Microsoft Defender XDR 수정 작업

적용 대상:

• Microsoft Defender XDR

Microsoft Defender XDR 자동 조사 중 및 이후에는 악의적이거나 의심스러운 항목에 대한 수정 작업이 식별됩니다. 일부 종류의 수정 작업은 엔드포인트라고도 하는 디바이스에서 수행됩니다. 다른 수정 작업은 ID, 계정 및 전자 메일 콘텐츠에 대해 수행됩니다. 수정 작업이 수행, 승인 또는 거부된 후 자동화된 조사가 완료됩니다.

중요

수정 작업이 자동으로 수행되는지 아니면 승인에 따라 수행되는지 여부는 자동화 수준과 같은 특정 설정에 따라 달라집니다. 자세한 내용은 다음 문서를 참조하세요.

• Microsoft Defender XDR 자동화된 조사 및 대응 기능 구성
• Microsoft Defender for Identity 작업 계정 구성
• 디바이스에서 위협을 수정하는 방법
• 이메일 & 협업 콘텐츠에 대한 위협 및 수정 작업

다음 표에는 현재 Microsoft Defender XDR 지원되는 수정 작업이 요약되어 있습니다.

디바이스(엔드포인트) 수정 작업	전자 메일 수정 작업	사용자(계정)
- 조사 패키지 수집 - 디바이스 격리(이 작업은 실행 취소할 수 있습니다). - 컴퓨터 오프보딩 - 릴리스 코드 실행 - 격리에서 해제 - 요청 샘플 - 코드 실행 제한(이 작업은 실행 취소할 수 있습니다.) - 바이러스 백신 검사 실행 - 중지 및 격리 - 네트워크의 디바이스 포함	- 블록 URL(클릭 시간) - 전자 메일 메시지 또는 클러스터 일시 삭제 - 메일 격리 - 전자 메일 첨부 파일 격리 - 외부 메일 전달 끄기	- 사용자 사용 안 함 - 사용자 암호 다시 설정 - 사용자가 손상된 것으로 확인

승인 보류 중이든 이미 완료되었는지 여부에 관계없이 수정 작업은 알림 센터에서 볼 수 있습니다.

자동화된 조사를 따르는 수정 작업

자동화된 조사가 완료되면 관련된 모든 증거에 대한 판결에 도달합니다. 평가 결과에 따라 수정 작업이 식별됩니다. 경우에 따라 수정 작업이 자동으로 수행 됩니다. 그 밖의 경우에는 재구성 작업이 승인을 기다립니다. 이 모든 것은 자동화된 조사 및 대응이 구성된 방식에 따라 달라집니다.

도출 가능한 의견과 결과는 다음 테이블에서 확인할 수 있습니다.

의견	영향을 받는 엔터티	결과
악성	장치 (끝점)	수정 작업은 자동으로 수행됩니다(organization 디바이스 그룹이 전체로 설정된 경우 - 자동으로 위협 해결)
손상	사용자	재구성 작업이 자동으로 실행 됩니다.
악성	전자 메일 콘텐츠 (Url 또는 첨부 파일)	승인 보류 중인 재구성 활동
피싱	장치 또는 전자 메일 콘텐츠	승인 보류 중인 재구성 활동
위협이 발견되지 않음	장치 또는 전자 메일 콘텐츠	재구성 작업이 필요 하지 않습니다.

수동으로 수행되는 수정 작업

보안 운영 팀은 자동화된 조사를 따르는 수정 작업 외에도 특정 수정 작업을 수동으로 수행할 수 있습니다. 이러한 경계 및 제한은 다음과 같습니다.

• 디바이스 격리 또는 파일 격리와 같은 수동 디바이스 작업
• 전자 메일 메시지 일시 삭제와 같은 수동 전자 메일 작업
• 사용자 사용 안 함 또는 사용자 암호 재설정과 같은 수동 사용자 작업
• 디바이스, 사용자 또는 전자 메일에 대한 고급 헌팅 작업
• 전자 메일을 정크 메일로 이동, 전자 메일 일시 삭제 또는 하드 삭제와 같은 전자 메일 콘텐츠에 대한 Explorer 작업
• 파일 삭제, 프로세스 중지 및 예약된 작업 제거와 같은 수동 라이브 응답 작업
• 디바이스 격리, 바이러스 백신 검사 실행 및 파일에 대한 정보 가져오기와 같은 엔드포인트용 Microsoft Defender API를 사용하여 라이브 응답 작업

다음 단계

• 알림 센터 방문
• 수정 작업 보기 및 관리
• 가양성 또는 가음성 해결
• 네트워크의 디바이스 포함

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.