엔드포인트용 Microsoft Defender 경고 검토

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Microsoft Defender 경고 페이지는 선택한 경고와 관련된 공격 신호와 경고를 결합하여 경고에 대한 전체 컨텍스트를 제공하여 자세한 경고 스토리를 생성합니다.

organization 영향을 주는 경고에 대해 신속하게 심사, 조사 및 효과적인 조치를 취합니다. 트리거된 이유와 한 위치에서의 영향을 이해합니다. 이 개요에서 자세히 알아보세요.

경고 시작

엔드포인트용 Defender에서 경고 이름을 선택하면 경고 페이지에 표시됩니다. 경고 페이지에서 모든 정보는 선택한 경고의 컨텍스트에 표시됩니다. 각 경고 페이지는 다음 4개 섹션으로 구성됩니다.

경고 제목은 경고의 이름을 표시하며, 페이지에서 선택한 내용에 관계없이 현재 조사를 시작한 경고를 알려 줍니다.
영향을 받는 자산에는 추가 정보 및 작업을 위해 클릭할 수 있는 이 경고의 영향을 받는 디바이스 및 사용자의 카드가 나열됩니다.
경고 스토리는 트리 뷰와 상호 연결된 경고와 관련된 모든 엔터티를 표시합니다. 선택한 경고의 페이지에 처음 도착하면 타이틀의 경고가 포커스가 됩니다. 경고 스토리의 엔터티는 확장 가능하고 클릭할 수 있으며, 경고 페이지의 컨텍스트에서 바로 작업을 수행할 수 있도록 하여 추가 정보를 제공하고 신속한 응답을 제공합니다. 경고 스토리를 사용하여 조사를 시작합니다. 엔드포인트용 Microsoft Defender 경고 조사에서 방법을 알아봅니다.
세부 정보 창에는 처음에 선택한 경고의 세부 정보와 이 경고와 관련된 세부 정보 및 작업이 표시됩니다. 경고 스토리에서 영향을 받는 자산 또는 엔터티를 선택하는 경우 세부 정보 창이 변경되어 선택한 개체에 대한 컨텍스트 정보와 작업을 제공합니다.

경고에 대한 검색 상태 확인합니다.

방지됨: 의심스러운 작업이 시도되지 않았습니다. 예를 들어 파일이 디스크에 쓰여지지 않았거나 실행되었습니다.
차단됨: 의심스러운 동작이 실행된 후 차단되었습니다. 예를 들어 프로세스가 실행되었지만 나중에 의심스러운 동작이 표시되어 프로세스가 종료되었습니다.
검색됨: 공격이 감지되었으며 여전히 활성 상태일 수 있습니다.

그런 다음 경고 세부 정보 창에서 자동화된 조사 세부 정보를 검토하여 이미 수행된 작업을 확인하고 권장 작업에 대한 경고 설명을 읽을 수도 있습니다.

경고가 열릴 때 세부 정보 창에서 사용할 수 있는 기타 정보에는 MITRE 기술, 원본 및 추가 컨텍스트 세부 정보가 포함됩니다.

참고

지원되지 않는 경고 유형 경고 상태 표시되는 경우 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.

영향을 받는 자산 섹션에서 디바이스 또는 사용자 카드 선택하면 세부 정보 창에서 디바이스 또는 사용자의 세부 정보로 전환됩니다.

디바이스의 경우 세부 정보 창에 도메인, 운영 체제 및 IP와 같은 디바이스 자체에 대한 정보가 표시됩니다. 활성 경고 및 해당 디바이스에서 로그온한 사용자도 사용할 수 있습니다. 디바이스를 격리하거나, 앱 실행을 제한하거나, 바이러스 백신 검사를 실행하여 즉각적인 조치를 취할 수 있습니다. 또는 조사 패키지를 수집하거나, 자동화된 조사를 시작하거나, 디바이스 페이지로 이동하여 디바이스의 관점에서 조사할 수 있습니다.
사용자의 경우 세부 정보 창에는 사용자의 SAM 이름 및 SID와 같은 자세한 사용자 정보와 이 사용자가 수행한 로그온 유형 및 관련 경고 및 인시던트가 표시됩니다. 사용자 페이지 열기를 선택하여 해당 사용자의 관점에서 조사를 계속할 수 있습니다.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.