알림 센터

아티클
04/28/2024

적용 대상:

Microsoft Defender XDR

알림 센터는 다음과 같은 인시던트 및 경고 작업에 대한 "단일 창"을 제공합니다.

보류 중인 수정 작업을 승인합니다.
이미 승인된 수정 작업의 감사 로그 보기
완료된 수정 작업을 검토

알림 센터는 직장에서 Microsoft Defender XDR 대한 포괄적인 보기를 제공하기 때문에 보안 운영 팀이 보다 효과적이고 효율적으로 운영할 수 있습니다.

통합 알림 센터

통합 알림 센터(https://security.microsoft.com/action-center)에는 디바이스에 대한 보류 중 및 완료된 수정 작업, 전자 메일 & 공동 작업 콘텐츠 및 ID가 한 위치에 나열됩니다.

예시:

Microsoft Defender 보안 센터(https://securitycenter.windows.com/action-center)에서 알림 센터를 사용하는 경우 Microsoft Defender 포털에서 통합 알림 센터를 사용해 보세요.
이미 Microsoft Defender 포털을 사용 중인 경우 알림 센터(https://security.microsoft.com/action-center)에서 몇 가지 개선 사항이 표시됩니다.

통합 알림 센터는 엔드포인트용 Defender 및 Office 365용 Defender 전체에서 수정 작업을 함께 제공합니다. 모든 수정 작업에 대한 공용 언어를 정의하고 통합 조사 환경을 제공합니다. 보안 운영 팀에는 수정 작업을 보고 관리할 수 있는 "단일 창" 환경이 있습니다.

적절한 권한과 다음 구독 중 하나 이상이 있는 경우 통합 알림 센터를 사용할 수 있습니다.

엔드포인트용 Defender
[Office 365용 Defender]/defender-office-365/mdo-about
Microsoft Defender XDR

팁

자세한 내용은 요구 사항을 참조하세요.

다음 두 가지 방법으로 승인 보류 중인 작업 목록으로 이동할 수 있습니다.

; 또는 로 https://security.microsoft.com/action-center이동합니다.
Microsoft Defender 포털(https://security.microsoft.com)의 자동 조사 & 응답 카드 알림 센터에서 승인을 선택합니다.

알림 센터 사용

Microsoft Defender 포털로 이동하여 로그인합니다.
탐색 창의 작업 및 제출에서 알림 센터를 선택합니다. 또는 자동 조사 & 응답 카드 알림 센터에서 승인을 선택합니다.

보류 중인 작업 및 기록 탭을 사용합니다. 다음 표에는 각 탭에 표시되는 내용이 요약됩니다.

Tab	설명
보류 중	주의가 필요한 작업 목록을 표시합니다. 작업을 한 번에 하나씩 승인하거나 거부하거나 동일한 유형의 작업(예: 격리 파일)이 있는 경우 여러 작업을 선택할 수 있습니다. 자동화된 조사가 적시에 완료될 수 있도록 가능한 한 빨리 보류 중인 작업을 검토하고 승인(또는 거부)해야 합니다.
기록	다음과 같이 수행된 작업에 대한 감사 로그 역할을 합니다. - 자동화된 조사의 결과로 수행된 수정 작업 - 의심스럽거나 악의적인 전자 메일 메시지, 파일 또는 URL에 대해 수행된 수정 작업 - 보안 운영 팀에서 승인한 수정 작업 - 라이브 응답 세션 중에 적용된 실행 및 수정 작업인 명령 - 바이러스 백신 보호에 의해 수행된 수정 작업 특정 작업을 실행 취소하는 방법을 제공합니다( 완료된 작업 실행 취소 참조).

Tab

설명

보류 중

주의가 필요한 작업 목록을 표시합니다. 작업을 한 번에 하나씩 승인하거나 거부하거나 동일한 유형의 작업(예: 격리 파일)이 있는 경우 여러 작업을 선택할 수 있습니다.

자동화된 조사가 적시에 완료될 수 있도록 가능한 한 빨리 보류 중인 작업을 검토하고 승인(또는 거부)해야 합니다.

