4단계 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트에 대응

• 적용 대상:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

이 문서에서는 심사, 조사 및 해결을 포함하는 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트를 해결하는 일반적인 단계 및 절차를 제공합니다. Microsoft Sentinel 및 Microsoft Defender XDR 공유:

• 수명 주기(상태, 소유자, 분류)에 대한 업데이트는 제품 간에 공유됩니다.
• 조사 중에 수집된 증거는 Microsoft Sentinel 인시던트에 표시됩니다.

다음 그림에서는 Microsoft Defender 포털의 통합 보안 운영 플랫폼에 Microsoft Sentinel 작업 영역을 온보딩했는지 여부에 따라 Microsoft의 XDR(확장 검색 및 응답) 솔루션이 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.

Defender 포털

다음 그림에서는 Microsoft의 XDR 솔루션이 통합 보안 운영 플랫폼과 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.

이 다이어그램에서

• 전체 조직에서 신호의 인사이트는 Microsoft Defender XDR 및 클라우드용 Microsoft Defender 피드합니다.
• Microsoft Sentinel은 다중 클라우드 환경을 지원하고 타사 앱 및 파트너와 통합합니다.
• Microsoft Sentinel 데이터는 조직의 데이터와 함께 Microsoft Defender 포털로 수집됩니다.
• 그런 다음 SecOps 팀은 Microsoft Defender 포털에서 Microsoft Sentinel 및 Microsoft Defender XDR로 식별된 위협을 분석하고 대응할 수 있습니다.

Azure Portal

다음 그림에서는 Microsoft의 XDR 솔루션이 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.

이 다이어그램에서

• 전체 조직에서 신호의 인사이트는 Microsoft Defender XDR 및 클라우드용 Microsoft Defender 피드합니다.
• Microsoft Defender XDR 및 클라우드용 Microsoft Defender Microsoft Sentinel 커넥터를 통해 SIEM 로그 데이터를 보냅니다.
• 그런 다음 SecOps 팀은 Microsoft Sentinel 및 Microsoft Defender 포털에서 식별된 위협을 분석하고 대응할 수 있습니다.
• Microsoft Sentinel은 다중 클라우드 환경을 지원하고 타사 앱 및 파트너와 통합합니다.

Microsoft Defender와 Microsoft Sentinel의 통합에 대한 자세한 내용은 Microsoft Sentinel과 Microsoft Defender XDR 통합을 참조하세요. 이 대화형 가이드 에서는 Microsoft의 SIEM(통합 보안 정보 및 이벤트 관리) 및 XDR(확장 검색 및 대응) 기능을 사용하여 최신 공격을 감지하고 대응하는 단계를 안내합니다.

인시던트 대응 프로세스

Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트를 해결하기 위한 인시던트 대응 프로세스는 통합 보안 운영 플랫폼에 작업 영역을 온보딩했는지 여부에 따라 다르며 Defender 포털에서 Microsoft Sentinel에 액세스할 수 있습니다.

Defender 포털

1. Defender 포털을 사용하여 인시던트에 대한 세부 정보를 이해하고 즉각적인 조치를 취하는 등 잠재적인 인시던트 심사를 수행합니다.

2. 다음을 포함하여 Defender 포털에서 조사를 계속합니다.

   • 인시던트 및 해당 범위를 이해하고 자산 타임라인을 검토합니다.
   • 자체 복구 보류 중인 작업을 검토하고, 엔터티를 수동으로 수정하고, 라이브 응답을 수행합니다.
   • 방지 조치 추가.

   Defender 포털의 Microsoft Sentinel 영역을 사용하여 다음을 포함하여 조사를 심화합니다.

   • 인시던트 범위를 보안 프로세스, 정책 및 절차(3P)와 상호 연결하여 이해합니다.
   • 3P 자동화된 조사 및 수정 작업을 수행하고 SOAR(사용자 지정 보안 오케스트레이션, 자동화 및 응답) 플레이북을 만듭니다.
   • 인시던트 관리를 위한 기록 증거입니다.
   • 사용자 지정 측정값 추가

3. 인시던트 해결 및 보안 팀 내에서 적절한 후속 조치를 수행합니다.

자세한 내용은 다음을 참조하세요.

