XDR용 Defender 전문가 서비스 사용 시작
적용 대상:
XDR용 Microsoft Defender 전문가 에 대한 온보딩 단계 및 준비 검사를 완료한 후, Microsoft 전문가가 사용자를 대신하여 포괄적인 서비스를 수행할 수 있도록 서비스를 간소화하기 위해 환경 모니터링을 시작합니다. 이 단계에서 전문가들은 잠재적 위협, 위험의 근원 및 정상적인 활동을 식별합니다.
전문가가 사용자를 대신하여 포괄적인 대응 작업을 수행하기 시작하면 수정 단계가 필요한 인시던트에 대한 알림과 중요한 인시던트에 대한 대상 권장 사항을 수신하기 시작합니다. 또한 중요한 쿼리 및 정기적인 비즈니스 및 보안 상태 검토와 관련하여 전문가 또는 SDM(서비스 배달 관리자)과 채팅하고 사용자를 대신하여 조사하고 해결한 인시던트 수에 대한 실시간 보고서를 볼 수 있습니다.
관리되는 감지 및 대응
XDR용 Defender 전문가는 자동화와 인적 전문 지식의 조합을 통해 Microsoft Defender XDR 인시던트 심사, 사용자 대신 우선 순위 지정, 노이즈 필터링, 자세한 조사 수행, SOC(보안 운영 센터) 팀에 실행 가능한 관리형 대응을 제공합니다.
인시던트 업데이트
전문가가 인시던트 조사를 시작하면 인시던트의 할당 대상 및 상태 필드가 각각 Defender 전문가 및 진행 중으로 업데이트됩니다.
전문가가 인시던트에 대한 조사를 마무리하면 전문가의 결과에 따라 인시던트의 분류 필드가 다음 중 하나로 업데이트됩니다.
- 참 긍정
- 가양성
- 정보, 예상 활동
각 분류에 해당하는 결정 필드도 업데이트되어 전문가가 해당 분류를 결정하도록 이끈 결과에 대한 더 많은 인사이트를 제공합니다.
인시던트가 가양성 또는 정보, 예상 활동으로 분류되면 인시던트의 상태 필드가 해결됨으로 업데이트됩니다. 그런 다음 전문가들은 이 인시던트에 대한 작업을 마무리하고 할당된 필드가 할당되지 않음으로 업데이트됩니다. 우리의 전문가들은 사건을 해결할 때 조사 및 결론의 업데이트를 공유 할 수 있습니다. 이러한 업데이트는 인시 던트의 메모 및 기록 플라이아웃 패널에 게시됩니다.
참고
인시던트 댓글은 단방향 게시물입니다. Defender 전문가는 메모 및 기록 패널에 추가한 의견이나 질문에 응답할 수 없습니다. 전문가와 대응하는 방법에 대한 자세한 내용은 XDR용 Microsoft Defender 전문가 서비스의 전문가와 통신을 참조하세요.
그렇지 않으면 인시던트가 True Positive로 분류되면 전문가가 수행해야 하는 필요한 대응 작업을 식별합니다. 작업이 수행되는 방법은 XDR용 Defender 전문가 서비스에 부여한 사용 권한 및 액세스 수준에 따라 달라집니다. 전문가에게 권한을 부여하는 방법에 대해 자세히 알아보세요.
XDR용 Defender 전문가에게 권장되는 보안 운영자 액세스 권한을 부여한 경우 Microsoft 전문가는 사용자를 대신하여 인시던트에 필요한 대응 작업을 수행할 수 있습니다. 이러한 작업은 조사 요약과 함께 사용자 또는 SOC 팀이 검토할 수 있도록 Microsoft Defender 포털의 인시던트 관리형 응답 플라이아웃 패널에 표시됩니다. XDR용 Defender 전문가가 완료한 모든 작업은 완료된 작업 섹션 아래에 표시됩니다. 사용자 또는 사용자 SOC 팀이 완료해야 하는 보류 중인 작업은 보류 중인 작업 섹션 아래에 나열됩니다. 자세한 내용은 작업 섹션을 참조하세요. 전문가가 인시던트에 필요한 모든 조치를 취하면 상태 필드가 해결됨 으로 업데이트되고 할당 대상 필드가 할당되지 않음으로 업데이트됩니다.
