헌팅용 Microsoft Defender 전문가 사용 시작

  • 아티클

적용 대상:

온보딩

Microsoft Defender XDR 및 Defender 전문가를 헌팅에 익숙하지 않다면 다음을 수행합니다.

  1. 환영 전자 메일을 받으면 Microsoft 365 Defender 로그인을 선택합니다.
  2. Microsoft 계정이 이미 있는 경우 로그인합니다. 없는 경우 만듭니다.
  3. Microsoft Defender XDR 빠른 투어를 통해 기능이 어디에 있고 얼마나 중요한지 보안 제품군에 익숙해질 수 있습니다. 빠른 둘러보기 를 선택합니다.
  4. Microsoft Defender Experts 서비스가 무엇이며 제공하는 기능에 대한 간단한 설명을 읽어보세요. 다음을 선택합니다. 시작 페이지가 표시됩니다.

Defender Experts for Hunting 서비스에 대한 카드 Microsoft Defender XDR 시작 페이지의 스크린샷.

Defender 전문가 알림 받기

Defender 전문가 알림 서비스에는 다음이 포함됩니다.

  • 위협 모니터링 및 분석, 체류 시간 및 비즈니스 위험 감소
  • 알려진 공격과 새로운 위협을 검색하고 대상으로 하는 헌터 학습 인공 지능
  • SOC가 효과를 최대화하는 데 도움이 되는 가장 관련 위험 식별
  • 신속한 SOC 응답을 사용하도록 신속하게 전달할 수 있는 최대한 많은 컨텍스트 및 범위 지정에 대한 도움말

샘플 Defender 전문가 알림을 보려면 다음 스크린샷을 참조하세요.

Microsoft Defender XDR Defender 전문가 알림의 스크린샷 Defender 전문가 알림에는 관찰된 위협 또는 활동을 설명하는 제목, 요약 및 권장 사항 목록이 포함됩니다.

Defender 전문가 알림을 찾을 수 있는 위치

다음 매체를 통해 Defender 전문가로부터 Defender 전문가 알림을 받을 수 있습니다.

Defender 전문가 알림만 보려면 필터링

많은 경고 간에 Defender 전문가 알림만 보려면 인시던트 및 경고를 필터링할 수 있습니다. 방법은 다음과 같습니다.

  1. 탐색 메뉴에서 인시던트 & 경고> 인시던>트로 이동하여 필터 아이콘 아이콘을 선택합니다.
  2. 태그 필드 > 까지 아래로 스크롤하여 Defender 전문가 검사 상자를 선택합니다.
  3. 적용을 선택합니다.

Defender 전문가 메일 알림 설정

Microsoft Defender 전문가가 관찰한 인시던트를 포함하여 기존 인시던트에 대한 새로운 인시던트 또는 업데이트에 대한 이메일을 귀하 또는 직원에게 알리도록 Microsoft Defender XDR 설정할 수 있습니다. 이메일로 인시던트 알림을 받는 방법에 대해 자세히 알아보기

  1. Microsoft Defender XDR 탐색 창에서 설정>Microsoft 365 Defender Email>알림 인시던트> 를 선택합니다.
  2. 기존 전자 메일 알림 규칙을 업데이트하거나 새 전자 메일 알림 규칙을 만듭니다. 메일 알림 대한 규칙 만들기에 대해 자세히 알아보기
  3. 규칙의 알림 설정 페이지에서 다음을 구성해야 합니다.
    • 출처 – Microsoft 365 Defender 엔드포인트용 Microsoft Defender Microsoft Defender 전문가 선택
    • 경고 심각도 – 인시던트 알림을 트리거할 경고 심각도를 선택합니다. 예를 들어 높은 심각도 인시던트에 대한 정보만 원할 경우 높음을 선택합니다.

