다음을 통해 공유


Microsoft Defender XDR의 위협 분석

적용 대상:

  • Microsoft Defender XDR

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

위협 분석은 전문 Microsoft 보안 연구원의 제품 내 위협 인텔리전스 솔루션입니다. 다음과 같은 새로운 위협에 직면하면서 보안팀이 최대한 효율적으로 작업할 수 있도록 지원하도록 설계되었습니다.

  • 활성 위협 행위자 및 해당 캠페인
  • 인기 있는 새로운 공격 기술
  • 주요 취약성
  • 일반적인 공격 표면
  • 널리 사용되는 맬웨어

Microsoft Defender 포털 탐색 모음의 왼쪽 위 또는 알려진 영향과 노출 측면에서 조직에 대한 주요 위협을 보여 주는 전용 대시보드 카드에서 위협 분석에 액세스할 수 있습니다.

위협 분석 방문 페이지의 스크린샷

활성 또는 진행 중인 캠페인에 대한 가시성을 확보하고 위협 분석을 통해 수행할 작업을 파악하면 보안 운영팀에서 정보에 입각한 의사 결정을 내리는 데 도움이 될 수 있습니다.

더 정교한 악의적 사용자와 새로운 위협이 자주 널리 나타나고 있으므로 신속하게 다음을 할 수 있어야 합니다.

  • 새로운 위협 식별 및 대응
  • 현재 공격을 받고 있는지 알아보기
  • 자산에 대한 위협의 영향 평가
  • 위협에 대한 복원력 또는 노출 검토
  • 위협을 중지하거나 포함하기 위해 수행할 수 있는 완화, 복구 또는 방지 작업 식별

각 보고서는 추적된 위협에 대한 분석과 해당 위협을 방어하는 방법에 대한 광범위한 지침을 제공합니다. 또한 네트워크의 데이터를 통합하여 위협이 활성 상태인지 여부와 적용 가능한 보호 기능이 있는지 여부를 나타냅니다.

필요한 역할 및 사용 권한 할당

다음 표에서는 Threat Analytics에 액세스하는 데 필요한 역할 및 권한을 간략하게 설명합니다. 표에 정의된 역할은 개별 포털의 사용자 지정 역할을 참조하며, 비슷하게 명명된 경우에도 Microsoft Entra ID의 전역 역할에 연결되지 않습니다.

Microsoft Defender XDR에는 다음 역할 중 하나가 필요합니다. 엔드포인트용 Microsoft Defender에는 다음 역할 중 하나가 필요합니다. Office 365용 Microsoft Defender에는 다음 역할 중 하나가 필요합니다. 다음 역할 중 하나는 Microsoft Defender for Cloud Apps 및 Microsoft Defender for Identity에 필요합니다. 클라우드용 Microsoft Defender에는 다음 역할 중 하나가 필요합니다.
위협 분석 경고 및 인시던트 데이터:
  • 데이터 보기 - 보안 작업
Defender 취약성 관리 완화:
  • 데이터 보기 - 위협 및 취약성 관리
경고 및 인시던트 데이터:
  • 보기 전용 경고 관리
  • 경고 관리
  • 조직 구성
  • 감사 로그
  • 보기 전용 감사 로그
  • 보안 읽기 권한자
  • 보안 관리자
  • 보기 전용 받는 사람
전자 메일 시도 방지:
  • 보안 읽기 권한자
  • 보안 관리자
  • 보기 전용 받는 사람
  • 전역 관리자
  • 보안 관리자
  • 준수 관리자
  • 보안 운영자
  • 보안 읽기 권한자
  • 전역 관리자
  • 보안 관리자

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

이전 표에 설명된 제품 및 해당 역할 중 하나만 있는 경우에도 모든 위협 분석 보고서를 볼 수 있습니다. 그러나 해당 제품의 특정 인시던트, 자산, 노출 및 위협과 관련된 권장 작업을 확인하려면 각 제품 및 역할이 있어야 합니다.

자세한 정보:

위협 분석 대시보드 보기

위협 분석 대시보드(security.microsoft.com/threatanalytics3)는 조직과 가장 관련이 있는 보고서를 강조 표시합니다. 위협을 다음 섹션으로 요약합니다.