기록

다음과 같이 수행된 작업에 대한 감사 로그 역할을 합니다.
- 자동화된 조사의 결과로 수행된 수정 작업
- 의심스럽거나 악의적인 전자 메일 메시지, 파일 또는 URL에 대해 수행된 수정 작업
- 보안 운영 팀에서 승인한 수정 작업
- 라이브 응답 세션 중에 적용된 실행 및 수정 작업인 명령
- 바이러스 백신 보호에 의해 수행된 수정 작업

특정 작업을 실행 취소하는 방법을 제공합니다( 완료된 작업 실행 취소 참조).

알림 센터에서 데이터를 사용자 지정, 정렬, 필터링 및 내보낼 수 있습니다.
- 열 머리글을 선택하여 항목을 오름차순 또는 내림차순으로 정렬합니다.
- 기간 필터를 사용하여 지난 요일, 주, 30일 또는 6개월의 데이터를 볼 수 있습니다.
- 보려는 열을 선택합니다.
- 데이터의 각 페이지에 포함할 항목 수를 지정합니다.
- 필터를 사용하여 보려는 항목만 볼 수 있습니다.
- 내보내기를 선택하여 결과를 .csv 파일로 내보 냅니다 .

알림 센터에서 추적된 작업

승인 보류 중이든 이미 수행되었든 관계없이 모든 작업은 알림 센터에서 추적됩니다. 사용 가능한 작업에는 다음이 포함됩니다.

조사 패키지 수집
디바이스 격리(이 작업은 실행 취소할 수 있습니다.)
컴퓨터 등록 취소
릴리스 코드 실행
격리에서 해제
샘플 요청
코드 실행 제한(이 작업은 실행 취소할 수 있습니다.)
바이러스 백신 검사 실행
중지 및 격리
네트워크의 디바이스 포함

자동 조사 결과로 자동으로 수행되는 수정 작업 외에도 알림 센터는 보안 팀이 검색된 위협을 해결하기 위해 수행한 작업과 Microsoft Defender XDR 위협 방지 기능의 결과로 수행된 작업을 추적합니다. 자동 및 수동 수정 작업에 대한 자세한 내용은 수정 작업을 참조하세요.

작업 원본 세부 정보 보기

(NEW!) 개선된 알림 센터에는 이제 각 작업의 출처를 알려주는 작업 원본 열이 포함됩니다. 다음 표에서는 가능한 작업 원본 값에 대해 설명합니다.

작업 원본 값	설명
수동 디바이스 작업	디바이스에서 수행되는 수동 작업입니다. 예를 들어 디바이스 격리 또는 파일 격리가 있습니다.
수동 전자 메일 작업	전자 메일에 대해 수행된 수동 작업입니다. 예를 들어 전자 메일 메시지를 일시 삭제하거나 전자 메일 메시지를 수정합니다.
자동화된 디바이스 작업	파일 또는 프로세스와 같은 엔터티에서 수행되는 자동화된 작업입니다. 자동화된 작업의 예로는 격리할 파일을 보내고, 프로세스를 중지하고, 레지스트리 키를 제거하는 작업이 있습니다. (엔드포인트용 Microsoft Defender 수정 작업을 참조하세요.)
자동화된 전자 메일 작업	전자 메일 메시지, 첨부 파일 또는 URL과 같은 전자 메일 콘텐츠에 대해 수행되는 자동화된 작업입니다. 자동화된 작업의 예로는 전자 메일 메시지 일시 삭제, URL 차단, 외부 메일 전달 해제 등이 있습니다. (Office 365용 Microsoft Defender 수정 작업을 참조하세요.)
고급 헌팅 작업	고급 헌팅을 사용하여 디바이스 또는 전자 메일에서 수행된 작업입니다.
Explorer 작업	Explorer 사용하여 전자 메일 콘텐츠에 대해 수행된 작업입니다.
수동 라이브 응답 작업	라이브 응답이 있는 디바이스에서 수행되는 작업입니다. 예를 들어 파일 삭제, 프로세스 중지, 예약된 작업 제거 등이 있습니다.
라이브 응답 작업	엔드포인트용 Microsoft Defender API를 사용하여 디바이스에서 수행되는 작업입니다. 작업의 예로는 디바이스 격리, 바이러스 백신 검사 실행, 파일에 대한 정보 가져오기 등이 있습니다.

