Microsoft Defender XDR 위협 분석의 분석가 보고서 이해
적용 대상:
- Microsoft Defender XDR
중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
각 위협 분석 보고서에는 동적 섹션과 분석가 보고서라는 포괄적인 서면 섹션이 포함됩니다. 이 섹션에 액세스하려면 추적된 위협에 대한 보고서를 열고 분석가 보고서 탭을 선택합니다.
위협 분석 보고서의 분석가 보고서 섹션
다양한 분석가 보고서 유형 파악
위협 분석 보고서는 다음 보고서 유형 중 하나로 분류할 수 있습니다.
- 활동 프로필 – 위협 행위자와 관련된 특정 공격 캠페인에 대한 정보를 제공합니다. 이 보고서는 공격이 발생한 방법, 공격에 관심을 가져야 하는 이유 및 Microsoft가 고객을 보호하는 방법에 대해 설명합니다. 활동 프로필에는 이벤트 타임라인, 공격 체인, 동작 및 방법론과 같은 세부 정보도 포함될 수 있습니다.
- 행위자 프로필 – 주목할 만한 사이버 공격의 배후에 있는 특정 Microsoft 추적 위협 행위자 정보를 제공합니다. 이 보고서는 행위자의 동기, 산업 및/또는 지리적 목표, TTP(전술, 기술 및 절차)에 대해 설명합니다. 행위자 프로필에는 행위자의 공격 인프라, 맬웨어(사용자 지정 또는 오픈 소스) 및 사용한 익스플로잇, 주목할 만한 이벤트 또는 캠페인에 대한 정보도 포함될 수 있습니다.
- 기술 프로필 – 위협 행위자가 사용하는 특정 기술(예: POWERShell의 악의적인 사용 또는 BEC(비즈니스 전자 메일 손상)의 자격 증명 수집) 및 Microsoft가 기술과 관련된 활동을 검색하여 고객을 보호하는 방법에 대한 정보를 제공합니다.
- 위협 개요 – 여러 프로필 보고서를 이러한 보고서를 사용하거나 관련된 위협에 대한 광범위한 그림을 그리는 설명으로 요약합니다. 예를 들어 위협 행위자가 다양한 기술을 사용하여 온-프레미스 자격 증명을 도용하고 온-프레미스 자격 증명 도난에 대한 위협 개요는 무차별 암호 대입 공격, Kerberos 공격 또는 정보 도용 맬웨어에 대한 기술 프로필에 연결될 수 있습니다. Microsoft Threat Intelligence는 고객 환경에 영향을 주는 주요 위협에 대한 센서를 사용하여 이 보고서 유형에 적합한 위협을 평가합니다.
- 도구 프로필 – 위협 행위자와 종종 연결된 특정 사용자 지정 또는 오픈 소스 도구에 대한 정보를 제공합니다. 이 보고서에서는 도구의 기능, 이를 사용하는 위협 행위자가 달성하려는 목표 및 Microsoft가 관련 활동을 검색하여 고객을 보호하는 방법에 대해 설명합니다.
- 취약성 프로필 – 특정 CVE(Common Vulnerabilities and Exposures) ID 또는 제품에 영향을 주는 유사한 CVE 그룹에 대한 정보를 제공합니다. 취약성 프로필은 일반적으로 위협 행위자 및 주목할 만한 공격 캠페인에서 사용되는 취약성과 같은 주목할 만한 취약성에 대해 설명합니다. 취약성 유형, 영향을 받은 서비스, 제로 데이 또는 인 더 와일드 악용, 심각도 점수 및 잠재적 영향, Microsoft의 적용 범위 등 하나 이상의 정보를 다룹니다.
