다음을 통해 공유

관리되는 감지 및 대응

  • 아티클

적용 대상:

관리되는 검색 및 응답 지침은 이 짧은 비디오를 확인하세요.

자동화와 인적 전문 지식의 조합을 통해 XDR용 Microsoft Defender 전문가는 Microsoft Defender XDR 인시던트 심사, 사용자 대신 우선 순위 지정, 노이즈 필터링, 자세한 조사 수행, SOC(보안 운영 센터) 팀에 실행 가능한 관리형 대응을 제공합니다.

인시던트 업데이트

전문가가 인시던트 조사를 시작하면 인시던트의 할당 대상상태 필드가 각각 Defender 전문가진행 중으로 업데이트됩니다.

전문가가 인시던트에 대한 조사를 마무리하면 전문가의 결과에 따라 인시던트의 분류 필드가 다음 중 하나로 업데이트됩니다.

  • 참 긍정
  • 가양성
  • 정보, 예상 활동

각 분류에 해당하는 결정 필드도 업데이트되어 전문가가 해당 분류를 결정하도록 이끈 결과에 대한 더 많은 인사이트를 제공합니다.

태그, 상태, 할당 대상, 분류 및 결정 필드를 보여 주는 인시던트 페이지의 스크린샷

인시던트가 가양성 또는 정보, 예상 활동으로 분류되면 인시던트의 상태 필드가 해결됨으로 업데이트됩니다. 그런 다음 전문가들은 이 인시던트에 대한 작업을 마무리하고 할당된 필드가 할당되지 않음으로 업데이트됩니다. 우리의 전문가들은 사건을 해결할 때 조사 및 결론의 업데이트를 공유 할 수 있습니다. 이러한 업데이트는 인시던트의 관리형 응답 플라이아웃 패널의 조사 요약 아래에 게시됩니다.

그렇지 않으면 인시던트가 True Positive로 분류되면 전문가가 수행해야 하는 필요한 대응 작업을 식별합니다. 작업이 수행되는 방법은 XDR용 Defender 전문가 서비스에 부여한 사용 권한 및 액세스 수준에 따라 달라집니다. 전문가에게 권한을 부여하는 방법에 대해 자세히 알아보세요.

  • XDR용 Defender 전문가에게 권장되는 보안 운영자 액세스 권한을 부여한 경우 Microsoft 전문가는 사용자를 대신하여 인시던트에 필요한 대응 작업을 수행할 수 있습니다. 이러한 작업은 조사 요약과 함께 사용자 또는 SOC 팀이 검토할 수 있도록 Microsoft Defender 포털의 인시던트 관리형 응답 플라이아웃 패널에 표시됩니다. XDR용 Defender 전문가가 완료한 모든 작업은 완료된 작업 섹션 아래에 표시됩니다. 사용자 또는 사용자 SOC 팀이 완료해야 하는 보류 중인 작업은 보류 중인 작업 섹션 아래에 나열됩니다. 자세한 내용은 작업 섹션을 참조하세요. 전문가가 인시던트에 필요한 모든 조치를 취하면 해당 상태 필드가 해결됨 으로 업데이트되고 할당 대상 필드가 고객으로 업데이트됩니다.

  • XDR용 Defender 전문가에게 기본 보안 읽기 권한자 액세스 권한을 부여한 경우 필요한 응답 작업과 조사 요약은 사용자 또는 SOC 팀이 수행할 Microsoft Defender 포털의 보류 중인 작업 섹션 아래에 인시던트의 관리되는 응답 플라이아웃 패널에 표시됩니다. 자세한 내용은 작업 섹션을 참조하세요. 이 인계를 식별하기 위해 인시던트의 상태 필드가 대기 중인 고객 작업 으로 업데이트되고 할당 대상 필드가 고객으로 업데이트됩니다.

Microsoft Defender 홈페이지 맨 위에 있는 Defender 전문가 배너에서 작업이 필요한 인시던트 수를 확인할 수 있습니다.

고객 작업을 기다리는 인시던트 수를 보여 주는 Microsoft Defender 포털의 Defender 전문가 카드 스크린샷

여러 필터 집합을 사용하여 Microsoft Defender 포털에서 인시던트 큐를 필터링하여 Defender 전문가와 관련된 인시던트 를 볼 수 있습니다. 인시던트 큐 필터 추가에 대해 자세히 알아보기

  • 전문가가 현재 조사 중인 인시던트 확인하려면 인시던트 할당 필터를 사용하여 Defender 전문가에게 할당됨을 선택합니다.

  • 전문가가 조사한 인시던트 및 인시던트 할당 필터를 사용하여 보류 중인 수정 작업을 수행하도록 팀에 전달한 인 던트 내용을 보려면 고객 팀에 할당됨을 선택합니다.

