Microsoft 365 Business Premium 및 비즈니스용 Defender 모니터링 및 유지 관리

  • 아티클

Microsoft 365 Business Premium 또는 독립 실행형 버전의 비즈니스용 Microsoft Defender 설정하고 구성한 후 다음 단계는 유지 관리 및 운영 계획을 준비하는 것입니다. 사이버 공격으로부터 보호하기 위해 시스템, 디바이스, 사용자 계정 및 보안 정책을 최신 상태로 유지하는 것이 중요합니다. 이 문서를 가이드로 사용하여 계획을 준비할 수 있습니다.

계획을 준비할 때 다음 표와 같이 다양한 작업을 두 가지 기본 범주로 구성할 수 있습니다.

작업 유형 섹션
보안 작업 일상적인 보안 작업
주간 보안 작업
월별 보안 작업
필요에 따라 수행할 보안 작업
일반 관리자 작업 관리 센터 작업
사용자, 그룹 및 암호
전자 메일 및 일정
장치
구독 및 청구

보안 작업

보안 작업은 일반적으로 보안 관리자 및 보안 운영자가 수행합니다.

일상적인 보안 작업

작업 설명
위협 취약성 관리 dashboard 확인 organization 사이버 보안 위협에 얼마나 취약한지 반영하는 취약성 관리 dashboard 보고 위협 취약성의 스냅샷 가져옵니다. 노출 점수가 높으면 장치가 공격에 더 취약해집니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 취약성 관리 > 대시보드를 선택합니다.

2. 조직 노출 점수를 살펴보세요. 허용되는 범위 또는 "높음" 범위에 있으면 다음으로 넘어갈 수 있습니다. 그렇지 않은 경우 점수 개선을 선택하여 자세한 세부 정보 및 보안 권장 사항을 확인하여 이 점수를 개선합니다.

노출 점수를 인식하면 다음을 수행할 수 있습니다.
- organization 보안 상태에 대한 개략적인 사항을 빠르게 이해하고 식별합니다.
- 현재 상태를 개선하기 위해 조사 또는 조치가 필요한 영역 검색 및 대응
- 동료 및 관리와 통신하여 보안 작업의 영향에 대해 설명합니다.
알림 센터에서 보류 중인 작업 검토 위협이 감지되면 수정 작업이 수행 됩니다. 특정 위협 및 보안 설정 구성 방법에 따라 업데이트 수정 작업이 자동으로 수행되거나 승인 시에만 수행될 수 있으므로 이러한 작업을 정기적으로 모니터링해야 합니다. 수정 작업은 알림 센터에서 추적됩니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 알림 센터를 선택합니다.

2. 보류 중인 작업을 보고 승인(또는 거부)하려면 보류 중인 탭을 선택합니다. 이러한 작업은 바이러스 백신 또는 맬웨어 방지 프로그램 보호, 자동 조사, 수동 응답 활동 또는 실시간 응답 세션에서 발생할 수 있습니다.

3. 기록 탭을 선택하여 완료된 작업 목록을 봅니다.
위협 탐지가 있는 디바이스 검토 디바이스에서 위협이 감지되면 보안 팀은 디바이스 격리와 같은 필요한 작업을 즉시 수행할 수 있도록 알고 있어야 합니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 보고서 > 일반 > 보안 보고서를 선택합니다.

2. 취약한 디바이스 행까지 아래로 스크롤합니다. 디바이스에서 위협이 감지된 경우 이 행에서 해당 정보를 볼 수 있습니다.
새 인시던트 또는 경고에 대해 알아봅니다. 위협이 감지되고 경고가 트리거되면 인시던트가 생성됩니다. 회사의 보안 팀은 Microsoft Defender 포털에서 인시던트 보기 및 관리할 수 있습니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 메뉴에서 인시던트 를 선택합니다. 인시던트는 관련 경고와 함께 페이지에 표시됩니다.

2. 경고를 선택하여 해당 플라이아웃 창을 엽니다. 여기서 경고에 대해 자세히 알아볼 수 있습니다.

