Microsoft Defender XDR 첫 번째 인시던트에 대응
적용 대상:
- Microsoft Defender XDR
이 가이드에서는 새 Microsoft Defender XDR 사용자가 포털을 사용하는 동안 일상적인 인시던트 대응 작업을 자신 있게 수행할 수 있는 Microsoft 리소스를 나열합니다. 이 가이드를 사용하는 의도된 결과는 다음과 같습니다.
- Microsoft Defender XDR 사용하여 인시던트 및 경고에 대응하는 방법을 빠르게 알아봅니다.
- 비디오 및 자습서를 통해 인시던트 조사 및 수정을 지원하는 포털의 기능을 검색합니다.
Microsoft Defender XDR 모든 자산(디바이스, ID, 사서함, 클라우드 앱 등)에서 관련 위협 이벤트를 볼 수 있습니다. 포털은 Defender 보호 제품군, Microsoft Sentinel 및 기타 SIEM(통합 보안 정보 및 이벤트 관리) 솔루션의 신호를 통합합니다. 단일 창의 전체 컨텍스트와 상호 연결된 공격 정보를 사용하면 organization 성공적으로 방어하고 보호할 수 있습니다.
이 가이드에는 세 가지 기본 섹션이 있습니다.
- 인시던트 이해: 포털 내에서 인시던트 액세스, 심사 및 관리
- 공격 분석: 포털의 기능을 사용하여 특정 공격을 조사하는 방법에 대한 비디오 및 자습서 모음입니다.
- 공격 수정: 위협을 수정하기 위해 포털 내에서 사용할 수 있는 자동화된 수동 작업을 나열합니다. 이 섹션에는 비디오 및 자습서에 대한 링크가 포함되어 있습니다.
인시던트 이해
인 시던 트 는 생성되는 프로세스, 명령 및 작업 체인으로, 일치하지 않을 수 있습니다. 인시던트에서는 의심스럽거나 악의적인 활동의 전체적인 그림과 컨텍스트를 제공합니다. 단일 인시던트를 사용하면 여러 서비스에서 수백 개의 경고를 심사하는 대신 공격의 전체 컨텍스트를 얻을 수 있습니다.
팁
2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.
Microsoft Defender XDR 인시던트에 대응하는 데 사용할 수 있는 많은 기능이 있습니다. 홈 페이지의 활성 인시던트 카드 모든 인시던트 보기를 선택하거나 왼쪽 탐색 창의 인시던트 & 경고를 통해 인시던트 탐색을 수행할 수 있습니다.
트 보기 그림 1. Microsoft Defender XDR 홈페이지에서 활성 인시던트 카드
2를 구성합니다. 인시던트 큐
각 인시던트에는 다양한 검색 원본의 자동으로 상호 관련된 경고가 포함되며 다양한 엔드포인트, ID 또는 클라우드 앱이 포함될 수 있습니다.
인시던트 심사
인시던트 우선 순위는 응답자, 보안 팀 및 organization 따라 다릅니다. 인시던트 대응 계획 및 보안 팀의 방향은 인시던트 우선 순위를 위임할 수 있습니다.
Microsoft Defender XDR 인시던트 심각도, 사용자 유형 또는 인시던트 심사 및 우선 순위를 지정하는 위협 유형과 같은 다양한 지표가 있습니다. 인 시던트 큐 필터를 통해 이러한 지표의 조합을 쉽게 사용할 수 있습니다.
인시던트 우선 순위를 결정하는 예제는 인시던트에 대해 다음 요소를 결합하는 것입니다.
- 이 사건은 심각도가 높습니다.
- 자동화 조사 상태가 실패했습니다.
- 5개의 영향을 받은 자산이 있습니다. 여기서 두 자산은 매우 기밀 데이터 민감도로 태그가 지정됩니다.
- 인시던트 상태 새로운 것입니다.
- 인시던트가 조사를 위해 팀 구성원에게 할당되지 않습니다.
위의 정보를 사용하여 인시던트에 높은 우선 순위를 할당할 수 있습니다. 우선 순위가 결정되면 인시던트 조사를 시작할 수 있습니다.
참고
Microsoft Defender XDR 심각도, 조사 상태, 영향을 받은 자산 및 인시던트 상태와 같은 필터를 자동으로 결정합니다. 이 정보는 위협 인텔리전스 피드 및 적용된 자동화된 수정 작업으로 컨텍스트화된 organization 네트워크 활동을 기반으로 합니다.
인시던트 관리
인시던트 및 경고에 필수 정보를 제공하여 인시던트 관리 효율성에 기여할 수 있습니다. 각 인시던트 심사 및 분석 시 다음 필터에 정보를 추가하면 다른 응답자가 활용할 수 있는 해당 인시던트에 대한 추가 컨텍스트를 제공합니다.
- 인시던트 및 경고 분류
- 인시던트 명명
- 태그 추가
- 메모 제공
이 비디오를 통해 인시던트 및 경고를 분류하는 방법을 알아봅니다.
다음 단계
- 첫 번째 인시던트 분석
- 첫 번째 인시던트 수정
- Microsoft Defender XDR Virtual Ninja 교육에서 데모 및 포털의 새로운 개발이 작동하는 모습을 시청하세요.
참고 항목
- 보안 작업에 Microsoft Defender XDR 통합
- 인시던트 대응 플레이북을 사용하여 일반적인 공격에 대응
- Microsoft Defender XDR Ninja 학습을 통해 포털의 기능 및 기능 알아보기
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기