다음을 통해 공유

Office 365용 Microsoft Defender 플랜 2의 AIR(자동 조사 및 대응)의 세부 정보 및 결과

Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.

Office 365용 Microsoft Defender 플랜 2를 사용하는 Microsoft 365 조직에서는 Office 365용 Defender AIR(자동 조사 및 대응)의 활성 및 완료된 조사에 대한 자세한 내용은 의 조사 페이지에서 확인할 수 있습니다. 에서 포털을 https://security.microsoft.com/airinvestigationMicrosoft Defender. 조사 세부 정보는 최신 상태 제공하며(올바른 권한으로) 보류 중인 작업을 승인할 수 있는 기능을 제공합니다.

AIR 세부 정보 및 결과는 의 조사 페이지에서 https://security.microsoft.com/incidentsMicrosoft Defender XDR 사용할 수도 있습니다. 자세한 내용은 통합 조사 페이지를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

  • AIR에 대한 사용 권한 및 라이선스 요구 사항을 보려면 AIR에 대한 필수 권한 및 라이선스를 참조하세요.

  • Email 개수는 조사 시 계산됩니다. 조사 플라이아웃을 열 때(기본 쿼리에 따라) 일부 개수가 다시 계산됩니다.

    다음 전자 메일 개수 값은 조사 시 계산되며 변경되지 않습니다.

    • Email 탭에서 클러스터를 Email.
    • 이메일 클러스터 플라이아웃에 표시되는 이메일 수량 값입니다.

    다음 전자 메일 수 값은 조사 초기 분석 후 받은 전자 메일 메시지를 반영합니다.

    • 이메일 클러스터 플라이아웃의 Email 탭 아래쪽에 표시된 이메일 수입니다.

    • Explorer 표시된 이메일 수(위협 Explorer)

      예를 들어 10개의 메시지의 원래 수량을 보여 주는 전자 메일 클러스터는 조사 분석 단계와 관리자가 조사를 검토하는 시점 사이에 5개의 메시지가 더 도착하는 경우 총 15개의 이메일 목록을 표시합니다. 마찬가지로 Office 365용 Microsoft Defender 플랜 2의 데이터는 평가판 종료 후 7일 후, 유료 라이선스의 경우 30일 후에 만료되기 때문에 이전 조사에는 위협 Explorer 쿼리보다 메시지 수가 더 높을 수 있습니다.

      기록 및 현재 전자 메일 메시지 수는 다음과 같은 정보를 제공하기 위해 다른 보기에 표시됩니다.

      • 조사 시 전자 메일 효과입니다.
      • 수정이 실행되는 시점까지의 현재 전자 메일 효과입니다.

  • 전자 메일의 경우 조사의 일부로 볼륨 변칙 위협이 표시될 수 있습니다. 볼륨 변칙은 조사 이벤트 시간에 대한 유사한 전자 메일 메시지가 이전 시간에 비해 급증했음을 나타냅니다. 특정 메시지 속성(예: 제목, 메시지 본문, 보낸 사람 도메인 및 보낸 사람 IP)의 유사성과 함께 전자 메일 트래픽의 급증은 일반적으로 이메일 공격의 시작을 나타냅니다. 그러나 대량 메일, 스팸 및 합법적인 전자 메일 캠페인은 일반적으로 동일한 메시지 속성을 공유합니다.

Office 365용 Defender 플랜 2의 AIR 조사

의 Defender 포털에서 https://security.microsoft.comEmail & 협업 조사로> 이동합니다. 또는 조사 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/airinvestigation.

기본적으로 어제와 오늘의 조사 세부 정보가 표시되지만 날짜 범위를 변경할 수 있습니다.

