Microsoft Defender 인시던트 관리

  • 아티클

적용 대상:

  • Microsoft Defender XDR
  • SOC(통합 보안 운영 센터) 플랫폼 Microsoft Defender

인시던트 관리는 인시던트 워크플로에서 시간을 최적화하고 위협을 보다 신속하게 억제하고 해결하기 위해 인시던트 이름을 지정하고 할당하고 태그를 지정하는 데 중요합니다.

2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.

Microsoft Defender 포털(security.microsoft.com)의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 관리를 수행할 수 있습니다. 다음은 예입니다.

인시던트 큐 내의 인시던트 관리 옵션 강조 표시 및 Microsoft Defender 포털의 빠른 실행 창

인시던트 관리 방법은 다음과 같습니다.

인시던트에 대한 인시던트 관리 창에서 인시던트를 관리할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 관리 창

다음의 인시던트 관리 링크에서 이 창을 표시할 수 있습니다.

  • 경고 스토리 페이지.
  • 인시던트 큐의 인시던트 속성 창입니다.
  • 인시던트 요약 페이지입니다.
  • 인시던트 페이지의 오른쪽 위에 있는 인시던트 옵션을 관리합니다.

한 인시던트에서 다른 인시던트로 경고를 이동하려는 경우 경고 탭에서 이 작업을 수행하여 모든 관련 경고를 포함하는 더 크거나 작은 인시던트가 생성됩니다.

인시던트 이름 편집

Microsoft Defender 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 이름을 자동으로 할당합니다. 인시던트 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다. 예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.

인시던트 관리 창의 인시던트 이름 필드에서 인시던트 이름을 편집할 수 있습니다.

참고

자동 인시던트 명명 기능이 출시되기 전에 존재한 인시던트 이름은 그대로 유지됩니다.

인시던트 심각도 할당 또는 변경

인시던트 관리 창의 심각도 필드에서 인 시던 트의 심각도를 할당하거나 변경할 수 있습니다. 인시던트의 심각도는 관련 경고의 가장 높은 심각도에 따라 결정됩니다. 인시던트의 심각도는 높음, 중간, 낮음 또는 정보로 설정할 수 있습니다.

인시던트 태그 추가

예를 들어 인시던트 그룹에 공통 특성을 플래그 지정하기 위해, 사용자 지정 태그를 인시던트에 추가할 수 있습니다. 나중에 특정 태그가 포함된 모든 인시던트의 인시던트 큐를 필터링할 수 있습니다.

이전에 사용하고 선택한 태그 목록에서 선택하는 옵션은 입력을 시작한 후에 나타납니다.

인시던트 할당

할당 대상 상자를 선택하고 인시던트를 할당할 사용자 계정을 지정할 수 있습니다. 인시던트를 다시 할당하려면 계정 이름 옆에 있는 "x"를 선택하여 현재 할당 계정을 제거한 다음 할당 대상 상자를 선택합니다. 인시던트 소유권을 할당하면 연결된 모든 경고에 동일한 소유권이 할당됩니다.

인시던트 큐를 필터링하여 할당된 인시던트 목록을 가져올 수 있습니다.

  1. 인시던트 큐에서 필터를 선택합니다.
  2. 인시던트 할당 섹션에서 모두 선택을 취소합니다. 나에게 할당됨, 다른 사용자에게 할당됨 또는 사용자 그룹에 할당됨을 선택합니다.
  3. 적용을 선택한 다음 필터 창을 닫습니다.

그런 다음, 결과 URL을 브라우저에 책갈피로 저장하여 할당된 인시던트 목록을 빠르게 볼 수 있습니다.

인시던트 해결

인시던트 해결을 선택하여 인시던트를 수정할 때 토글을 오른쪽으로 이동합니다. 인시던트를 해결하면 인시던트와 관련된 모든 연결 및 활성 경고도 해결됩니다.

확인되지 않은 인시던트가 활성으로 표시됩니다.

분류 지정

분류 필드에서 인시던트가 다음인지 여부를 지정합니다.

  • 설정되지 않음 (기본값).
  • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 인시던트에 이 분류를 사용합니다. 위협 유형을 지정하면 보안 팀이 위협 패턴을 보고 조직을 방어하는 데 도움이 됩니다.
  • 활동 유형이 있는 정보 및 예상 활동입니다. 이 범주의 옵션을 사용하여 보안 테스트, 레드 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 인시던트 분류를 수행합니다.
  • 판단하는 인시던트 유형에 대한 가양성은 기술적으로 부정확하거나 오해의 소지가 있으므로 무시할 수 있습니다.

인시던트 분류 및 상태 및 형식 지정은 Microsoft Defender XDR 조정하여 시간이 지남에 따라 더 나은 검색 결정을 제공하는 데 도움이 됩니다.

