Microsoft Defender XDR 고급 헌팅을 사용하여 위협을 사전에 헌팅

  • 아티클

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft Defender XDR

고급 헌팅은 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 네트워크의 이벤트를 사전에 검사하여 위협 지표와 엔터티를 찾을 수 있습니다. 데이터에 대한 유연한 액세스를 통해 알려진 위협과 잠재적인 위협 모두에 대해 제한 없이 헌팅할 수 있습니다.

고급 헌팅은 단계별 모드와 고급 모드를 지원합니다. 아직 KQL(Kusto 쿼리 언어)에 익숙하지 않거나 쿼리 작성기의 편의를 선호하는 경우 단계별 모드를 사용합니다. KQL을 사용하여 처음부터 쿼리를 만드는 데 익숙한 경우 고급 모드 를 사용합니다.

헌팅을 시작하려면 Microsoft Defender XDR 헌팅할 단계별 모드와 고급 모드 중에서 선택을 참조하세요.

동일한 위협 헌팅 쿼리를 사용하여 사용자 지정 검색 규칙을 빌드할 수 있습니다. 이러한 규칙은 자동으로 실행되어 의심스러운 위반 활동, 잘못 구성된 컴퓨터 및 기타 결과에 대해 검사 대응합니다.

고급 헌팅은 다음에서 제공되는 광범위한 데이터 집합을 검사 쿼리를 지원합니다.

  • 엔드포인트용 Microsoft Defender
  • Office 365용 Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Identity

고급 헌팅을 사용하려면 Microsoft Defender XDR 켭니다.

Microsoft Defender for Cloud Apps 데이터의 고급 헌팅에 대한 자세한 내용은 비디오를 참조하세요.

액세스 권한 가져오기

고급 헌팅 또는 기타 Microsoft Defender XDR 기능을 사용하려면 Microsoft Entra ID 적절한 역할이 필요합니다. 고급 헌팅에 필요한 역할 및 권한에 대해 읽어보세요.

또한 엔드포인트 데이터에 대한 액세스는 엔드포인트용 Microsoft Defender RBAC(역할 기반 액세스 제어) 설정에 따라 결정됩니다. Microsoft Defender XDR 대한 액세스 관리에 대해 읽어보세요.

데이터 새로 고침 및 업데이트 빈도

고급 헌팅 데이터는 각각 다르게 통합된 두 가지 유형으로 분류할 수 있습니다.

  • 이벤트 또는 활동 데이터—경고, 보안 이벤트, 시스템 이벤트 및 일상적인 평가에 대한 표를 채웁니다. 고급 헌팅은 이 데이터를 수집한 센서가 해당 클라우드 서비스로 데이터를 성공적으로 전송한 직후에 이 데이터를 수신합니다. 예를 들어 워크스테이션 또는 도메인 컨트롤러의 정상 센서에서 이벤트 데이터를 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity 사용할 수 있게 된 직후에 쿼리할 수 있습니다.
  • 엔터티 데이터 - 사용자 및 디바이스에 대한 정보로 테이블을 채웁니다. 이 데이터는 Active Directory 항목 및 이벤트 로그와 같은 비교적 정적 데이터 원본과 동적 원본에서 모두 제공됩니다. 새로운 데이터를 제공하기 위해 테이블은 15분마다 새로운 정보로 업데이트되어 완전히 채워지지 않을 수 있는 행을 추가합니다. 24시간마다 데이터가 통합되어 각 엔터티에 대한 가장 포괄적인 최신 데이터 세트가 포함된 레코드를 삽입합니다.

표준 시간대

쿼리

고급 헌팅 데이터는 UTC(유니버설 타임 조정) 표준 시간대를 사용합니다. 사용자 지정 시간 범위의 스크린샷

쿼리는 UTC로 만들어야 합니다.

결과

고급 헌팅 결과는 Microsoft Defender XDR 설정된 표준 시간대로 변환됩니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.