엔드포인트용 Microsoft Defender 보고서

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

이 문서에서는 엔드포인트용 Microsoft Defender 사용자가 사용할 수 있는 보고서의 개요를 제공합니다. 데이터를 수집하고, 결과를 요약하고, 해당하는 경우 권장 작업을 가져오는 데 사용할 수 있는 다양한 보고서에 대한 정보를 제공합니다.

월별 보안 요약

월별 보안 요약 보고서를 통해 조직은 지난 30일 또는 90일 동안 완료된 organization 전반적인 보안 태세를 향상시키기 위해 수행된 주요 결과 및 전반적인 예방 조치에 대한 시각적 요약을 얻을 수 있습니다. 강도 및 개선 영역을 식별하고, 시간에 따른 진행 상황을 추적하고, 위험과 영향에 따라 작업의 우선 순위를 지정하는 데 도움이 됩니다.

이 보고서에 액세스하려면 보고서 > 엔드포인트 > 월별 보안 요약으로 이동합니다. 월별 보안 요약 보고서에는 다음 섹션이 포함되어 있습니다.

섹션	설명
Microsoft Secure Score	Microsoft 보안 점수는 organization 보안 상태와 organization 디바이스에서 보안 모범 사례 및 권장 사항을 얼마나 잘 구현했는지를 측정한 것입니다. 보안 점수 카드 지난 한 달 동안 organization 전반적인 사이버 보안 강도가 어떻게 개선되었는지, 그리고 관리되는 디바이스 수가 비슷한 다른 회사와 어떻게 비교되는지를 보여줍니다.
다른 조직에 비해 보안 점수	이 점수는 비슷한 규모의 조직과 관련하여 organization 보안 점수를 평가한 것입니다. 이는 동일한 규모의 다른 조직에 비해 보안 조치를 구현하는 organization 성능을 벤치마킹하는 방법입니다.
온보딩된 디바이스	카드 디바이스는 지난 달에 온보딩된 디바이스 수와 아직 온보딩되지 않은 디바이스에 대한 정보를 제공합니다. 디바이스 온보딩은 보호 및 검색 기능을 사용하도록 설정하는 데 필수적입니다.
특정 위협 방지	이 카드 피싱 및 랜섬웨어와 같은 일반적인 공격 벡터에 대한 방어가 얼마나 효과적인지를 보여 줍니다. 숫자가 높을수록 피싱 및 랜섬웨어에 대한 방어가 향상됨을 나타냅니다. 이 보고서는 지난 달에 차단되거나 완화된 위협 수와 보호 수준이 어떻게 증가했는지를 보여줍니다.
웹 콘텐츠 모니터링 및 필터링	지난 달에 엔드포인트용 Microsoft Defender 의해 차단된 악성 URL 수를 표시합니다. 또한 보고서는 차단된 URL의 범주와 각 범주에 대한 클릭 횟수를 보여 줍니다.
의심스러운 활동 또는 악의적인 활동	인시던트 카드 사용하여 지난 달에 해결된 인시던트 및 경고 수를 추적합니다. 또한 이 카드 주의가 필요한 모든 활성 인시던트 및 경고를 표시합니다. 또한 상위 10개의 심각한 인시던트, 해당 상태, 경고 수 및 영향을 받은 디바이스 및 사용자 목록을 볼 수 있습니다.

PDF 보고서 생성을 선택하여 요약의 PDF 보고서를 생성할 수 있습니다. 생성된 보고서는 지난 30일의 요약입니다.

위협 방지 보고서

엔드포인트용 Defender 위협 방지 정보에 대한 데이터를 수집하려면 Microsoft Defender 포털의 경고 큐를 사용하거나 고급 헌팅 쿼리를 만들 수 있습니다. 다음 섹션에서는 이러한 도구를 사용하여 필요한 정보를 찾는 방법에 대한 지침을 제공합니다.

Microsoft Defender 포털에서 경고 큐 필터 사용

엔드포인트용 Defender를 검색 원본으로 사용하여 Microsoft Defender 포털 경고 보기를 사용하여 보호된 디바이스에 대한 경고의 현재 상태 확인할 수 있습니다. 상태 필터를 사용하여 새로 만들기, 진행 중 및 해결된 경고를 확인합니다. 경고 큐에 대해 자세히 알아봅니다.

고급 헌팅 쿼리 사용

고급 헌팅 쿼리를 사용하여 엔드포인트용 Defender 위협 방지 정보를 찾을 수도 있습니다. Defender XDR 고급 헌팅에 대해 자세히 알아보세요. 다음 샘플 고급 헌팅 쿼리는 경고 관련 정보를 보여 줍니다.

심각도, 검색 원본 및 범주별 경고 정보

// Severity
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Severity
| render columnchart

// Detection source
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by DetectionSource
| render columnchart

// Detection category
AlertInfo
| where Timestamp > startofday(now()) // Today
| summarize count() by Category
| render columnchart

심각도, 검색 원본 및 범주별 경고 추세

// Severity
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Severity , bin(Timestamp, 1d)
| render timechart

// Detection source
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by DetectionSource , bin(Timestamp, 1d)
| render timechart

// Detection category
AlertInfo
| where Timestamp > ago(30d)
| summarize count() by Category , bin(Timestamp, 1d)
| render timechart

엔드포인트용 Defender 기능에 대한 보고서

다음 보고서는 엔드포인트용 Defender 기능과 관련된 이벤트 및 작업에 대한 자세한 정보를 제공합니다.

• 디바이스 상태 보고서
  • 바이러스 백신 상태 보고서 Microsoft Defender
  • 센서 상태 & OS 보고서
• 호스트 방화벽 보고
• 웹 보호 모니터링 보고서
• 공격 표면 감소 규칙 보고서
• 디바이스 제어 보고서

Power BI를 사용하여 사용자 지정 보고서 만들기

Power BI를 사용하여 사용자 지정된 보고서를 만들 수도 있습니다. 고유한 보고서를 만들려면 Power BI를 사용하여 사용자 지정 보고서 만들기를 참조하세요.

집계된 보고

집계된 보고를 켜서 엔드포인트용 Defender에서 수집한 모든 신호를 검토할 수 있습니다.

집계된 보고를 켜려면 설정 > 엔드포인트 > 고급 기능으로 이동합니다. 집계된 보고 기능을 전환합니다. 엔드포인트용 Defender의 집계된 보고에 대해 자세히 알아봅니다.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.