조사 페이지에 표시된 다음 정보 입니다 . 사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

  • ID: 조사의 고유 ID입니다. 새 창에서 열기를 선택하여 조사 세부 정보 보기 섹션에 설명된 대로 조사 세부 정보를 엽니다.
  • 상태: 사용 가능한 상태 값은 조사 상태 값 섹션에 설명되어 있습니다.
  • 검색 원본: 이 값은 항상 Office365입니다.
  • 조사
  • 사용자
  • 마이그레이션하지 못한 사서함 수입니다.
  • 마지막으로 변경된 시간
  • 위협 수
  • 작업 수
  • 조사 기간

항목을 필터링하려면 필터를 선택합니다. 다음 필터는 열리는 필터 플라이아웃에서 사용할 수 있습니다.

  • 조사 유형 섹션: 다음 값 중 하나 이상을 선택합니다.
    • 수동 조사
    • 사용자가 보고한 메시지
    • Zapped 파일
    • Zapped URL
    • URL 평결 변경
    • 사용자가 손상됨
  • 시간 범위 섹션: 시작 날짜종료 날짜 값을 선택합니다. 데이터는 지난 72일 동안 사용할 수 있습니다.
  • 상태 섹션: 조사 상태 값 섹션에 설명된 다음 값 중 하나 이상을 선택합니다.
    • 시작 중
    • 실행 중
    • 위협을 찾을 수 없음
    • 시스템에 의해 종료됨
    • 보류 중인 작업
    • 위협 발견
    • 수정됨
    • 부분적으로 수정됨
    • 사용자에 의해 종료됨
    • 실패
    • 제한에 의해 대기 중
    • 제한으로 종료됨

필터 플라이아웃을 마쳤으면 적용을 선택합니다. 필터를 지우려면 필터 지우기를 선택합니다.

검색 상자를 사용하여 페이지에서 정보를 찾습니다. 상자에 텍스트를 입력한 다음 Enter 키를 누릅니다.

내보내기를 사용하여 표시되는 정보를 CSV 파일에 저장합니다. 기본 파일 이름은 조사 - Microsoft Defender.csv 기본 위치이며 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 보고서가 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: 조사 - Microsoft Defender (1).csv).

조사 상태 값

조사의 상태 값은 분석 및 작업의 진행률을 나타냅니다. 조사가 실행되면 위협 발견 여부 및 작업이 승인되었는지 여부를 나타내기 위해 상태 값이 업데이트됩니다.

조사에 사용되는 상태 값은 다음 목록에 설명되어 있습니다.

  • 실패: 하나 이상의 조사 분석기가 제대로 완료할 수 없는 문제가 발생했습니다.

    수정 작업이 승인된 후에도 조사가 실패하는 경우 수정 작업이 여전히 성공했을 수 있습니다. 자세한 내용은 조사 세부 정보를 참조하세요.

  • 위협을 찾을 수 없음: 조사가 완료되었으며 위협이 확인되지 않았습니다(손상된 사용자 계정, 전자 메일 메시지, URL 또는 파일).

    악의적인 항목이 누락된 것으로 의심되는 경우(거짓 부정) 위협 Explorer(Explorer)를 사용하여 조치를 취할 수 있습니다.

  • 부분적으로 조사됨(이전의 위협 발견) : 자동화된 조사에서 문제를 찾았지만 문제를 resolve 위한 구체적인 수정 작업은 없었다. 일부 유형의 사용자 활동이 식별되었지만 정리 작업을 사용할 수 없는 경우에 발생합니다. 예제에는 다음 사용자 활동이 포함됩니다.

    • DLP(데이터 손실 방지) 이벤트입니다.
    • 변칙을 보내는 이메일입니다.
    • 맬웨어를 보냈습니다.
    • 피싱을 보냈습니다.
    • 조사는 할 일이 없었다. 예시:
      • 수정할 악성 URL, 파일 또는 전자 메일 메시지가 없습니다.
      • 수정할 사서함 활동이 없습니다(예: 전달 규칙 또는 위임 끄기).

    악의적인 항목이 누락된 것으로 의심되는 경우(거짓 부정) 위협 Explorer(Explorer)를 사용하여 조치를 취할 수 있습니다.

  • 부분적으로 수정됨: 조사 결과 수정 작업이 발생했으며 일부는 승인 및 완료되었습니다. 다른 작업은 아직 승인을 보류 중입니다.

