Microsoft Defender XDR 자동 조사 및 대응

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft Defender XDR

organization Microsoft Defender XDR 사용하는 경우 보안 운영 팀은 악의적이거나 의심스러운 활동 또는 아티팩트가 검색될 때마다 Microsoft Defender 포털 내에서 경고를 받습니다. 들어오는 위협의 겉보기에 끝없는 흐름을 감안할 때, 보안 팀은 종종 많은 양의 경고를 해결해야 하는 과제에 직면합니다. 다행히 Microsoft Defender XDR 보안 운영 팀이 위협을 보다 효율적이고 효과적으로 해결하는 데 도움이 될 수 있는 자동 조사 및 대응(AIR) 기능이 포함되어 있습니다.

이 문서에서는 AIR에 대한 개요를 제공하고 다음 단계 및 추가 리소스에 대한 링크를 포함합니다.

자동 조사 및 자동 복구의 작동 방식

보안 경고가 트리거되면 보안 운영팀이 해당 경고를 살펴보고 조직을 보호할 단계를 수행해야 합니다. 조사가 진행되는 동안 새 경고를 계속해서 받는 경우 경고 우선 순위를 설정하고 검사하는 것은 매우 시간이 오래 걸릴 수 있습니다. 보안 운영 팀은 모니터링하고 방어해야 하는 많은 위협 요소를 통해 압도될 수 있습니다. Microsoft Defender XDR 자동 복구를 통해 자동화된 조사 및 대응 기능이 도움이 될 수 있습니다.

다음 비디오를 시청하여 자가 복구의 작동 방식을 확인합니다.

Microsoft Defender XDR 자동 조사 및 자동 복구 기능을 통한 응답은 디바이스, 전자 메일 & 콘텐츠 및 ID에서 작동합니다.

이 문서에서는 자동화된 조사 및 응답의 작동 방식을 설명합니다. 이러한 기능을 구성하려면 Microsoft Defender XDR 자동화된 조사 및 응답 기능 구성을 참조하세요.

사용자 고유의 가상 분석가

계층 1 또는 계층 2 보안 운영 팀에 가상 분석가가 있다고 상상해 보십시오. 가상 분석가가 보안 운영에서 위협을 조사하고 수정하는 데 취하는 이상적인 단계를 모방합니다. 가상 분석가는 용량이 무제한인 24x7로 작업할 수 있으며 상당한 조사 및 위협 수정 작업을 수행할 수 있습니다. 이러한 가상 분석가는 대응 시간을 크게 줄여 다른 중요한 위협 또는 전략적 프로젝트에 대한 보안 운영 팀을 확보할 수 있습니다. 이 시나리오가 공상 과학 소설처럼 들리면 그렇지 않습니다! 이러한 가상 분석가는 Microsoft Defender XDR 제품군의 일부이며 해당 이름은 자동화된 조사 및 응답입니다.

자동화된 조사 및 대응 기능을 사용하면 보안 운영 팀이 보안 경고 및 인시던트 처리에 organization 용량을 크게 늘릴 수 있습니다. 자동 조사 및 대응을 사용하면 조사 및 대응 활동 처리 비용을 줄이고 위협 방지 제품군을 최대한 활용합니다. 자동화된 조사 및 대응 기능은 다음을 통해 보안 운영 팀에 도움이 됩니다.

  1. 위협에 조치가 필요한지 여부를 결정합니다.
  2. 필수 수정 조치를 취합니다(또는 권장합니다).
  3. 다른 조사를 수행해야 하는지 여부와 수행해야 할 작업을 결정합니다.
  4. 다른 경고에 대해 필요에 따라 프로세스를 반복합니다.

자동화된 조사 프로세스

경고는 자동 조사를 시작할 수 있는 인시던트를 생성합니다. 자동 조사를 통해 각 증거에 대한 평가 결과가 생성됩니다. 평가 결과는 다음과 같이 표시됩니다.

  • 악의적
  • 의심스러움
  • 위협이 발견되지 않음

악의적이거나 의심스러운 엔터티에 대한 수정 작업이 식별됩니다. 다음은 수정 작업의 예입니다.

  • 격리 위치에 파일 보내기
  • 프로세스 중지
  • 디바이스 격리
  • URL 차단
  • 기타 작업

자세한 내용은 Microsoft Defender XDR 수정 작업을 참조하세요.

organization 대해 자동 조사 및 대응 기능을 구성하는 방법에 따라 수정 작업은 자동으로 또는 보안 운영 팀의 승인에 따라 수행됩니다. 보류 중이든 완료되었는지 여부에 관계없이 모든 작업이 알림 센터에 나열됩니다.

조사가 실행되는 동안 발생하는 모든 관련 경고는 완료될 때까지 조사에 추가됩니다. 영향을 받는 엔터티가 다른 곳에서 발견되면 자동화된 조사는 해당 엔터티를 포함하도록 범위를 확장하고 조사 프로세스를 반복합니다.

Microsoft Defender XDR 자동화된 각 조사는 Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender 및 Office 365용 Microsoft Defender 신호의 상관 관계를 지정합니다.다음 표에 요약된 대로 입니다.

엔터티 위협 보호 서비스
디바이스(엔드포인트 또는 머신이라고도 함) 엔드포인트용 Defender
온-프레미스 Active Directory 사용자, 엔터티 동작 및 활동 ID용 Defender
Email 콘텐츠(파일 및 URL을 포함할 수 있는 전자 메일 메시지) Office 365용 Defender

참고

모든 경고가 자동 조사를 트리거하는 것은 아니며, 조사 결과가 모두 자동 수정 작업으로 이어지는 것은 아닙니다. 이는 조직에서 자동 조사 및 응답을 구성한 방식에 따라 달라집니다. 자동 조사 및 응답 기능 구성을 참조하세요.

조사 목록 보기

조사를 보려면 인시던트 페이지로 이동합니다. 인시던트를 선택한 다음 조사 탭 선택합니다. 자세한 내용은 자동화된 조사의 세부 정보 및 결과를 참조하세요.

자동 조사 & 응답 카드

새로운 자동 조사 & 응답 카드 Microsoft Defender 포털(https://security.microsoft.com)에서 사용할 수 있습니다. 이 새로운 카드 사용 가능한 수정 작업의 총 수에 대한 가시성을 제공합니다. 또한 카드 각 경고에 대한 모든 경고 및 필요한 승인 시간에 대한 개요를 제공합니다.

자동화된 조사 & 응답 카드 보여 주는 스크린샷

자동화된 조사 & 응답 카드 사용하여 보안 운영 팀은 알림 센터에서 승인 링크를 선택한 다음 적절한 조치를 취하여 알림 센터로 빠르게 이동할 수 있습니다. 이 카드 통해 보안 운영 팀이 승인 보류 중인 작업을 보다 효과적으로 관리할 수 있습니다.

다음 단계

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.