Microsoft 365 Defender 인시던트 관리

  • 아티클

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender

인시던트 관리는 인시던트 워크플로에서 시간을 최적화하고 위협을 보다 신속하게 억제하고 해결하기 위해 인시던트 이름을 지정하고 할당하고 태그를 지정하는 데 중요합니다.

Microsoft 365 Defender 포털(security.microsoft.com)의 빠른 시작 시 인시던트 & 경고 > 인시던트에서 인시던트 관리를 수행할 수 있습니다. 다음은 예입니다.

Microsoft 365 Defender 포털의 인시던트 페이지

인시던트 관리 방법은 다음과 같습니다.

인시던트에 대한 인시던트 관리 창에서 인시던트를 관리할 수 있습니다. 다음은 예입니다.

Microsoft 365 Defender 포털의 인시던트 관리 창

다음의 인시던트 관리 링크에서 이 창을 표시할 수 있습니다.

  • 경고 스토리 페이지.
  • 인시던트 큐의 인시던트 속성 창입니다.
  • 인시던트 요약 페이지입니다.
  • 인시던트 페이지의 오른쪽 위에 있는 인시던트 옵션을 관리합니다.

한 인시던트에서 다른 인시던트로 경고를 이동하려는 경우 경고 탭에서 이 작업을 수행하여 모든 관련 경고를 포함하는 더 크거나 작은 인시던트가 생성됩니다.

인시던트 이름 편집

Microsoft 365 Defender 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 이름을 자동으로 할당합니다. 이렇게 하면 인시던트의 범위를 빠르게 이해할 수 있습니다. 예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.

인시던트 관리 창의 인시던트 이름 필드에서 인시던트 이름을 편집할 수 있습니다.

참고

자동 인시던트 명명 기능이 출시되기 전에 존재한 인시던트 이름은 그대로 유지됩니다.

인시던트 태그 추가

예를 들어 인시던트 그룹에 공통 특성을 플래그 지정하기 위해, 사용자 지정 태그를 인시던트에 추가할 수 있습니다. 나중에 특정 태그가 포함된 모든 인시던트의 인시던트 큐를 필터링할 수 있습니다.

입력을 시작하면 이전에 사용하고 선택한 태그 목록에서 선택할 수 있는 옵션이 있습니다.

인시던트 할당

인시던트가 아직 할당되지 않은 경우 할당 대상 상자를 선택하고 사용자 계정을 지정할 수 있습니다. 인시던트를 다시 할당하려면 계정 이름 옆에 있는 "x"를 선택하여 현재 할당 계정을 제거한 다음 할당 대상 상자를 선택합니다. 인시던트 소유권을 할당하면 연결된 모든 경고에 동일한 소유권이 할당됩니다.

인시던트 큐를 필터링하여 할당된 인시던트 목록을 가져올 수 있습니다.

  1. 인시던트 큐에서 필터를 선택합니다.
  2. 인시던트 할당 섹션에서 모두 선택을 취소하고 나에게 할당됨을 선택합니다.
  3. 적용을 선택한 다음 필터 창을 닫습니다.

그런 다음, 결과 URL을 브라우저에 책갈피로 저장하여 할당된 인시던트 목록을 빠르게 볼 수 있습니다.

인시던트 해결

인시던트가 수정된 경우 인시던트 해결 을 선택하여 토글을 오른쪽으로 이동합니다. 인시던트를 해결하면 인시던트와 관련된 모든 연결 및 활성 경고도 해결됩니다.

확인되지 않은 인시던트가 활성으로 표시됩니다.

분류 지정

분류 필드에서 인시던트가 다음인지 여부를 지정합니다.

  • 설정되지 않음 (기본값).
  • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 인시던트에 이 분류를 사용합니다. 위협 유형을 지정하면 보안 팀이 위협 패턴을 보고 조직을 방어하는 데 도움이 됩니다.
  • 활동 유형이 있는 정보 및 예상 활동입니다. 이 범주의 옵션을 사용하여 보안 테스트, 레드 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 인시던트 분류를 수행합니다.
  • 판단하는 인시던트 유형에 대한 가양성은 기술적으로 부정확하거나 오해의 소지가 있으므로 무시할 수 있습니다.

인시던트 분류 및 상태 및 형식 지정은 Microsoft 365 Defender 조정하여 시간이 지남에 따라 더 나은 검색 결정을 제공하는 데 도움이 됩니다.

메모 추가

주석 필드를 사용하여 인시던트에 여러 주석을 추가할 수 있습니다. 각 설명은 인시던트의 기록 이벤트에 추가됩니다. 요약 페이지의 메모 및 기록 링크에서 인시던트 주석 및 기록을 볼 수 있습니다.

다음 단계

새 인시던트에 대한 조사를 시작합니다.

In-Process 인시던트에 대한 조사를 계속합니다.

해결된 인시던트에 대해 인시던트 후 검토를 수행합니다.

참고 항목

자세히 알아보시겠습니까? 기술 커뮤니티: Microsoft 365 Defender Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.