• Microsoft Defender XDR에서 인시던트 조사
• Microsoft Defender XDR을 사용한 인시던트 대응
• Microsoft Sentinel의 엔터티 페이지

Azure Portal

1. Azure Portal에서 Microsoft Sentinel을 사용하여 인시던트 세부 정보를 이해하고 즉각적인 조치를 취하는 등 잠재적인 인시던트 심사를 수행합니다.

2. Microsoft Defender 포털로 이동하여 조사를 시작합니다. 다음 내용이 포함됩니다.

   • 인시던트 및 해당 범위를 이해하고 자산 타임라인을 검토합니다.
   • 자체 복구 보류 중인 작업을 검토하고, 엔터티를 수동으로 수정하고, 라이브 응답을 수행합니다.
   • 방지 조치 추가.

3. 필요한 경우 Microsoft Sentinel 포털에서 조사를 계속합니다. 다음 내용이 포함됩니다.

   • 인시던트 범위를 보안 프로세스, 정책 및 절차(3P)와 상호 연결하여 이해합니다.
   • 3P 자동화된 조사 및 수정 작업을 수행하고 SOAR(사용자 지정 보안 오케스트레이션, 자동화 및 응답) 플레이북을 만듭니다.
   • 인시던트 관리를 위한 기록 증거입니다.
   • 사용자 지정 측정값 추가

4. Microsoft Sentinel 포털에서 인시던트 해결 및 보안 팀 내에서 적절한 후속 조치를 수행합니다.

자세한 내용은 Microsoft Sentinel에서 인시던트 탐색 및 조사를 참조 하세요.

사용하는 포털에 관계없이 Microsoft Sentinel의 플레이북 및 자동화 규칙 기능을 활용해야 합니다.

• 플레이북 은 Microsoft Sentinel 포털에서 루틴으로 실행할 수 있는 조사 및 수정 작업의 컬렉션입니다. 플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 될 수 있습니다. 인시던트, 엔터티 및 경고에 대해 수동으로 실행하거나 자동화 규칙에 의해 트리거될 때 특정 경고 또는 인시던트에 대한 응답으로 자동으로 실행되도록 설정할 수 있습니다. 자세한 내용은 플레이북을 사용하여 위협 대응 자동화를 참조 하세요.

• 자동화 규칙은 다양한 시나리오에 적용할 수 있는 작은 규칙 집합을 정의하고 조정할 수 있도록 하여 Microsoft Sentinel에서 자동화를 중앙에서 관리하는 방법입니다. 자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.

Microsoft Sentinel 작업 영역을 통합 보안 운영 플랫폼에 온보딩한 후에는 작업 영역에서 자동화가 작동하는 방식에 차이가 있습니다. 자세한 내용은 통합 보안 운영 플랫폼으로 자동화를 참조하세요.

1단계: 인시던트 심사

다음 단계를 일반적인 방법으로 사용하여 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트를 심사합니다. 통합 보안 운영 플랫폼에 작업 영역을 온보딩한 경우 Defender 포털을 사용합니다. 그렇지 않으면 Azure Portal을 사용합니다.

Defender 포털

Defender 포털에서 Microsoft Sentinel 인시던트 조사:

1. Defender 포털에서 조사 및 대응 > 인시던트 및 경고 > 인시던트 및 의심스러운 인시던트 찾기를 선택합니다. Microsoft Sentinel에서 발생한 인시던트 목록의 범위를 좁힐 수 있도록 서비스/검색 원본을 Microsoft Sentinel로 필터링합니다.

2. 인시던트 요약 창에서 기본 정보를 보려면 인시던트 행을 선택합니다.

3. 이름, 심각도, 상태, 분류 등의 세부 정보를 업데이트하거나 메모를 추가하려면 인시던트 관리를 선택합니다. 저장을 선택하여 변경 내용을 저장합니다.

4. 인시던트 열기 페이지를 선택하여 조사를 계속합니다.

Azure Portal

Azure Portal에서 인시던트 조사:

1. Microsoft Sentinel의 위협 관리에서 인시던트 및 의심스러운 인시던트 찾기를 선택합니다.

2. 인시던트 요약 창에서 소유자 이름, 상태, 심각도 등의 세부 정보를 업데이트하거나 메모를 추가합니다.

