자동 조사 관리
자동 조사 관리
Microsoft Defender에서 엔드포인트의 악성 또는 의심스러운 아티팩트를 탐지할 때마다 보안 운영 팀이 경고를 받습니다. 보안 운영 팀은 종결되지 않는 것처럼 보이는 위협 흐름에서 발생하는 여러 경고를 다루는 문제를 해결합니다. 엔드포인트용 Microsoft Defender에는 보안 운영 팀이 더 효율적이고 효과적으로 위협을 해결하는 데 도움이 될 수 있는 AIR(자동화된 조사 및 수정) 기능이 포함되어 있습니다.
자동 조사의 기술은 다양한 검사 알고리즘을 사용하며 보안 분석가가 사용하는 프로세스를 기반으로 합니다. AIR 기능은 경고를 조사하고 침해를 해결하기 위해 즉각적인 조치를 취하도록 설계되었습니다. AIR 기능은 경고의 양을 획기적으로 줄여 보안 운영에서 더욱 정교한 위협과 그 외 중요한 이니셔티브에 집중할 수 있도록 합니다. 작업 센터는 조사 상태, 검색 원본, 보류 중 또는 완료된 작업과 같은 세부 정보와 함께 자동으로 시작된 모든 조사를 추적합니다.
자동 조사 시작 방법
경고가 트리거되면 보안 플레이북이 적용됩니다. 보안 플레이북에 따라 자동화된 조사를 시작할 수 있습니다. 예를 들어 악성 파일이 디바이스에 있다고 가정합시다. 해당 파일이 검색되면 경고가 트리거되고 자동 조사 프로세스를 시작합니다. 엔드포인트용 Microsoft Defender는 악성 파일이 조직 내 다른 디바이스에 있는지 확인합니다. 평가 결과(악성, 의심스러움 및 위협 없음)를 포함하는 조사의 세부 정보는 자동 조사 진행 중 및 완료 후에 사용할 수 있습니다. 평가 결과를 확인한 후 발생하는 상황에 대한 자세한 내용은 자동화된 조사 결과 및 수정 작업을 참조하세요.
자동 조사 관련 세부 정보
자동 조사를 수행 중 및 수행 후에 조사 관련 세부 정보를 볼 수 있습니다. 조사 세부 정보를 보려면 경고 트리거를 선택합니다. 여기에서 조사 그래프, 경고, 디바이스, 증명 정보, 엔터티, 로그 탭으로 이동할 수 있습니다.
경고 - 조사를 촉발한 경고입니다.
디바이스 - 위협이 발견된 디바이스입니다.
증명 정보 - 조사 중 악성으로 확인된 엔터티입니다.
엔터티 - 분석된 엔터티 각각에 대해 각 엔터티 형식(악성, 의심스러움 또는 위협 없음) 결정을 포함하는 세부 정보입니다.
로그 - 경고로 인해 실행된 모든 조사 작업을 시간에 따라 자세히 확인할 수 있습니다.
보류 중인 작업 - 조사 결과 승인을 기다리는 작업이 있는 경우 보류 중인 작업 탭이 표시됩니다. 보류 중인 작업 탭에서 각 작업을 승인하거나 거부할 수 있습니다.
자동 조사에서 해당 범위를 확장하는 방법
조사 실행 중에는 해당 조사가 완료될 때까지 디바이스에서 생성되는 다른 모든 경고가 진행 중인 자동 조사에 추가됩니다. 또한 동일한 위협이 다른 디바이스에서 표시되는 경우 해당 디바이스는 조사에 추가됩니다.
위협 원인으로 보이는 엔터티가 다른 디바이스에 표시되는 경우 자동화된 조사 프로세스에서 해당 디바이스를 포함하도록 범위를 확장하고 일반 보안 플레이북이 해당 디바이스에서 시작됩니다. 동일한 엔터티에서 이 확장 프로세스를 수행하는 동안 디바이스를 10대 이상 찾으면 해당 확장 작업에 승인이 필요하고 보류 중인 작업 탭에 표시됩니다.
위협 요소를 수정하는 방법
경고를 트리거하고 자동 조사를 실행하면 조사된 증명 정보 각각에 대해 평가 결과를 생성합니다. 평가 결과는 악성, 의심스러움 또는 위협이 발견되지 않음 중 하나가 될 수 있습니다.
평가 결과가 도출되면 자동 조사의 결과로 하나 이상의 수정 작업이 이루어질 수 있습니다. 수정 작업의 예로 파일 격리하기, 서비스 중지하기, 예약된 작업 제거하기 등이 있습니다. (수정 작업을 참조하세요.)
조직의 자동화 설정 수준 및 기타 보안 설정에 따라 수정 작업은 자동으로 진행하거나 보안 운영 팀이 승인할 때만 진행할 수 있습니다. 자동 수정에 영향을 줄 수 있는 다른 보안 설정에는 PUA(사용자 동의 없이 설치된 애플리케이션)로부터의 보호가 포함됩니다.
