Microsoft Defender 포털의 인시던트 및 경고
Microsoft Defender 포털은 보안 위협에 대한 노출을 줄이고, 조직의 보안 태세를 개선하고, 보안 위협을 감지하고, 위반을 조사하고 대응하기 위해 통합된 보안 서비스 집합을 결합합니다. 이러한 서비스는 포털에 표시되는 신호를 수집하고 생성합니다. 두 가지 기본 종류의 신호는 다음과 같습니다.
경고: 다양한 위협 탐지 활동으로 인한 신호입니다. 이러한 신호는 사용자 환경에서 악의적이거나 의심스러운 이벤트가 발생함을 나타냅니다.
인시던트: 관련 경고의 컬렉션을 포함하고 공격의 전체 스토리를 전달하는 컨테이너입니다. 단일 인시던트에 대한 경고는 모든 Microsoft 보안 및 규정 준수 솔루션뿐만 아니라 클라우드용 Microsoft Sentinel 및 Microsoft Defender 통해 수집된 방대한 수의 외부 솔루션에서 발생할 수 있습니다.
개별 경고가 주의를 끄는 위협을 조사하고 완화할 수 있지만, 그 자체로 이러한 위협은 더 광범위하고 복잡한 공격 스토리에 대해 아무 것도 알려주지 않는 격리된 발생입니다. 단일 공격 스토리에 함께 속하는 경고 그룹을 검색, 조사, 조사 및 상호 연결할 수 있지만 많은 시간, 노력 및 에너지가 필요합니다.
대신 Microsoft Defender 포털의 상관 관계 엔진과 알고리즘은 관련 경고를 자동으로 집계하고 상호 연결하여 이러한 더 큰 공격 스토리를 나타내는 인시던트 구성을 합니다. Defender는 AI를 사용하여 원격 분석 원본을 지속적으로 모니터링하고 이미 열려 있는 인시던트에 더 많은 증거를 추가하여 여러 신호를 동일한 공격 스토리에 속하는 것으로 식별합니다. 인시던트에는 서로 관련된 것으로 간주되는 모든 경고와 전체 공격 스토리가 포함되며 다양한 형태로 스토리를 제공합니다.
- 경고의 타임라인 및 경고의 기반이 되는 원시 이벤트
- 사용된 전술 목록
- 관련된 모든 사용자, 디바이스 및 기타 리소스의 Lists
- 스토리의 모든 플레이어가 상호 작용하는 방식의 시각적 표현
- 시작 및 완료 Defender XDR 자동 조사 및 응답 프로세스 로그
- 공격 스토리를 지원하는 증거 모음: 악의적인 행위자의 사용자 계정 및 디바이스 정보 및 주소, 악성 파일 및 프로세스, 관련 위협 인텔리전스 등
- 공격 스토리의 텍스트 요약
또한 인시던트에는 조사 및 위협 대응을 관리하고 문서화하기 위한 프레임워크가 제공됩니다. 이와 관련하여 인시던트의 기능에 대한 자세한 내용은 Microsoft Defender 인시던트 관리를 참조하세요.
Microsoft Defender 포털의 경고는 많은 원본에서 제공됩니다. 이러한 원본에는 Microsoft Defender XDR 일부인 많은 서비스뿐만 아니라 Microsoft Defender 포털과의 통합 정도가 다양한 다른 서비스가 포함됩니다.
예를 들어 Microsoft Sentinel Microsoft Defender 포털에 온보딩되면 Defender 포털의 상관 관계 엔진은 defender의 고급 헌팅 테이블에서 찾을 수 있는 Microsoft Sentinel 수집한 모든 원시 데이터에 액세스할 수 있습니다.
Microsoft Defender XDR 자체도 경고를 만듭니다. Defender XDR 고유한 상관 관계 기능은 디지털 자산의 모든 타사 솔루션에 대한 또 다른 데이터 분석 및 위협 검색 계층을 제공합니다. 이러한 검색은 Microsoft Sentinel 분석 규칙에서 이미 제공한 경고 외에도 Defender XDR 경고를 생성합니다.
이러한 각 원본 내에는 각 메커니즘에 정의된 규칙에 따라 경고를 생성하는 하나 이상의 위협 탐지 메커니즘이 있습니다.
예를 들어 Microsoft Sentinel 각각 고유한 규칙을 사용하여 서로 다른 유형의 경고를 생성하는 4개 이상의 엔진이 있습니다.
Microsoft Defender 포털에는 인시던트 심사, 조사 및 해결을 자동화하거나 지원하는 도구와 방법이 포함되어 있습니다. 이러한 도구는 다음 표에 제공됩니다.
도구/메서드 | 설명 |
---|---|
인시던트 관리 및 조사 | 심각도에 따라 인시던트의 우선 순위를 지정한 다음 이를 통해 조사해야 합니다. 고급 헌팅을 사용하여 위협을 검색하고 위협 분석을 통해 새로운 위협보다 앞서나갈 수 있습니다. |
경고 자동 조사 및 resolve | 이 작업을 사용하도록 설정하면 Microsoft Defender XDR 자동화 및 인공 지능을 통해 Microsoft 365 및 Entra ID 원본의 경고를 자동으로 조사하고 resolve 수 있습니다. |
자동 공격 중단 작업 구성 | Microsoft Defender XDR 및 Microsoft Sentinel 수집된 신뢰도 높은 신호를 사용하여 위협을 포함하고 영향을 제한하여 기계 속도로 활성 공격을 자동으로 중단합니다. |
Microsoft Sentinel 자동화 규칙 구성 | 자동화 규칙을 사용하여 원본에 관계없이 인시던트 심사, 할당 및 관리를 자동화합니다. 콘텐츠를 기반으로 인시던트에 태그를 적용하도록 규칙을 구성하고, 노이즈(가양성) 인시던트 표시를 억제하고, 적절한 기준을 충족하는 해결된 인시던트 닫기, 이유를 지정하고 의견을 추가하여 팀의 효율성을 더욱 높일 수 있습니다. |
고급 헌팅을 사용하여 사전에 헌팅 | Kusto 쿼리 언어(KQL)를 사용하여 Defender 포털에서 수집된 로그를 쿼리하여 네트워크의 이벤트를 사전에 검사합니다. 고급 헌팅은 쿼리 작성기의 편의를 찾는 사용자를 위한 단계별 모드를 지원합니다. |
보안용 Microsoft Copilot AI 활용 | 복잡하고 시간이 많이 걸리는 일일 워크플로를 사용하여 분석가를 지원하는 AI를 추가합니다. 예를 들어 보안용 Microsoft Copilot 명확하게 설명된 공격 사례, 단계별 실행 가능한 수정 지침 및 인시던트 작업 요약 보고서, 자연어 KQL 헌팅 및 전문가 코드 분석을 제공하여 모든 원본의 데이터에서 SOC 효율성을 최적화함으로써 엔드투엔드 인시던트 조사 및 대응에 도움이 될 수 있습니다. 이 기능은 사용자 및 엔터티 동작 분석, 변칙 검색, 다단계 위협 탐지 등의 영역에서 Microsoft Sentinel 통합 플랫폼에 제공하는 다른 AI 기반 기능 외에도 제공됩니다. |
Defender 포털에서 경고 상관 관계 및 인시던트 병합에 대한 자세한 내용은 Microsoft Defender XDR 경고, 인시던트 및 상관 관계를 참조하세요.