위협 분석을 통해 새로운 위협 추적 및 대응
적용 대상:
중요
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
위협 분석은 전문 Microsoft 보안 연구원의 제품 내 위협 인텔리전스 솔루션입니다. 다음과 같은 새로운 위협에 직면하면서 보안팀이 최대한 효율적으로 작업할 수 있도록 지원하도록 설계되었습니다.
- 활성 위협 행위자 및 해당 캠페인
- 인기 있는 새로운 공격 기술
- 주요 취약성
- 일반적인 공격 표면
- 널리 사용되는 맬웨어
Microsoft Defender 포털 탐색 모음의 왼쪽 위 또는 알려진 영향과 노출 측면에서 조직에 대한 주요 위협을 보여 주는 전용 dashboard 카드 위협 분석에 액세스할 수 있습니다.
활성 또는 진행 중인 캠페인에 대한 가시성을 확보하고 위협 분석을 통해 수행할 작업을 파악하면 보안 운영팀에서 정보에 입각한 의사 결정을 내리는 데 도움이 될 수 있습니다.
더 정교한 악의적 사용자와 새로운 위협이 자주 널리 나타나고 있으므로 신속하게 다음을 할 수 있어야 합니다.
- 새로운 위협 식별 및 대응
- 현재 공격을 받고 있는지 알아보기
- 자산에 대한 위협의 영향 평가
- 위협에 대한 복원력 또는 노출 검토
- 위협을 중지하거나 포함하기 위해 수행할 수 있는 완화, 복구 또는 방지 작업 식별
각 보고서는 추적된 위협에 대한 분석과 해당 위협을 방어하는 방법에 대한 광범위한 지침을 제공합니다. 또한 네트워크의 데이터를 통합하여 위협이 활성 상태인지 여부와 적용 가능한 보호 기능이 있는지 여부를 나타냅니다.
필요한 역할 및 사용 권한 할당
Defender 포털에서 위협 분석에 액세스하려면 다음 역할 및 권한이 필요합니다.
- 보안 데이터 기본 사항(읽기)- 위협 분석 보고서, 관련 인시던트 및 경고 및 영향을 받은 자산 보기
- 취약성 관리(읽기) 및 보안 점수(읽기) - 관련 노출 데이터 및 권장 작업을 확인합니다.
기본적으로 Defender 포털에서 사용할 수 있는 서비스에 대한 액세스는 Microsoft Entra 전역 역할을 사용하여 전체적으로 관리됩니다. 특정 제품 데이터에 대한 액세스에 대한 유연성과 제어가 더 필요하고 중앙 집중식 권한 관리에 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 아직 사용하지 않는 경우 각 서비스에 대한 사용자 지정 역할을 만드는 것이 좋습니다. 사용자 지정 역할 만들기에 대해 자세히 알아보기
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
지원되는 제품 중 하나만 있는 경우에도 모든 위협 분석 보고서를 볼 수 있습니다. 그러나 해당 제품의 특정 인시던트, 자산, 노출 및 위협과 관련된 권장 작업을 확인하려면 각 제품 및 역할이 있어야 합니다.
위협 분석 대시보드 보기
위협 분석 dashboard(security.microsoft.com/threatanalytics3)은 organization 가장 관련성이 큰 보고서를 강조 표시합니다. 위협을 다음 섹션으로 요약합니다.
- 최신 위협은 활성 및 해결된 경고 수와 함께 가장 최근에 게시되거나 업데이트된 위협 보고서를 나열합니다.
- 영향력이 큰 위협은 organization 가장 큰 영향을 주는 위협을 나열합니다. 이 섹션에는 활성 및 해결된 경고 수가 가장 많은 위협을 먼저 나열합니다.
- 가장 높은 노출 위협 - organization 노출이 가장 높은 위협을 나열합니다. 위협에 대한 노출 수준은 위협과 관련된 취약성의 심각도 및 해당 취약성에 의해 악용될 수 있는 organization 디바이스 수의 두 가지 정보를 사용하여 계산됩니다.
대시보드에서 위협을 선택하여 해당 위협에 대한 보고서를 봅니다. 읽고 싶은 위협 분석 보고서와 관련된 키워드(keyword) 키로 검색 필드를 선택할 수도 있습니다.
