엔드포인트용 Microsoft Defender 인시던트 관리

  • 아티클

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

인시던트 관리는 모든 사이버 보안 작업의 중요한 부분입니다. 인시던트 또는 인시던트 관리 창에서 인시던트를 선택하여 인시던트를 관리할 수 있습니다.

2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.

인시던트 큐에서 인시던트를 선택하면 인시던트 관리 창에서 인시던트 페이지를 열어 자세한 내용을 확인할 수 있습니다.

인시던트 관리 창

인시던트 할당, 상태 및 분류 변경, 이름 바꾸기 또는 주석으로 진행 상황을 추적할 수 있습니다.

추가 가시성을 위해 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 인시던트 이름이 자동으로 생성됩니다. 이렇게 하면 인시던트의 범위를 빠르게 이해할 수 있습니다.

예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.

자동 인시던트 이름을 롤아웃하기 전에 존재한 인시던트가 해당 이름을 유지합니다.

인시던트 세부 정보 페이지

인시던트 할당

인시던트가 아직 할당되지 않은 경우 할당을 선택하여 인시던트를 자신에게 할당할 수 있습니다. 이렇게 하면 인시던트뿐만 아니라, 관련된 모든 알림의 소유권을 가정합니다.

상태 및 분류 설정

인시던트 상태

조사가 진행됨에 따라 상태를 변경하여 인시던트(활성 또는 해결됨)를 분류할 수 있습니다. 이렇게 하면 팀에서 인시더트에 대한 대응 방법을 구성하고 관리할 수 있습니다.

예를 들어 SOC 분석가는 당일 긴급 활성 인시 트 를 검토하고 조사를 위해 자신에게 할당하기로 결정할 수 있습니다.

또는, 인시던트가 조정된 경우 SOC 분석가가 인시던트를 해결됨으로 설정할 수 있습니다.

분류

분류를 설정하지 않도록 선택하거나 인시던트가 true 또는 false인지 여부를 지정하도록 결정할 수 있습니다. 이렇게 하면 팀에서 패턴을 보고 해당 정보에서 배울 수 있습니다.

메모 추가

인시던트에 대한 메모를 추가하고 기록 이벤트를 보고 이전에 변경한 내용을 확인할 수 있습니다.

알림에 대해 변경 사항이나 메모가 작성될 때마다, 해당 내용이 메모 및 기록 섹션에 기록됩니다.

추가된 메모는 창에 바로 표시됩니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.