Microsoft 365 Defender 인시던트 대응
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
Microsoft 365 Defender 인시던트 는 공격의 스토리를 구성하는 상관 관계 경고 및 관련 데이터의 컬렉션입니다.
Microsoft 365 서비스 및 앱은 의심스럽거나 악의적인 이벤트 또는 활동을 검색할 때 경고를 만듭니다. 개별 경고는 완료되거나 진행 중인 공격에 대한 중요한 단서를 제공합니다. 그러나 공격은 일반적으로 디바이스, 사용자 및 사서함과 같은 다양한 유형의 엔터티에 대해 다양한 기술을 사용합니다. 결과는 테넌트에서 여러 엔터티에 대한 여러 경고입니다.
공격에 대한 인사이트를 얻기 위해 개별 경고를 함께 꿰뚫는 것은 어렵고 시간이 많이 걸릴 수 있으므로 Microsoft 365 Defender 경고와 관련 정보를 인시던트로 자동으로 집계합니다.
관련 경고를 인시던트에 그룹화하면 공격에 대한 포괄적인 보기를 제공합니다. 예를 들어 다음을 볼 수 있습니다.
- 공격이 시작된 위치.
- 어떤 전술이 사용되었는지.
- 공격이 테넌트로 얼마나 멀리 들어갔는지.
- 영향을 받은 디바이스, 사용자 및 사서함 수와 같은 공격 범위입니다.
- 공격과 관련된 모든 데이터입니다.
사용하도록 설정하면 Microsoft 365 Defender 자동화 및 인공 지능을 통해 경고를 자동으로 조사하고 해결할 수 있습니다. 추가 수정 단계를 수행하여 공격을 해결할 수도 있습니다.
Microsoft 365 Defender 포털의 인시던트 및 경고
Microsoft 365 Defender 포털의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 관리를 합니다. 다음은 예입니다.
인시던트 이름을 선택하면 다음을 비롯한 인시던트 전체 공격 스토리가 표시됩니다.
- 인시던트 내 경고 페이지: 인시던트와 관련된 경고의 범위 및 동일한 탭의 해당 정보입니다.
- 그래프: 공격의 일부인 다른 의심스러운 엔터티를 사용자, 디바이스 및 사서함과 같은 관련 자산과 연결하는 공격의 시각적 표현입니다.
그래프에서 직접 엔터티 세부 정보를 보고 파일 삭제 또는 디바이스 격리와 같은 응답 옵션을 사용하여 작업할 수 있습니다.
인시던트에 대한 추가 탭은 다음과 같습니다.
경고
인시던트 및 해당 정보와 관련된 모든 경고입니다.
자산
인시던트에 포함되거나 관련된 것으로 식별된 모든 자산(디바이스, 사용자, 사서함 및 앱)입니다.
조사
인시던트에서 경고에 의해 트리거되는 모든 자동화된 조사 입니다.
증거 및 응답
인시던트 경고에서 지원되는 모든 이벤트 및 의심스러운 엔터티입니다.
요약
경고와 관련된 영향을 받은 자산에 대한 간략한 개요입니다.
참고
지원되지 않는 경고 유형 경고 상태가 표시되면 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.
Microsoft 365 Defender 대한 인시던트 대응 워크플로 예제
다음은 Microsoft 365 Defender 포털을 사용하여 Microsoft 365의 인시던트에 대응하기 위한 예제 워크플로입니다.
지속적인 기준에 따라 인시던트 큐에서 분석 및 해결을 위해 우선순위가 가장 높은 인시던트를 식별하고 대응을 준비합니다. 이러한 조치는 다음으로 구성됩니다.
사용자 고유의 인시던트 대응 워크플로에 대해 다음 단계를 고려합니다.
각 인시던트에 대해 공격 및 경고 조사 및 분석을 시작합니다.
인시던트의 공격 스토리를 보고 해당 범위, 심각도, 검색 원본 및 영향을 받는 엔터티를 이해합니다.
인시던트 내의 경고 스토리를 사용하여 해당 원본, 범위 및 심각도를 이해하기 위해 경고 분석을 시작합니다.
필요에 따라 영향을 받은 디바이스, 사용자 및 사서함에 대한 정보를 그래프로 수집합니다. 모든 엔터티를 마우스 오른쪽 단추로 클릭하여 모든 세부 정보가 포함된 플라이아웃을 엽니다.