3. 전체 세부 정보 보기를 선택하여 조사를 계속합니다.

2단계: 인시던트 조사

작업 영역이 통합 보안 운영 플랫폼에 온보딩된 경우 이 전체 단계를 위해 Defender 포털에 유지됩니다. 그렇지 않으면 Azure Portal에서 시작합니다. 일부 조사를 위해 Defender 포털로 이동한 다음 Azure Portal로 돌아갑니다.

Defender 포털

Defender 포털의 인시던트 세부 정보 페이지의 공격 스토리 탭에서 사용자 고유의 인시던트 대응 워크플로에 대해 다음 단계를 고려합니다.

1. 인시던트의 공격 스토리를 보고 해당 범위, 심각도, 검색 원본 및 영향을 받는 엔터티를 이해합니다.

2. 인시던트의 경고를 분석하여 인시던트 내의 경고 스토리를 사용하여 원본, 범위 및 심각도를 이해합니다.

3. 필요에 따라 그래프를 사용하여 영향을 받은 디바이스, 사용자 및 사서함에 대한 정보를 수집합니다. 모든 엔터티를 선택하여 모든 세부 정보가 포함된 플라이아웃을 엽니다.

4. 조사 탭을 사용하여 Microsoft Defender XDR이 일부 경고를 자동으로 해결하는 방법을 알아봅니다 .

5. 필요에 따라 증거 및 응답 탭에서 인시던트에 대한 데이터 집합의 정보를 사용합니다.

6. 자산 탭에서 인시던트에 관련된 엔터티를 봅니다. 엔터티 세부 정보 페이지에서 추가 조사를 계속하려면 사용자 계정, 호스트 이름, IP 주소 또는 Azure 리소스를 선택합니다. 예를 들어 사용자를 선택한 경우 사용자 세부 정보 창에서 사용자 페이지로 이동을 선택하여 사용자의 엔터티 세부 정보 페이지를 엽니다.

7. 엔터티 세부 정보 페이지에서 Sentinel 이벤트를 선택하여 선택한 엔터티 및 엔터티 인사이트에 대한 자세한 타임라인 정보를 봅니다.

Azure Portal

1. Azure Portal의 인시던트 세부 정보 페이지에서 다음을 수행합니다.

   • 인시 던트 타임라인, 엔터티 목록 및 관련 인시던트 등 개요 탭에서 인시던트에 대한 일반 정보를 확인합니다.

   • 조사를 선택하여 인시던트 그래프를 확인합니다.

   • 엔터티 탭을 선택한 다음 엔터티를 선택하여 자세히 조사합니다. 엔터티 창의 Insights 섹션을 선택하고 인시던트에 대해 수집된 인사이트를 검토합니다.

   • Microsoft Defender XDR에서 조사를 선택하여 Defender 포털에서 동일한 인시던트 열기

2. Defender 포털의 인시던트 세부 정보 페이지의 공격 스토리 탭에서 사용자 고유의 인시던트 대응 워크플로에 대해 다음 단계를 고려합니다.

   1. 인시던트의 공격 스토리를 보고 해당 범위, 심각도, 검색 원본 및 영향을 받는 엔터티를 이해합니다.

   2. 인시던트의 경고를 분석하여 인시던트 내의 경고 스토리를 사용하여 원본, 범위 및 심각도를 이해합니다.

   3. 필요에 따라 그래프를 사용하여 영향을 받은 디바이스, 사용자 및 사서함에 대한 정보를 수집합니다. 모든 엔터티를 선택하여 모든 세부 정보가 포함된 플라이아웃을 엽니다.

   4. 조사 탭을 사용하여 Microsoft Defender XDR이 일부 경고를 자동으로 해결하는 방법을 알아봅니다 .

   5. 필요에 따라 증거 및 응답 탭에서 인시던트에 대한 데이터 집합의 정보를 사용합니다.

3. Azure Portal 로 돌아가 플레이북 실행 또는 자동화 규칙 만들기와 같은 추가 인시던트 작업을 수행합니다.

   인시던트에 주석을 추가하여 작업 및 분석 결과를 기록합니다.

