Defender 포털에서 보안 작업 통합
다음은 Microsoft Defender 포털에서 SecOps(보안 작업) 프로세스를 통합하는 예제입니다.
일상적인 작업에는 다음이 포함될 수 있습니다.
- 인시 던트 관리
- 알림 센터에서 자동 조사 및 대응(AIR) 작업 검토
- 최신 위협 분석 검토
- 인시던트에 대응
월별 작업에는 다음이 포함될 수 있습니다.
- AIR 설정 검토
- 보안 점수 및 Microsoft Defender 취약성 관리 검토
- IT 보안 관리 체인에 보고
분기별 작업에는 CISO(최고 정보 보안 책임자)에 대한 보안 결과 보고서 및 브리핑이 포함될 수 있습니다.
연간 작업에는 직원, 시스템 및 프로세스를 테스트하기 위한 주요 인시던트 또는 위반 연습 수행이 포함될 수 있습니다.
매일, 매월, 분기별 및 연간 작업을 사용하여 프로세스, 정책 및 보안 구성을 업데이트하거나 구체화할 수 있습니다.
자세한 내용은 보안 작업에 Microsoft Defender XDR 통합을 참조하세요.
Microsoft 제품 전반의 SecOps 리소스
Microsoft 제품 전반의 SecOps에 대한 자세한 내용은 다음 리소스를 참조하세요.
전자 메일로 인시던트 알림
Microsoft Defender 포털을 설정하여 직원에게 새 인시던트 또는 기존 인시던트에 대한 업데이트에 대한 이메일을 알릴 수 있습니다. 다음을 기반으로 알림을 받도록 선택할 수 있습니다.
- 경고 심각도
- 경고 소스
- 디바이스 그룹
인시던트에 대한 메일 알림 설정하려면 인시던트에 대한 메일 알림 가져오기를 참조하세요.
보안 분석가를 위한 교육
Microsoft Learn의 이 학습 모듈을 사용하여 Microsoft Defender XDR 사용하여 인시던트 및 경고를 관리하는 방법을 이해합니다.
| 교육: | Microsoft Defender XDR 사용하여 인시던트 조사 |
|---|---|
 |
Microsoft Defender XDR 여러 서비스의 위협 데이터를 통합하고 AI를 사용하여 인시던트 및 경고로 결합합니다. 인시던트와 후속 조치와 해결을 위한 관리 사이의 시간을 최소화하는 방법을 배워보세요. 27분 - 6단원 |
다음 단계
보안 팀의 환경 수준 또는 역할에 따라 나열된 단계를 사용합니다.
경험 수준
보안 분석 및 인시던트 대응에 대한 경험 수준을 보려면 이 표를 따르세요.
| 수준 | 단계 |
|---|---|
| 새로운 |
|
| 경험 |
|
보안 팀 역할
보안 팀 역할에 따라 이 표를 따릅니다.
| 역할 | 단계 |
|---|---|
| 인시던트 응답자(계층 1) | Microsoft Defender 포털의 인시던트 페이지에서 인시던트 큐를 시작합니다. 여기에서 다음을 수행할 수 있습니다. |
| 보안 조사자 또는 분석가(계층 2) | |
| 고급 보안 분석가 또는 위협 헌터(계층 3) | |
| SOC 관리자 | MICROSOFT DEFENDER XDR SOC(보안 운영 센터)에 통합하는 방법을 참조하세요. |
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기