자동 조사의 세부 내용과 결과
적용 대상:
- Microsoft Defender XDR
Microsoft Defender XDR 자동화된 조사가 실행되면 자동 조사 프로세스 중 및 이후에 해당 조사에 대한 세부 정보를 사용할 수 있습니다. 필요한 권한이 있는 경우 최신 상태 및 보류 중인 작업을 승인할 수 있는 기능을 제공하는 조사 세부 정보 보기에서 이러한 세부 정보를 볼 수 있습니다.
(NEW) 통합 조사 페이지
조사 페이지는 최근 디바이스, 이메일 및 공동 작업 콘텐츠에 대한 정보를 포함하도록 업데이트되었습니다. 새로운 통합 조사 페이지는 공용 언어를 정의하고 엔드포인트용 Microsoft Defender 및 Office 365용 Microsoft Defender 전체에서 자동 조사를 위한 통합 환경을 제공합니다. 통합 조사 페이지에 액세스하려면 표시되는 노란색 배너의 링크를 선택합니다.
- Microsoft Purview 규정 준수 포털 모든 조사 페이지
- Microsoft Defender 포털의 모든 조사 페이지(https://security.microsoft.com)
- Microsoft Defender 포털의 인시던트 또는 알림 센터 환경
조사 세부정보 보기 열기
다음 방법 중 하나를 사용 하여 조사 세부정보 보기를 열 수 있습니다.
작업 센터에서 항목 선택
향상된 알림 센터 (https://security.microsoft.com/action-center)는 디바이스 간 수정 작업 , 메일 & 협업 콘텐츠 및 ID를 함께 제공합니다. 나열되는 작업에는 자동 또는 수동으로 수행된 수정 작업이 포함됩니다. 알림 센터에서 승인 대기 중인 작업과 이미 승인되거나 완료된 작업을 볼 수 있습니다. 조사 페이지와 같은 자세한 정보로 이동할 수도 있습니다.
팁
작업을 승인, 거부 또는 실행 취소할 수 있는 특정 권한이 있어야 합니다.
Microsoft Defender 포털로 이동하여 로그인합니다.
탐색 창에서 작업 센터를 선택합니다.
보류 중인 또는 기록 탭에서 항목을 선택 합니다. 플라이아웃 창이 열립니다.
플라이아웃 창에서 정보를 검토한 다음, 다음 단계 중 하나를 수행합니다.
- 조사에 대한 자세한 내용을 보려면 조사 페이지 열기를 선택합니다.
- 보류 중인 작업을 시작하려면 승인을 선택합니다.
- 보류 중인 작업이 수행되지 않도록 하려면 거부를 선택합니다.
- Go Hunt를 선택하여 고급 헌팅으로 이동합니다.
문제 세부정보 페이지에서 조사 오픈
세부정보 페이지를 통해 알람 원인 장치, 사용자, 사서함 등 사건에 대한 세부 정보를 확인할 수 있습니다.
Microsoft Defender 포털로 이동하여 로그인합니다.
탐색 창에서 인시던트 & 경고 인시던트> 를 선택합니다.
목록에서 항목을 선택한 다음 인시 던트 페이지 열기를 선택합니다.
조사 탭을 선택한 다음 목록에서 조사를 선택합니다. 플라이아웃 창이 열립니다.
조사 페이지 열기를 선택합니다.
다음은 예입니다.
조사 세부정보
조사 세부정보 보기를 사용 하여 과거, 현재 및 보류 중인 활동을 확인하고 조사합니다. 다음은 예입니다.
조사 세부정보 보기에서 아래 테이블에 설명되어 있는 것 처럼 조사 그래프, 알람, 장치, 항목, 주요 발견 사항, 대상, 로그 및 보류 활동을 확인할 수 있습니다.
참고
조사 세부 정보 페이지에 표시되는 특정 탭은 구독에 포함된 사항에 따라 달라집니다. 예를 들어 구독에 Office 365용 Microsoft Defender 플랜 2가 포함되어 있지 않으면 사서함 탭이 표시되지 않습니다.
| Tab | 설명 |
|---|---|
| 조사 그래프 | 조사 내용이 시각적으로 표시 됩니다. 위협 대상과 목록 알람과 현재 활동이나 보류중인 활동을 보여줍니다. 그래프에서 항목을 선택하면 세부 정보를 볼 수 있습니다. 예를 들어 증거 아이콘을 선택하면 검색된 엔터티와 해당 평결을 볼 수 있는 증거 탭으로 이동합니다. |
| 경고 | 조사와 관련 된 알람목록을 보여줍니다. 경고는 사용자의 디바이스, Office 앱, Microsoft Defender for Cloud Apps 및 기타 Microsoft Defender XDR 기능의 위협 방지 기능에서 나올 수 있습니다. 지원되지 않는 경고 유형이 표시되면 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다. |
| 장치 | Lists 수정 수준과 함께 조사에 포함된 디바이스입니다. (수정 수준은 디바이스 그룹의 자동화 수준에 해당합니다.) |
| 사서함 | 검색된 위협의 영향을 받는 사서함을 Lists. |
| 사용자 | 검색된 위협의 영향을 받는 사용자 계정을 Lists. |
| 증거 | Lists 경고 또는 조사에 의해 제기 된 증거의 조각입니다. 평가 결과(악성, 의심스러움, 알 수 없음 또는 발견된 위협 없음) 및 수정 상태를 포함합니다. |
| 항목 | 각 엔터티 유형에 대한 평과 결과(악성, 의심스러움 또는 발견된 위협 없음)를 비롯해 분석된 각 엔터티에 대한 세부 정보를 제공합니다. |
| 로그 | 경고가 트리거된 후 수행된 모든 조사 작업에 대한 자세한 보기를 시간순으로 제공합니다. |
| 보류 중인 작업 기록 | 진행 하려면 승인이 필요한 항목을 나열 합니다. 알림 센터(https://security.microsoft.com/action-center)로 이동하여 보류 중인 작업을 승인합니다. |
조사 상태
다음 표에는 조사 상태 및 표시 내용이 나와 있습니다.