알림 센터 작업에 필요한 사용 권한

알림 센터에서 보류 중인 작업 승인 또는 거부와 같은 작업을 수행하려면 다음 표에 나열된 대로 할당된 권한이 있어야 합니다.

수정 작업	필요한 역할 및 사용 권한 할당
엔드포인트용 Microsoft Defender 수정(디바이스)	Microsoft Entra ID() 또는https://admin.microsoft.com Microsoft 365 관리 센터(https://portal.azure.com)에 할당된 보안 관리자 역할 --- 또는 --- 엔드포인트용 Microsoft Defender 할당된 활성 수정 작업 역할 자세한 내용은 다음 리소스를 참조하세요. - 기본 제공 역할 Microsoft Entra - 역할 기반 액세스 제어(엔드포인트용 Microsoft Defender)에 대한 역할 Create 및 관리
Office 365용 Microsoft Defender 수정(Office 콘텐츠 및 전자 메일)	Microsoft Entra ID() 또는https://admin.microsoft.com Microsoft 365 관리 센터(https://portal.azure.com)에 할당된 보안 관리자 역할 --- 및 --- Microsoft Defender XDR Email & 협업 역할에 할당된 Search > 및 제거 역할 중요: 보안 관리자 역할이 Microsoft Defender XDR Email & >협업 역할에만 할당된 경우 알림 센터 또는 Microsoft Defender XDR 기능에 액세스할 수 없습니다. Microsoft Entra ID 또는 Microsoft 365 관리 센터 보안 관리자 역할이 할당되어 있어야 합니다. 자세한 내용은 다음 리소스를 참조하세요. - 기본 제공 역할 Microsoft Entra - 보안 & 규정 준수 센터의 권한

수정 작업

필요한 역할 및 사용 권한 할당

엔드포인트용 Microsoft Defender 수정(디바이스)

Microsoft Entra ID() 또는https://admin.microsoft.com Microsoft 365 관리 센터(https://portal.azure.com)에 할당된 보안 관리자 역할
--- 또는 ---
엔드포인트용 Microsoft Defender 할당된 활성 수정 작업 역할

자세한 내용은 다음 리소스를 참조하세요.
- 기본 제공 역할 Microsoft Entra
- 역할 기반 액세스 제어(엔드포인트용 Microsoft Defender)에 대한 역할 Create 및 관리

Office 365용 Microsoft Defender 수정(Office 콘텐츠 및 전자 메일)

Microsoft Entra ID() 또는https://admin.microsoft.com Microsoft 365 관리 센터(https://portal.azure.com)에 할당된 보안 관리자 역할
--- 및 ---
Microsoft Defender XDR Email & 협업 역할에 할당된 Search > 및 제거 역할

중요: 보안 관리자 역할이 Microsoft Defender XDR Email & >협업 역할에만 할당된 경우 알림 센터 또는 Microsoft Defender XDR 기능에 액세스할 수 없습니다. Microsoft Entra ID 또는 Microsoft 365 관리 센터 보안 관리자 역할이 할당되어 있어야 합니다.

자세한 내용은 다음 리소스를 참조하세요.
- 기본 제공 역할 Microsoft Entra
- 보안 & 규정 준수 센터의 권한

팁

Microsoft Entra ID 전역 관리자 역할이 할당된 사용자는 알림 센터에서 보류 중인 작업을 승인하거나 거부할 수 있습니다. 그러나 모범 사례로 organization 전역 관리자 역할이 할당된 사용자 수를 제한해야 합니다. 이전 표에 나열된 보안 관리자, 활성 수정 작업 및 Search 및 제거 역할을 사용하여 알림 센터 권한을 사용하는 것이 좋습니다.

다음 단계

수정 작업 보기 및 관리

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.