XDR용 Defender 전문가에게 기본 보안 읽기 권한자 액세스 권한을 부여한 경우 필요한 응답 작업과 조사 요약은 사용자 또는 SOC 팀이 수행할 Microsoft Defender 포털의 보류 중인 작업 섹션 아래에 인시던트의 관리되는 응답 플라이아웃 패널에 표시됩니다. 자세한 내용은 작업 섹션을 참조하세요. 이 인계를 식별하기 위해 인시던트의 상태 필드가 대기 중인 고객 작업 으로 업데이트되고 할당 대상 필드가 고객으로 업데이트됩니다.
Microsoft Defender 홈페이지 맨 위에 있는 Defender 전문가 배너에서 작업이 필요한 인시던트 수를 확인할 수 있습니다.
전문가가 조사했거나 현재 조사 중인 인시던트 내용을 보려면 Defender 전문가 태그를 사용하여 Microsoft Defender 포털에서 인시던트 큐를 필터링합니다.
Microsoft Defender XDR에서 관리형 응답을 사용하는 방법
Microsoft Defender 포털에서 관리되는 응답을 사용하여 주의해야 하는 인시던트에는 할당된 대상 필드가 고객 으로 설정되고 인 시던트 창 위에 작업 카드가 있습니다. 또한 지정된 인시던트 연락처는 Defender 포털에 대한 링크가 있는 해당 전자 메일 알림을 수신하여 인시던트 보기도 합니다. 알림 연락처에 대해 자세히 알아보세요.
작업 카드 또는 포털 페이지 상단(관리형 응답 탭)에서 관리형 응답 보기를 선택하여 전문가의 조사 요약을 읽고, 전문가가 식별한 보류 중인 작업을 완료하거나, 채팅을 통해 참여할 수 있는 플라이아웃 패널을 엽니다.
조사 요약
조사 요약 섹션에서는 전문가가 분석한 인시던트에 대한 더 많은 컨텍스트를 제공하여 즉시 해결되지 않을 경우 심각도 및 잠재적 영향에 대한 가시성을 제공합니다. 여기에는 디바이스 타임라인, 공격 지표, 관찰된 IOC(손상 지표) 및 기타 세부 정보가 포함될 수 있습니다.
작업
작업 탭에는 전문가가 권장하는 응답 작업이 포함된 작업 카드가 표시됩니다.
XDR용 Defender 전문가는 현재 다음과 같은 원클릭 관리형 응답 작업을 지원합니다.
작업 | 설명 |
---|---|
디바이스 격리 | 디바이스를 격리하여 공격자가 디바이스를 제어하고 데이터 반출 및 횡적 이동과 같은 추가 작업을 수행하지 못하도록 합니다. 격리된 디바이스는 엔드포인트용 Microsoft Defender에 계속 연결됩니다. |
파일 격리 | 프로세스 실행을 중지하고, 파일을 격리하고, 레지스트리 키와 같은 영구 데이터를 삭제합니다. |
앱 실행 제한 | 잠재적으로 악의적인 프로그램의 실행을 제한하고 추가 시도를 방지하기 위해 디바이스를 잠가줍니다. |
격리에서 해제 | 디바이스 격리를 취소합니다. |
앱 제한 제거 | 격리에서 릴리스를 실행 취소합니다. |
이러한 원클릭 작업 외에도 수동으로 수행해야 하는 전문가의 관리되는 응답을 받을 수도 있습니다.
참고
권장되는 관리형 응답 작업을 수행하기 전에 자동화된 조사 및 응답 구성으로 처리되지 않았는지 확인합니다. Microsoft Defender XDR의 자동화된 조사 및 대응 기능에 대해 자세히 알아봅니다.
관리되는 응답 작업을 보고 수행하려면 다음을 수행합니다.
작업 카드에서 화살표 단추를 선택하여 확장하고 필요한 작업에 대한 자세한 정보를 읽습니다.
원클릭 응답 작업이 있는 카드의 경우 필요한 작업을 선택합니다. 카드의 작업 상태가진행 중으로 변경된 다음, 작업의 결과에 따라 실패 또는 완료됨으로 변경됩니다.
수동으로 수행해야 하는 필수 작업이 있는 카드의 경우 작업을 수행한 후 이 작업을 완료했음 을 선택한 다음 , 표시되는 확인 대화 상자에서 예를 선택합니다.
필요한 작업을 즉시 완료하지 않으려면 건너뛰기를 선택한 다음 예, 표시되는 확인 대화 상자에서 이 작업을 건너뜁 니다.