3. 플라이아웃에서 경고 제목을 보고, 영향을 받은 자산(예: 엔드포인트 또는 사용자 계정) 목록을 보고, 사용 가능한 작업을 수행하고, 링크를 사용하여 자세한 정보를 보고, 선택한 경고에 대한 세부 정보 페이지를 열 수도 있습니다.
검사 또는 자동화된 조사 실행 보안 팀은 위험 수준이 높거나 위협이 감지된 디바이스에서 검사 또는 자동화된 조사를 시작할 수 있습니다. 검사 또는 자동 조사 결과에 따라 수정 작업이 자동으로 또는 승인 시 발생할 수 있습니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 자산디바이스> 선택합니다.

2. 플라이아웃 패널을 열 디바이스를 선택하고 표시되는 정보를 검토합니다.
- 줄임표(...)를 선택하여 작업 메뉴를 엽니다.
- 바이러스 백신 검사 실행 또는 자동화된 조사 시작과 같은 작업을 선택합니다.

주간 보안 작업

작업 설명
Microsoft 보안 점수 모니터링 및 개선 Microsoft 보안 점수는 organization 보안 상태를 측정한 것입니다. 숫자가 높을수록 필요한 개선 작업이 더 적다는 것을 알 수 있습니다. 보안 점수를 사용하면 다음을 수행할 수 있습니다.
- organization 보안 상태의 현재 상태를 보고합니다.
- 검색 가능성, 가시성, 지침 및 제어를 제공하여 보안 태세를 개선합니다.
- 벤치마크와 비교하고 KPI(핵심 성과 지표)를 설정합니다.

점수를 검사 다음 단계를 수행합니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 보안 점수를 선택합니다.

2. 전체 Microsoft 보안 점수를 개선하기 위해 수정 및 작업에 대한 검토 및 결정을 내립니다.
디바이스에 대한 보안 점수 개선 보안 권장 사항 목록을 사용하여 문제를 수정하여 보안 구성을 개선합니다. 이렇게 하면 장치에 대한 Microsoft 보안 점수가 향상되고 조직이 향후 사이버 보안 위협 및 취약성에 대해 더 탄력적이게 됩니다. 점수를 검토하고 향상시키는 데는 항상 시간을 들일 가치가 있습니다.

보안 점수를 검사 다음 단계를 수행합니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 보안 점수를 선택합니다.

2. Defender 취약성 관리 dashboard 카드 디바이스에 대한 Microsoft 보안 점수에서 범주 중 하나를 선택합니다. 해당 범주와 관련된 권장 사항 목록이 권장 사항과 함께 표시됩니다.

3. 목록에서 항목을 선택하여 권장 사항과 관련된 세부 정보를 표시합니다.

4. 수정 옵션을 선택합니다.

5. 설명 을 읽고 문제의 컨텍스트와 다음에 수행할 작업을 이해합니다. 기한을 선택하고 메모를 추가하고 모든 수정 활동 데이터를 CSV로 내보내기를 선택하여 후속 작업을 위해 전자 메일에 첨부할 수 있습니다. 수정 작업이 생성되었음을 알리는 확인 메시지가 표시됩니다.

6. IT 관리자에게 후속 이메일을 보내고 수정을 위해 할당한 시간을 시스템에서 전파할 수 있도록 허용합니다.

7. dashboard 장치 카드 Microsoft 보안 점수로 돌아갑니다. 작업의 결과로 보안 제어 권장 사항 수가 감소했습니다.

8. 보안 컨트롤을 선택하여 보안 권장 사항 페이지로 돌아갑니다. 해결한 항목이 더 이상 목록에 없으므로 Microsoft 보안 점수가 향상됩니다.

월별 보안 작업

작업 설명
보고서 실행 Microsoft Defender 포털(https://security.microsoft.com)에서 여러 보고서를 사용할 수 있습니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 보고서를 선택합니다.

2. 검토할 보고서를 선택합니다. 각 보고서에는 해당 보고서에 대한 여러 관련 범주가 표시됩니다.

3. 세부 정보 보기를 선택하여 각 범주에 대한 자세한 정보를 확인합니다.

