엔드포인트용 Microsoft Defender 사용자 계정 조사

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

사용자 계정 엔터티 조사

가장 활성 경고가 있는 사용자 계정을 식별하고(dashboard "위험에 처한 사용자"로 표시됨) 잠재적인 손상된 자격 증명의 사례를 조사하거나 경고 또는 디바이스를 조사할 때 연결된 사용자 계정에서 피벗하여 해당 사용자 계정으로 디바이스 간에 가능한 횡적 이동을 식별합니다.

다음 보기에서 사용자 계정 정보를 찾을 수 있습니다.

• 대시보드
• 경고 큐
• 디바이스 세부 정보 페이지

이러한 보기에서는 클릭 가능한 사용자 계정 링크를 사용할 수 있습니다. 그러면 사용자 계정에 대한 자세한 정보가 표시되는 사용자 계정 세부 정보 페이지로 이동합니다.

사용자 계정 엔터티를 조사할 때 다음을 확인할 수 있습니다.

• 사용자 계정 세부 정보, Microsoft Defender for Identity 경고 및 로그온한 디바이스, 역할, 로그온 유형 및 기타 세부 정보
• 인시던트 및 사용자의 디바이스 개요
• 이 사용자와 관련된 경고
• organization 관찰됨(로그온한 디바이스)

사용자 세부 정보

왼쪽의 사용자 세부 정보 창에는 관련 열린 인시던트, 활성 경고, SAM 이름, SID, Microsoft Defender for Identity 경고, 사용자가 로그온한 디바이스 수, 사용자가 처음 및 마지막으로 본 경우, 역할 및 로그온 유형과 같은 사용자에 대한 정보가 제공됩니다. 사용하도록 설정한 통합 기능에 따라 다른 세부 정보를 볼 수 있습니다. 예를 들어 비즈니스용 Skype 통합을 사용하도록 설정하면 포털에서 사용자에게 문의할 수 있습니다. Azure ATP 경고 섹션에는 Microsoft Defender for Identity 기능을 사용하도록 설정한 경우 Microsoft Defender for Identity 페이지로 연결되는 링크가 포함되어 있으며 사용자와 관련된 경고가 있습니다. Microsoft Defender for Identity 페이지에서는 경고에 대한 자세한 정보를 제공합니다.

참고

이 기능을 사용하려면 Microsoft Defender for Identity 엔드포인트용 Defender에서 통합을 사용하도록 설정해야 합니다. 엔드포인트용 Defender에서 고급 기능에서 이 기능을 사용하도록 설정할 수 있습니다. 고급 기능을 사용하도록 설정하는 방법에 대한 자세한 내용은 고급 기능 켜기를 참조하세요.

organization 개요, 경고 및 관찰은 사용자 계정에 대한 다양한 특성을 표시하는 다른 탭입니다.

참고

Linux 디바이스의 경우 로그인한 사용자에 대한 정보가 표시되지 않습니다.

개요

개요 탭에는 인시던트 세부 정보 및 사용자가 로그온한 디바이스 목록이 표시됩니다. 이를 확장하여 각 디바이스에 대한 로그온 이벤트의 세부 정보를 볼 수 있습니다.

경고

경고 탭은 사용자 계정과 연결된 경고 목록을 제공합니다. 이 목록은 경고 큐의 필터링된 보기이며, 사용자 컨텍스트가 선택한 사용자 계정인 경고, 마지막 활동이 검색된 날짜, 경고에 대한 간단한 설명, 경고와 연결된 디바이스, 경고의 심각도, 큐의 경고 상태 및 경고가 할당된 사용자를 보여 줍니다.

organization 관찰됨

organization 관찰 탭을 사용하면 날짜 범위를 지정하여 이 사용자가 로그온된 것으로 관찰된 디바이스 목록, 이러한 각 디바이스에 대해 가장 자주 로그온한 사용자 계정 및 각 디바이스에서 관찰된 총 사용자를 확인할 수 있습니다.

organization 테이블에서 관찰됨 테이블에서 항목을 선택하면 항목이 확장되어 디바이스에 대한 자세한 내용이 표시됩니다. 항목 내에서 링크를 직접 선택하면 해당 페이지로 이동합니다.

특정 사용자 계정에 대한 Search

1. Search 표시줄 드롭다운 메뉴에서 사용자를 선택합니다.
2. Search 필드에 사용자 계정을 입력합니다.
3. 검색 아이콘을 클릭하거나 Enter 키를 누릅니 다.

쿼리 텍스트와 일치하는 사용자 목록이 표시됩니다. 사용자 계정의 도메인 및 이름, 사용자 계정이 마지막으로 표시되었을 때 및 지난 30일 동안 로그온된 것으로 관찰된 총 디바이스 수를 볼 수 있습니다.

다음 기간별로 결과를 필터링할 수 있습니다.

• 1일
• 3일
• 7일
• 30일
• 6개월

관련 문서

• 엔드포인트용 Microsoft Defender 경고 큐 보기 및 구성
• 엔드포인트용 Microsoft Defender 경고 관리
• 엔드포인트용 Microsoft Defender 경고 조사
• 엔드포인트용 Defender 경고와 연결된 파일 조사
• 엔드포인트용 Defender 디바이스 목록에서 디바이스 조사
• 엔드포인트용 Defender 경고와 연결된 IP 주소 조사
• 엔드포인트용 Defender 경고와 연결된 도메인 조사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.