위협 조사 및 응답

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 2

팁

Office 365 플랜 2용 Microsoft Defender XDR에서 무료로 기능을 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 Office 365용 90일 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Office 365용 Microsoft Defender의 위협 조사 및 대응 기능은 다음과 같은 방법으로 보안 분석가와 관리자가 조직의 비즈니스 사용자를 위한 Microsoft 365를 보호하는 데 도움이 됩니다.

• 사이버 공격을 쉽게 식별, 모니터링 및 이해할 수 있도록 합니다.
• Exchange Online, SharePoint Online, 비즈니스용 OneDrive 및 Microsoft Teams의 위협을 신속하게 해결하는 데 도움을 줍니다.
• 보안 운영이 조직에 대한 사이버 공격을 방지하는 데 도움이 되는 인사이트와 지식을 제공합니다.
• 중요한 전자 메일 기반 위협에 대해 Office 365에서 자동화된 조사 및 대응 을 채택합니다.

위협 조사 및 대응 기능은 Microsoft Defender 포털에서 사용할 수 있는 위협 및 관련 대응 작업에 대한 인사이트를 제공합니다. 이러한 인사이트는 조직의 보안 팀이 전자 메일 또는 파일 기반 공격으로부터 사용자를 보호하는 데 도움이 될 수 있습니다. 이 기능은 신호를 모니터링하고 사용자 활동, 인증, 이메일, 손상된 PC 및 보안 인시던트와 같은 여러 원본에서 데이터를 수집하는 데 도움이 됩니다. 비즈니스 의사 결정자와 보안 운영 팀은 이 정보를 사용하여 조직에 대한 위협을 이해하고 대응하고 지적 재산권을 보호할 수 있습니다.

위협 조사 및 대응 도구에 대해 알아보기

Microsoft Defender 포털의 https://security.microsoft.com 위협 조사 및 대응 기능은 다음을 포함하는 도구 및 대응 워크플로 집합입니다.

• 탐색기
• 인시던트
• 공격 시뮬레이션 교육
• 자동화된 조사 및 응답

탐색기

탐색기(및 실시간 검색)를 사용하여 위협을 분석하고, 시간 경과에 따른 공격 양을 확인하고, 위협 패밀리, 공격자 인프라 등을 기준으로 데이터를 분석합니다. 탐색기(위협 탐색기라고도 함)는 보안 분석가의 조사 워크플로의 시작점입니다.

의 Microsoft Defender 포털 https://security.microsoft.com에서 이 보고서를 보고 사용하려면 메일 & 공동 작업>탐색기로 이동합니다. 또는 탐색기 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/threatexplorer.

Office 365 위협 인텔리전스 연결

이 기능은 활성 Office 365 E5 또는 G5 또는 Microsoft 365 E5 또는 G5 구독 또는 위협 인텔리전스 추가 기능이 있는 경우에만 사용할 수 있습니다. 자세한 내용은 Office 365 Enterprise E5 제품 페이지를 참조하세요.

Office 365용 Microsoft Defender의 데이터는 Microsoft Defender XDR에 통합되어 Office 365 사서함 및 Windows 장치에서 포괄적인 보안 조사를 수행합니다.

인시던트

인시던트 목록(조사라고도 함)을 사용하여 비행 중 보안 인시던트 목록을 확인합니다. 인시던트 는 의심스러운 이메일 메시지와 같은 위협을 추적하고 추가 조사 및 수정을 수행하는 데 사용됩니다.

의 Microsoft Defender 포털 https://security.microsoft.com에서 조직의 현재 인시던트 목록을 보려면 인시던트 & 경고>인시던트로 이동합니다. 또는 인시던트 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/incidents.

공격 시뮬레이션 교육

공격 시뮬레이션 교육을 사용하여 조직에서 현실적인 사이버 공격을 설정하고 실행하고 실제 사이버 공격이 비즈니스에 영향을 미치기 전에 취약한 사람을 식별합니다. 자세한 내용은 피싱 공격 시뮬레이션을 참조하세요.

의 Microsoft Defender 포털에서 https://security.microsoft.com이 기능을 보고 사용하려면 메일 & 협업>공격 시뮬레이션 교육으로 이동합니다. 또는 공격 시뮬레이션 학습 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/attacksimulator?viewid=overview.