조사 탭을 사용하여 Microsoft 365 Defender 일부 경고를 자동으로 해결하는 방법을 알아보세요.
필요에 따라 인시던트에 대한 데이터 집합의 정보를 사용하여 증거 및 응답 탭을 사용하여 자세한 내용을 확인합니다.
분석 후 또는 분석 중에 억제를 수행하여 보안 위협의 공격 및 제거에 대한 추가 영향을 줄입니다.
가능하면 테넌트 리소스를 인시던트 이전 상태로 복원하여 공격으로부터 복구합니다.
인시던트 해결 및 인시던트 후 학습에 시간을 할애하여 다음을 수행합니다.
- 공격의 유형과 그 영향에 대해 이해합니다.
- 보안 공격 추세에 대한 위협 분석 및 보안 커뮤니티의 공격을 조사합니다.
- 인시던트 해결에 사용한 워크플로를 회수하고 필요한 경우 표준 워크플로, 프로세스, 정책 및 플레이북을 업데이트합니다.
- 보안 구성의 변경이 필요한지 여부를 결정하고 구현합니다.
보안 분석을 처음 접하는 경우 추가 정보는 첫 번째 인시던트에 대응하고 예제 인시던트를 단계별로 진행하는 소개를 참조하세요.
Microsoft 제품의 인시던트 대응에 대한 자세한 내용은 이 문서를 참조하세요.
Microsoft 365 Defender 대한 예제 보안 작업
다음은 Microsoft 365 Defender 대한 보안 작업(SecOps)의 예입니다.
일상적인 작업에는 다음이 포함될 수 있습니다.
- 인시 던트 관리
- 알림 센터에서 자동 조사 및 대응(AIR) 작업 검토
- 최신 위협 분석 검토
- 인시던트에 대응
월별 작업에는 다음이 포함될 수 있습니다.
- AIR 설정 검토
- 보안 점수 및 Microsoft Defender 취약성 관리 검토
- IT 보안 관리 체인에 보고
분기별 작업에는 CISO(최고 정보 보안 책임자)에 대한 보안 결과 보고서 및 브리핑이 포함될 수 있습니다.
연간 작업에는 직원, 시스템 및 프로세스를 테스트하기 위한 주요 인시던트 또는 위반 연습 수행이 포함될 수 있습니다.
매일, 매월, 분기별 및 연간 작업을 사용하여 프로세스, 정책 및 보안 구성을 업데이트하거나 구체화할 수 있습니다.
자세한 내용은 보안 작업에 Microsoft 365 Defender 통합을 참조하세요.
Microsoft 제품 전반의 SecOps 리소스
Microsoft 제품 전반의 SecOps에 대한 자세한 내용은 다음 리소스를 참조하세요.
이메일로 인시던트 알림 받기
새 인시던트 또는 기존 인시던트에 대한 업데이트에 대한 이메일을 직원에게 알리도록 Microsoft 365 Defender 설정할 수 있습니다. 다음을 기반으로 알림을 받도록 선택할 수 있습니다.
- 경고 심각도
- 경고 소스
- 디바이스 그룹
특정 서비스 원본에 대해서만 전자 메일 알림을 받도록 선택: 전자 메일 알림을 받을 특정 서비스 원본을 쉽게 선택할 수 있습니다.
특정 검색 원본을 사용하여 더 세분성 가져오기: 특정 검색 원본에 대해서만 알림을 받을 수 있습니다.
검색 또는 서비스 원본당 심각도 설정: 원본당 특정 심각도에 대해서만 이메일 알림을 받도록 선택할 수 있습니다. 예를 들어 EDR에 대한 중간 및 높음 경고 및 Microsoft Defender 전문가의 모든 심각도에 대한 알림을 받을 수 있습니다.
이메일 알림에는 인시던트 이름, 심각도 및 범주와 같은 인시던트에 대한 중요한 세부 정보가 포함됩니다. 인시던트로 직접 이동하여 즉시 분석을 시작할 수도 있습니다. 자세한 내용은 인시던트 조사를 참조하세요.
전자 메일 알림에서 받는 사람을 추가하거나 제거할 수 있습니다. 새 수신자는 인시던트가 추가된 후 인시던트에 대한 알림을 받습니다.
참고
이메일 알림 설정을 구성하려면 보안 설정 관리 권한이 필요합니다. 기본 권한 관리를 사용하도록 선택한 경우 보안 관리자 또는 전역 관리자 역할이 있는 사용자는 이메일 알림을 구성할 수 있습니다.