분석가 보고서 검사
분석가 보고서의 각 섹션은 실행 가능한 정보를 제공하도록 설계되었습니다. 보고서는 다양하지만 대부분의 보고서에는 다음 표에 설명된 섹션이 포함됩니다.
| 보고서 섹션 | 설명 |
|---|---|
| 요약 | 처음 보았을 때, 동기, 주목할 만한 이벤트, 주요 목표, 고유한 도구 및 기술을 포함할 수 있는 위협의 스냅샷. 이 정보를 사용하여 업계, 지리적 위치 및 네트워크의 컨텍스트에서 위협의 우선 순위를 지정하는 방법을 추가로 평가할 수 있습니다. |
| 개요 | 보고서 유형에 따라 공격에 대한 기술 분석에는 공격의 세부 정보와 공격자가 새로운 기술 또는 공격 표면을 사용하는 방법이 포함될 수 있습니다. 또한 이 섹션에는 더 많은 컨텍스트와 세부 정보를 제공하기 위해 보고서 유형에 따라 다른 제목과 추가 하위 섹션이 있습니다. 예를 들어 취약성 프로필에는 영향을 받은 기술을 나열하는 별도의 섹션이 있지만 행위자 프로필에는 도구 및 TTP 및특성 섹션이 포함될 수 있습니다. |
| 검색/헌팅 쿼리 | 위협과 관련된 활동 또는 구성 요소를 노출할 수 있는 Microsoft 보안 솔루션에서 제공하는 특정 및 일반 검색 입니다. 이 섹션에서는 가능한 위협 활동을 사전에 식별하기 위한 헌팅 쿼리 도 제공합니다. 대부분의 쿼리는 특히 악의적인 것으로 동적으로 평가할 수 없는 잠재적으로 악의적인 구성 요소 또는 동작을 찾기 위해 검색을 보완하기 위해 제공됩니다. |
| MITRE ATT&CK 기술 관찰 | 관찰된 기술이 MITRE ATT&CK 공격 프레임워크에 매핑되는 방법 |
| 권장 사항 | 위협의 영향을 중지하거나 줄일 수 있는 실행 가능한 단계입니다. 이 섹션에는 위협 분석 보고서의 일부로 동적으로 추적되지 않는 완화도 포함되어 있습니다. |
| 참조 | 보고서를 만드는 동안 분석가가 참조하는 Microsoft 및 타사 발행물입니다. 위협 분석 콘텐츠는 Microsoft 연구원이 유효성을 검사한 데이터를 기반으로 합니다. 공개적으로 사용 가능한 타사 원본의 정보는 다음과 같이 명확하게 식별됩니다. |
| 로그 변경 | 보고서가 게시된 시간과 보고서에 상당한 변경이 적용된 시간입니다. |
각 위협을 검색하는 방법 이해
분석가 보고서는 위협을 감지하는 데 도움이 될 수 있는 다양한 Microsoft 솔루션의 정보도 제공합니다. 해당되는 경우 다음 섹션에 나열된 각 제품의 이 위협과 관련된 검색을 나열합니다. 이러한 위협 관련 검색의 경고는 위협 분석 페이지의 경고 상태 카드에 표시됩니다.
일부 분석가 보고서는 또한 일반적으로 의심스러운 동작에 플래그를 지정하도록 설계되었으며 추적된 위협과 연결되지 않을 수 있는 경고를 멘션. 이러한 경우 보고서는 관련 없는 위협 활동에 의해 경고를 트리거할 수 있으며 위협 분석 페이지에 제공된 상태 카드에서 모니터링되지 않는다는 것을 명확하게 명시합니다.
Microsoft Defender 바이러스 백신
바이러스 백신 검색은 Windows에서 Microsoft Defender 바이러스 백신이 켜져 있는 디바이스에서 사용할 수 있습니다. 이러한 검색은 사용 가능한 경우 Microsoft 보안 인텔리전스 해당 맬웨어 백과 사전 설명에 연결됩니다.
엔드포인트용 Microsoft Defender
엔드포인트용 Microsoft Defender 온보딩된 디바이스에 대해 EDR(엔드포인트 검색 및 응답) 경고가 발생합니다. 이러한 경고는 엔드포인트용 Defender 센서에서 수집한 보안 신호 및 강력한 신호 원본 역할을 하는 바이러스 백신, 네트워크 보호, 변조 보호와 같은 기타 엔드포인트 기능에 의존합니다.
Office 365용 Microsoft Defender
Office 365용 Defender 검색 및 완화도 분석가 보고서에 포함됩니다. Office 365용 Defender 전자 메일, 링크(URL), 파일 첨부 파일 및 공동 작업 도구의 위협으로부터 보호하는 Microsoft 365 구독에 원활하게 통합됩니다.
