XDR용 Microsoft Defender 전문가 시작

  • 아티클

적용 대상:

XDR용 Defender 전문가 팀이 organization 온보딩할 준비가 되면 설치를 계속하고 시작하기 위한 환영 이메일을 받게 됩니다.

환영 메일의 링크를 선택하여 Microsoft Defender 포털에서 Defender 전문가 설정 설정을 직접 시작합니다. 설정>Defender 전문가로 이동하여 시작을 선택하여 이 설정을 열 수도 있습니다.

전문가용 Defender XDR 설정 단계별 가이드의 시작 페이지 스크린샷

전문가에게 권한 부여

기본적으로 XDR용 Defender 전문가는 전문가가 테넌트로 로그인하고 할당된 보안 역할에 따라 서비스를 제공할 수 있는 서비스 공급자 액세스 권한이 필요합니다. 테넌트 간 액세스에 대해 자세히 알아보기

또한 전문가에게 다음 권한 중 하나 또는 둘 다를 부여해야 합니다.

  • 인시던트 조사 및 대응 안내 (기본값) – 이 옵션을 사용하면 전문가가 사전에 인시던트 모니터링 및 조사를 수행하고 필요한 대응 작업을 안내할 수 있습니다. (액세스 수준: 보안 읽기 권한자)
  • 활성 위협에 직접 대응 (권장) – 이 옵션을 사용하면 전문가가 조사하는 동안 즉시 활성 위협을 포함하고 수정하여 위협의 영향을 줄이고 전반적인 대응 효율성을 개선할 수 있습니다. (액세스 수준: 보안 운영자)

XDR용 Defender 전문가를 설정하는 동안 제외 관리 옵션의 스크린샷

중요

추가 권한 제공을 건너뛰면 전문가가 특정 응답 작업을 수행하여 organization 보호할 수 없습니다.

우리의 전문가는 이러한 상대적으로 강력한 권한을 부여하더라도, 그들은 제한된 기간 동안 특정 영역에 대한 개별 액세스 권한을 갖습니다. XDR용 Defender 전문가 권한의 작동 방식에 대해 자세히 알아보기

전문가에게 권한을 부여하려면 다음을 수행합니다.

  1. 동일한 Defender 전문가 설정 설정의 사용 권한에서 전문가에게 부여할 액세스 수준을 선택합니다.
  2. organization 디바이스 및 사용자 그룹을 수정 작업에서 제외하려면 제외 관리를 선택합니다.
  3. 다음을 선택하여 연락처 사용자 또는 그룹을 추가합니다.

초기 설정 후 사용 권한을 편집하거나 업데이트하려면 설정>Defender 전문가>권한으로 이동합니다.

수정에서 디바이스 제외

XDR용 Defender 전문가를 사용하면 디바이스 및 사용자를 전문가가 수행한 수정 작업에서 제외하고 대신 해당 엔터티에 대한 수정 지침을 얻을 수 있습니다. 이러한 제외는 엔드포인트용 Microsoft Defender 식별된 디바이스 그룹을 기반으로 합니다.

디바이스 그룹을 제외하려면 다음을 수행합니다.

  1. 동일한 Defender 전문가 설정의 제외에서 디바이스 그룹 탭으로 이동합니다.

  2. + 디바이스 그룹 추가를 선택한 다음, 제외할 디바이스 그룹을 검색하여 선택합니다.

    참고

    이 페이지에는 기존 디바이스 그룹만 나열됩니다. 새 디바이스 그룹을 만들려면 먼저 Microsoft Defender 포털에서 엔드포인트용 Defender 설정으로 이동해야 합니다. 그런 다음 이 페이지를 새로 고쳐 새로 만든 그룹을 검색하고 선택합니다. 디바이스 그룹 만들기에 대해 자세히 알아보기

  3. 디바이스 그룹 추가를 선택합니다.

  4. 디바이스 그룹 탭으로 돌아가서 제외된 디바이스 그룹 목록을 검토합니다. 제외 목록에서 디바이스 그룹을 제거하려면 해당 그룹을 선택한 다음, 디바이스 그룹 제거를 선택합니다.

