다음을 통해 공유


Microsoft Defender 인시던트 관리

인시던트 관리는 인시던트 워크플로에서 시간을 최적화하고 위협을 보다 신속하게 억제하고 해결하기 위해 인시던트 이름을 지정하고 할당하고 태그를 지정하는 데 중요합니다.

Microsoft Defender 포털(security.microsoft.com)의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 관리를 수행할 수 있습니다. 다음은 예입니다.

인시던트 큐 내의 인시던트 관리 옵션과 Microsoft Defender 포털의 빠른 실행 창을 강조 표시하는 스크린샷

인시던트 관리 방법은 다음과 같습니다.

인시던트에 대한 인시던트 관리 창에서 인시던트를 관리할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 관리 창을 보여 주는 스크린샷

다음의 인시던트 관리 링크에서 이 창을 표시할 수 있습니다.

  • 경고 스토리 페이지.
  • 인시던트 큐의 인시던트 속성 창입니다.
  • 인시던트 요약 페이지입니다.
  • 인시던트 페이지의 오른쪽 위에 있는 인시던트 옵션을 관리합니다.

한 인시던트에서 다른 인시던트로 경고를 이동하려는 경우 경고 탭에서 이 작업을 수행하여 모든 관련 경고를 포함하는 더 크거나 작은 인시던트가 생성됩니다.

인시던트 이름 편집

Microsoft Defender 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 이름을 자동으로 할당합니다. 인시던트 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다. 예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.

인시던트 관리 창의 인시던트 이름 필드에서 인시던트 이름을 편집할 수 있습니다.

참고

자동 인시던트 명명 기능이 출시되기 전에 존재한 인시던트 이름은 그대로 유지됩니다.

인시던트 심각도 할당 또는 변경

인시던트 관리 창의 심각도 필드에서 인 시던 트의 심각도를 할당하거나 변경할 수 있습니다. 인시던트의 심각도는 관련 경고의 가장 높은 심각도에 따라 결정됩니다. 인시던트의 심각도는 높음, 중간, 음 또는 정보로 설정할 수 있습니다.

인시던트 태그 추가

예를 들어 인시던트 그룹에 공통 특성을 플래그 지정하기 위해, 사용자 지정 태그를 인시던트에 추가할 수 있습니다. 나중에 특정 태그가 포함된 모든 인시던트의 인시던트 큐를 필터링할 수 있습니다.

이전에 사용하고 선택한 태그 목록에서 선택하는 옵션은 입력을 시작한 후에 나타납니다.

인시던트에는 특정 색 배경이 있는 시스템 태그 및/또는 사용자 지정 태그가 있을 수 있습니다. 사용자 지정 태그는 흰색 배경을 사용하고 시스템 태그는 일반적으로 빨간색 또는 검은색 배경색을 사용합니다. 시스템 태그는 인시던트에서 다음을 식별합니다.

  • 자격 증명 피싱 또는 BEC 사기와 같은 공격 유형
  • 자동 조사 및 대응 및 자동 공격 중단과 같은 자동 작업
  • 인시던트를 처리하는 Defender 전문가
  • 시던트에 관련된 중요한 자산

미리 정의된 분류에 따라 Microsoft의 보안 노출 관리 디바이스, ID 및 클라우드 리소스를 중요한 자산으로 자동으로 태그를 지정합니다. 이 기본 제공 기능은 organization 중요하고 가장 중요한 자산을 보호할 수 있도록 합니다. 또한 보안 운영 팀이 조사 및 수정의 우선 순위를 지정하는 데 도움이 됩니다. 중요한 자산 관리에 대해 자세히 알아보세요.

인시던트 할당

할당 대상 상자를 선택하고 인시던트를 할당할 사용자 계정을 지정할 수 있습니다. 인시던트를 다시 할당하려면 계정 이름 옆에 있는 "x"를 선택하여 현재 할당 계정을 제거한 다음 할당 대상 상자를 선택합니다. 인시던트 소유권을 할당하면 연결된 모든 경고에 동일한 소유권이 할당됩니다.