  • 보류 중인 작업: 조사 결과 위협(예: 악의적인 전자 메일, 악성 URL 또는 위험한 사서함 설정)이 발견되었으며 위협을 수정하기 위한 작업이 승인을 기다리고 있습니다.

    조사가 실행됨에 따라 보류 중인 작업 목록이 증가할 수 있습니다. 조사 세부 정보를 확인 하여 다른 항목이 아직 완료 보류 중인지 확인합니다.

  • 제한에 의해 대기 중: 조사가 큐에 보관되고 있습니다. 다른 조사가 완료되면 대기 중인 조사가 시작됩니다. 제한은 서비스 성능 저하를 방지하는 데 도움이 됩니다.

    보류 중인 작업은 실행할 수 있는 새 조사 수를 제한할 수 있습니다. 보류 중인 작업을 승인하거나 거부해야 합니다.

  • 수정: 조사가 완료되고 모든 수정 작업이 승인되었습니다(완전히 수정된 것으로 표시됨).

    승인된 수정 작업에는 작업을 수행하지 못하게 하는 오류가 있을 수 있습니다. 수정 작업이 성공적으로 완료되었는지 여부에 관계없이 조사 상태 변경되지 않습니다. 자세한 내용은 조사 세부 정보를 참조하세요.

  • 실행 중: 조사 프로세스가 진행 중입니다. 이 상태 값은 보류 중인 작업이 승인될 때도 발생합니다.

  • 시작: 조사가 트리거되었으며 실행을 기다리고 있습니다.

  • 시스템에 의해 종료됨: 조사가 중지되었습니다. 예시:

    • 보류 중인 작업이 만료되었습니다(최대 1주일 동안 사용 가능).
    • 작업이 너무 많습니다. 예를 들어 악의적인 URL을 클릭하는 사용자가 너무 많을 경우 모든 분석기를 실행하는 조사의 기능을 초과할 수 있으므로 조사가 중단됩니다.

    작업이 수행되기 전에 조사가 중단되면 위협 Explorer(Explorer)을 사용하여 위협을 찾고 해결해 보세요.

  • 제한으로 종료됨: 너무 오랫동안 대기한 후 조사가 자동으로 중지되고 중지됩니다.

    위협 Explorer(Explorer)에서 조사를 시작할 수 있습니다.

Office 365용 Defender 플랜 2에서 AIR의 조사 세부 정보 보기

의 조사 페이지에 있는 항목의 ID 열에서 새 창에서 https://security.microsoft.com/airinvestigation열기 선택하면 조사 세부 정보가 포함된 새 페이지가 열립니다.

페이지의 타일은 조사 페이지의 조사 (이름) 값 입니다 . 예를 들어 클릭된 URL 평결이 악성 - <URL>로 변경되었습니다.

페이지의 부제목에는 조사의 ID 및 상태 포함됩니다. 예를 들어 조사 #660b79 완료되었습니다. 수정되었습니다.

나머지 세부 정보 페이지에는 조사에 대한 자세한 정보가 포함된 여러 탭이 포함되어 있습니다. 일부 탭은 모든 조사에 공통적으로 적용됩니다. 다른 탭은 조사의 특성 및 상태 따라 사용할 수 있습니다.

탭은 다음 하위 섹션에 설명되어 있습니다.

Defender 포털의 조사 세부 정보 페이지 스크린샷

조사 세부 정보의 조사 그래프 탭

조사 세부 정보 페이지에서 조사 그래프 탭은 조사의 현재 상태와 결과를 시각적으로 나타내는 기본 탭입니다.

조사 그래프 탭의 조사 요약 창에는 다음 세부 정보가 포함됩니다.

