인시던트 조사
인시던트 페이지에는 다음 정보 및 탐색 링크가 제공됩니다.
인시던트 개요
개요 페이지에는 인시던트에 관해 알아야 할 중요한 항목을 파악할 수 있는 스냅샷이 제공됩니다.
공격 범주에는 종료 체인에 대해 공격이 진행된 정도에 관한 시각적 및 숫자 보기가 제공됩니다. 다른 Microsoft 보안 제품과 마찬가지로 Microsoft Defender XDR은 MITRE ATT&CK™ 프레임워크에 맞춰집니다.
범위 섹션에는 이 인시던트의 일부인 상위 영향을 받는 자산 목록이 제공됩니다. 자산의 위험 수준, 조사 우선 순위, 태그 지정과 같이 이 자산에 관한 특정 정보가 있는 경우 이 섹션에도 표시됩니다.
경고 타임라인에서는 경고가 발생한 시간 순서 및 관련 경고가 이 인시던트에 연결된 이유를 살펴볼 수 있습니다.
그리고 마지막으로, 증빙 자료 섹션에는 인시던트에 포함된 다양한 아티팩트 수 및 해당 수정 상태의 요약이 제공되므로 마지막으로 필요한 작업을 즉시 식별할 수 있습니다.
이 개요는 알고 있어야 하는 인시던트의 중요한 특징에 대한 인사이트를 제공함으로써 인시던트의 초기 심사에 도움이 될 수 있습니다.
경고
인시던트에 관련된 모든 경고를 볼 수 있고, 심각도, 경고에 관련된 엔터티, 경고 원본(Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender), 경고가 함께 연결된 이유와 같이 해당 경고에 관한 기타 정보를 볼 수 있습니다.
기본적으로 경고는 먼저 시간 경과에 따라 공격이 진행된 방식을 볼 수 있도록 시간순으로 순서가 지정됩니다. 각 경고를 클릭하면 해당 경고의 심층 조사를 수행할 수 있는 관련 경고 페이지로 이동됩니다.
디바이스
디바이스 탭에는 인시던트에 관련된 경고가 표시되는 모든 디바이스가 나열됩니다.
공격을 받은 시스템의 이름 링크를 클릭하면 해당 디바이스 페이지로 이동합니다. 디바이스 페이지에서 해당 디바이스에 트리거된 경고와 조사를 지원하기 위해 제공된 관련 이벤트를 볼 수 있습니다.
사용자
지정된 인시던트에 포함되거나 관련된 것으로 식별된 사용자를 확인합니다.
사용자 이름을 클릭하면 추가 조사를 수행할 수 있는 사용자의 클라우드용 Microsoft Defender 앱 페이지로 이동됩니다.
사서함
인시던트에 포함되거나 관련된 것으로 식별된 사서함을 조사합니다.
앱
인시던트에 포함되거나 관련된 것으로 식별된 앱을 조사합니다.
조사
이 인시던트에서 경고에 의해 트리거되는 모든 자동화된 조사를 보려면 ‘조사’를 선택합니다. 조사 부서는 수정 작업을 수행하거나 분석가의 작업 승인을 대기합니다.
조사를 선택하여 조사 세부 정보 페이지로 이동하고 조사 및 수정 상태에 관한 전체 정보를 가져옵니다. 조사의 일부로 승인 보류 중인 작업은 보류 중인 작업 탭에 표시됩니다.
증거 및 대응
Microsoft Defender XDR은 경고에서 모든 인시던트의 지원되는 이벤트 및 의심스러운 엔터티를 자동으로 조사하여 중요한 파일, 프로세스, 서비스, 이메일 등에 대한 자동 응답 및 정보를 제공합니다. 이를 통해 인시던트의 잠재적 위협을 빠르게 검색하고 차단할 수 있습니다.
분석된 각 엔터티에는 평가 결과(악의적임, 의심스러움, 깨끗함) 및 수정 상태가 함께 표시됩니다. 이를 통해 전체 인시던트의 수정 상태와 추가로 수정하는 다음 단계를 이해할 수 있습니다.
그래프
그래프를 통해 연결된 사이버 보안 위협 정보가 하나의 인시던트로 시각화되므로 다양한 데이터 포인트로부터의 패턴과 상관 관계를 확인할 수 있습니다. 인시던트 그래프를 통해 이런 상관 관계를 확인할 수 있습니다.
그래프는 사이버 보안 공격에 대한 내용을 알려줍니다. 예를 들면 어떤 손상 또는 활동 지표가 어떤 디바이스에서 관찰된 진입점 등을 보여 줍니다.
인시던트 그래프에서 원을 선택하여 악의적인 파일, 관련된 파일 검색, 전 세계적으로 발생한 인스턴스 수, 소속 조직 내 관찰 이력 및 관찰된 인스턴스 수와 관련된 세부 정보를 확인할 수 있습니다.