4. 특정 위협의 제목을 선택하여 관련 세부 정보를 확인합니다.
시뮬레이션 자습서 실행 교육을 통해 사용자와 팀의 보안 준비를 강화하는 것은 항상 좋은 생각입니다. Microsoft Defender 포털에서 시뮬레이션 자습서에 액세스할 수 있습니다. 이 자습서에서는 여러 유형의 사이버 위협에 대해 설명합니다. 시작하려면 다음 단계를 수행합니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 자습서를 선택합니다.<

2. 실행하려는 자습서의 연습을 읽은 다음 파일을 다운로드하거나 지침에 따라 시뮬레이션을 실행하는 데 필요한 스크립트를 복사합니다.
학습 허브 살펴보기 학습 허브를 사용하여 사이버 보안 위협에 대한 지식과 이를 해결하는 방법을 높입니다. 특히 Microsoft Defender XDR 및 엔드포인트 섹션에서 제공되는 리소스를 살펴보는 것이 좋습니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 학습 허브를 선택합니다.

2. Microsoft Defender XDR 또는 엔드포인트와 같은 영역을 선택합니다.

3. 각 개념에 대해 자세히 알아볼 항목을 선택합니다.

학습 허브의 일부 리소스는 Microsoft 365 Business Premium 포함되지 않은 기능을 다룰 수 있습니다. 예를 들어 고급 헌팅 기능은 엔드포인트용 Defender 플랜 2 또는 Microsoft Defender XDR 같은 엔터프라이즈 구독에 포함되지만 Microsoft 365 Business Premium 포함되지 않습니다. 비즈니스용 Defender는 Microsoft 365 Business Premium 어떻게 비교하나요?를 참조하세요.

필요에 따라 수행할 보안 작업

작업 설명
가양성/부정 관리 가양성 은 엔터티가 실제로 위협이 아니더라도 검색되어 악의적으로 식별된 파일 또는 프로세스와 같은 엔터티입니다. 거짓 부정은 실제로 악의적인 경우에도 위협으로 검색되지 않은 엔터티입니다. 가양성/부정은 Microsoft 365 Business Premium 모두 포함된 Office 365용 Microsoft Defender 및 비즈니스용 Microsoft Defender 포함한 모든 위협 방지 솔루션에서 발생할 수 있습니다. 다행히 이러한 종류의 문제를 해결하고 줄이기 위한 단계를 수행할 수 있습니다.

디바이스의 가양성/부정은 엔드포인트용 Microsoft Defender 가양성/부정 문제 해결을 참조하세요.

전자 메일의 가양성/부정은 다음 문서를 참조하세요.
- Office 365용 Microsoft Defender 사용하여 받는 사람에게 전달되는 악의적인 전자 메일(거짓 부정)을 처리하는 방법
- Office 365용 Microsoft Defender 사용하여 합법적인 전자 메일이 차단되는 것을 처리하는 방법(가양성)
보안 태세 강화 비즈니스용 Defender에는 노출 점수를 제공하고 노출된 디바이스에 대한 정보를 보고 관련 보안 권장 사항을 볼 수 있는 취약성 관리 dashboard 포함되어 있습니다. Defender 취약성 관리 dashboard 사용하여 노출을 줄이고 organization 보안 태세를 개선할 수 있습니다.

다음 문서를 참조하세요.
- 비즈니스용 Microsoft Defender 취약성 관리 dashboard 사용
- 대시보드 인사이트
보안 정책 조정 검색된 위협, 디바이스 상태 등에 대한 정보를 볼 수 있도록 보고서를 사용할 수 있습니다. 경우에 따라 보안 정책을 조정해야 합니다. 예를 들어 일부 사용자 계정 또는 디바이스에 엄격한 보호를 적용하고 다른 사용자에게는 표준 보호를 적용할 수 있습니다.

다음 문서를 참조하세요.
- 디바이스 보호를 위해: 비즈니스용 Microsoft Defender 정책 보기 또는 편집
- 전자 메일 보호의 경우: EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정
관리자 제출 분석 추가 분석을 위해 전자 메일 메시지, URL 또는 첨부 파일과 같은 엔터티를 Microsoft에 제출해야 하는 경우도 있습니다. 보고 항목은 가양성/부정의 발생을 줄이고 위협 탐지 정확도를 개선하는 데 도움이 될 수 있습니다.