범주별 보고서 보기
위협 보고서 목록을 필터링하고 특정 위협 유형 또는 보고서 유형에 따라 가장 관련성이 큰 보고서를 볼 수 있습니다.
- 위협 태그 - 특정 위협 범주에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 랜섬웨어 태그에는 랜섬웨어 와 관련된 모든 보고서가 포함됩니다.
- 보고서 유형 - 특정 보고서 유형에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 도구 & 기술 태그에는 도구 및 기술을 다루는 모든 보고서가 포함됩니다.
다양한 태그에는 위협 보고서 목록을 효율적으로 검토하고 특정 위협 태그 또는 보고서 유형에 따라 보기를 필터링하는 데 도움이 되는 동일한 필터가 있습니다. 예를 들어 랜섬웨어 범주와 관련된 모든 위협 보고서 또는 취약성이 포함된 위협 보고서를 확인합니다.
Microsoft 위협 인텔리전스 팀은 각 위협 보고서에 위협 태그를 추가합니다. 현재 사용할 수 있는 위협 태그는 다음과 같습니다.
- 랜섬웨어
- 강탈
- 피싱
- 키보드 손 켜기
- 활동 그룹
- 취약성
- 공격 캠페인
- 도구 또는 기술
위협 태그는 위협 분석 페이지의 맨 위에 표시됩니다. 각 태그 아래에 사용 가능한 보고서 수에 대한 카운터가 있습니다.
목록에서 원하는 보고서 유형을 설정하려면 필터를 선택하고 목록에서 선택한 다음 적용을 선택합니다.
둘 이상의 필터를 설정하는 경우 위협 태그 열을 선택하여 위협 분석 보고서 목록을 위협 태그별로 정렬할 수도 있습니다.
위협 분석 보고서 보기
각 위협 분석 보고서는 다음과 같은 여러 섹션에 정보를 제공합니다.
개요: 위협을 신속하게 이해하고, 위협을 평가하고, 방어를 검토합니다.
개요 섹션에서는 자세한 분석가 보고서의 미리 보기를 제공합니다. 또한 organization 대한 위협의 영향과 잘못 구성되고 패치되지 않은 디바이스를 통한 노출을 강조하는 차트를 제공합니다.
organization 미치는 영향 평가
각 보고서에는 위협의 조직 영향에 대한 정보를 제공하도록 설계된 차트가 포함되어 있습니다.
-
관련 인시던트 - 추적된 위협이 다음 데이터를 사용하여 organization 미치는 영향에 대한 개요를 제공합니다.
- 활성 경고 수 및 연결된 활성 인시던트 수
- 활성 인시던트의 심각도
- 시간에 따른 경고 - 시간에 따른 관련 활성 및 해결된 경고의 수를 표시합니다. 해결된 경고 수는 organization 위협과 관련된 경고에 응답하는 빈도를 나타냅니다. 이상적으로 차트는 며칠 내에 해결된 경고를 표시해야 합니다.
- 영향을 받은 자산 - 현재 추적된 위협과 연결된 하나 이상의 활성 경고가 있는 고유 자산의 수를 보여 줍니다. 위협 전자 메일을 받은 사서함에 대해 경고가 트리거됩니다. 위협 전자 메일을 배달하는 재정의에 대한 조직 및 사용자 수준 정책을 모두 검토합니다.
보안 복원력 및 태세 검토
각 보고서에는 지정된 위협에 대한 organization 복원력에 대한 개요를 제공하는 차트가 포함되어 있습니다.
- 권장 작업 - 작업 상태 백분율 또는 보안 태세를 개선하기 위해 달성한 포인트 수를 보여 줍니다. 권장 작업을 수행하여 위협을 해결합니다. 범주 또는 상태별로 포인트 분석을 볼 수 있습니다.
- 엔드포인트 노출 - 취약한 디바이스의 수를 보여 줍니다. 보안 업데이트 또는 패치를 적용하여 위협에 악용된 취약성을 해결합니다.
