엔드포인트용 Microsoft Defender 디바이스 목록에서 디바이스 조사

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

특정 디바이스에서 발생한 경고의 세부 정보를 조사하여 경고 또는 위반의 잠재적 scope 관련될 수 있는 다른 동작 또는 이벤트를 식별합니다.

참고

조사 또는 응답 프로세스의 일부로 디바이스에서 조사 패키지를 수집할 수 있습니다. 방법은 다음과 같습니다. 디바이스에서 조사 패키지를 수집합니다.

영향을 받는 디바이스를 포털에서 볼 때마다 선택하여 해당 디바이스에 대한 자세한 보고서를 열 수 있습니다. 영향을 받는 디바이스는 다음 영역에서 식별됩니다.

• 장치 목록
• 경고 큐
• 모든 개별 경고
• 모든 개별 파일 세부 정보 보기
• 모든 IP 주소 또는 도메인 세부 정보 보기

특정 디바이스를 조사할 때 다음이 표시됩니다.

• 디바이스 세부 정보
• 응답 작업
• 탭(개요, 경고, 타임라인, 보안 권장 사항, 소프트웨어 인벤토리, 검색된 취약성, 누락된 KB)
• 카드(활성 경고, 로그온한 사용자, 보안 평가, 디바이스 상태 상태)

참고

제품 제한으로 인해 디바이스 프로필은 '마지막으로 본' 기간(디바이스 페이지에도 표시됨)을 결정할 때 모든 사이버 증거를 고려하지 않습니다. 예를 들어 디바이스 페이지의 '마지막으로 본' 값은 컴퓨터의 타임라인 최신 경고 또는 데이터를 사용할 수 있더라도 이전 시간 프레임을 표시할 수 있습니다.

디바이스 세부 정보

디바이스 세부 정보 섹션에서는 디바이스의 도메인, OS 및 상태와 같은 정보를 제공합니다. 디바이스에서 사용할 수 있는 조사 패키지가 있는 경우 패키지를 다운로드할 수 있는 링크가 표시됩니다.

응답 작업

응답 작업은 특정 디바이스 페이지의 맨 위에서 실행되며 다음을 포함합니다.

• 지도에서 보기
• 디바이스 값
• 중요도 설정
• 태그 관리
• 디바이스 격리
• 앱 실행 제한
• 바이러스 백신 검사 실행
• 조사 패키지 수집
• 라이브 응답 세션 시작
• 자동화된 조사 시작
• 위협 전문가에게 문의
• 알림 센터

알림 센터, 특정 디바이스 페이지 또는 특정 파일 페이지에서 응답 작업을 수행할 수 있습니다.

디바이스에서 작업을 수행하는 방법에 대한 자세한 내용은 디바이스 에서 응답 작업 수행을 참조하세요.

자세한 내용은 사용자 엔터티 조사를 참조하세요.

참고

맵에서 보기 및 중요도 설정은 현재 공개 미리 보기로 제공되는 Microsoft 노출 관리의 기능입니다.

탭

탭은 디바이스와 관련된 관련 보안 및 위협 방지 정보를 제공합니다. 각 탭에서 열 머리글 위의 막대에서 열 사용자 지정 을 선택하여 표시되는 열을 사용자 지정할 수 있습니다.

개요

개요 탭에는 활성 경고, 로그온한 사용자 및 보안 평가에 대한 카드가 표시됩니다.

인시던트 및 경고

인시던트 및 경고 탭은 디바이스와 연결된 인시던트 및 경고 목록을 제공합니다. 이 목록은 필터링된 버전의 경고 큐이며 인시던트, 경고, 심각도(높음, 중간, 낮음, 정보), 큐의 상태(신규, 진행 중, 해결됨), 분류(설정되지 않음, 거짓 경고, 실제 경고), 조사 상태, 경고 범주, 경고 처리 대상 및 마지막 활동에 대한 간단한 설명을 보여 줍니다. 경고를 필터링할 수도 있습니다.

경고를 선택하면 플라이아웃이 나타납니다. 이 패널에서 경고를 관리하고 인시던트 번호 및 관련 디바이스와 같은 자세한 내용을 볼 수 있습니다. 한 번에 여러 경고를 선택할 수 있습니다.

경고의 전체 페이지 보기를 보려면 경고의 제목을 선택합니다.

시간 표시 막대

타임라인 탭은 디바이스에서 관찰된 이벤트 및 관련 경고의 시간순 보기를 제공합니다. 이렇게 하면 디바이스와 관련하여 모든 이벤트, 파일 및 IP 주소의 상관 관계를 지정할 수 있습니다.