다음 문서를 참조하세요.
- 제출 페이지를 사용하여 의심스러운 스팸, 피싱, URL, 합법적인 전자 메일 차단 및 전자 메일 첨부 파일을 Microsoft에 제출합니다.
- 사용자가 보고한 메시지에 대한 관리 검토
우선 순위 사용자 계정 보호 모든 사용자 계정이 동일한 회사 정보에 액세스할 수 있는 것은 아닙니다. 일부 계정은 재무 데이터, 제품 개발 정보, 중요한 빌드 시스템에 대한 파트너 액세스 등과 같은 중요한 정보에 액세스할 수 있습니다. 손상된 경우 기밀 정보에 액세스할 수 있는 계정은 심각한 위협이 됩니다. 이러한 유형의 계정 우선 순위 계정을 호출합니다. 우선 순위 계정에는 CEO, CISO, CFO, 인프라 관리자 계정, 빌드 시스템 계정 등이 포함됩니다.

다음 문서를 참조하세요.
- 관리자 계정 보호
- Microsoft 365의 우선 순위 계정에 대한 보안 권장 사항
고위험 디바이스 보호 디바이스의 전반적인 위험 평가는 디바이스에서 활성 경고의 유형 및 심각도와 같은 요인의 조합을 기반으로 합니다. 보안 팀이 활성 경고를 해결하고, 수정 작업을 승인하고, 후속 경고를 억제하면 위험 수준이 감소합니다.

비즈니스용 Microsoft Defender 디바이스 관리를 참조하세요.
디바이스 온보딩 또는 오프보딩 디바이스가 교체되거나 사용 중지되거나 새 디바이스가 구매되거나 비즈니스 요구 사항이 변경되면 비즈니스용 Defender에서 디바이스를 온보딩하거나 오프보딩할 수 있습니다.

다음 문서를 참조하세요.
- 비즈니스용 Microsoft Defender 디바이스 온보딩
- 비즈니스용 Microsoft Defender 디바이스 오프보딩
항목 수정 Microsoft 365 Business Premium 몇 가지 수정 작업이 포함됩니다. 일부 작업은 자동으로 수행되고 다른 작업은 보안 팀의 승인을 기다리고 있습니다.

1. Microsoft Defender 포털(https://security.microsoft.com)의 탐색 창에서 자산>디바이스로 이동합니다.

2. 위험 수준이 높거나 노출 수준이 높은 디바이스와 같은 디바이스를 선택합니다. 플라이아웃 창이 열리고 해당 항목에 대해 생성된 경고 및 인시던트에 대한 자세한 정보가 표시됩니다.

3. 플라이아웃에서 표시되는 정보를 봅니다. 줄임표(...)를 선택하여 사용 가능한 작업을 나열하는 메뉴를 엽니다.

4. 사용 가능한 작업을 선택합니다. 예를 들어 바이러스 백신 검사 실행을 선택하면 Microsoft Defender 바이러스 백신 디바이스에서 빠른 검사를 시작할 수 있습니다. 또는 자동 조사 시작을 선택하여 디바이스에서 자동화된 조사를 트리거할 수 있습니다.

디바이스에 대한 수정 작업

다음 표에는 Microsoft 365 Business Premium 및 비즈니스용 Defender의 디바이스에 사용할 수 있는 수정 작업이 요약되어 있습니다.

원본 작업
자동 조사 파일 격리
레지스트리 키 제거
프로세스 종료
서비스 중지
드라이버 사용 안 함
예약된 작업 제거
수동 응답 작업 바이러스 백신 검사 실행
디바이스 격리
파일을 차단하거나 허용하는 표시기 추가
실시간 응답 포렌식 데이터 수집
파일 분석
스크립트 실행
분석을 위해 의심스러운 엔터티를 Microsoft에 보내기
파일 수정
사전 대응식 위협 탐지

일반 관리자 작업

환경 유지 관리에는 사용자 계정 관리, 디바이스 관리, 최신 상태 유지 및 올바르게 작동이 포함됩니다. 관리 작업은 일반적으로 전역 관리자 및 테넌트 관리자가 수행합니다. 관리자 역할에 대해 자세히 알아보기

Microsoft 365를 접하는 경우 잠시 시간을 내어 Microsoft 365 관리 센터 개요를 확인하세요.