메모 추가

주석 필드를 사용하여 인시던트에 여러 주석을 추가할 수 있습니다. 주석 필드는 텍스트 및 서식, 링크 및 이미지를 지원합니다. 각 주석은 30,000자로 제한됩니다.

모든 주석은 인시던트 기록 이벤트에 추가됩니다. 요약 페이지의 메모 및 기록 링크에서 인시던트 주석 및 기록을 볼 수 있습니다.

활동 로그

활동 로그에는 감사 및 메모라고 하는 인시던트에 대해 수행된 모든 주석 및 작업의 목록이 표시됩니다. 사용자가든 시스템에서든 인시던트에 대한 모든 변경 내용은 활동 로그에 기록됩니다. 활동 로그는 인시던트 페이지 또는 인시던트 쪽 창의 활동 로그 옵션에서 사용할 수 있습니다.

Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 옵션 강조 표시

메모 및 작업으로 로그 내의 활동을 필터링할 수 있습니다. 콘텐츠: 감사, 메모를 클릭한 다음, 콘텐츠를 선택하여 활동을 필터링합니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 창 내의 필터 옵션 강조 표시

활동 로그 내에서 사용할 수 있는 주석 상자를 사용하여 고유한 주석을 추가할 수도 있습니다. 주석 상자는 텍스트 및 서식, 링크 및 이미지를 허용합니다.

Microsoft Defender 포털의 인시던트 페이지에서 주석 상자 강조 표시

인시던트 데이터를 PDF로 내보내기

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

내보내기 인시던트 데이터 기능은 현재 보안 라이선스용 Microsoft Copilot를 사용하여 SOC(통합 보안 운영 센터) 플랫폼 고객을 Microsoft Defender XDR 및 Microsoft Defender 사용할 수 있습니다.

인시던트의 데이터를 인시던트 내보내기 함수 를 통해 PDF로 내보내고 PDF 형식으로 저장할 수 있습니다. 이 기능을 사용하면 보안 팀이 언제든지 오프라인으로 인시던트의 세부 정보를 검토할 수 있습니다.

내보낸 인시던트 데이터에는 다음 정보가 포함됩니다.

  • 인시던트 세부 정보가 포함된 개요
  • 공격 스토리 그래프 및 위협 범주
  • 각 자산 유형 대해 최대 10개의 자산을 포함하는 영향을 받은 자산
  • 최대 100개 항목을 포함하는 증거 목록
  • 활동 로그에 기록된 모든 관련 경고 및 활동을 포함한 지원 데이터

내보낸 PDF의 예는 다음과 같습니다.

내보낸 PDF의 첫 페이지 스크린샷

Copilot for Security 라이선스가 있는 경우 내보낸 PDF에는 다음과 같은 추가 인시던트 데이터가 포함됩니다.

PDF로 내보내기 함수는 생성된 인시던트 보고서의 Copilot 측면 패널에서도 사용할 수 있습니다.

인시던트 보고서 결과 카드 추가 작업의 스크린샷

PDF를 생성하려면 다음 단계를 수행합니다.

  1. 인시던트 페이지를 엽니다. 오른쪽 위 모서리에서 기타 작업 줄임표(...)를 선택하고 인시던트 내보내기를 PDF로 선택합니다. PDF가 생성되는 동안 함수가 회색으로 표시됩니다.

    PDF로 인시던트 내보내기 옵션을 강조 표시하는 스크린샷

  2. PDF가 생성되고 있음을 나타내는 대화 상자가 나타납니다. 가져오기를 선택하여 대화 상자를 닫습니다. 또한 다운로드의 현재 상태를 나타내는 상태 메시지가 인시던트 제목 아래에 표시됩니다. 내보내기 프로세스는 인시던트의 복잡성 및 내보낼 데이터의 양에 따라 몇 분 정도 걸릴 수 있습니다.

    다운로드하기 전에 내보내기 메시지 및 상태 강조 표시하는 스크린샷

  3. PDF가 준비되면 상태 메시지는 PDF가 준비되고 다른 대화 상자가 표시됨을 나타냅니다. 대화 상자에서 다운로드 를 선택하여 PDF를 장치에 저장합니다.

    다운로드를 사용할 수 있는 경우 내보내기 메시지 및 상태 강조 표시하는 스크린샷

보고서는 몇 분 동안 캐시됩니다. 짧은 시간 내에 동일한 인시던트 다시 내보내려고 하면 시스템에서 이전에 생성된 PDF를 제공합니다. 최신 버전의 PDF를 생성하려면 캐시가 만료되기까지 몇 분 정도 기다립니다.

다음 단계

새 인시던트에 대한 조사를 시작합니다.

In-Process 인시던트에 대한 조사를 계속합니다.

해결된 인시던트에 대해 인시던트 후 검토를 수행합니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.