  5. 다음을 선택하여 제외 목록을 확인하고 연락처 또는 그룹 추가를 진행합니다. 그렇지 않으면 건너뛰기 를 선택하면 추가된 모든 제외 항목이 삭제됩니다.

디바이스 그룹을 제외하는 옵션의 스크린샷.

중요한 문제에 대해 연락할 사람을 알려주세요.

XDR용 Defender 전문가를 사용하면 중요한 인시던트, 서비스 업데이트, 가끔 쿼리 및 기타 권장 사항이 있는 경우 알림을 받아야 하는 organization 내의 개인 또는 그룹을 결정할 수 있습니다.

  • 인시던트 알림 연락처 – 이러한 연락처는 관리되는 응답 작업 또는 즉각적인 대응이 필요한 모든 통신에 대해 알릴 수 있는 사람 또는 팀입니다. 통신의 긴급한 특성을 감안할 때 이러한 연락처를 항상 사용할 수 있는 것이 좋습니다.
  • 서비스 검토 연락처 – 이러한 연락처는 서비스 제공 팀에서 수행하는 지속적인 보안 브리핑에 참여할 수 있는 사람 또는 팀입니다.

식별되면 개인 또는 그룹은 인시던트 알림 또는 서비스 검토 목적으로 연락처임을 알리는 이메일을 받게 됩니다.

전문가용 Defender XDR 설정 단계별 가이드의 인시던트 연락처 페이지 스크린샷

알림 연락처를 추가하려면 다음을 수행합니다.

  1. 동일한 Defender 전문가 설정 설정의 연락처에서 제공된 텍스트 필드에 연락처 사용자 또는 팀을 검색하고 추가합니다.
  2. Defender 전문가가 즉각적인 주의가 필요한 문제에 대해 호출할 수 있는 전화 번호 (선택 사항)를 추가합니다.
  3. 연락처 드롭다운 상자에서 인시던트 알림 또는 서비스 검토를 선택합니다.
  4. 추가를 선택합니다.
  5. 다음을 선택하여 연락처 목록을 확인하고 인시던트 알림을 받을 수 있는 Teams 채널을 만듭니다.

초기 설정 후 알림 연락처를 편집하거나 업데이트하려면 설정>Defender 전문가>알림 연락처로 이동합니다.

알림 연락처의 스크린샷.

Microsoft Teams에서 관리되는 응답 알림 및 업데이트 받기

전자 메일 및 포털 내 채팅 외에도 Microsoft Teams를 사용하여 관리되는 응답에 대한 업데이트를 받고 전문가와 실시간으로 통신할 수도 있습니다. 이 설정을 켜면 Defender 전문가 팀 이라는 새 팀이 만들어집니다. 여기서 진행 중인 인시던트 관련 관리형 응답 알림이 관리되는 응답 채널의 새 게시물로 전송됩니다. Teams 채팅 사용에 대해 자세히 알아보기

중요

Defender 전문가는 생성된 Defender 전문가 팀의 모든 채널에 게시된 모든 메시지에 액세스할 수 있습니다. Defender 전문가가 이 팀의 메시지에 액세스하지 못하도록 하려면 Teams의 으로 이동한 다음, 앱 관리>Defender 전문가>제거로 이동합니다. 이 제거 작업은 되돌릴 수 없습니다.

Teams 알림 및 채팅을 켜려면 다음을 수행합니다.

  1. 동일한 Defender 전문가 설정 설정의 Teams에서 Teams에서 통신 확인란을 선택합니다.
  2. 다음을 선택하여 설정을 검토합니다.
  3. 전송을 선택합니다. 그런 다음 단계별 가이드는 초기 설정을 완료합니다.
  4. 준비 평가 보기를 선택하여 보안 상태를 최적화하는 데 필요한 작업을 완료합니다.

참고

Defender Experts Teams 애플리케이션을 설정하려면 전역 관리자 또는 보안 관리자 역할이 할당되고 Microsoft Teams 라이선스가 있어야 합니다.