모든 수정 작업은 해당 작업이 보류 중이든 완료되었든 상관없이 작업 센터에서 확인할 수 있습니다https://security.microsoft.com. 필요한 경우 보안 운영 팀이 수정 작업을 실행 취소할 수도 있습니다.
자동 조사 및 수정 기능의 자동화 수준
엔드포인트용 Microsoft Defender의 AIR(자동화된 조사 및 수정) 기능의 자동화 수준을 여러 개 중 하나로 구성할 수 있습니다. 자동화 수준은 AIR 조사에 따른 수정 작업을 자동으로 취할 것인지 허락할 때만 취할 것인지에 영향을 줍니다.
전체 자동화(권장됨)란 수정 작업이 악성으로 확인된 아티팩트에 대해 자동으로 수행된다는 의미입니다.
반자동화란 자동으로 수행되는 수정 활동도 있지만 허락해야 수행되는 수정 활동도 있다는 의미입니다. (자동화 수준에 대한 표를 참조하세요.)
보류 중이거나 완료되었는지와 상관없이 모든 수정 작업은 작업 센터에서 추적됩니다.
자동화 수준
전체 - 위협을 자동으로 수정(전체 자동화라고도 함)
전체 자동화를 사용하면 수정 작업이 자동으로 수행됩니다. 수행된 수정 작업은 모두 기록 탭의 작업 센터에서 검토할 수 있습니다. 필요한 경우 수정 작업을 취소할 수 있습니다.
세미 - 모든 수정에 대한 승인 필요(반자동화라고도 함)
해당 수준의 반자동화의 경우 모든 수정 작업에 승인이 필요합니다. 보류 중인 작업은 작업 센터의 보류 중 탭에서 확인하고 승인할 수 있습니다.
세미 - 핵심 폴더 수정에 대한 승인 필요(반자동화 유형 중 하나)
해당 수준의 반자동화의 경우 핵심 폴더에 있는 파일 또는 실행 파일에 필요한 모든 수정 작업에 승인이 필요합니다. 핵심 폴더는 Windows(\windows*)와 같은 운영 체제 디렉터리를 포함합니다.
기타(비 코어) 폴더에 있는 파일 또는 실행 파일에서는 수정 작업을 자동으로 수행할 수 있습니다.
작업 센터의 보류 중 탭에서 핵심 폴더의 파일 또는 실행 파일에 대한 보류 중인 작업을 보고 승인할 수 있습니다.
다른 폴더의 파일 또는 실행 파일에서 수행된 작업은 작업 센터의 기록 탭에서 볼 수 있습니다.
세미 - 비 임시 폴더 수정에 대한 승인 필요(반자동화 유형 중 하나)
해당 수준의 반자동화의 경우 임시 폴더에 없는 파일 또는 실행 파일에 필요한 모든 수정 작업에 승인이 필요합니다.
임시 폴더에는 다음 예가 포함될 수 있습니다.
\users*\appdata\local\temp*
\documents and settings*\local settings\temp*
\documents and settings*\local settings\temporary*
\windows\temp*
\users*\downloads*
\program files\
\program files (x86)*
\documents and settings*\users*
임시 폴더에 있는 파일 또는 실행 파일에서 수정 작업을 자동으로 수행할 수 있습니다.
임시 폴더에 없는 파일 또는 실행 파일에 대한 보류 중인 작업은 작업 센터의 보류 중 탭에서 보고 승인할 수 있습니다.
임시 폴더의 파일 또는 실행 파일에서 수행된 작업은 작업 센터의 기록 탭에서 보고 승인할 수 있습니다.
자동화 없음(자동화 안 함)
자동화를 사용하지 않으면 조직의 디바이스에서 자동 조사가 실행되지 않습니다. 따라서 자동 조사의 결과로 수정 작업이 수행되거나 보류되지 않습니다. 하지만 바이러스 백신 및 차세대 보호 기능이 구성된 방식에 따라 사용자 동의 없이 설치된 애플리케이션으로부터 보호하는 등의 기타 위협 방지 기능은 작동할 수 있습니다.
조직 디바이스의 보안 상태를 낮출 수 있으므로 자동화하지 않음 옵션은 사용하지 않는 것이 좋습니다. 자동화 수준은 전체 자동화(또는 최소한 반자동화)로 설정하는 것이 좋습니다.
자동화 수준에 대한 중요 포인트
전체 자동화는 안정적이고 효율적이며 안전하므로 모든 고객에게 권장합니다. 전체 자동화는 주요 보안 리소스를 자유롭게 하여 이들이 전략적 이니셔티브에 더욱 집중할 수 있게 합니다. 보안 팀이 자동화 수준에 따라 디바이스 그룹을 정의한 경우, 이러한 설정은 롤아웃되는 새 기본 설정으로 변경할 수 없습니다.