  • 조사 상태 시계열 섹션:
    • 시작
    • 종료됨: 이 값은 다음 상태 값에 대해서만 존재합니다.
      • 위협이 발견되지 않음
      • 부분적으로 수정됨
      • 수정됨
      • 시스템에 의해 종료됨
      • 제한으로 종료됨
      • 사용자에 의해 종료됨
      • 위협 발견
      • 실패
    • 기간
    • 보류 중인 총 시간: 이 값은 최종적으로 승인되거나 만료된 승인을 기다리는 보류 중인 작업이 있는 조사에만 존재합니다.
  • 조사 세부 정보 섹션:
    • 상태: 조사의 상태. 값이 위협을 찾을 수 없으면 섹션에 다른 값이 없습니다.
    • 경고 심각도: 낮음, **보통 또는 높음 값입니다.
    • 범주: 경고 범주입니다.
    • 검색 원본: 일반적으로 값은 MDO.

그래프 창에는 조사 중인 요소 및 활동의 시각적 표현이 포함되어 있습니다. 일부 요소는 모든 조사에 공통적인 반면, 다른 요소는 조사의 성격과 진행 상황에 따라 달라집니다.

  • 수신된 경고: 관련 경고를 표시합니다. 자세한 내용은 경고 탭으로 이동하려면 선택합니다.

  • 사서함: 관련 사서함을 표시합니다. 자세한 내용은 사서함 탭으로 이동하려면 선택합니다.

  • 분석된 엔터티: 조사 중에 분석된 관련 엔터티의 수와 유형을 표시합니다. 예시:

    • URL
    • 전자 메일 메시지
    • 파일
    • Email 클러스터는 악의적인 수와 수정된 수를 포함할 수 있습니다.

    자세한 내용은 엔터티 탭으로 이동하려면 선택합니다.

  • 증거: 찾은 엔터티 수를 표시합니다. 자세한 내용은 증명 정보 탭으로 이동하려면 선택합니다.

  • 승인 보류 중: 시스템이 관리자가 제안된 수동 수정 작업(예: 전자 메일 메시지 일시 삭제)을 수행할 때까지 대기한 기간을 보여 줍니다. 자세한 내용은 보류 중인 작업 탭으로 이동하려면 선택합니다.

    관리자가 작업을 수행한 후 이 항목은 사용자 승인을 기다리는 것으로 대체됩니다.

  • 사용자 승인 대기: 관리자가 제안된 수동 수정 작업을 수행하는 데 걸린 시간을 보여 줍니다. 자세한 내용은 보류 중인 작업 기록 탭으로 이동하려면 선택합니다.

  • 결과: 이 항목은 조사가 완료된 후 사용할 수 있으며 페이지의 다음 위치에 중복됩니다.

    • 그래프의 가운데에 있습니다. 아이콘을 선택하여 로그 탭으로 이동합니다.
    • 페이지 제목에 있습니다.
    • 조사 요약 창 > 의 조사 세부 정보 섹션 >상태 값입니다.

    예시:

    • 수정됨

    • 시스템에 의해 종료됨:

    • 위협을 찾을 수 없음

    • 부분적으로 조사됨

      일부 결과에는 검토가 필요할 수 있습니다. 증거엔터티 탭을 사용하여 잠재적인 문제를 수동으로 조사하고 수정합니다.

    • 부분적으로 수정됨

      문제로 인해 일부 악의적인 엔터티가 수정되지 않았습니다. 증거엔터티 탭을 사용하여 잠재적인 문제를 수동으로 조사하고 수정합니다.

조사 세부 정보 페이지의 조사 그래프 탭 스크린샷

조사 세부 정보의 경고 탭

조사 세부 정보 페이지의 경고 탭에는 조사와 관련된 경고가 표시됩니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본 열은 별표 *로 표시됩니다.

  • 경고 이름*
  • 태그*
  • 심각도*
  • 인시던트 이름*
  • 인시던트 ID*
  • 상태*
  • 범주*
  • 영향을 받은 자산
  • 사용자*
  • 서비스 원본*
  • 검색 원본
  • 조사 상태*
  • 마지막 작업*
  • 분류*
  • 결심
  • 할당 대상*

행에서 경고 이름 값을 클릭하면 경고의 세부 정보 페이지로 이동합니다. 이 세부 정보 페이지는 의 경고 페이지에 https://security.microsoft.com/alerts있는 해당 항목에서 경고 이름 값을 클릭하는 것과 같습니다. 자세한 내용은 경고 분석을 참조하세요.