인시던트 큐를 필터링하여 할당된 인시던트 목록을 가져올 수 있습니다.

  1. 인시던트 큐에서 필터를 선택합니다.
  2. 인시던트 할당 섹션에서 모두 선택을 취소합니다. 나에게 할당됨, 다른 사용자에게 할당됨 또는 사용자 그룹에 할당됨을 선택합니다.
  3. 적용을 선택한 다음 필터 창을 닫습니다.

그런 다음, 결과 URL을 브라우저에 책갈피로 저장하여 할당된 인시던트 목록을 빠르게 볼 수 있습니다.

인시던트 해결

인시던트가 수정되고 해결되면 상태 드롭다운 목록에서 해결됨을 선택합니다. 인시던트를 해결하면 인시던트와 관련된 모든 연결 및 활성 경고도 해결됩니다.

인시던트의 상태 해결됨으로 변경하면 상태 필드 바로 다음에 새 필드가 표시됩니다. 이 필드에 인시던트가 해결된 이유를 설명하는 메모를 입력합니다. 이 메모는 인시던트의 해결을 기록하는 항목 근처의 인시던트의 활동 로그에 표시됩니다.

인시던트 해결 메모가 있는 인시던트 관리 패널의 스크린샷

인시던트 큐 페이지와 해결된 인시던트 페이지에서 인시던트 세부 정보 섹션의 측면 패널에서 인시던트 해결 메모를 볼 수 있습니다.

인시던트 세부 정보 패널의 해결 정보 모양 스크린샷

인시던트를 해결하면 인시던트와 관련된 모든 연결 및 활성 경고도 해결됩니다. 확인되지 않은 인시던트가 활성으로 표시됩니다.

분류 지정

분류 필드에서 인시던트가 다음인지 여부를 지정합니다.

  • 설정되지 않음 (기본값).
  • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 인시던트에 이 분류를 사용합니다. 위협 유형을 지정하면 보안 팀이 위협 패턴을 보고 조직을 방어하는 데 도움이 됩니다.
  • 활동 유형이 있는 정보 및 예상 활동입니다. 이 범주의 옵션을 사용하여 보안 테스트, 레드 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 인시던트 분류를 수행합니다.
  • 판단하는 인시던트 유형에 대한 가양성은 기술적으로 부정확하거나 오해의 소지가 있으므로 무시할 수 있습니다.

인시던트 분류 및 상태 및 형식 지정은 Microsoft Defender XDR 조정하여 시간이 지남에 따라 더 나은 검색 결정을 제공하는 데 도움이 됩니다.

메모 추가

주석 필드를 사용하여 인시던트에 여러 주석을 추가할 수 있습니다. 주석 필드는 텍스트 및 서식, 링크 및 이미지를 지원합니다. 각 주석은 30,000자로 제한됩니다.

모든 주석은 인시던트 기록 이벤트에 추가됩니다. 요약 페이지의 메모 및 기록 링크에서 인시던트 주석 및 기록을 볼 수 있습니다.

활동 로그

활동 로그에는 감사 및 메모라고 하는 인시던트에 대해 수행된 모든 주석 및 작업의 목록이 표시됩니다. 사용자가든 시스템에서든 인시던트에 대한 모든 변경 내용은 활동 로그에 기록됩니다. 활동 로그는 인시던트 페이지 또는 인시던트 쪽 창의 활동 로그 옵션에서 사용할 수 있습니다.

Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 옵션을 강조 표시하는 스크린샷

메모 및 작업으로 로그 내의 활동을 필터링할 수 있습니다. 콘텐츠: 감사, 메모를 클릭한 다음, 콘텐츠를 선택하여 활동을 필터링합니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 창 내의 필터 옵션을 강조 표시하는 스크린샷

활동 로그 내에서 사용할 수 있는 주석 상자를 사용하여 고유한 주석을 추가할 수도 있습니다. 주석 상자는 텍스트 및 서식, 링크 및 이미지를 허용합니다.