중요
작업 카드의 단추가 회색으로 표시되면 작업을 수행하는 데 필요한 권한이 없음을 나타낼 수 있습니다. 적절한 권한으로 Microsoft Defender XDR 포털에 로그인했는지 확인합니다. 대부분의 관리되는 응답 작업을 수행하려면 최소한 Security Operator 액세스 권한이 있어야 합니다.
적절한 권한으로도 이 문제가 계속 발생하는 경우 디바이스 세부 정보 보기 로 이동하여 해당 위치에서 단계를 완료합니다.
SIEM 또는 ITSM 애플리케이션에서 Defender 전문가 조사에 대한 가시성 확보
XDR용 Defender 전문가가 인시던트 조사 및 수정 작업을 수행할 때 기본적으로 사용할 수 있는 애플리케이션을 포함하여 SIEM(보안 정보 및 이벤트 관리) 및 ITSM(IT 서비스 관리) 애플리케이션의 인시던트에 대한 작업을 파악할 수 있습니다.
Microsoft Sentinel
기본 제공 Microsoft Defender XDR 데이터 커넥터를 켜면 Microsoft Sentinel에서 인시던트 가시성을 얻을 수 있습니다. 자세히 알아보기.
커넥터를 켜면 Defender 전문가가 Microsoft Defender XDR의 상태, 할당 대상, 분류 및 결정 필드에 대한 업데이트가 Sentinel에서 필드를 닫는 해당 상태, 소유자 및 이유에 표시됩니다.
참고
Microsoft Defender XDR의 Defender 전문가가 조사한 인시던트 상태는 일반적으로 활성에서 진행 중에서 고객 작업 대기 중에서 해결됨으로 전환되고 Sentinel에서는 새로 만들기에서 해결된 경로로 진행됩니다. 고객 작업을 기다리는 Microsoft Defender XDR 상태에 Sentinel에 해당하는 필드가 없습니다. 대신 Sentinel의 인시던트에 태그로 표시됩니다.
다음 섹션에서는 조사 과정을 진행하면서 전문가가 처리한 인시던트가 Sentinel에서 업데이트되는 방법을 설명합니다.
- 전문가가 조사 중인 인시던트에는 상태가활성 으로 나열되고 소유자는Defender 전문가로 나열됩니다.
- 전문가가 진정한 긍정으로 확인한 인시던트에는 Microsoft Defender XDR에 게시된 관리형 응답이 있으며 태그 대기 고객 작업 및 소유자가고객으로 나열됩니다. 제공된 관리형 응답을 사용하여 인시던트에 대해 작업해야 합니다.
- 전문가가 조사를 마치고 가양성 또는 정보, 예상 활동으로 인시던트를 종결하면 인시던트의 상태가해결됨으로 업데이트되고 소유자가할당되지 않음으로 업데이트되고 종결 이유가 제공됩니다.
기타 응용 프로그램
Sentinel에서 Microsoft Defender XDR API 또는 커넥터를 사용하여 SIEM 또는 ITSM 애플리케이션의 인시던트에 대한 가시성을 얻을 수 있습니다.
커넥터를 구성한 후 Microsoft Defender XDR의 인시 던트 상태, 할당 대상, 분류 및 결정 필드에 대한 Defender 전문가의 업데이트는 필드 매핑이 구현된 방식에 따라 타사 SIEM 또는 ITSM 애플리케이션과 동기화될 수 있습니다. 이를 설명하기 위해 Sentinel에서 ServiceNow로 사용할 수 있는 커넥터를 살펴볼 수 있습니다.
XDR용 Defender 전문가 보고서를 사용하여 실시간 가시성 확보
XDR용 Defender 전문가는 전문가 분석가가 사용자를 대신하여 수행하는 작업에 대한 명확한 요약, 인시던트 환경에 대한 집계 정보 및 특정 인시던트에 대한 세부 정보를 제공하는 대화형 주문형 보고서를 포함합니다. 또한 SDM(서비스 배달 관리자)은 보고서를 사용하여 월별 비즈니스 검토 중에 서비스에 대한 더 많은 컨텍스트를 제공합니다.
보고서의 각 섹션은 전문가가 사용자 환경에서 실시간으로 조사하고 해결한 인시던트에 대한 더 많은 인사이트를 제공하도록 설계되었습니다. 날짜 범위를 선택하여 심각도, 범주에 따라 인시던트에 대한 자세한 정보를 얻고 특정 기간 동안 인시던트를 조사하고 해결하는 데 걸린 시간을 이해할 수도 있습니다.