  • 최신 위협은 활성 및 해결된 경고 수와 함께 가장 최근에 게시되거나 업데이트된 위협 보고서를 나열합니다.
  • 영향력이 큰 위협 - 조직에 가장 큰 영향을 미치는 위협을 나열합니다. 이 섹션에는 활성 및 해결된 경고 수가 가장 많은 위협을 먼저 나열합니다.
  • 가장 높은 노출 위협 - 조직에서 가장 높은 노출을 보이는 위협을 나열합니다. 위협에 대한 노출 수준은 두 가지 정보, 즉 위협과 관련된 취약성의 심각도 및 해당 취약성에 의해 악용될 수 있는 조직의 디바이스 수를 사용하여 계산됩니다.

위협 분석 대시보드의 스크린샷

대시보드에서 위협을 선택하여 해당 위협에 대한 보고서를 봅니다. 읽을 위협 분석 보고서와 관련된 키워드에서 키에 대한 검색 필드를 선택할 수도 있습니다.

범주별 보고서 보기

위협 보고서 목록을 필터링하고 특정 위협 유형 또는 보고서 유형에 따라 가장 관련성이 큰 보고서를 볼 수 있습니다.

  • 위협 태그 - 특정 위협 범주에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 랜섬웨어 태그에는 랜섬웨어 와 관련된 모든 보고서가 포함됩니다.
  • 보고서 유형 - 특정 보고서 유형에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 도구 & 기술 태그에는 도구 및 기술을 다루는 모든 보고서가 포함됩니다.

다양한 태그에는 위협 보고서 목록을 효율적으로 검토하고 특정 위협 태그 또는 보고서 유형에 따라 보기를 필터링하는 데 도움이 되는 동일한 필터가 있습니다. 예를 들어 랜섬웨어 범주와 관련된 모든 위협 보고서 또는 취약성이 포함된 위협 보고서를 확인합니다.

Microsoft 위협 인텔리전스 팀은 각 위협 보고서에 위협 태그를 추가합니다. 현재 사용할 수 있는 위협 태그는 다음과 같습니다.

  • 랜섬웨어
  • 강탈
  • 피싱
  • 키보드 손 켜기
  • 활동 그룹
  • 취약성
  • 공격 캠페인
  • 도구 또는 기술

위협 태그는 위협 분석 페이지의 맨 위에 표시됩니다. 각 태그 아래에 사용 가능한 보고서 수에 대한 카운터가 있습니다.

위협 분석 보고서 태그의 스크린샷.

목록에서 원하는 보고서 유형을 설정하려면 필터를 선택하고 목록에서 선택한 다음 적용을 선택합니다.

필터 목록의 스크린샷.

둘 이상의 필터를 설정하는 경우 위협 태그 열을 선택하여 위협 분석 보고서 목록을 위협 태그별로 정렬할 수도 있습니다.

위협 태그 열의 스크린샷.

위협 분석 보고서 보기

각 위협 분석 보고서는 다음과 같은 여러 섹션에 정보를 제공합니다.

개요: 위협을 신속하게 이해하고, 위협을 평가하고, 방어를 검토합니다.

개요 섹션에서는 자세한 분석가 보고서의 미리 보기를 제공합니다. 또한 조직에 대한 위협의 영향과 잘못 구성되고 패치되지 않은 디바이스를 통한 노출을 강조하는 차트를 제공합니다.

위협 분석 보고서의 개요 섹션 스크린샷

조직에 미치는 영향 평가

각 보고서에는 위협의 조직 영향에 대한 정보를 제공하도록 설계된 차트가 포함되어 있습니다.

  • 관련 인시던트 - 다음 데이터를 사용하여 추적된 위협이 조직에 미치는 영향에 대한 개요를 제공합니다.
    • 활성 경고 수 및 연결된 활성 인시던트 수
    • 활성 인시던트의 심각도
  • 시간에 따른 경고 - 시간에 따른 관련 활성해결된 경고의 수를 표시합니다. 해결된 경고 수는 조직에서 위협과 관련된 경고에 응답하는 빈도를 나타냅니다. 이상적으로 차트는 며칠 내에 해결된 경고를 표시해야 합니다.
  • 영향을 받은 자산 - 현재 추적된 위협과 연결된 하나 이상의 활성 경고가 있는 고유 자산의 수를 보여 줍니다. 위협 전자 메일을 받은 사서함에 대해 경고가 트리거됩니다. 위협 전자 메일을 배달하는 재정의에 대한 조직 및 사용자 수준 정책을 모두 검토합니다.

보안 복원력 및 태세 검토

각 보고서에는 조직이 지정된 위협에 대해 얼마나 탄력적인지 개요를 제공하는 차트가 포함되어 있습니다.