자동화된 조사 및 응답

자동 조사 및 대응(AIR) 기능을 사용하여 조직의 위협으로부터 위험에 처한 콘텐츠, 디바이스 및 사용자와 상관 관계를 지정하는 시간과 노력을 절약할 수 있습니다. AIR 프로세스는 특정 경고가 트리거되거나 보안 운영 팀에서 시작할 때마다 시작될 수 있습니다. 자세한 내용은 Office 365의 자동 조사 및 응답을 참조하세요.

위협 인텔리전스 위젯

Office 365용 Microsoft Defender 플랜 2 제품의 일부로 보안 분석가는 알려진 위협에 대한 세부 정보를 검토할 수 있습니다. 이는 사용자를 안전하게 유지하기 위해 수행할 수 있는 추가 예방 조치/단계가 있는지 여부를 결정하는 데 유용합니다.

이러한 기능을 얻으려면 어떻게 해야 할까요?

Microsoft 365 위협 조사 및 대응 기능은 Enterprise E5 또는 특정 구독에 대한 추가 기능으로 포함된 Office 365용 Microsoft Defender 플랜 2에 포함되어 있습니다. 자세한 내용은 Office 365용 Defender 플랜 1 및 플랜 2 치트 시트를 참조하세요.

필요한 역할 및 사용 권한 할당

Office 365용 Microsoft Defender는 역할 기반 액세스 제어를 사용합니다. 사용 권한은 Microsoft Entra ID, Microsoft 365 관리 센터 또는 Microsoft Defender 포털의 특정 역할을 통해 할당됩니다.

팁

보안 관리자와 같은 일부 역할은 Microsoft Defender 포털에서 할당할 수 있지만 대신 Microsoft 365 관리 센터 또는 Microsoft Entra ID를 사용하는 것이 좋습니다. 역할, 역할 그룹 및 권한에 대한 자세한 내용은 다음 리소스를 참조하세요.

• Microsoft Defender 포털의 권한
• Microsoft Entra 기본 제공 역할

활동	역할 및 사용 권한
Microsoft Defender 취약성 관리 대시보드 사용 최근 또는 현재 위협에 대한 정보 보기	다음 중 하나가 필요합니다. 전역 관리자* 보안 관리자 보안 읽기 권한자 이러한 역할은 Microsoft Entra ID(https://portal.azure.com) 또는 Microsoft 365 관리 센터(https://admin.microsoft.com)에서 할당할 수 있습니다.
탐색기(및 실시간 검색)를 사용하여 위협 분석	다음 중 하나가 필요합니다. 전역 관리자* 보안 관리자 보안 읽기 권한자 이러한 역할은 Microsoft Entra ID(https://portal.azure.com) 또는 Microsoft 365 관리 센터(https://admin.microsoft.com)에서 할당할 수 있습니다.
인시던트 보기(조사라고도 함) 인시던트에 전자 메일 메시지 추가	다음 중 하나가 필요합니다. 전역 관리자* 보안 관리자 보안 읽기 권한자 이러한 역할은 Microsoft Entra ID(https://portal.azure.com) 또는 Microsoft 365 관리 센터(https://admin.microsoft.com)에서 할당할 수 있습니다.
인시던트에서 전자 메일 작업 트리거 의심스러운 전자 메일 메시지 찾기 및 삭제	다음 중 하나가 필요합니다. 전역 관리자* 보안 관리자 와 검색 및 제거 역할 전역 관리자* 및 보안 관리자 역할은 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에서 할당할 수 있습니다. 검색 및 제거 역할은 Microsoft 36 Defender 포털(https://security.microsoft.com)의 이메일 & 공동 작업 역할에 할당되어야 합니다.
엔드포인트용 Microsoft Defender와 Office 365용 Microsoft Defender 플랜 2 통합 Office 365용 Microsoft Defender 요금제 2를 SIEM 서버와 통합	Microsoft Entra ID() 또는 Microsoft 365 관리 센터https://admin.microsoft.com(https://portal.azure.com)에 할당된 전역 관리자* 또는 보안 관리자 역할. --- 플러스 --- 추가 애플리케이션(예: Microsoft Defender Security Center 또는 SIEM 서버)에 할당된 적절한 역할입니다.

중요

^* 사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한 있는 역할입니다.

다음 단계

• Office 365용 Microsoft Defender의 위협 추적기 계획 2
• 배달된 악성 전자 메일 찾기 및 조사(Office 365 위협 조사 및 대응)
• 피싱 공격 시뮬레이션