    Defender 전문가에게 할당됨 태그가 있는 인시던트 큐만 표시하도록 필터링된 인시던트 큐의 스크린샷

  • 전문가가 조사하여 보류 중인 수정 작업을 수행하도록 팀에 전달한 인시던트 내용을 보려면 상태 필터를 사용하여 고객 작업 대기를 선택합니다.

    대기 중인 고객 작업 태그가 있는 인시던트 큐만 표시하도록 필터링된 Microsoft Defender 포털의 인시던트 큐 스크린샷

  • 전문가가 조사를 완료한 인시던트(그리고 보류 중인 수정 작업을 위해 팀에 직접 해결되거나 할당됨)를 보려면 태그 필터를 사용하여 Defender 전문가를 선택합니다.

    Defender 전문가 태그만 표시하도록 필터링된 Microsoft Defender 포털의 인시던트 큐 스크린샷

Microsoft Defender XDR에서 관리형 응답을 사용하는 방법

Microsoft Defender 포털에서 관리되는 응답을 사용하여 주의해야 하는 인시던트에는 상태 필드가 대기 중인 고객 작업으로 설정되고, 할당 대상 필드가 고객 으로 설정되고, 인 시던트 창 위에 작업 카드가 있습니다. 또한 지정된 인시던트 연락처는 Defender 포털에 대한 링크가 있는 해당 전자 메일 알림을 수신하여 인시던트 보기도 합니다. 알림 연락처에 대해 자세히 알아보세요. 또한 업데이트에 대해 알리는 Teams 알림도 받게 됩니다. Teams 설정에 대해 자세히 알아보기

작업 카드 또는 포털 페이지 상단(관리형 응답 탭)에서 관리형 응답 보기를 선택하여 전문가의 조사 요약을 읽고, 전문가가 식별한 보류 중인 작업을 완료하거나, 채팅을 통해 참여할 수 있는 플라이아웃 패널을 엽니다.

조사 요약

조사 요약 섹션에서는 전문가가 분석한 인시던트에 대한 더 많은 컨텍스트를 제공하여 즉시 해결되지 않을 경우 심각도 및 잠재적 영향에 대한 가시성을 제공합니다. 여기에는 디바이스 타임라인, 공격 지표, 관찰된 IOC(손상 지표) 및 기타 세부 정보가 포함될 수 있습니다.

관리되는 응답 조사 요약의 스크린샷.

작업

작업 탭에는 전문가가 권장하는 응답 작업이 포함된 작업 카드가 표시됩니다.

XDR용 Defender 전문가는 현재 다음과 같은 원클릭 관리형 응답 작업을 지원합니다.

작업 설명
디바이스 격리 디바이스를 격리하여 공격자가 디바이스를 제어하고 데이터 반출 및 횡적 이동과 같은 추가 작업을 수행하지 못하도록 합니다. 격리된 디바이스는 엔드포인트용 Microsoft Defender에 계속 연결됩니다.
파일 격리 프로세스 실행을 중지하고, 파일을 격리하고, 레지스트리 키와 같은 영구 데이터를 삭제합니다.
앱 실행 제한 잠재적으로 악의적인 프로그램의 실행을 제한하고 추가 시도를 방지하기 위해 디바이스를 잠가줍니다.
격리에서 해제 디바이스 격리를 취소합니다.
앱 제한 제거 격리에서 릴리스를 실행 취소합니다.
사용자 사용 안 함 ID가 네트워크 및 다른 엔드포인트에 액세스하지 못하도록 설정합니다.

이러한 원클릭 작업 외에도 수동으로 수행해야 하는 전문가의 관리되는 응답을 받을 수도 있습니다.

참고

권장되는 관리형 응답 작업을 수행하기 전에 자동화된 조사 및 응답 구성으로 처리되지 않았는지 확인합니다. Microsoft Defender XDR의 자동화된 조사 및 대응 기능에 대해 자세히 알아봅니다.

관리되는 응답 작업을 보고 수행하려면 다음을 수행합니다.

  1. 작업 카드에서 화살표 단추를 선택하여 확장하고 필요한 작업에 대한 자세한 정보를 읽습니다.

    디바이스 prod 서버를 격리하는 관리되는 응답 작업의 스크린샷.

  2. 원클릭 응답 작업이 있는 카드의 경우 필요한 작업을 선택합니다. 카드의 작업 상태가진행 중으로 변경된 다음, 작업의 결과에 따라 실패 또는 완료됨으로 변경됩니다.