Microsoft Defender 포털의 인시던트 페이지에서 주석 상자를 강조 표시하는 스크린샷

인시던트 데이터를 PDF로 내보내기

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

내보내기 인시던트 데이터 기능은 현재 보안 라이선스에 대한 Microsoft Copilot Microsoft Defender XDR 및 Microsoft SOC(통합 보안 운영 센터) 플랫폼 고객에게 제공됩니다.

인시던트의 데이터를 인시던트 내보내기 함수 를 통해 PDF로 내보내고 PDF 형식으로 저장할 수 있습니다. 이 기능을 사용하면 보안 팀이 언제든지 오프라인으로 인시던트의 세부 정보를 검토할 수 있습니다.

내보낸 인시던트 데이터에는 다음 정보가 포함됩니다.

  • 인시던트 세부 정보가 포함된 개요
  • 공격 스토리 그래프 및 위협 범주
  • 각 자산 유형 대해 최대 10개의 자산을 포함하는 영향을 받은 자산
  • 최대 100개 항목을 포함하는 증거 목록
  • 활동 로그에 기록된 모든 관련 경고 및 활동을 포함한 지원 데이터

내보낸 PDF의 예는 다음과 같습니다.

내보낸 PDF의 첫 페이지 스크린샷

보안용 Copilot 라이선스가 있는 경우 내보낸 PDF에는 다음과 같은 추가 인시던트 데이터가 포함됩니다.

PDF로 내보내기 함수는 Copilot 측면 패널에서도 사용할 수 있습니다. 인시던트 보고서 결과 카드 오른쪽 위에 있는 기타 작업 줄임표(...)를 선택하면 인시던트 내보내기를 PDF로 선택할 수 있습니다.

문제 보고서 결과 카드의 추가 작업 스크린샷.

PDF를 생성하려면 다음 단계를 수행합니다.

  1. 인시던트 페이지를 엽니다. 오른쪽 위 모서리에서 기타 작업 줄임표(...)를 선택하고 인시던트 내보내기를 PDF로 선택합니다.

    인시던트 페이지의 추가 작업 줄임표를 강조 표시하는 스크린샷

  2. 다음에 나타나는 대화 상자에서 PDF에 포함하거나 제외하려는 인시던트 정보를 확인합니다. 모든 인시던트 정보는 기본적으로 선택됩니다. PDF 내보내기를 선택하여 계속 진행합니다.

    PDF로 인시던트 내보내기 옵션을 강조 표시하는 스크린샷

  3. 다운로드의 현재 상태를 나타내는 상태 메시지가 인시던트 제목 아래에 표시됩니다. 내보내기 프로세스는 인시던트의 복잡성 및 내보낼 데이터의 양에 따라 몇 분 정도 걸릴 수 있습니다.

    다운로드하기 전에 내보내기 메시지 및 상태 강조 표시하는 스크린샷

  4. PDF가 준비되었음을 나타내는 다른 대화 상자가 나타납니다. 대화 상자에서 다운로드 를 선택하여 PDF를 장치에 저장합니다. 인시던트 제목 아래의 상태 메시지도 업데이트되어 다운로드를 사용할 수 있음을 나타냅니다.

    다운로드를 사용할 수 있는 경우 내보내기 메시지 및 상태 강조 표시하는 스크린샷

보고서는 몇 분 동안 캐시됩니다. 짧은 시간 내에 동일한 인시던트 다시 내보내려고 하면 시스템에서 이전에 생성된 PDF를 제공합니다. 최신 버전의 PDF를 생성하려면 캐시가 만료되기까지 몇 분 정도 기다립니다.

다음 단계

새 인시던트에 대한 조사를 시작합니다.

In-Process 인시던트에 대한 조사를 계속합니다.

해결된 인시던트에 대해 인시던트 후 검토를 수행합니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.