경고 이름 값 또는 첫 번째 열 옆에 있는 검사 상자 이외의 행의 다른 곳을 클릭하면 경고에 대한 세부 정보 플라이아웃이 열립니다. 이 세부 정보 플라이아웃은 경고 이름 값이 아닌 행의 아무 곳이나 클릭하거나 의 경고 페이지에 https://security.microsoft.com/alerts있는 해당 항목의 첫 번째 열 옆에 있는 검사 상자를 클릭하는 것과 같습니다.

경고 세부 정보 플라이아웃의 맨 위에서 사용할 수 있는 작업은 경고의 특성에 따라 다릅니다. 경고 페이지의 해당 경고 세부 정보 플라이아웃에서 https://security.microsoft.com/alerts사용할 수 있는 것과 동일한 작업이 포함됩니다. 예를 들어 배달 후 제거된 악성 URL이 포함된 Email 메시지라는 경고는 경고 세부 정보 플라이아웃에서 다음 작업을 사용할 수 있습니다.

  • 경고 페이지 열기: 의 경고 페이지에서 항목의 경고 이름 값을 클릭할 때 동일한 세부 정보 페이지를 https://security.microsoft.com/alerts엽니다. 자세한 내용은 경고 분석을 참조하세요.

  • 경고 관리: 인시던트에 대한 세부 정보를 보고 수정할 수 있는 경고 관리 플라이아웃을 엽니다. 자세한 내용은 경고 관리를 참조하세요.

  • Explorer 메시지 보기: 경고 ID로 필터링된 모든 전자 메일 보기에서 Explorer(위협 Explorer)를 엽니다. 위협 Explorer 모든 전자 메일 보기에 대한 자세한 내용은 위협 Explorer 모든 전자 메일 보기를 참조하세요.

  • 추가 작업>다른 인시던트에 경고 연결: 열리는 다른 인시던트 플라이아웃에 경고 연결 에서 다음 옵션을 구성합니다.

    • 다음 값 중 하나를 선택합니다.
      • 새 인시던트 만들기
      • 기존 인시던트에 대한 링크: 표시되는 인시던트 이름 또는 ID 상자에서 값을 입력하여 기존 인시던트를 찾아 선택합니다.
    • 주석: 선택적 주석을 입력합니다.

    다른 인시던트에 대한 경고 연결 플라이아웃이 완료되면 저장을 선택합니다.

  • 추가 작업>경고 조정: 경고 플라이아웃 조정 을 엽니다. 자세한 내용은 경고 튜닝을 위한 규칙 조건 만들기의 3단계 이상을 참조하세요.

  • 추가 작업>Defender 전문가에게 문의하세요. Defender 전문가에게 요청 플라이아웃을 엽니다. 자세한 내용은 요청 시 전문가와 공동 작업을 참조하세요.

조사 세부 정보의 사서함 탭

조사 세부 정보 페이지에서 조사의 일환으로 사서함을 검사한 경우 사서함 탭을 사용할 수 있습니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

  • Username
  • 위험 수준
  • 위험
  • 위험한 활동
  • Upn(Upn)
  • 항아리

첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 사서함 세부 정보 플라이아웃이 열립니다.

  • 의견
  • 표시 이름
  • 기본 전자 메일 주소
  • UPN
  • 개체 ID
  • 위험 수준
  • 위험

사용자에 대한 자세한 내용을 선택하여 Microsoft Defender XDR 사용자 엔터티 페이지를 엽니다. 자세한 내용은 Microsoft Defender XDR 사용자 엔터티 페이지를 참조하세요.

조사 세부 정보의 증거 탭

조사 세부 정보 페이지의 증거 탭에는 분석된 의심스러운 엔터티와 분석 결과가 표시됩니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본 열은 별표 *로 표시됩니다.