| 조사 상태 | 정의 |
|---|---|
| 양성 | 아티팩트가 조사되었고 위협이 발견되지 않았다고 결정했습니다. |
| PendingResource | 수정 작업이 승인을 보류 중이거나 아티팩트가 발견된 디바이스를 일시적으로 사용할 수 없으므로 자동화된 조사가 일시 중지됩니다. |
| UnsupportedAlertType | 이러한 유형의 경고에는 자동화된 조사를 사용할 수 없습니다. 고급 헌팅을 사용하여 수동으로 추가 조사를 수행할 수 있습니다. |
| 실패 | 하나 이상의 조사 분석기가 조사를 완료할 수 없는 문제가 발생했습니다. 수정 작업이 승인된 후에도 조사가 실패하는 경우 수정 작업이 여전히 성공했을 수 있습니다. |
| 성공적으로 수정됨 | 자동화된 조사가 완료되고 모든 수정 작업이 완료되거나 승인되었습니다. |
조사 상태가 표시되는 방식에 대한 자세한 컨텍스트를 제공하기 위해 다음 표에는 경고 및 해당 자동 조사 상태가 나와 있습니다. 이 테이블은 보안 운영 팀이 Microsoft Defender 포털에 표시할 수 있는 내용의 예로 포함되어 있습니다.
| 경고 이름 | 심각도 | 조사 상태 | 상태 | 범주 |
|---|---|---|---|---|
| wim 디스크 이미지 파일에서 맬웨어가 검색됨 | 정보 | 양성 | 해결됨 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | UnsupportedAlertType | 신규 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | UnsupportedAlertType | 신규 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | UnsupportedAlertType | 신규 | 맬웨어 |
| zip 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| zip 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| zip 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| zip 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| Wpakill hacktool이 방지되었습니다. | 낮음 | 실패 | 신규 | 맬웨어 |
| GendowsBatch hacktool이 방지되었습니다. | 낮음 | 실패 | 신규 | 맬웨어 |
| Keygen hacktool이 방지되었습니다. | 낮음 | 실패 | 신규 | 맬웨어 |
| zip 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| zip 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| rar 보관 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| iso 디스크 이미지 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| iso 디스크 이미지 파일에서 맬웨어가 검색됨 | 정보 | PendingResource | 신규 | 맬웨어 |
| pst outlook 데이터 파일에서 맬웨어가 검색됨 | 정보 | UnsupportedAlertType | 신규 | 맬웨어 |
| pst outlook 데이터 파일에서 맬웨어가 검색됨 | 정보 | UnsupportedAlertType | 신규 | 맬웨어 |
| MediaGet이 검색됨 | 보통 | PartiallyInvestigated | 신규 | 맬웨어 |
| TrojanEmailFile | 보통 | SuccessfullyRemediated | 해결됨 | 맬웨어 |
| CustomEnterpriseBlock 맬웨어가 방지되었습니다. | 정보 | SuccessfullyRemediated | 해결됨 | 맬웨어 |
| 활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. | 낮음 | SuccessfullyRemediated | 해결됨 | 맬웨어 |
| 활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. | 낮음 | SuccessfullyRemediated | 해결됨 | 맬웨어 |
| 활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. | 낮음 | SuccessfullyRemediated | 해결됨 | 맬웨어 |
| TrojanEmailFile | 보통 | 양성 | 해결됨 | 맬웨어 |
| CustomEnterpriseBlock 맬웨어가 방지되었습니다. | 정보 | UnsupportedAlertType | 신규 | 맬웨어 |
| CustomEnterpriseBlock 맬웨어가 방지되었습니다. | 정보 | SuccessfullyRemediated | 해결됨 | 맬웨어 |
| TrojanEmailFile | 보통 | SuccessfullyRemediated | 해결됨 | 맬웨어 |
| TrojanEmailFile | 보통 | 양성 | 해결됨 | 맬웨어 |
| 활성 CustomEnterpriseBlock 맬웨어가 차단되었습니다. | 낮음 | PendingResource | 신규 | 맬웨어 |
다음 단계
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.