Microsoft Defender XDR의 수정 작업
적용 대상:
- Microsoft Defender XDR
Microsoft Defender XDR에서 자동화된 조사 중 및 후에 악성 또는 의심스러운 항목에 대한 수정 작업이 식별됩니다. 일부 종류의 수정 작업은 엔드포인트라고도 하는 디바이스에서 수행됩니다. 다른 수정 작업은 ID, 계정 및 전자 메일 콘텐츠에 대해 수행됩니다. 또한 일부 유형의 수정 작업은 자동으로 발생할 수 있지만 다른 유형의 수정 작업은 조직의 보안 팀에서 수동으로 수행합니다. 자동화된 조사 결과 하나 이상의 수정 작업이 발생하는 경우 수정 작업이 수행, 승인 또는 거부된 경우에만 조사가 완료됩니다.
중요
수정 작업이 자동으로 수행되는지 아니면 승인에 따라 수행되는지 여부는 자동화 수준과 같은 특정 설정에 따라 달라집니다. 자세한 내용은 다음 문서를 참조하세요.
다음 표에는 현재 Microsoft Defender XDR에서 지원되는 수정 작업이 요약되어 있습니다.
디바이스(엔드포인트) 수정 작업 | 전자 메일 수정 작업 | 사용자(계정) |
---|---|---|
- 조사 패키지 수집 - 디바이스 격리(이 작업은 실행 취소할 수 있습니다). - 컴퓨터 오프보딩 - 릴리스 코드 실행 - 격리에서 해제 - 요청 샘플 - 코드 실행 제한(이 작업은 실행 취소할 수 있습니다.) - 바이러스 백신 검사 실행 - 중지 및 격리 - 네트워크의 디바이스 포함 |
- 블록 URL(클릭 시간) - 전자 메일 메시지 또는 클러스터 일시 삭제 - 메일 격리 - 전자 메일 첨부 파일 격리 - 외부 메일 전달 끄기 |
- 사용자 사용 안 함 - 사용자 암호 다시 설정 - 사용자가 손상된 것으로 확인 |
승인 보류 중이든 이미 완료되었는지 여부에 관계없이 수정 작업은 알림 센터에서 볼 수 있습니다.
자동화된 조사를 따르는 수정 작업
자동화된 조사가 완료되면 관련된 모든 증거에 대한 판결에 도달합니다. 평가 결과에 따라 수정 작업이 식별됩니다. 경우에 따라 수정 작업이 자동으로 수행 됩니다. 그 밖의 경우에는 재구성 작업이 승인을 기다립니다. 이 모든 것은 자동화된 조사 및 대응이 구성된 방식에 따라 달라집니다.
도출 가능한 의견과 결과는 다음 테이블에서 확인할 수 있습니다.
의견 | 영향을 받는 엔터티 | 결과 |
---|---|---|
악성 | 장치 (끝점) | 수정 작업은 자동으로 수행됩니다(조직의 디바이스 그룹이 전체로 설정된 경우 - 자동으로 위협 해결) |
손상 | 사용자 | 재구성 작업이 자동으로 실행 됩니다. |
악성 | 전자 메일 콘텐츠 (Url 또는 첨부 파일) | 승인 보류 중인 재구성 활동 |
피싱 | 장치 또는 전자 메일 콘텐츠 | 승인 보류 중인 재구성 활동 |
위협이 발견되지 않음 | 장치 또는 전자 메일 콘텐츠 | 재구성 작업이 필요 하지 않습니다. |
수동으로 수행되는 수정 작업
보안 운영 팀은 자동화된 조사를 따르는 수정 작업 외에도 특정 수정 작업을 수동으로 수행할 수 있습니다. 이러한 작업은 다음과 같습니다.
- 디바이스 격리 또는 파일 격리와 같은 수동 디바이스 작업
- 전자 메일 메시지 일시 삭제와 같은 수동 전자 메일 작업
- 사용자 사용 안 함 또는 사용자 암호 재설정과 같은 수동 사용자 작업
- 디바이스, 사용자 또는 전자 메일에 대한 고급 헌팅 작업
- 전자 메일을 정크 메일로 이동, 전자 메일 일시 삭제 또는 하드 삭제와 같은 전자 메일 콘텐츠에 대한 탐색기 작업
- 파일 삭제, 프로세스 중지 및 예약된 작업 제거와 같은 수동 라이브 응답 작업
- 디바이스 격리, 바이러스 백신 검사 실행 및 파일에 대한 정보 가져오기와 같은 엔드포인트용 Microsoft Defender API를 사용하여 실시간 응답 작업
다음 단계
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.