  • 처음 본 것*
  • 실체*
  • 평결*
  • 수정 상태*
  • 상태 세부 정보
  • 영향을 받은 자산*
  • 검색 원본*
  • 위협

항목을 필터링하려면 필터를 선택합니다. 다음 필터는 열리는 필터 플라이아웃에서 사용할 수 있습니다.

  • 엔터티: 상자에 엔터티 이름의 일부 또는 전부를 입력합니다.
  • 평결: 선택할 수 있는 값은 탭의 평결 값에 따라 달라집니다.
  • 검색 원본: 선택할 수 있는 값은 탭의 검색 원본 값에 따라 달라집니다.

필터 플라이아웃을 마쳤으면 적용을 선택합니다. 필터를 지우려면 필터 지우기를 선택합니다.

첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 세부 정보 플라이아웃이 열립니다. 플라이아웃에서 사용할 수 있는 항목은 증거(이메일 메시지, 파일, URL 등)의 특성에 따라 달라집니다.

조사 세부 정보의 엔터티 탭

조사 세부 정보 페이지에서 엔터티 탭에는 조사 중에 발견되고 분석된 다양한 유형의 엔터티에 대한 세부 정보가 표시됩니다.

조사 세부 정보 페이지의 엔터티 탭 스크린샷

엔터티 탭은 보기 선택 창(각 엔터티 형식에 대한 요약 보기 및 보기) 및 해당 보기에 대한 해당 세부 정보 테이블로 구성됩니다.

  • 증명 정보 요약 보기: 기본 보기입니다.

    사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

    • 엔터티 형식 (이 값의 선택을 취소할 수 없음): 인시던트에 따라 보기 선택 창과 동일한 값을 포함합니다. 예시:

      • 파일
      • URL
      • Email 제출
      • 전자 메일
      • IP 주소
      • Email 클러스터

      다음 열은 각 엔터티 형식(행)에 대한 개수를 보여 줍니다.

      • 합계
      • 수정됨
      • 악의적
      • 의심스러움
      • 확인
      • 위협이 발견되지 않음
      • 알 수 없음
      • 찾을 수 없음
      • 수정되지 않은 경우
      • 부분적으로 수정됨

    엔터티 형식 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하면 선택 페이지(예: 전자 메일)에서 관련 보기로 이동합니다.

  • 파일 보기: 사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본 열은 별표 *로 표시됩니다.

    • 평결*
    • 수정 상태*
    • 상태 세부 정보
    • 파일 경로*
    • 파일 이름* (이 값의 선택을 취소할 수 없음)
    • 장치*

  • URL 보기: 사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

    • 의견
    • 수정 상태
    • 주소 (이 값의 선택을 취소할 수 없음)

    첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

    • 원래 URL
    • 검색 섹션
    • 도메인 세부 정보 섹션
    • 등록자 연락처 정보 섹션
    • URL 보급(지난 30일) 섹션

    URL에 대한 다음 작업은 플라이아웃에서도 사용할 수 있습니다.

    • URL 페이지 열기
    • 분석을 위해 제출
    • 표시기 관리
    • Explorer 보기
    • 탐색

  • Email 제출 보기: 사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

    • 의견
    • 수정 상태
    • 제목
    • 보낸 사람
    • 받는 사람
    • 보고자
    • 보고서 유형

    첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

    • Email 제출 세부 정보 섹션

    메일 제출에 대한 Go 헌 팅 작업은 플라이아웃에서도 사용할 수 있습니다.

  • 전자 메일 보기: 사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

    • 의견
    • 수정 상태
    • Email 받은 날짜(이 값의 선택을 취소할 수 없음)
    • 배달 상태
    • 제목
    • 보낸 사람
    • 받는 사람

    첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

    • Email 세부 정보 섹션

    메일에 대한 자세한 내용을 선택하여 XDR용 Defender에서 Email 엔터티 페이지를 봅니다.

    이메일 메시지에 대한 다음 작업은 플라이아웃에서도 사용할 수 있습니다.

