엔드포인트용 Microsoft Defender 경고 관리

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender는 경고를 통해 가능한 악성 이벤트, 특성 및 컨텍스트 정보를 알 수 있습니다. 새 경고의 요약이 표시되며 경고 큐의 모든 경고에 액세스할 수 있습니다.

경고 큐에서 경고를 선택하거나 개별 디바이스에 대한 디바이스 페이지의 경고 탭을 선택하여 경고를 관리할 수 있습니다.

이러한 위치 중 하나에서 경고를 선택하면 경고 관리 창이 표시됩니다.

새 엔드포인트용 Microsoft Defender 경고 페이지를 사용하는 방법을 알아보려면 이 비디오를 시청하세요.

다른 인시던트에 연결

경고 또는 기존 인시던트에 대한 링크에서 새 인시던트를 만들 수 있습니다.

경고 할당

경고가 아직 할당되지 않은 경우 할당을 선택하여 자신에게 경고를 할당할 수 있습니다.

경고 표시 안 함

경고가 Microsoft Defender XDR 표시되지 않도록 해야 하는 시나리오가 있을 수 있습니다. 엔드포인트용 Defender를 사용하면 organization 알려진 도구 또는 프로세스와 같이 무해한 것으로 알려진 특정 경고에 대한 억제 규칙을 만들 수 있습니다.

기존 경고에서 제거 규칙을 만들 수 있습니다. 필요한 경우 비활성화하고 다시 사용할 수 있습니다.

제거 규칙을 만들 때 규칙이 만들어진 시점부터 적용됩니다. 규칙은 규칙을 만들기 전에 큐에 이미 있는 기존 경고에 영향을 미치지 않습니다. 규칙은 규칙을 만든 후 설정된 조건을 충족하는 경고에만 적용됩니다.

표시 안 함 규칙에 대한 두 가지 컨텍스트 중에서 선택할 수 있습니다.

• 이 디바이스에서 경고 표시 안 함
• 내 organization 경고 표시 안 함

규칙의 컨텍스트를 사용하면 포털에 표시되는 항목을 조정하고 실제 보안 경고만 포털에 표시되도록 할 수 있습니다.

다음 표의 예제를 사용하여 억제 규칙의 컨텍스트를 선택할 수 있습니다.

컨텍스트	정의	예제 시나리오
이 디바이스에서 경고 표시 안 함	동일한 경고 제목과 해당 특정 디바이스의 경고만 표시되지 않습니다. 해당 디바이스의 다른 모든 경고는 표시되지 않습니다.	보안 연구원은 organization 다른 디바이스를 공격하는 데 사용된 악성 스크립트를 조사하고 있습니다. 개발자는 정기적으로 팀을 위한 PowerShell 스크립트를 만듭니다.
내 organization 경고 표시 안 함	모든 디바이스에서 동일한 경고 제목이 있는 경고는 표시되지 않습니다.	무해한 관리 도구는 organization 모든 사용자가 사용합니다.

경고 표시 안 함 및 새 제거 규칙 만들기

경고가 표시되지 않거나 해결되는 시기를 제어하는 사용자 지정 규칙을 Create. 경고 제목, 손상 표시기 및 조건을 지정하여 경고가 표시되지 않는 경우에 대한 컨텍스트를 제어할 수 있습니다. 컨텍스트를 지정한 후에는 작업을 구성하고 경고에 scope 수 있습니다.

1. 표시하지 않을 경고를 선택합니다. 그러면 경고 관리 창이 표시됩니다.

2. Create 제거 규칙을 선택합니다.

   이러한 특성을 사용하여 억제 조건을 만들 수 있습니다. AND 연산자는 각 조건 사이에 적용되므로 모든 조건이 충족되는 경우에만 제거가 발생합니다.

   • 파일 SHA1
   • 파일 이름 - 지원되는 와일드카드
   • 폴더 경로 - 와일드카드 지원
   • IP 주소
   • URL - 와일드카드 지원
   • 명령줄 - 와일드카드 지원

3. 트리거 IOC를 선택합니다.

4. 작업을 지정하고 경고에 scope.

   경고를 자동으로 resolve 포털에서 숨길 수 있습니다. 자동으로 해결되는 경고는 경고 큐, 경고 페이지 및 디바이스 타임라인 해결된 섹션에 표시되며 엔드포인트용 Defender API에서 해결된 것으로 표시됩니다.

   숨김으로 표시된 경고는 디바이스의 연결된 경고와 dashboard 전체 시스템에서 표시되지 않으며 엔드포인트용 Defender API에서 스트리밍되지 않습니다.

5. 규칙 이름 및 주석을 입력합니다.

6. 저장을 클릭합니다.

표시 안 함 규칙 목록 보기

1. 탐색 창에서 설정>엔드포인트>규칙>경고 표시 안 함을 선택합니다.

2. 표시 안 함 규칙 목록에는 organization 사용자가 만든 모든 규칙이 표시됩니다.

억제 규칙 관리에 대한 자세한 내용은 억제 규칙 관리를 참조하세요.

경고의 상태 변경

조사가 진행됨에 따라 상태 변경하여 경고를 새로 만들기, 진행 중 또는 해결됨으로 분류할 수 있습니다. 이렇게 하면 팀이 경고에 응답하는 방법을 구성하고 관리하는 데 도움이 됩니다.

예를 들어 팀 리더는 모든 새 경고를 검토하고 추가 분석을 위해 진행 중인 큐에 할당하도록 결정할 수 있습니다.

또는 팀 리더가 경고가 무해하다는 것을 알고 있거나, 관련이 없거나(예: 보안 관리자에 속한 디바이스) 이전 경고를 통해 처리되고 있는 경우 해결 된 큐에 경고를 할당할 수 있습니다.

경고 분류

분류를 설정하지 않도록 선택하거나 경고가 실제 경고인지 아니면 거짓 경고인지 지정할 수 있습니다. 참 긍정/가양성의 분류를 제공하는 것이 중요합니다. 이 분류는 경고 품질을 모니터링하고 경고를 보다 정확하게 만드는 데 사용됩니다. "결정" 필드는 "참 긍정" 분류에 대한 추가 충실도를 정의합니다.

경고를 분류하는 단계는 이 비디오에 포함되어 있습니다.

주석 추가 및 경고 기록 보기

경고를 추가하고 경고에 대한 기록 이벤트를 확인하여 경고에 대한 이전 변경 내용을 확인할 수 있습니다.

경고가 변경되거나 주석이 표시될 때마다 메모 및 기록 섹션에 기록됩니다.

추가된 메모는 창에 바로 표시됩니다.

관련 문서

• 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외
• 제거 규칙 관리
• 엔드포인트용 Microsoft Defender 경고 큐 보기 및 구성
• 엔드포인트용 Microsoft Defender 경고 조사
• 엔드포인트용 Microsoft Defender 경고와 연결된 파일 조사
• 엔드포인트용 Microsoft Defender 디바이스 목록에서 디바이스 조사
• 엔드포인트용 Microsoft Defender 경고와 연결된 IP 주소 조사
• 엔드포인트용 Microsoft Defender 경고와 연결된 도메인 조사
• 엔드포인트용 Microsoft Defender 사용자 계정 조사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.