Microsoft Defender XDR 위협 분석의 분석가 보고서 이해
참고
Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft Defender XDR
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
각 위협 분석 보고서에는 동적 섹션과 분석가 보고서라는 포괄적인 서면 섹션이 포함됩니다. 이 섹션에 액세스하려면 추적된 위협에 대한 보고서를 열고 분석가 보고서 탭을 선택합니다.
위협 분석 보고서의 분석가 보고서 섹션
분석가 보고서 검사
분석가 보고서의 각 섹션은 실행 가능한 정보를 제공하도록 설계되었습니다. 보고서는 다양하지만 대부분의 보고서에는 다음 표에 설명된 섹션이 포함됩니다.
| 보고서 섹션 | 설명 |
|---|---|
| 요약 | 처음 발견되었을 때, 동기, 주목할 만한 이벤트, 주요 목표, 고유한 도구 및 기술을 포함하여 위협에 대한 개요입니다. 이 정보를 사용하여 업계, 지리적 위치 및 네트워크의 컨텍스트에서 위협의 우선 순위를 지정하는 방법을 추가로 평가할 수 있습니다. |
| 분석 | 공격에 대한 세부 정보 및 공격자가 새로운 기술 또는 공격 표면을 활용하는 방법을 포함하여 위협에 대한 기술 정보 |
| MITRE ATT&CK 기술 관찰 | 관찰된 기술이 MITRE ATT&CK 공격 프레임워크에 매핑되는 방법 |
| 완화 | 위협의 영향을 중지하거나 줄일 수 있는 권장 사항입니다. 이 섹션에는 위협 분석 보고서의 일부로 동적으로 추적되지 않는 완화도 포함되어 있습니다. |
| 검색 세부 정보 | 위협과 관련된 활동 또는 구성 요소를 노출할 수 있는 Microsoft 보안 솔루션에서 제공하는 특정 및 일반 검색입니다. |
| 지능형 헌팅 | 가능한 위협 활동을 사전에 식별하기 위한 고급 헌팅 쿼리입니다. 대부분의 쿼리는 특히 악의적인 것으로 동적으로 평가할 수 없는 잠재적으로 악의적인 구성 요소 또는 동작을 찾기 위해 검색을 보완하기 위해 제공됩니다. |
| 참조 | 보고서를 만드는 동안 분석가가 참조하는 Microsoft 및 타사 발행물입니다. 위협 분석 콘텐츠는 Microsoft 연구원이 유효성을 검사한 데이터를 기반으로 합니다. 공개적으로 사용 가능한 타사 원본의 정보는 다음과 같이 명확하게 식별됩니다. |
| 로그 변경 | 보고서가 게시된 시간과 보고서에 상당한 변경이 적용된 시간입니다. |
추가 완화 적용
위협 분석은 보안 업데이트 및 보안 구성의 상태 동적으로 추적합니다. 이 정보는 노출 & 완화 탭에서 차트 및 테이블로 사용할 수 있습니다.
분석가 보고서는 이러한 추적된 완화 외에도 동적으로 모니터링 되지 않는 완화에 대해서도 설명합니다. 다음은 동적으로 추적되지 않는 중요한 완화의 몇 가지 예입니다.
- .lnk 첨부 파일 또는 기타 의심스러운 파일 형식으로 전자 메일 차단
- 로컬 관리자 암호 임의화
- 피싱 메일 및 기타 위협 벡터에 대한 최종 사용자 교육
- 특정 공격 표면 감소 규칙 켜기
노출 & 완화 탭을 사용하여 위협에 대한 보안 태세를 평가할 수 있지만, 이러한 권장 사항을 통해 보안 태세를 개선하기 위한 추가 단계를 수행할 수 있습니다. 분석가 보고서의 모든 완화 지침을 주의 깊게 읽고 가능하면 적용합니다.
각 위협을 검색하는 방법 이해
분석가 보고서는 또한 Microsoft Defender 바이러스 백신 및 EDR(엔드포인트 검색 및 응답) 기능의 검색을 제공합니다.
바이러스 백신 검색
이러한 검색은 Microsoft Defender 바이러스 백신이 켜져 있는 디바이스에서 사용할 수 있습니다. 엔드포인트용 Microsoft Defender 위해 온보딩된 디바이스에서 이러한 검색이 발생하면 보고서의 차트를 밝히는 경고도 트리거합니다.
참고
또한 분석가 보고서는 추적된 위협과 관련된 구성 요소 또는 동작 외에도 광범위한 위협을 식별할 수 있는 일반 검색 을 나열합니다. 이러한 일반 검색은 차트에 반영되지 않습니다.
EDR(엔드포인트 검색 및 응답) 경고
엔드포인트용 Microsoft Defender 온보딩된 디바이스에 대해 EDR 경고가 발생합니다. 이러한 경고는 일반적으로 강력한 신호 원본 역할을 하는 엔드포인트용 Microsoft Defender 센서 및 기타 엔드포인트 기능(예: 바이러스 백신, 네트워크 보호, 변조 보호)에서 수집한 보안 신호에 의존합니다.
바이러스 백신 검색 목록과 마찬가지로 일부 EDR 경고는 추적된 위협과 연결되지 않을 수 있는 의심스러운 동작에 일반적으로 플래그를 지정하도록 설계되었습니다. 이러한 경우 보고서는 경고를 "제네릭"으로 명확하게 식별하며 보고서의 차트에 영향을 주지 않습니다.
Email 관련 검색 및 완화
Office 365용 Microsoft Defender Email 관련 검색 및 완화는 엔드포인트용 Microsoft Defender 이미 사용할 수 있는 엔드포인트 데이터 외에도 분석가 보고서에 포함됩니다.
방지된 전자 메일 시도 정보를 통해 배달 전에 공격이 효과적으로 차단되었거나 정크 메일 폴더로 배달된 경우에도 organization 분석가 보고서에서 다루는 위협의 대상인지에 대한 인사이트를 얻을 수 있습니다.
고급 헌팅을 사용하여 미묘한 위협 아티팩트 찾기
검색을 통해 추적된 위협을 자동으로 식별하고 중지할 수 있지만, 많은 공격 활동은 추가 검사가 필요한 미묘한 추적을 남깁니다. 일부 공격 활동은 정상일 수도 있는 동작을 나타내므로 동적으로 감지하면 작동 노이즈 또는 가양성이 발생할 수 있습니다.
고급 헌팅은 위협 활동의 미묘한 지표를 찾는 것을 간소화하는 Kusto 쿼리 언어 기반으로 하는 쿼리 인터페이스를 제공합니다. 또한 컨텍스트 정보를 표시하고 지표가 위협에 연결되어 있는지 여부를 확인할 수 있습니다.
분석가 보고서의 고급 헌팅 쿼리는 Microsoft 분석가의 심사를 받았으며 고급 헌팅 쿼리 편집기에서 실행할 준비가 되었습니다. 쿼리를 사용하여 향후 일치 항목에 대한 경고를 트리거하는 사용자 지정 검색 규칙을 만들 수도 있습니다.
참고
위협 분석은 엔드포인트용 Microsoft Defender 사용할 수도 있습니다. 그러나 Office 365용 Microsoft Defender 엔드포인트용 Microsoft Defender 간의 데이터 통합은 없습니다.
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기