    • 탐색
    • Explorer 열기

  • IP 주소 보기: 사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

    • 의견
    • 수정 상태
    • 주소 (이 값의 선택을 취소할 수 없음)

    첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

    • IP 세부 정보 섹션
    • 검색 섹션
    • organization 디바이스 섹션에서 관찰된 IP

    IP 주소에 대한 다음 작업은 플라이아웃에서도 사용할 수 있습니다.

    • IP 주소 페이지 열기
    • 표시기 추가
    • 클라우드 앱 IP 설정 열기
    • 활동 로그에서 조사
    • 탐색

  • Email 클러스터 보기: 사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

    • 의견
    • 수정 상태
    • 메일 클러스터 이름 (이 값의 선택을 취소할 수 없음)
    • 위협
    • 전자 메일 수
    • 맬웨어
    • 피싱
    • 높은 신뢰도 피시
    • 스팸
    • 배달됨
    • 정크
    • 대체
    • 차단됨
    • 메일함
    • 사서함에 없음
    • 온-프레미스/외부
    • 볼륨 변칙

    첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

    • 클러스터 세부 정보 섹션 Email
    • 위협 섹션
    • 최신 배달 위치 섹션
    • 원래 배달 위치 섹션

    이메일 클러스터에 대한 다음 작업은 플라이아웃에서도 사용할 수 있습니다.

    • 탐색
    • Explorer 열기

조사 세부 정보의 로그 탭

조사 세부 정보 페이지의 로그 탭에는 조사 중에 수행된 모든 작업이 표시됩니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본 열은 별표 *로 표시됩니다.

  • ID
  • 작업 유형
  • 행동*
  • 상태*
  • 디바이스 이름*
  • 묘사*
  • Comments
  • 만든 시간
  • 실행 시작 시간*
  • 기간*
  • 보류 중인 기간
  • 대기 중 기간

내보내기를 사용하여 표시되는 정보를 CSV 파일에 저장합니다. 기본 파일 이름은 AirLogs.csv 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 보고서가 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: AirLogs (1).csv).

첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 요약 플라이아웃이 열립니다.

  • 상태
  • 만들기
  • 실행 시작
  • 기간
  • 설명

세부 정보 플라이아웃을 벗어나지 않고 다른 항목에 대한 세부 정보를 보려면 플라이아웃 맨 위에 있는 이전 항목다음 항목을 사용합니다.

조사 세부 정보의 승인 보류 중 탭

조사 세부 정보 페이지의 승인 보류 중 탭에는 승인이 완료되기를 기다리는 보류 중인 작업(예: 일시 삭제 메시지)이 표시됩니다.

보류 중인 승인 탭은 보기 선택 창(각 작업 유형에 대한 보기) 및 해당 보기에 대한 해당 세부 정보 테이블로 구성됩니다.

  • 일시 삭제 이메일: 사용 가능한 열 머리글을 클릭하여 세부 정보 테이블의 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본 열은 별표 *로 표시됩니다.
    • 조사 ID
    • 처음 본 것
    • 세부 정보
    • 전자 메일 수
    • 맬웨어
    • 피싱
    • 높은 신뢰도 피시
    • 스팸
    • 배달됨
    • 정크
    • 대체
    • 차단됨
    • 메일함
    • 사서함에 없음
    • 온-프레미스/외부
    • 메일함
    • 엔터티 형식
    • 위협 유형
    • 제목

내보내기를 사용하여 표시되는 정보를 CSV 파일에 저장합니다. 기본 파일 이름은 AirActions.csv 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 보고서가 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: AirActions (1).csv).