마찬가지로 조직에서 RBAC(역할 기반 액세스 제어)를 사용하는 경우 관리할 수 있는 디바이스 그룹을 기반으로 알림을 만들고, 편집하고, 삭제하고, 받을 수 있습니다.
전자 메일 알림에 대한 규칙 만들기
다음 단계에 따라 새 규칙을 만들고 전자 메일 알림 설정을 사용자 지정하세요.
탐색 창에서 Microsoft 365 Defender 이동하여 설정 > Microsoft 365 Defender > 인시던트 전자 메일 알림을 선택합니다.
항목 추가를 선택합니다.
기본 사항 페이지에서 규칙 이름과 설명을 입력하고 다음을 선택합니다.
알림 설정 페이지에서 다음을 구성합니다.
- 경고 심각도 - 인시던트 알림을 트리거할 경고 심각도를 선택합니다. 예를 들어 심각도가 높은 인시던트에 대해서만 알리려면 높음 을 선택합니다.
- 장치 그룹 범위 - 모든 장치 그룹을 지정하거나 테넌트의 장치 그룹 목록에서 선택할 수 있습니다.
- 인시던트당 하나의 알림만 보내기 - 인시 던트당 하나의 알림을 원하는지 선택합니다.
- 전자 메일에 조직 이름 포함 - 전자 메일 알림에 조직 이름을 표시하려면 선택합니다.
- 테넌트별 포털 링크 포함 - 전자 메일 알림에 특정 Microsoft 365 테넌트에 액세스하기 위한 테넌트 ID가 포함된 링크를 추가하려면 선택합니다.
다음을 선택합니다. 받는 사람 페이지에서 인시던트 알림을 받을 전자 메일 주소를 추가합니다. 각 새 전자 메일 주소를 입력한 후 추가 를 선택합니다. 알림을 테스트하고 받는 사람이 받은 편지함에서 알림을 받도록 하려면 테스트 이메일 보내기를 선택합니다.
다음을 선택합니다. 규칙 검토 페이지에서 규칙의 설정을 검토한 다음 규칙 만들기를 선택합니다. 받는 사람은 설정에 따라 이메일을 통해 인시던트 알림을 받기 시작합니다.
기존 규칙을 편집하려면 규칙 목록에서 규칙을 선택합니다. 규칙 이름이 있는 창에서 규칙 편집 을 선택하고 기본 사항, 알림 설정 및 받는 사람 페이지에서 변경합니다.
규칙을 삭제하려면 규칙 목록에서 규칙을 선택합니다. 규칙 이름이 있는 창에서 삭제를 선택합니다.
알림을 받으면 인시던트로 직접 이동하여 즉시 조사를 시작할 수 있습니다. 인시던트 조사에 대한 자세한 내용은 Microsoft 365 Defender 인시던트 조사를 참조하세요.
보안 분석가를 위한 교육
Microsoft Learn의 이 학습 모듈을 사용하여 Microsoft 365 Defender 사용하여 인시던트 및 경고를 관리하는 방법을 이해합니다.
| 교육: | Microsoft 365 Defender로 하는 인시던트 조사 |
|---|---|
 |
Microsoft 365 Defender 여러 서비스의 위협 데이터를 통합하고 AI를 사용하여 인시던트 및 경고로 결합합니다. 인시던트와 후속 조치와 해결을 위한 관리 사이의 시간을 최소화하는 방법을 배워보세요. 27분 - 6단원 |
다음 단계
보안 팀의 환경 수준 또는 역할에 따라 나열된 단계를 사용합니다.
경험 수준
보안 분석 및 인시던트 대응에 대한 경험 수준을 보려면 이 표를 따르세요.
| 수준 | 단계 |
|---|---|
| 새로운 | |
| 경험 |
|
보안 팀 역할
보안 팀 역할에 따라 이 표를 따릅니다.
| 역할 | 단계 |
|---|---|
| 인시던트 응답자(계층 1) | Microsoft 365 Defender 포털의 인시던트 페이지에서 인시던트 큐를 시작합니다. 여기에서 다음을 수행할 수 있습니다. |
| 보안 조사자 또는 분석가(계층 2) | |
| 고급 보안 분석가 또는 위협 헌터(계층 3) | |
| SOC 관리자 | MICROSOFT 365 DEFENDER SOC(보안 운영 센터)에 통합하는 방법을 참조하세요. |