Microsoft 365의 자동화된 조사 세부 정보 및 결과

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 2

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Office 365용 Microsoft Defender자동 조사가 수행되면 자동 조사 프로세스 중 및 이후에 해당 조사에 대한 세부 정보를 사용할 수 있습니다. 필요한 권한이 있는 경우 Microsoft Defender 포털에서 이러한 세부 정보를 볼 수 있습니다. 조사 세부 정보는 최신 상태 및 보류 중인 작업을 승인할 수 있는 기능을 제공합니다.

팁

Microsoft Defender 포털에서 새로운 통합 조사 페이지를 확인하세요. 자세한 내용은 (NEW!)를 참조하세요. 통합 조사 페이지.

조사 상태

조사 상태 분석 및 작업의 진행률을 나타냅니다. 조사가 실행되면 위협을 찾았는지 여부와 작업이 승인되었는지 여부를 나타내는 변경 내용을 상태.

상태	설명
시작 중	조사가 트리거되고 실행되기를 기다리고 있습니다.
실행 중	조사 프로세스가 시작되어 진행 중입니다. 이 상태는 보류 중인 작업이 승인될 때도 발생합니다.
위협을 찾을 수 없음	조사가 완료되었으며 위협(사용자 계정, 전자 메일 메시지, URL 또는 파일)이 확인되지 않았습니다. 팁: 누락된 것으로 의심되는 경우(예: 거짓 부정) 위협 Explorer 사용하여 조치를 취할 수 있습니다.
부분적으로 조사됨	자동화된 조사 결과 문제가 발견되었지만 이러한 문제를 resolve 구체적인 수정 작업은 없습니다. 일부 유형의 사용자 활동이 식별되었지만 정리 작업을 사용할 수 없는 경우 부분적으로 조사된 상태 발생할 수 있습니다. 예제에는 다음 사용자 활동이 포함됩니다. 데이터 손실 방지 이벤트 변칙을 보내는 이메일 보낸 맬웨어 보낸 피시 참고: 이 부분적으로 조사된 상태 위협 발견으로 레이블이 지정되었습니다. 조사 결과 수정할 악의적인 URL, 파일 또는 전자 메일 메시지가 발견되지 않았으며 전달 규칙 또는 위임 해제와 같이 수정할 사서함 활동이 없습니다. 팁: 누락된 것으로 의심되는 경우(예: 거짓 부정) 위협 Explorer 사용하여 조사하고 조치를 취할 수 있습니다.
시스템에 의해 종료됨	조사가 중단되었습니다. 조사는 여러 가지 이유로 중지할 수 있습니다. 조사 보류 중인 작업이 만료되었습니다. 1주일 동안 승인을 기다린 후 보류 중인 작업 시간 초과 작업이 너무 많습니다. 예를 들어 악의적인 URL을 클릭하는 사용자가 너무 많은 경우 모든 분석기를 실행하는 조사의 기능을 초과할 수 있으므로 조사가 중단됩니다. 팁: 작업이 수행되기 전에 조사가 중단되면 위협 Explorer 사용하여 위협을 찾고 해결해 보세요.
보류 중인 작업	조사 결과 악의적인 이메일, 악의적인 URL 또는 위험한 사서함 설정과 같은 위협과 해당 위협이 승인을 기다리고 있음을 수정하기 위한 조치가 발견되었습니다. 보류 중인 작업 상태는 해당 작업에 대한 위협이 발견되면 트리거됩니다. 그러나 조사가 실행되면 보류 중인 작업 목록이 증가할 수 있습니다. 조사 세부 정보를 확인하여 다른 항목이 아직 완료 보류 중인지 확인합니다.
수정됨	조사가 완료되고 모든 수정 작업이 승인되었습니다(완전히 수정된 것으로 표시됨). 참고: 승인된 수정 작업에는 작업을 수행하지 못하게 하는 오류가 있을 수 있습니다. 수정 작업이 성공적으로 완료되었는지 여부에 관계없이 조사 상태 변경되지 않습니다. 조사 세부 정보를 봅니다.
부분적으로 수정됨	조사 결과 수정 작업이 발생했으며 일부는 승인되고 완료되었습니다. 다른 작업은 아직 보류 중입니다.
실패	하나 이상의 조사 분석기가 제대로 완료할 수 없는 문제가 발생했습니다. 참고 수정 작업이 승인된 후에도 조사가 실패하는 경우 수정 작업이 여전히 성공했을 수 있습니다. 조사 세부 정보를 봅니다.
제한에 의해 대기 중	조사가 큐에 보관되고 있습니다. 다른 조사가 완료되면 대기 중인 조사가 시작됩니다. 제한은 서비스 성능 저하를 방지하는 데 도움이 됩니다. 팁: 보류 중인 작업은 실행할 수 있는 새 조사 수를 제한할 수 있습니다. 보류 중인 작업을 승인(또는 거부)해야 합니다.
제한으로 종료됨	조사가 큐에 너무 오래 보관되면 중지됩니다. 팁: 위협 Explorer 조사를 시작할 수 있습니다.