또한 타임라인 지정된 기간 내에 발생한 이벤트를 선택적으로 드릴다운할 수 있습니다. 선택한 기간 동안 디바이스에서 발생한 이벤트의 임시 시퀀스를 볼 수 있습니다. 보기를 추가로 제어하려면 이벤트 그룹별로 필터링하거나 열을 사용자 지정할 수 있습니다.

참고

방화벽 이벤트를 표시하려면 감사 정책을 사용하도록 설정해야 합니다. 필터링 플랫폼 연결 감사를 참조하세요.

방화벽은 다음 이벤트를 다룹니다.

• 5025 - 방화벽 서비스가 중지됨
• 5031 - 애플리케이션이 네트워크에서 들어오는 연결을 수락하지 못하도록 차단됨
• 5157 - 차단된 연결

일부 기능에는 다음이 포함됩니다.

• 특정 이벤트에 대한 Search
  • 검색 창을 사용하여 특정 타임라인 이벤트를 찾습니다.
• 특정 날짜의 이벤트 필터링
  • 테이블 왼쪽 위에서 달력 아이콘을 선택하여 지난 날, 주, 30일 또는 사용자 지정 범위의 이벤트를 표시합니다. 기본적으로 디바이스 타임라인 지난 30일 동안의 이벤트를 표시하도록 설정됩니다.
  • 섹션을 강조 표시하여 특정 시점으로 이동하려면 타임라인 사용합니다. 타임라인 화살표는 자동화된 조사를 정확히 파악합니다.
• 자세한 디바이스 타임라인 이벤트 내보내기
  • 디바이스 타임라인 현재 날짜 또는 지정된 날짜 범위는 최대 7일로 내보냅니다.

특정 이벤트에 대한 자세한 내용은 추가 정보 섹션에서 제공합니다. 이러한 세부 정보는 이벤트 유형에 따라 달라집니다. 예를 들면 다음과 같습니다.

• Application Guard 포함 - 웹 브라우저 이벤트가 격리된 컨테이너에 의해 제한되었습니다.
• 활성 위협 검색됨 - 위협이 실행되는 동안 위협 탐지가 발생했습니다.
• 수정 실패 - 검색된 위협을 수정하려는 시도가 호출되었지만 실패했습니다.
• 수정 성공 - 검색된 위협이 중지되고 정리되었습니다.
• 사용자가 무시한 경고 - 사용자가 Windows Defender SmartScreen 경고를 해제하고 재정의했습니다.
• 의심스러운 스크립트가 검색됨 - 잠재적으로 악의적인 스크립트가 실행 중인 것으로 나타났습니다.
• 경고 범주 - 이벤트가 경고 생성으로 이어진 경우 경고 범주(예: 횡적 이동)가 제공됩니다.

이벤트 세부 정보

이벤트를 선택하여 해당 이벤트에 대한 관련 세부 정보를 봅니다. 일반 이벤트 정보를 표시하는 패널이 표시됩니다. 적용 가능하고 데이터를 사용할 수 있는 경우 관련 엔터티 및 해당 관계를 보여 주는 그래프도 표시됩니다.

이벤트 및 관련 이벤트를 추가로 검사하려면 관련 이벤트에 대한 헌팅을 선택하여 고급 헌팅 쿼리를 신속하게 실행할 수 있습니다. 쿼리는 선택한 이벤트와 동일한 엔드포인트에서 동시에 발생한 다른 이벤트 목록을 반환합니다.

보안 권장 사항

보안 권장 사항은 엔드포인트용 Microsoft Defender 취약성 관리 기능에서 생성됩니다. 권장 사항을 선택하면 권장 사항에 대한 설명 및 권장 사항을 제정하지 않는 것과 관련된 잠재적 위험과 같은 관련 세부 정보를 볼 수 있는 패널이 표시됩니다. 자세한 내용은 보안 권장 사항을 참조하세요.

보안 정책

보안 정책 탭에는 디바이스에 적용되는 엔드포인트 보안 정책이 표시됩니다. 정책, 유형, 상태 및 마지막 검사 시간 목록이 표시됩니다. 정책 이름을 선택하면 정책 세부 정보 페이지로 이동하여 정책 설정 상태, 적용된 디바이스 및 할당된 그룹을 볼 수 있습니다.

소프트웨어 인벤토리

소프트웨어 인벤토리 탭을 사용하면 약점 또는 위협과 함께 디바이스에서 소프트웨어를 볼 수 있습니다. 소프트웨어 이름을 선택하면 보안 권장 사항, 검색된 취약성, 설치된 디바이스 및 버전 배포를 볼 수 있는 소프트웨어 세부 정보 페이지로 이동합니다. 자세한 내용은 소프트웨어 인벤토리 를 참조하세요.

검색된 취약성

검색된 취약성 탭에는 디바이스에서 검색된 취약성의 이름, 심각도 및 위협 인사이트가 표시됩니다. 특정 취약성을 선택하면 설명과 세부 정보가 표시됩니다.