XDR용 Defender 전문가 보고서 이해
XDR용 Defender 전문가 보고서의 맨 위 섹션에서는 사용자 환경에서 해결한 인시던트 비율을 제공하여 운영의 투명성을 제공합니다. 이 백분율은 보고서에도 표시되는 다음 수치에서 파생됩니다.
- 조사 – 범위 내에서 심사, 조사 또는 현재 조사 중인 인시던트 큐의 활성 위협 및 기타 인시던트 수입니다.
- 해결됨 – 닫힌 조사된 총 인시던트 수입니다.
- 직접 해결 됨 – 사용자를 대신하여 직접 닫을 수 있었던 조사된 인시던트 수입니다.
- 도움말로 해결 됨 – 하나 이상의 관리되는 응답 작업에 대한 작업으로 인해 해결된 조사된 인시던트 수입니다.
인시던트 해결 평균 시간 섹션에는 사용자 환경에서 인시던트 조사 및 종결에 소요된 평균 시간(분)과 필요한 관리형 대응 작업을 수행하는 데 소요된 평균 시간의 가로 막대형 차트가 표시됩니다.
심각도별 인시던트, 범주별 인시던트 및 서비스 원본별 인시던트 섹션은 심각도, 공격 기술 및 Microsoft 보안 서비스 원본별로 해결된 인시던트별로 각각 분류됩니다. 이 섹션에서는 사용자 환경에서 검색된 잠재적인 공격 진입점 및 위협 유형을 식별하고, 영향을 평가하고, 이를 완화하고 방지하기 위한 전략을 개발할 수 있습니다. 인 시던트 보기를 선택하여 두 섹션 각각에서 선택한 항목에 따라 인시던트 큐의 필터링된 보기를 가져옵니다.
가장 큰 영향을 받은 자산 섹션에는 선택한 날짜 범위 동안 가장 많은 인시던트에 관련된 사용자 및 디바이스가 표시됩니다. 각 자산이 관련된 인시던트 볼륨을 볼 수 있습니다. 자산을 선택하여 해당 자산이 포함된 인시던트를 기반으로 인시던트 큐의 필터링된 보기를 가져옵니다.
사전 관리 헌팅
XDR용 Defender 전문가에는 헌팅을 위한 Microsoft Defender 전문가가 제공하는 사전 위협 헌팅도 포함되어 있습니다. 헌팅용 Defender 전문가는 강력한 보안 운영 센터가 있지만 Microsoft Defender 데이터를 사용하여 위협을 사전에 헌팅하도록 Microsoft가 지원하려는 고객을 위해 만들어졌습니다. 이 사전 위협 헌팅 서비스는 엔드포인트를 넘어 엔드포인트, Office 365, 클라우드 애플리케이션 및 ID를 헌팅합니다. Microsoft 전문가는 찾은 모든 항목을 조사한 다음 수정 지침과 함께 상황별 경고 정보를 전달하여 신속하게 대응할 수 있습니다.
요청 시 고급 위협 전문 지식 요청
Microsoft Defender XDR 포털 내에서 직접 Defender 전문가에게 문의 를 선택하여 모든 위협 질문에 대한 신속하고 정확한 응답을 얻습니다. 전문가들은 조직에서 직면할 수 있는 복잡한 위협을 더 잘 이해하기 위해 인사이트를 제공할 수 있습니다. 전문가에게 다음을 문의하세요.
- 근본 원인 및 범위를 포함하여 경고 및 인시던트에 대한 추가 정보를 수집합니다.
- 의심스러운 디바이스, 경고 또는 인시던트에 대한 명확성을 확보하고 고급 공격자가 있는 경우 다음 단계를 수행합니다.
- 활동 그룹, 캠페인 또는 새로운 공격자 기술과 관련된 위험 및 사용 가능한 보호를 결정합니다.
참고
Defender 전문가에게 문의는 보안 인시던트 대응 서비스가 아닙니다. 조직에 영향을 주는 복잡한 위협을 더 잘 이해하기 위한 것입니다. 사용자 고유의 보안 인시던트 대응 팀에 문의하여 긴급 보안 인시던트 대응 문제를 해결합니다. 고유한 보안 인시던트 대응 팀이 없고 Microsoft의 도움을 받으려면 프리미어 서비스 허브에서 지원 요청을 만듭니다.
Defender 전문가에게 문의하는 옵션은 인시던트 및 경고 페이지에서 특정 인시던트 또는 경고에 대한 컨텍스트 질문을 할 수 있습니다.
- 경고 페이지 플라이아웃 메뉴:
- 인시던트 페이지 작업 메뉴:
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.