조사 세부 정보 보기

1. Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
2. 탐색 창에서 작업 & 제출>알림 센터를 선택합니다.
3. 보류 중 또는 기록 탭에서 작업을 선택합니다. 플라이아웃 창이 열립니다.
4. 플라이아웃 창에서 조사 페이지 열기를 선택합니다.
5. 다양한 탭을 사용하여 조사에 대해 자세히 알아보세요.

조사와 관련된 경고에 대한 세부 정보 보기

특정 종류의 경고는 Microsoft 365에서 자동화된 조사를 트리거합니다. 자세한 내용은 자동화된 조사를 트리거하는 경고 정책을 참조하세요.

1. Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
2. 탐색 창에서 알림 센터를 선택합니다.
3. 보류 중 또는 기록 탭에서 작업을 선택합니다. 플라이아웃 창이 열립니다.
4. 플라이아웃 창에서 조사 페이지 열기를 선택합니다.
5. 경고 탭 을 선택하여 해당 조사와 관련된 모든 경고 목록을 봅니다.
6. 목록에서 항목을 선택하여 플라이아웃 창을 엽니다. 이 경우 경고에 대한 자세한 정보를 볼 수 있습니다.

다음 사항에 유의하세요.

• Email 개수는 조사 시 계산되며, 조사 플라이아웃을 열 때(기본 쿼리에 따라) 일부 개수가 다시 계산됩니다.

• Email 탭의 전자 메일 클러스터에 대해 표시되는 이메일 수와 클러스터 플라이아웃에 표시된 이메일 수량 값은 조사 시 계산되며 변경되지 않습니다.

• 이메일 클러스터 플라이아웃의 Email 탭 아래쪽에 표시된 이메일 수와 Explorer 표시된 전자 메일 메시지 수는 조사 초기 분석 후 받은 전자 메일 메시지를 반영합니다.

  따라서 10개의 전자 메일 메시지의 원래 수량을 보여 주는 이메일 클러스터는 조사 분석 단계와 관리자가 조사를 검토하는 시점 사이에 5개의 전자 메일 메시지가 더 도착할 때 총 15개의 이메일 목록을 표시합니다. 마찬가지로 Office 365용 Microsoft Defender 플랜 2의 데이터는 평가판의 경우 7일 후, 유료 라이선스의 경우 30일 후에 만료되기 때문에 이전 조사는 Explorer 쿼리보다 더 많은 수를 표시하기 시작할 수 있습니다.

  조사 시 이메일 영향과 수정이 실행될 때까지의 현재 영향을 나타내기 위해 여러 보기에서 기록 및 현재 개수 수를 모두 표시합니다.

• 이메일 컨텍스트에서 조사의 일부로 볼륨 변칙 위협 표면이 표시될 수 있습니다. 볼륨 변칙은 조사 이벤트 시간 전후에 이전 기간에 비해 유사한 전자 메일 메시지의 급증을 나타냅니다. 특정 특성(예: 주체 및 보낸 사람 도메인, 본문 유사성 및 보낸 사람 IP)과 함께 전자 메일 트래픽이 급증하는 것은 전자 메일 캠페인 또는 공격의 시작에서 일반적입니다. 그러나 대량, 스팸 및 합법적인 이메일 캠페인은 일반적으로 이러한 특성을 공유합니다.

• 볼륨 이상은 잠재적인 위협을 나타내며, 따라서 바이러스 백신 엔진, 폭발 또는 악의적인 평판을 사용하여 식별되는 맬웨어 또는 피싱 위협에 비해 덜 심각할 수 있습니다.

• 모든 작업을 승인할 필요는 없습니다. 권장 작업에 동의하지 않거나 organization 특정 유형의 작업을 선택하지 않는 경우 작업을 거부하거나 무시하거나 아무 작업도 수행하지 않도록 선택할 수 있습니다.

• 모든 작업을 승인 및/또는 거부하면 조사를 완전히 닫을 수 있으며(상태 수정됨) 일부 작업은 불완전한 결과를 남기면서 조사 상태 부분적으로 수정된 상태로 변경됩니다.

다음 단계

• 보류 중인 작업 검토 및 승인