관리 센터 작업

작업 자세한 정보를 알아볼 수 있는 리소스
Microsoft 365 관리 센터 사용 시작 Microsoft 365 관리 센터 개요
Microsoft 365 관리 센터 새로운 기능에 대해 알아보기 Microsoft 365 관리 센터 새로운 기능
사용자를 준비할 수 있도록 새 제품 업데이트 및 기능에 대해 알아보기 Microsoft 365 제품 및 기능 변경 사항을 계속 유지하세요.
사용 현황 보고서를 보고 사용자가 Microsoft 365를 사용하는 방법을 확인합니다. 관리 센터의 Microsoft 365 보고서
기술 지원 티켓 열기 비즈니스용 Microsoft 365 지원 받기

사용자, 그룹 및 암호

작업 자세한 정보를 알아볼 수 있는 리소스
새 사용자 추가 Microsoft 365에 새 직원 추가
사용자에 대한 라이선스 할당 또는 할당 취소 Microsoft 365 관리 센터 사용자에 대한 라이선스 할당 또는 할당 취소

PowerShell을 사용하여 사용자 계정에 Microsoft 365 라이선스 할당
관리자 권한이 필요한 사용자에게 관리자 역할 할당 Microsoft 365 관리 센터 관리자 역할 할당

PowerShell을 사용하여 Microsoft 365 사용자 계정에 관리자 역할 할당
사용자에서 라이선스 제거 Microsoft 365 관리 센터 사용자에 대한 라이선스 할당 또는 할당 취소

PowerShell을 사용하여 사용자 계정에서 Microsoft 365 라이선스 제거
발음 켜기 또는 끄기 Microsoft 365 관리 센터 organization 대명사를 켜거나 끕니다.
전체 organization 또는 개별 그룹에 대한 그룹에 대한 게스트 액세스를 허용할지 여부를 결정합니다.
(Microsoft 365 Business Premium 적용)		 Microsoft 365 관리 센터 게스트 사용자
다른 사용자가 organization 떠날 때 사용자 계정 제거 개요: 이전 직원 제거 및 보안 데이터
사용자 계정의 암호 재설정 비즈니스용 Microsoft 365에서 암호 재설정

전자 메일 및 일정

작업 자세한 정보를 알아볼 수 있는 리소스
Gmail 또는 다른 전자 메일 공급자에서 Microsoft 365로 전자 메일 및 연락처 마이그레이션 Microsoft 365로 전자 메일 및 연락처 마이그레이션
들어오거나 나가는 전자 메일 메시지에 전자 메일 서명, 법적 고지 사항 또는 공개 명세서 추가 organization 전체 서명 및 고지 사항 만들기
보안 그룹 설정, 편집 또는 삭제 Microsoft 365 관리 센터 보안 그룹 만들기, 편집 또는 삭제
메일 그룹에 사용자 추가 Microsoft 365 메일 그룹에 사용자 또는 연락처 추가
사용자가 일반적인 전자 메일 주소에서 전자 메일을 모니터링하고 보낼 수 있도록 공유 사서함 설정(예: info@contoso.com 공유 사서함 만들기

디바이스

작업 자세한 정보를 알아볼 수 있는 리소스
Windows Autopilot을 사용하여 새 디바이스 설정 및 사전 구성 또는 디바이스 재설정, 용도 변경 및 복구
(Microsoft 365 Business Premium 적용)		 Windows Autopilot 개요
디바이스의 현재 상태 보기 및 관리 비즈니스용 Microsoft Defender 디바이스 관리
비즈니스용 Microsoft Defender에 온보드 장치 비즈니스용 Microsoft Defender에 온보드 장치
비즈니스용 Defender에서 디바이스 오프보딩 비즈니스용 Defender에서 디바이스 오프보딩
Intune을 사용하여 디바이스 관리 Intune을 사용하여 디바이스 관리는 무엇을 의미하나요?

Microsoft Intune 디바이스 관리 및 디바이스 기능 제어

도메인

작업 자세한 정보를 알아볼 수 있는 리소스
Microsoft 365 구독에 도메인(예: contoso.com) 추가 Microsoft 365에 도메인 추가
도메인 구매 도메인 이름 구입
도메인 제거 도메인 제거

구독 및 청구

작업 자세한 정보를 알아볼 수 있는 리소스
청구서 또는 송장 보기 비즈니스용 Microsoft 365 구독 청구서 또는 인보이스 보기
결제 방법 관리 결제 방법 관리
결제 빈도 변경 Microsoft 365 구독 청구 빈도 변경
청구 주소 변경 비즈니스용 Microsoft 365 청구 주소 변경

참고 항목