분석가 보고서: Microsoft 보안 연구원으로부터 전문가 인사이트 얻기
분석가 보고서 섹션에서 자세한 전문가 쓰기를 읽어보세요. 대부분의 보고서는 MITRE ATT&CK 프레임워크에 매핑된 전술 및 기술, 철저한 권장 사항 목록 및 강력한 위협 헌팅 지침을 포함하여 공격 체인에 대한 자세한 설명을 제공합니다.
관련 인시던트: 관련 인시던트 보기 및 관리
관련 인시던트 탭에서는 추적된 위협과 관련된 모든 인시던트 목록을 제공합니다. 인시던트를 할당하거나 각 인시던트에 연결된 경고를 관리할 수 있습니다.
참고
위협과 관련된 인시던트 및 경고는 엔드포인트용 Defender, Defender for Identity, Office 365용 Defender, Defender for Cloud Apps 및 클라우드용 Defender에서 제공됩니다.
영향을 받는 자산: 영향을 받는 디바이스, 사용자, 사서함, 앱 및 클라우드 리소스 목록 가져오기
영향을 받는 자산 탭에는 시간 경과에 따른 위협의 영향을 받는 자산이 표시됩니다. 다음이 표시됩니다.
- 활성 경고의 영향을 받는 자산
- 해결된 경고의 영향을 받는 자산
- 모든 자산 또는 활성 및 해결된 경고의 영향을 받는 총 자산 수
자산은 다음 범주로 나뉩니다.
- 장치
- 사용자
- 사서함
- 앱
- 클라우드 리소스
엔드포인트 노출: 보안 업데이트의 배포 상태 파악
엔드포인트 노출 섹션에서는 위협에 대한 organization 노출 수준을 제공하며, 이 수준은 해당 위협에 의해 악용된 취약성 및 잘못된 구성의 심각도와 이러한 약점이 있는 디바이스 수를 기반으로 계산됩니다.
또한 이 섹션에서는 온보딩된 디바이스에 있는 취약성에 대해 지원되는 소프트웨어 보안 업데이트의 배포 상태 제공합니다. 또한 보고서의 다양한 링크에서 자세한 드릴다운 정보를 제공하는 Microsoft Defender 취약성 관리 데이터를 통합합니다.
권장 작업: 완화 목록 및 디바이스 상태 검토
권장 작업 탭에서 위협에 대한 조직의 복원력을 높이는 데 도움이 될 수 있는 특정 실행 가능한 권장 사항 목록을 검토합니다. 추적된 완화 목록에는 다음과 같은 지원되는 보안 구성이 포함됩니다.
- 클라우드 제공 보호
- PUA(사용자 동의 없이 설치된 애플리케이션) 보호
- 실시간 보호
보고서 업데이트에 대한 메일 알림 설정
위협 분석 보고서에 대한 업데이트를 보내는 메일 알림 설정할 수 있습니다. 메일 알림 만들려면 Microsoft Defender XDR 위협 분석 업데이트에 대한 메일 알림 가져오기의 단계를 수행합니다.
기타 보고서 세부 정보 및 제한 사항
위협 분석 데이터를 확인할 때 다음 요소를 기억하세요.
- 권장 작업 탭의 검사 목록에는 Microsoft 보안 점수에서 추적된 권장 사항만 표시됩니다. 보안 점수에서 추적되지 않는 더 많은 권장 작업은 분석가 보고서 탭을 확인하세요.
- 권장 작업은 완전한 복원력을 보장하지 않으며 이를 개선하는 데 필요한 최상의 작업만 반영합니다.
- 바이러스 백신 관련 통계는 Microsoft Defender 바이러스 백신 설정을 기반으로 합니다.
- 기본 위협 분석 페이지의 잘못 구성된 디바이스 열에는 위협 관련 권장 작업이 켜져 있지 않을 때 위협의 영향을 받는 디바이스 수가 표시됩니다. 그러나 Microsoft 연구원이 권장되는 작업을 연결하지 않으면 잘못 구성된 디바이스 열에 사용할 수 없음 상태 표시됩니다.
- 기본 위협 분석 페이지의 취약한 디바이스 열에는 위협에 연결된 취약성에 취약한 소프트웨어를 실행하는 디바이스 수가 표시됩니다. 그러나 Microsoft 연구원이 취약성을 연결하지 않으면 취약한 디바이스 열에 사용할 수 없음 상태 표시됩니다.
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.