Office 365용 Microsoft Defender 플랜 2의 AIR(자동 조사 및 대응)에서 수정 작업 검토 및 관리

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 2

팁

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

Office 365용 Microsoft Defender 플랜 2가 있는 Microsoft 365 조직(E5 또는 독립 실행형 구독과 같은 Microsoft 365 라이선스에 포함됨)에서는 자동화된 조사 및 대응(AIR)으로 인해 수정 작업이 보류되는 경우가 많습니다. 예시:

• 전자 메일 메시지 또는 클러스터를 일시 삭제합니다.
• 외부 메일 전달을 해제합니다.

이러한 수정 작업은 자동으로 수행되지 않습니다. 수정 작업에는 SecOps(보안 운영) 팀의 구성원이 승인해야 합니다. 이 문서의 나머지 섹션에서는 보류 중인 수정 작업을 승인하거나 거부하는 방법을 설명합니다.

팁

자동화된 조사가 적시에 완료되도록 가능한 한 빨리 보류 중인 수정 작업을 검토하고 승인하거나 거부하는 것이 좋습니다.

시스템은 동일한 클러스터가 여러 번 승인된 중복되거나 겹치는 조사를 확인합니다. 이전 시간 내에 동일한 조사 클러스터가 이미 승인된 경우 새 중복 수정이 다시 처리되지 않습니다. 이 동작은 중복 조사 또는 조사 증거를 제거하지 않고 단순히 승인된 작업을 중복 제거하여 수정 처리 속도를 개선합니다. 중복 승인된 클러스터 조사의 경우 의 Microsoft Defender 포털https://security.microsoft.com/action-center/history에 있는 알림 센터 페이지의 기록 탭에서 플라이아웃에 대한 작업 세부 정보가 표시되지 않습니다.

시작하기 전에 알아야 할 사항은 무엇인가요?

• AIR에 대한 사용 권한 및 라이선스 요구 사항을 보려면 AIR에 대한 필수 권한 및 라이선스를 참조하세요.
• 1주일 동안 승인을 기다린 후 보류 중인 작업 시간이 초과됩니다.

Office 365용 Defender 조사 페이지에서 보류 중인 작업 승인 또는 거부

Office 365용 Defender 인시던트 페이지에 대한 자세한 내용은 Office 365용 Microsoft Defender 계획 2의 AIR(자동 조사 및 대응)의 세부 정보 및 결과를 참조하세요.

1. 의 Microsoft Defender 포털에서 https://security.microsoft.comEmail & 협업 조사의 Office 365용 Defender조사 페이지로> 이동합니다. 또는 Office 365용 Defender 조사 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/airinvestigation.
2. Office 365용 Defender 조사 페이지에서 상태 값이 승인 보류 중인 목록에서 항목을 찾습니다. 필터를 사용하여 상태 값 보류 중 작업으로 결과를 필터링합니다.
3. 조사 페이지에서 ID 열의 새 창에서 열기를 클릭하여 보류 중인 작업 항목을 선택합니다(검사 상자를 선택하지 않음).
4. 열리는 조사 세부 정보 페이지에서 보류 중인 작업 탭을 선택한 다음, 첫 번째 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다.
5. 열리는 세부 정보 플라이아웃에서 정보를 검토한 다음 플라이아웃 맨 위에서 다음 작업 중 하나를 선택합니다.
   • 승인: 보류 중인 작업을 시작합니다.
   • 거부: 보류 중인 작업이 수행되지 않도록 합니다.

Defender XDR 인시던트 페이지에서 보류 중인 작업 승인 또는 거부

Defender XDR 인시던트 페이지에 대한 자세한 내용은 Microsoft Defender XDR 인시던트 조사를 참조하세요.

1. 의 Microsoft Defender 포털에서 https://security.microsoft.com인시던트 & 경고 인시던트에서 Defender XDR 인시던트 페이지로> 이동합니다. 또는 Defender XDR 인시던트 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/incidents.

2. Defender XDR 조사 페이지에서 상태 값이 승인 보류 중인 목록에서 항목을 찾습니다. 다음 단계를 사용하여 결과를 필터링합니다.

   1. 지우기를 선택하여 인시던트 페이지에서 원치 않는 기존 필터를 지웁니다.
   2. 필터 추가를 선택합니다.
   3. 열리는 필터 추가 대화 상자에서 자동화된 조사 상태를 선택한 다음 , 추가를 선택합니다.
   4. 자동 조사 상태:인시던트 페이지에서 모든 필터를 선택합니다.
   5. 열리는 드롭다운 목록에서 보류 중인 작업을 선택한 다음 적용을 선택합니다.

   팁

   자동 조사 상태별 필터링: 보류 중인 작업으로 인해 조사 상태에 대한 승인 보류 중 값이 있는 부모 인시던트가 표시될 수 있습니다. 이 경우 부모 승인 보류 중인 인시던트에 관심이 있습니다.

3. 인시던트 페이지에서 인시던트 이름 값을 클릭하여 승인 보류 중 인시던트 를 선택합니다(검사 상자를 선택하지 않음).

4. 열리는 인시던트 세부 정보 페이지에서 증거 및 응답 탭을 선택하고 수정 상태 값이 승인 보류 중인 항목을 찾습니다. 예시:

   • 수정 상태 열 머리글을 클릭한 다음 오름차순 정렬을 선택합니다.
   • 수정 상태 섹션 >적용에서 필터>보류 중인 승인을 선택합니다.

5. 증거 및 응답 탭에서 첫 번째 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 승인 보류 중 항목을 선택합니다.

6. 열리는 세부 정보 플라이아웃에서 정보를 검토한 다음 플라이아웃 맨 위에서 다음 작업 중 하나를 선택합니다.

   • 승인: 보류 중인 작업을 시작합니다.
   • 거부: 보류 중인 작업이 수행되지 않도록 합니다.

통합 알림 센터에서 보류 중인 작업 승인 또는 거부

Defender XDR 통합 알림 센터에 대한 자세한 내용은 알림 센터를 참조하세요.

1. 의 Microsoft Defender 포털에서 https://security.microsoft.com작업 & 제출> 알림센터보류 중 탭의 알림 센터> 페이지에있는 보류 중 탭으로 이동합니다. 또는 알림 센터 페이지의 보류 중 탭으로 직접 이동하려면 를 사용합니다https://security.microsoft.com/action-center/pending.
2. 알림 센터 페이지의 보류 중 탭에서 조사 ID 값을 클릭하여 목록에서 항목을 선택합니다(검사 상자를 선택하지 않음).
3. 열리는 조사 세부 정보 페이지에서 보류 중인 작업 탭을 선택한 다음, 첫 번째 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 목록에서 항목을 선택합니다.
4. 열리는 세부 정보 플라이아웃에서 정보를 검토한 다음 플라이아웃 맨 위에서 다음 작업 중 하나를 선택합니다.
   • 승인: 보류 중인 작업을 시작합니다.
   • 거부: 보류 중인 작업이 수행되지 않도록 합니다.

수정 작업 변경 또는 실행 취소

지침은 수정 작업 실행 취소를 참조하세요.

참고 항목

• Office 365 자동 조사 세부 정보 및 결과 보기
• Office 365에서 배달된 악성 전자 메일 수정
• 자동 조사 및 응답에서 거짓 긍정 또는 거짓 부정 보고(AIR)