    디바이스 prod 서버를 격리하기 위한 진행 중인 작업을 보여 주는 관리되는 응답 작업의 스크린샷

알림 센터에서 포털 내 응답 작업의 상태를 모니터링할 수도 있습니다. 응답 작업이 실패하면 디바이스 세부 정보 보기 페이지에서 다시 시도하거나 Defender 전문가와 채팅을 시작 합니다.

  1. 수동으로 수행해야 하는 필수 작업이 있는 카드의 경우 작업을 수행한 후 이 작업을 완료했음 을 선택한 다음 , 표시되는 확인 대화 상자에서 예를 선택합니다.

    작업 완료를 확인하는 관리되는 응답 작업의 스크린샷

  2. 필요한 작업을 즉시 완료하지 않으려면 건너뛰기를 선택한 다음 예, 표시되는 확인 대화 상자에서 이 작업을 건너뜁 니다.

중요

작업 카드의 단추가 회색으로 표시되면 작업을 수행하는 데 필요한 권한이 없음을 나타낼 수 있습니다. 적절한 권한으로 Microsoft Defender XDR 포털에 로그인했는지 확인합니다. 대부분의 관리되는 응답 작업을 수행하려면 최소한 Security Operator 액세스 권한이 있어야 합니다. 적절한 권한으로도 이 문제가 계속 발생하는 경우 디바이스 세부 정보 보기 로 이동하여 해당 위치에서 단계를 완료합니다.

SIEM 또는 ITSM 애플리케이션에서 Defender 전문가 조사에 대한 가시성 확보

XDR용 Defender 전문가가 인시던트 조사 및 수정 작업을 수행할 때 기본적으로 사용할 수 있는 애플리케이션을 포함하여 SIEM(보안 정보 및 이벤트 관리) 및 ITSM(IT 서비스 관리) 애플리케이션의 인시던트에 대한 작업을 파악할 수 있습니다.

Microsoft Sentinel

기본 제공 Microsoft Defender XDR 데이터 커넥터를 켜면 Microsoft Sentinel에서 인시던트 가시성을 얻을 수 있습니다. 자세히 알아보기.

커넥터를 켜면 Defender 전문가가 Microsoft Defender XDR의 상태, 할당 대상, 분류결정 필드에 대한 업데이트가 Sentinel에서 필드를 닫는 해당 상태, 소유자이유에 표시됩니다.

참고

Microsoft Defender XDR의 Defender 전문가가 조사한 인시던트 상태는 일반적으로 활성에서 진행 중에서 고객 작업 대기 중에서 해결됨으로 전환되고 Sentinel에서는 새로 만들기에서 해결 경로로 진행됩니다. 고객 작업을 기다리는 Microsoft Defender XDR 상태에 Sentinel에 해당하는 필드가 없습니다. 대신 Sentinel의 인시던트에 태그로 표시됩니다.

다음 섹션에서는 조사 과정을 진행하면서 전문가가 처리한 인시던트가 Sentinel에서 업데이트되는 방법을 설명합니다.

  1. 전문가가 조사 중인 인시던트에는 상태가활성 으로 나열되고 소유자는Defender 전문가로 나열됩니다.

  2. 전문가가 진정한 긍정으로 확인한 인시던트에는 Microsoft Defender XDR에 게시된 관리형 응답이 있으며 태그 대기 고객 작업소유자가고객으로 나열됩니다. Defender 포털에서 제공된 관리형 응답을 사용하여 인시던트에 대해 작업해야 합니다.

  3. 전문가가 Defender 전문가가 수행한 모든 수정 작업과 함께 진정한 긍정으로 확인된 인시던트는 인시던트의 상태가 해결됨 으로 업데이트되고 소유자는고객으로 나열됩니다. Defender 포털에서 제공된 관리형 응답을 사용하여 인시던트에 대해 완료된 작업을 검토할 수 있습니다.

  4. 전문가가 조사를 마치고 가양성 또는 정보, 예상 활동으로 인시던트를 종결하면 인시던트의 상태가해결됨으로 업데이트되고 소유자가할당되지 않음으로 업데이트되고 종결 이유가 제공됩니다.

    Microsoft Sentinel 인시던트 스크린샷

기타 응용 프로그램

Sentinel에서 Microsoft Defender XDR API 또는 커넥터를 사용하여 SIEM 또는 ITSM 애플리케이션의 인시던트에 대한 가시성을 얻을 수 있습니다.

커넥터를 구성한 후 Microsoft Defender XDR의 인시 던트 상태, 할당 대상, 분류결정 필드에 대한 Defender 전문가의 업데이트는 필드 매핑이 구현된 방식에 따라 타사 SIEM 또는 ITSM 애플리케이션과 동기화될 수 있습니다. 이를 설명하기 위해 Sentinel에서 ServiceNow로 사용할 수 있는 커넥터를 살펴볼 수 있습니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.