  • 권장 작업 - 작업 상태 백분율 또는 보안 태세를 개선하기 위해 달성한 지점 수를 보여 줍니다. 권장 작업을 수행하여 위협을 해결합니다. 범주 또는 상태별로 포인트 분석을 볼 수 있습니다.
  • 엔드포인트 노출 - 취약한 디바이스의 수를 보여 줍니다. 보안 업데이트 또는 패치를 적용하여 위협에 악용된 취약성을 해결합니다.

분석가 보고서: Microsoft 보안 연구원으로부터 전문가 인사이트 얻기

분석가 보고서 섹션에서 자세한 전문가 쓰기를 읽어보세요. 대부분의 보고서는 MITRE ATT&CK 프레임워크에 매핑된 전술 및 기술, 철저한 권장 사항 목록 및 강력한 위협 헌팅 지침을 포함하여 공격 체인에 대한 자세한 설명을 제공합니다.

분석가 보고서에 대해 자세히 알아보기

관련 인시던트 탭에서는 추적된 위협과 관련된 모든 인시던트 목록을 제공합니다. 인시던트를 할당하거나 각 인시던트에 연결된 경고를 관리할 수 있습니다.

위협 분석 보고서의 관련 인시던트 섹션 스크린샷.

참고

위협과 관련된 인시던트 및 경고는 엔드포인트용 Defender, Defender for Identity, Office 365용 Defender, 클라우드용 Defender 앱 및 클라우드용 Defender에서 제공됩니다.

영향을 받는 자산: 영향을 받는 디바이스, 사용자, 사서함, 앱 및 클라우드 리소스 목록 가져오기

영향을 받는 자산 탭에는 시간 경과에 따른 위협의 영향을 받는 자산이 표시됩니다. 다음이 표시됩니다.

  • 활성 경고의 영향을 받는 자산
  • 해결된 경고의 영향을 받는 자산
  • 모든 자산 또는 활성 및 해결된 경고의 영향을 받는 총 자산 수

자산은 다음 범주로 나뉩니다.

  • 장치
  • 사용자
  • 사서함
  • 클라우드 리소스

위협 분석 보고서의 영향을 받은 자산 섹션의 스크린샷.

엔드포인트 노출: 보안 업데이트의 배포 상태 파악

엔드포인트 노출 섹션은 위협 요소에 대한 조직의 노출 수준을 제공합니다. 이 수준은 위협에서 악용된 취약성 및 잘못된 구성의 심각도와 이러한 약점이 있는 디바이스 수를 기반으로 계산됩니다.

또한 이 섹션에서는 온보딩된 디바이스에서 발견된 취약성에 대해 지원되는 소프트웨어 보안 업데이트의 배포 상태를 제공합니다. 또한 보고서의 다양한 링크에서 자세한 드릴다운 정보를 제공하는 Microsoft Defender 취약성 관리의 데이터를 통합합니다.

위협 분석 보고서의 엔드포인트 노출 섹션

권장 작업 탭에서 위협에 대한 조직의 복원력을 높이는 데 도움이 될 수 있는 특정 실행 가능한 권장 사항 목록을 검토합니다. 추적된 완화 목록에는 다음과 같은 지원되는 보안 구성이 포함됩니다.

  • 클라우드 제공 보호
  • PUA(사용자 동의 없이 설치된 애플리케이션) 보호
  • 실시간 보호

취약성 세부 정보를 보여 주는 위협 분석 보고서의 권장 작업 섹션

보고서 업데이트에 대한 이메일 알림 설정

위협 분석 보고서에 대한 업데이트를 보내는 이메일 알림을 설정할 수 있습니다. 전자 메일 알림을 만들려면 Microsoft Defender XDR에서 위협 분석 업데이트에 대한 이메일 알림 가져오기의 단계를 수행합니다.

기타 보고서 세부 정보 및 제한 사항

위협 분석 데이터를 확인할 때 다음 요소를 기억하세요.

  • 권장 작업 탭의 검사 목록에는 Microsoft 보안 점수에서 추적된 권장 사항만 표시됩니다. 보안 점수에서 추적되지 않는 더 많은 권장 작업은 분석가 보고서 탭을 확인하세요.
  • 권장 작업은 완전한 복원력을 보장하지 않으며 이를 개선하는 데 필요한 최상의 작업만 반영합니다.
  • 바이러스 백신 관련 통계는 Microsoft Defender 바이러스 백신 설정을 기반으로 합니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.