3단계: 인시던트 해결

조사가 결론에 도달하고 포털 내에서 인시던트를 수정한 경우 인시던트의 상태를 Closed로 설정하여 인시던트를 해결합니다.

인시던트의 상태를 Closed로 표시할 때 true, 무해 또는 가양성 옵션을 포함하여 분류를 선택해야 합니다.

예시:

Defender 포털

자세한 내용은 Defender 포털에서 인시던트 해결을 참조 하세요.

Azure Portal

자세한 내용은 Azure Portal에서 인시던트 닫기를 참조 하세요.

필요에 따라 인시던트 대응 리드에 보고하여 추가 작업을 결정할 수 있는 후속 조치를 확인합니다. 예시:

• 계층 1 보안 분석가에게 공격을 조기에 더 잘 감지하도록 알릴 수 있습니다.
• 보안 공격 추세에 대한 Microsoft Defender XDR 위협 분석 및 보안 커뮤니티의 공격을 조사합니다.
• 필요에 따라 인시던트 해결에 사용한 워크플로를 기록하고 표준 워크플로, 프로세스, 정책 및 플레이북을 업데이트합니다.
• 보안 구성의 변경이 필요한지 여부를 확인하고 구현합니다.
• 나중에 비슷한 위험에 대한 위협 대응을 자동화하고 오케스트레이션하는 오케스트레이션 플레이북을 만듭니다. 자세한 내용은 Microsoft Sentinel의 플레이북을 사용하여 위협 대응 자동화를 참조하세요.

권장 교육

다음은 이 단계에 권장되는 학습 모듈입니다. 교육 콘텐츠는 일반 공급 기능에 중점을 두므로 미리 보기 상태인 통합 보안 운영 플랫폼에 대한 콘텐츠는 포함되지 않습니다.

Microsoft Sentinel의 보안 인시던트 관리

학습	Microsoft Sentinel의 보안 인시던트 관리
	이 모듈에서는 Microsoft Sentinel 인시던트 관리를 조사하고, Microsoft Sentinel 이벤트 및 엔터티에 대해 알아보고, 인시던트 해결 방법을 검색합니다.

시작 >

최신 운영 사례를 통해 안정성 향상: 인시던트 대응

학습	최신 운영 사례를 사용하여 안정성 향상 교육: 인시던트 대응
	효율적인 인시던트 대응의 기본 사항과 이런 대응을 가능하게 하는 Azure 도구를 알아보세요.

시작 >

Microsoft 365 보안 인시던트 관리 이해

학습	Microsoft 365 보안 인시던트 관리 이해
	Microsoft 365에서 보안 문제를 조사 및 관리하고 보안 문제에 대응하여 고객과 Microsoft 365 클라우드 환경을 보호하는 방법을 알아봅니다.

시작 >

다음 단계

• Microsoft Sentinel 및 Microsoft Defender 포털 내의 인시던트 대응 프로세스에 대한 자세한 내용은 Microsoft Defender XDR을 사용하여 Microsoft Sentinel 및 인시던트 대응에서 인시던트 탐색 및 조사를 참조하세요.
• Microsoft 보안 모범 사례에 대한 인시던트 응답 개요를 참조하세요.
• 일반적인 사이버 공격에 대응하는 워크플로 및 검사 목록은 인시던트 응답 플레이북을 참조하세요.

참조

다음 리소스를 사용하여 이 문서에 언급된 다양한 서비스 및 기술에 대해 알아봅니다.

• Microsoft Sentinel과 Microsoft Defender XDR 통합
• 통합 SIEM 및 XDR 기능 대화형 가이드
• Microsoft Sentinel의 플레이북으로 위협 대응 자동화
• 플레이북을 사용하여 위협 대응 자동화
• 자동화 규칙으로 Microsoft Sentinel의 위협 대응 자동화
• Microsoft Defender XDR 위협 분석

인시던트 대응에 대해 자세히 알아보려면 다음 리소스를 사용합니다.

• Microsoft Sentinel에서 인시던트 탐색 및 조사
• Microsoft Defender XDR을 사용한 인시던트 대응
• 인시던트 대응 개요
• 인시던트 대응 플레이북