초기 설정 후 Teams 알림 및 채팅을 켜려면 설정>Defender 전문가>Teams로 이동합니다.

관리되는 응답을 받기 위해 Teams를 활성화하는 옵션의 스크린샷.

  • Defender 전문가 팀>추가 옵션(...)>으로 이동하여 채널에 새 멤버를 추가할 수 있습니다.> 관리멤버를 추가합니다.
  • Defender 전문가 팀추가 옵션(...)>으로 이동하여 이 팀에 > 참가할 수 있는 사용자를 제한할 수 있습니다.설정>편집>> 관리프라이빗.

Defender Experts 서비스에 대한 환경 준비

서비스 제공 온보딩 외에도 Microsoft Defender XDR 제품 제품군에 대한 전문 지식을 통해 XDR용 Defender 전문가는 준비 평가를 실행하고 Microsoft 보안 제품을 최대한 활용할 수 있습니다.

준비 평가는 사용자 환경의 보호된 디바이스 및 ID 수와 Defender 전문가의 정책 권장 사항을 기반으로 합니다. 평가를 보려면 Microsoft Defender 포털에서 설정>Defender 전문가로 이동한 다음 서비스 상태 선택합니다.

준비 평가 환경의 스크린샷.

준비 평가에는 두 부분으로 구성됩니다.

  • 필요한 작업 – 이 섹션에서는 완료해야 하거나 진행 중이거나 완료된 작업 또는 보안 설정의 수를 보여 줍니다. 이러한 작업은 페이지 아래쪽의 테이블에 나열됩니다.

    이 목록에서는 서비스를 시작하기 전에 수행해야 하는 필수 단계를 간략하게 설명합니다. XDR용 Defender 전문가 서비스를 더 빨리 시작하려면 지금 완료가 상태 작업의 우선 순위를 지정합니다.

    참고

    보안 설정의 최신 상태 가져오는 데 최대 24시간이 걸릴 수 있습니다.

  • 보호된 자산 – 이 섹션에서는 XDR용 Defender 전문가 서비스를 시작하기 위해 보호해야 하는 디바이스와 ID의 현재 수를 보여 줍니다.

    이 수치는 엔드포인트용 Defender 및 Defender for Identity 라이선스를 기반으로 합니다. 보호된 자산의 이러한 대상 수를 달성하려면 엔드포인트용 Defender 에 더 많은 디바이스를 온보딩 하거나 더 많은 Defender for Identity 센서를 설치합니다.

중요

XDR용 Defender 전문가는 특히 새 디바이스 및 ID 추가와 같은 환경이 변경된 경우 준비 평가를 주기적으로 검토합니다. 초기 온보딩 이후의 준비 평가를 정기적으로 모니터링하고 실행하여 환경에 위험을 줄이기 위한 강력한 보안 태세를 갖추도록 하는 것이 중요합니다.

필요한 모든 작업을 완료하고 준비 평가에서 온보딩 목표를 충족한 후 SDM(서비스 제공 관리자)은 XDR 서비스용 Defender 전문가의 모니터링 단계를 시작합니다. 여기서 며칠 동안 전문가는 대기 중인 위협, 위험 원본 및 정상적인 활동을 식별하기 위해 환경을 면밀히 모니터링하기 시작합니다. 중요한 자산을 더 잘 이해하면 서비스를 간소화하고 응답을 미세 조정할 수 있습니다.

전문가가 사용자를 대신하여 포괄적인 대응 작업을 수행하기 시작하면 수정 단계가 필요한 인시던트에 대한 알림 과 중요한 인시던트에 대한 대상 권장 사항을 수신하기 시작합니다. 또한 중요한 쿼리 정기적인 비즈니스 및 보안 상태 검토와 관련하여 전문가 또는 SDM과 채팅할 수 있습니다. 또한 사용자를 대신하여 조사하고 해결한 인시던트 수에 대한 실시간 보고서를 볼 수도 있습니다.

다음 단계

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.