ID용 Microsoft Defender
Defender for Identity는 organization 전체에서 ID 모니터링을 보호하는 데 도움이 되는 클라우드 기반 보안 솔루션입니다. 온-프레미스 Active Directory 및 클라우드 ID의 신호를 사용하여 organization 대상으로 하는 고급 위협을 더 잘 식별, 감지 및 조사할 수 있습니다.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps 기본 CASB(클라우드 액세스 보안 브로커) 기능, SaaS SSPM(보안 태세 관리) 기능, 고급 위협 방지 및 앱 간 보호를 사용하여 클라우드 앱 데이터를 모니터링하고 보호하는 데 도움이 되는 SaaS 애플리케이션에 대한 완전한 보호를 제공합니다.
Microsoft Defender for Cloud
클라우드용 Defender 는 다양한 위협 및 취약성으로부터 클라우드 기반 애플리케이션을 보호하도록 설계된 보안 조치 및 사례로 구성된 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼)입니다.
고급 헌팅을 사용하여 미묘한 위협 아티팩트 찾기
검색을 통해 추적된 위협을 자동으로 식별하고 중지할 수 있지만, 많은 공격 활동은 더 많은 검사가 필요한 미묘한 추적을 남깁니다. 일부 공격 활동은 정상일 수도 있는 동작을 나타내므로 동적으로 감지하면 작동 노이즈 또는 가양성이 발생할 수 있습니다. 헌팅 쿼리를 사용하면 잠재적으로 악의적인 구성 요소 또는 동작을 사전에 찾을 수 있습니다.
고급 헌팅 쿼리 Microsoft Defender XDR
고급 헌팅은 위협 활동의 미묘한 지표를 찾는 것을 간소화하는 Kusto 쿼리 언어 기반으로 하는 쿼리 인터페이스를 제공합니다. 또한 컨텍스트 정보를 표시하고 지표가 위협에 연결되어 있는지 여부를 확인할 수 있습니다.
분석가 보고서의 고급 헌팅 쿼리는 Microsoft 분석가의 심사를 받았으며 고급 헌팅 쿼리 편집기에서 실행할 준비가 되었습니다. 쿼리를 사용하여 향후 일치 항목에 대한 경고를 트리거하는 사용자 지정 검색 규칙을 만들 수도 있습니다.
쿼리 Microsoft Sentinel
분석가 보고서에는 Microsoft Sentinel 고객을 위한 적용 가능한 헌팅 쿼리도 포함될 수 있습니다.
Microsoft Sentinel organization 데이터 원본에서 보안 위협을 헌팅하는 강력한 헌팅 검색 및 쿼리 도구가 있습니다. 보안 앱이나 예약된 분석 규칙에서 검색되지 않는 새로운 변칙을 사전에 검색할 수 있도록 헌팅 쿼리를 Sentinel 헌팅 쿼리를 통해 네트워크에 이미 있는 데이터에서 문제를 찾을 수 있는 올바른 질문을 할 수 있습니다.
추가 완화 적용
위협 분석은 특정 보안 업데이트 및 보안 구성의 상태 동적으로 추적합니다. 이러한 유형의 정보는 엔드포인트 노출 및 권장 작업 탭에서 차트 및 테이블로 사용할 수 있으며 이 위협에 적용되고 다른 위협에도 적용될 수 있는 반복 가능한 권장 사항입니다.
분석가 보고서는 이러한 추적된 권장 사항 외에도 보고서에서 논의되는 위협 또는 상황과 관련이 있기 때문에 동적으로 모니터링 되지 않는 완화에 대해서도 논의할 수 있습니다. 다음은 동적으로 추적되지 않는 중요한 완화의 몇 가지 예입니다.
- .lnk 첨부 파일 또는 기타 의심스러운 파일 형식으로 전자 메일 차단
- 로컬 관리자 암호 임의화
- 피싱 메일 및 기타 위협 벡터에 대한 최종 사용자 교육
- 특정 공격 표면 감소 규칙 켜기
엔드포인트 노출 및 권장 작업 탭을 사용하여 위협에 대한 보안 태세를 평가할 수 있지만, 이러한 권장 사항을 통해 보안 태세를 개선하기 위한 다른 단계를 수행할 수 있습니다. 분석가 보고서의 모든 완화 지침을 주의 깊게 읽고 가능하면 적용합니다.
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.