샘플 Defender 전문가 알림 생성

샘플 Defender 전문가 알림을 생성하여 사용자 환경에서 실제 중요한 활동이 발생할 때까지 기다릴 필요 없이 헌팅용 Defender 전문가 서비스를 경험할 수 있습니다. 샘플 알림을 생성하면 이전에 이 서비스에 대해 Microsoft Defender XDR 포털에서 구성한 메일 알림 테스트하고, 이러한 알림에 대해 구성된 경우) 플레이북 구성 및 SIEM(보안 정보 및 이벤트 관리) 환경에서 규칙을 테스트할 수 있습니다.

시던트 페이지에 Defender 전문가: Microsoft Defender 전문가의 테스트 알림이라는 제목의 샘플 Defender 전문가 알림이 표시됩니다. 알림의 내용은 자리 표시자 텍스트이지만 경고와 같은 다른 요소는 테넌트에 있는 이벤트에서 임의로 생성되며 실제로 영향을 받지 않습니다.

헌팅을 위한 Defender 전문가의 샘플 DEN 스크린샷

샘플 알림을 생성하려면 다음을 수행합니다.

  1. Microsoft Defender XDR 탐색 창에서 설정>Defender 전문가로 이동한 다음 샘플 DEN을 선택합니다.
  2. 샘플 DEN 생성을 선택합니다. 샘플 알림을 검토할 준비가 되었다는 녹색 상태 메시지가 나타납니다.
  3. 최근에 생성된 Defender 전문가 알림에서 목록에서 링크를 선택하여 생성된 해당 샘플 알림을 확인합니다. 가장 최근 샘플이 목록 맨 위에 표시됩니다. 링크를 선택하면 인시던트 페이지로 리디렉션됩니다.

샘플 DEN 링크의 스크린샷.

주문형 전문가와 공동 작업

참고

주문형 전문가는 월별 할당을 사용하여 Defender Experts for Hunting 구독에 포함됩니다. 그러나 보안 인시던트 대응 서비스가 아닙니다. organization 영향을 주는 복잡한 위협을 더 잘 이해하기 위한 것입니다. 사용자 고유의 보안 인시던트 대응 팀에 문의하여 긴급 보안 인시던트 대응 문제를 해결합니다. 고유한 보안 인시던트 대응 팀이 없고 Microsoft의 도움을 받으려면 프리미어 서비스 허브에서 지원 요청을 만듭니다.

Microsoft 365 보안 포털 내에서 직접 Defender 전문가에게 문의 를 선택하여 모든 위협 헌팅 질문에 대한 신속하고 정확한 응답을 얻습니다. 전문가들은 organization 직면할 수 있는 복잡한 위협을 더 잘 이해할 수 있는 인사이트를 제공할 수 있습니다. 주문형 전문가는 다음을 수행할 수 있습니다.

  • 근본 원인 및 scope 포함하여 경고 및 인시던트에 대한 추가 정보를 수집합니다.
  • 의심스러운 디바이스, 경고 또는 인시던트에 대한 명확성을 확보하고 고급 공격자에 직면하는 경우 다음 단계를 수행합니다.
  • 위협 행위자, 캠페인 또는 새로운 공격자 기술과 관련된 위험 및 사용 가능한 보호 결정

Defender 전문가에게 문의하는 옵션은 포털 전체의 여러 위치에서 사용할 수 있습니다.

  • 디바이스 페이지 작업 메뉴

Microsoft Defender 포털의 디바이스 페이지 작업 메뉴에 있는 Defender 전문가에게 문의 메뉴 옵션의 스크린샷.

  • 디바이스 인벤토리 페이지 플라이아웃 메뉴

Microsoft Defender 포털의 디바이스 인벤토리 페이지 플라이아웃 메뉴에 있는 Defender 전문가에게 문의 메뉴 옵션의 스크린샷

  • 경고 페이지 플라이아웃 메뉴

Microsoft Defender 포털의 경고 페이지 플라이아웃 메뉴에 있는 Defender 전문가에게 문의 메뉴 옵션의 스크린샷.

  • 인시던트 페이지 작업 메뉴

Microsoft Defender 포털의 인시던트 페이지 작업 메뉴에 있는 Defender 전문가에게 문의 메뉴 옵션의 스크린샷.

