자동 조사 개요
적용 대상:
플랫폼
- Windows
작동 방식을 확인하고 싶으신가요? 다음 비디오를 시청하세요.
자동 조사 기술은 다양한 검사 알고리즘을 사용하며 보안 분석가가 사용하는 프로세스를 기반으로 합니다. AIR 기능은 경고를 조사하고 침해를 해결하기 위해 즉각적인 조치를 취하도록 설계되었습니다. AIR 기능은 경보 볼륨을 크게 줄여 보안 운영이 보다 정교한 위협 및 기타 고가치 이니셔티브에 집중할 수 있도록 합니다. 대기 중이거나 완료된 모든 수정 작업은 알림 센터에서 추적됩니다. 작업 센터에서 보류 중인 작업이 승인(또는 거부)되고 필요한 경우 완료된 작업을 실행 취소할 수 있습니다.
이 문서에서는 AIR에 대한 개요를 제공하고 다음 단계 및 추가 리소스에 대한 링크를 포함합니다.
팁
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
자동화된 조사가 시작되는 방법
자동화된 조사는 경고가 트리거되거나 보안 운영자가 조사를 시작할 때 시작될 수 있습니다.
상황 | 발생 작업 |
---|---|
경고가 트리거됩니다. | 일반적으로 자동화된 조사는 경고 가 트리거되고 인 시던 트가 생성될 때 시작됩니다. 예를 들어 악성 파일이 디바이스에 있다고 가정합니다. 해당 파일이 검색되면 경고가 트리거되고 인시던트가 생성됩니다. 디바이스에서 자동화된 조사 프로세스가 시작됩니다. 다른 디바이스에서 동일한 파일로 인해 다른 경고가 생성되므로 연결된 인시던트와 자동화된 조사에 추가됩니다. |
조사가 수동으로 시작됩니다. | 자동화된 조사는 보안 운영 팀에서 수동으로 시작할 수 있습니다. 예를 들어 보안 운영자가 디바이스 목록을 검토하고 디바이스에 높은 위험 수준이 있음을 확인한다고 가정합니다. 보안 운영자는 목록에서 디바이스를 선택하여 플라이아웃을 연 다음 , 자동화된 조사 시작을 선택할 수 있습니다. |
자동화된 조사가 scope 확장하는 방법
조사가 실행되는 동안 디바이스에서 생성된 다른 경고는 조사가 완료될 때까지 진행 중인 자동화된 조사에 추가됩니다. 또한 다른 디바이스에서 동일한 위협이 표시되면 해당 디바이스가 조사에 추가됩니다.
다른 디바이스에서 인증된 엔터티가 표시되는 경우 자동화된 조사 프로세스는 해당 디바이스를 포함하도록 scope 확장하고 해당 디바이스에서 일반 보안 플레이북이 시작됩니다. 동일한 엔터티에서 이 확장 프로세스 중에 10개 이상의 디바이스가 발견되면 해당 확장 작업에 승인이 필요하며 보류 중인 작업 탭에 표시됩니다.
위협 해결 방법
경고가 트리거되고 자동화된 조사가 실행되면 조사된 각 증거에 대한 판결이 생성됩니다. 평가 결과는 다음과 같이 표시됩니다.
- 악의적인;
- 의심스러운; 또는
- 위협을 찾을 수 없습니다.
판결에 도달하면 자동화된 조사로 인해 하나 이상의 수정 작업이 발생할 수 있습니다. 수정 작업의 예로는 격리할 파일 보내기, 서비스 중지, 예약된 작업 제거 등이 있습니다. 자세한 내용은 수정 작업을 참조하세요.
organization 대해 설정된 자동화 수준 및 기타 보안 설정에 따라 수정 작업은 자동으로 또는 보안 운영 팀의 승인에 따라 발생할 수 있습니다. 자동 수정에 영향을 줄 수 있는 추가 보안 설정에는 잠재적으로 원치 않는 애플리케이션(PUA)으로부터의 보호가 포함됩니다 .
대기 중이거나 완료된 모든 수정 작업은 알림 센터에서 추적됩니다. 필요한 경우 보안 운영 팀이 수정 작업을 실행 취소할 수 있습니다. 자세한 내용은 자동화된 조사 후 수정 작업 검토 및 승인을 참조하세요.
팁
Microsoft Defender 포털에서 새로운 통합 조사 페이지를 확인하세요. 자세한 내용은 통합 조사 페이지를 참조하세요.
AIR 요구 사항
구독에는 엔드포인트용 Defender 또는 비즈니스용 Defender가 포함되어야 합니다.
참고
자동 조사 및 응답에는 수동 모드 또는 활성 모드에서 실행하려면 Microsoft Defender 바이러스 백신이 필요합니다. Microsoft Defender 바이러스 백신을 사용하지 않도록 설정하거나 제거하면 자동 조사 및 응답이 제대로 작동하지 않습니다.
현재 AIR는 다음 OS 버전만 지원합니다.
- Windows Server 2012 R2(미리 보기)
- Windows Server 2016(미리 보기)
- Windows Server 2019
- Windows Server 2022
- Windows 10 버전 1709(OS 빌드 16299.1085(KB4493441 포함) 이상
- Windows 10 버전 1803(OS 빌드 17134.704 및 KB4493464) 이상
- Windows 10 버전 1803 이상
- Windows 11
참고
Windows Server 2012 R2 및 Windows Server 2016 대한 자동 조사 및 대응을 수행하려면 통합 에이전트를 설치해야 합니다.
다음 단계
- 자동화 수준에 대해 자세히 알아보기
- 대화형 가이드: 엔드포인트용 Microsoft Defender 사용하여 위협 조사 및 수정을 참조하세요.
- 엔드포인트용 Microsoft Defender 자동화된 조사 및 수정 기능 구성
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.