누락된 KB

누락된 KB 탭에는 디바이스에 대한 누락된 보안 업데이트가 나열됩니다.

카드

활성 경고

Azure Advanced Threat Protection 카드 Microsoft Defender for Identity 기능을 사용하고 활성 경고가 있는 경우 디바이스 및 해당 위험 수준과 관련된 경고에 대한 개략적인 개요를 표시합니다. 자세한 내용은 경고 드릴다운에서 확인할 수 있습니다 .

참고

이 기능을 사용하려면 Microsoft Defender for Identity 엔드포인트용 Defender에서 통합을 사용하도록 설정해야 합니다. 엔드포인트용 Defender에서 고급 기능에서 이 기능을 사용하도록 설정할 수 있습니다. 고급 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 고급 기능 켜기를 참조하세요.

로그온한 사용자

로그온한 사용자 카드 지난 30일 동안 로그온한 사용자 수와 가장 빈도가 가장 낮은 사용자를 보여 줍니다. 모든 사용자 보기 링크를 선택하면 세부 정보 창이 열립니다. 이 창에는 사용자 유형, 로그인 유형, 사용자가 처음 및 마지막으로 본 시기와 같은 정보가 표시됩니다. 자세한 내용은 사용자 엔터티 조사를 참조하세요.

참고

'가장 빈번한' 사용자 값은 대화형으로 성공적으로 로그온한 사용자의 증거에 따라 계산됩니다. 그러나 모든 사용자 쪽 창은 모든 종류의 사용자 로그온을 계산하므로 해당 사용자가 대화형이 아닐 수 있다는 점을 감안할 때 측면 창에서 더 자주 볼 수 있습니다.

보안 평가

보안 평가 카드 전체 노출 수준, 보안 권장 사항, 설치된 소프트웨어 및 검색된 취약성을 보여 줍니다. 디바이스의 노출 수준은 보류 중인 보안 권장 사항의 누적 영향에 따라 결정됩니다.

장치 상태

디바이스 상태 상태 카드 특정 디바이스에 대한 요약된 상태 보고서를 표시합니다. 다음 메시지 중 하나는 디바이스의 전체 상태 나타내기 위해 카드 맨 위에 표시됩니다(가장 높은 우선 순위에서 가장 낮은 우선 순위 순서로 나열됨).

• Defender 바이러스 백신이 활성화되지 않음
• 보안 인텔리전스가 최신이 아닙니다.
• 엔진이 최신이 아닙니다.
• 빠른 검사 실패
• 전체 검사 실패
• 플랫폼이 최신이 아닙니다.
• 보안 인텔리전스 업데이트 상태 알 수 없음
• 엔진 업데이트 상태 알 수 없음
• 빠른 검사 상태 알 수 없음
• 전체 검사 상태 알 수 없음
• 플랫폼 업데이트 상태 알 수 없음
• 디바이스가 최신 상태입니다.
• macOS & Linux에 사용할 수 없는 상태

카드 기타 정보에는 마지막 전체 검사, 마지막 빠른 검사, 보안 인텔리전스 업데이트 버전, 엔진 업데이트 버전, 플랫폼 업데이트 버전 및 Defender 바이러스 백신 모드가 포함됩니다.

회색 원은 데이터를 알 수 없음을 나타냅니다.

참고

macOS 및 Linux 디바이스에 대한 전체 상태 메시지는 현재 'macOS & Linux에 사용할 수 없는 상태'로 표시됩니다. 현재 상태 요약은 Windows 디바이스에서만 사용할 수 있습니다. 테이블의 다른 모든 정보는 지원되는 모든 플랫폼에 대한 각 디바이스 상태 신호의 개별 상태를 표시하도록 최신 상태입니다.

디바이스 상태 보고서를 자세히 보려면 보고서 디바이스 상태로 이동>하면 됩니다. 자세한 내용은 엔드포인트용 Microsoft Defender 디바이스 상태 및 규정 준수 보고서를 참조하세요.

참고

Defender 바이러스 백신 모드의 날짜와 시간은 현재 사용할 수 없습니다.

관련 문서

• 엔드포인트용 Microsoft Defender 경고 큐 보기 및 구성
• 엔드포인트용 Microsoft Defender 경고 관리
• 엔드포인트용 Microsoft Defender 경고 조사
• 엔드포인트용 Defender 경고와 연결된 파일 조사
• 엔드포인트용 Defender 경고와 연결된 IP 주소 조사
• 엔드포인트용 Defender 경고와 연결된 도메인 조사
• 엔드포인트용 Defender에서 사용자 계정 조사
• 보안 권장 사항
• 소프트웨어 인벤토리

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.