참고

Microsoft Services Hub를 통해 주문형 전문가 사례의 상태 추적하려면 고객 성공 계정 관리자에게 문의하세요. Microsoft Services Hub에 대한 간략한 개요는 이 비디오를 시청하세요.

Defender 전문가에게 질문할 수 있는 샘플 질문

경고 정보

  • 우리는 살아있는 오프 - 더 - 토지 이진에 대한 경고의 새로운 유형을 보았다. 경고 ID를 제공할 수 있습니다. 이 경고와 인시던트와 관련된 경우, 그리고 더 자세히 조사할 수 있는 방법에 대해 자세히 알려드릴 수 있나요?
  • 악의적인 PowerShell 스크립트를 실행하려고 하지만 서로 다른 경고를 생성하는 두 가지 유사한 공격을 관찰했습니다. 하나는 "의심스러운 PowerShell 명령줄"이고 다른 하나는 "Office 365 제공한 표시에 따라 악성 파일이 검색되었습니다."입니다. 차이점은 무엇인가요?
  • 높은 프로필 사용자의 디바이스에서 비정상적인 로그인 실패 횟수에 대한 이상한 경고가 오늘 수신되었습니다. 우리는 이러한 시도에 대한 추가 증거를 찾을 수 없습니다. 이러한 시도를 Microsoft Defender XDR 어떻게 볼 수 있나요? 모니터링되는 로그인 유형은 무엇인가요?
  • 경고 및 관련 인시던트에 대한 더 많은 컨텍스트 또는 인사이트를 제공할 수 있나요? "시스템 유틸리티에 의한 의심스러운 동작이 관찰되었습니다."?
  • "전달/리디렉션 규칙 만들기"라는 제목의 경고를 확인했습니다. 나는 활동이 양성이라고 믿습니다. 경고를 받은 이유를 알려줄 수 있나요?

가능한 디바이스 손상

  • organization 여러 디바이스에서 "알 수 없는 프로세스 관찰됨"에 대한 메시지 또는 경고가 표시되는 이유를 설명해 주시겠습니까? 이 메시지 또는 경고가 악의적인 활동 또는 인시던트와 관련이 있는지 여부를 명확히 하기 위한 입력에 감사드립니다.
  • 지난 주부터 다음 시스템에서 가능한 손상의 유효성을 검사하는 데 도움을 줄 수 있나요? 6개월 전 동일한 시스템에서 이전 맬웨어 검색과 유사하게 동작합니다.

위협 인텔리전스 세부 정보

  • 사용자에게 악의적인 Word 문서를 전달하는 피싱 이메일을 발견했습니다. 이 문서는 일련의 의심스러운 이벤트를 발생시켰고, 이로 인해 특정 맬웨어 패밀리에 대한 여러 경고가 트리거되었습니다. 이 맬웨어에 대한 정보가 있나요? 그렇다면 링크를 보낼 수 있나요?
  • 최근에 업계를 대상으로 하는 위협에 대한 블로그 게시물을 보았습니다. 이 위협 행위자에 대해 어떤 보호 Microsoft Defender XDR 제공하는지 이해하는 데 도움을 줄 수 있나요?
  • 우리는 최근에 우리의 organization 대해 실시 피싱 캠페인을 관찰했다. 이것이 특히 우리 회사 또는 수직을 대상으로 했는지 알려줄 수 있습니까?

경고 통신 헌팅용 Microsoft Defender 전문가

  • 인시던트 대응 팀이 Microsoft가 받은 Defender 전문가 알림을 해결하는 데 도움이 될 수 있나요?
  • 헌팅용 Microsoft Defender 전문가 이 Defender 전문가 알림을 받았습니다. 자체 인시던트 대응 팀이 없습니다. 우리는 지금 무엇을 할 수 있고, 어떻게 사건을 포함할 수 있는가?
  • 헌팅용 Microsoft Defender 전문가 Defender 전문가 알림을 받았습니다. 인시던트 대응 팀에 전달할 수 있는 데이터는 무엇인가요?

다음 단계

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.