첫 번째 열 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

  • 클러스터 세부 정보 섹션 Email
    • 의견
    • 수정 상태
    • 전자 메일 수
    • 이름
    • 볼륨 변칙
    • 쿼리 시간
  • 위협 섹션:
    • 위협: 이메일 클러스터에 있는 위협을 요약합니다. 예를 들면 MaliciousUrl, HighConfPhish, Volume anomaly와 같습니다.
    • 이메일 클러스터에 있는 다음 위협 유형에 대한 개수입니다.
      • 맬웨어
      • 피싱
      • 높은 신뢰도 피시
      • 스팸
  • 최신 배달 위치 섹션: 이메일 클러스터의 메시지에 대한 다음 배달 위치를 계산합니다.
    • 메일함
    • 사서함에 없음
    • 온-프레미스/외부
  • 원래 배달 위치 섹션: 이메일 클러스터의 메시지에 대해 다음과 같은 원래 배달 위치를 계산합니다.
    • 배달됨
    • 정크
    • 대체
    • 차단됨

이메일 메시지에 대한 다음 작업은 플라이아웃에서도 사용할 수 있습니다.

  • 탐색
  • Explorer 열기

승인거부 는 다음 하위 섹션에서 설명합니다.

조사 세부 정보의 보류 중인 승인 탭에서 작업 승인

조사 세부 정보 페이지의 승인 보류 중 탭에서 첫 번째 열 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 보류 중인 작업을 선택합니다.

열리는 세부 정보 플라이아웃의 이름은 보류 중인 작업(예: 일시 삭제 전자 메일)의 이름을 따서 지정됩니다. 플라이아웃에서 정보를 읽은 다음 다음 값 중 하나를 선택합니다.

  • 승인합니다.
  • 거부합니다.

조사에서 모든 작업을 승인 및/또는 거부하면 완전히 닫힙니다( 상태 값이 수정됨). 조사의 모든 작업을 승인 및/또는 거부하지 못하면 완전히 닫힙니다( 상태 값은 부분적으로 수정된 상태로 유지됨).

모든 작업을 승인할 필요는 없습니다. 권장 작업에 동의하지 않거나 organization 특정 유형의 작업을 선택하지 않는 경우 작업을 거부하거나 조치를 취하지 않을 수 있습니다.

조사 세부 정보의 보류 중인 작업 기록 탭

조사 세부 정보 페이지의 보류 중인 작업 기록 탭에는 완료된 보류 중인 작업이 표시됩니다.

사용 가능한 열 머리글을 클릭하여 항목을 정렬할 수 있습니다. 열 사용자 지정을 선택하여 표시되는 열을 변경합니다. 기본적으로 사용 가능한 모든 열이 선택됩니다.

  • 작업 유형
  • 대기 시간
  • 엔터티
  • 상태
  • 처리 기준
  • Time

내보내기를 사용하여 표시되는 정보를 CSV 파일에 저장합니다. 기본 파일 이름은 AirActions.csv 기본 위치는 로컬 다운로드 폴더입니다. 내보낸 보고서가 해당 위치에 이미 있는 경우 파일 이름이 증가합니다(예: AirActions (1).csv).

행에서 엔터티 값을 클릭하면 이메일 클러스터에 대한 다음 정보가 포함된 세부 정보 플라이아웃이 열립니다.

  • 클러스터 세부 정보 섹션 Email
  • 위협 섹션
  • 최신 배달 위치 섹션
  • 원래 배달 위치 섹션

이메일 클러스터에 대한 다음 작업은 플라이아웃에서도 사용할 수 있습니다.

  • 탐색
  • Explorer 열기

첫 번째 열 또는 엔터티 값 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하면 다음 정보가 포함된 작업 기록 세부 정보 플라이아웃이 열립니다.

  • 요약 섹션:
    • 상태
    • 만들기
    • 실행 시작
    • 설명

특정 종류의 경고는 Microsoft 365에서 자동화된 조사를 트리거합니다. 자세한 내용은 위협 관리 경고 정책을 참조하세요.

  1. Microsoft 365 Defender 포털 https://security.microsoft.com에서 작업 & 제출>알림 센터로 이동합니다. 또는 알림 센터 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/action-center/.
  2. 알림 센터 페이지에서 보류 중 또는 기록 탭을 사용하여 작업을 찾습니다.
  3. 조사 ID 열의 링크를 선택하여 테이블에서 작업을 선택합니다.

조사 세부 정보 페이지가 열립니다.

다음 단계