다음을 통해 공유

Microsoft Defender 포털에서 인시던트 조사

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 포털은 모든 자산의 상관 관계 경고, 자산, 조사 및 증거를 인시던트에 제공하여 공격의 전체 범위를 포괄적으로 조사합니다.

인시던트 내에서 경고를 분석하고, 경고를 이해하고, 효과적인 수정 계획을 고안할 수 있도록 증거를 수집합니다.

초기 조사

세부 정보를 살펴보기 전에 속성 및 인시던트 전체 공격 이야기를 살펴보십시오.

검사 표시 열에서 인시던트 를 선택하여 시작할 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털에서 인시던트 선택

이렇게 하면 인시던트의 세부 정보, 권장 작업 및 관련 위협과 같은 인시던트에 대한 주요 정보가 포함된 요약 창이 열립니다. 다음은 예입니다.

Microsoft Defender 포털에서 인시던트에 대한 요약 세부 정보를 표시하는 창입니다.

여기에서 인시던트 페이지 열기를 선택할 수 있습니다. 그러면 경고, 디바이스, 사용자, 조사 및 증거에 대한 전체 공격 스토리 정보와 탭을 찾을 수 있는 인시던트에 대한 기본 페이지가 열립니다. 인시던트 큐에서 인시던트 이름을 선택하여 인시던트에 대한 기본 페이지를 열 수도 있습니다.

참고

Microsoft Security Copilot 대한 프로비전된 액세스 권한이 있는 사용자는 인시던트를 열면 화면 오른쪽에 Copilot 창이 표시됩니다. Copilot는 인시던트를 조사하고 대응하는 데 도움이 되는 실시간 인사이트 및 권장 사항을 제공합니다. 자세한 내용은 Microsoft Defender Microsoft Copilot 참조하세요.

공격 스토리

공격 스토리는 동일한 탭에서 공격의 전체 스토리를 보면서 공격을 신속하게 검토, 조사 및 수정하는 데 도움이 됩니다. 또한 엔터티 세부 정보를 검토하고 컨텍스트를 잃지 않고 파일을 삭제하거나 디바이스를 격리하는 등의 수정 작업을 수행할 수 있습니다.

공격 스토리는 다음 비디오에서 간략하게 설명합니다.

공격 스토리 내에서 경고 페이지와 인시던트 그래프를 찾을 수 있습니다.

인시던트 경고 페이지에는 다음 섹션이 있습니다.

  • 다음을 포함하는 경고 스토리:

    • 무슨 일이 있었나요
    • 수행한 작업
    • 관련 이벤트

  • 오른쪽 창의 경고 속성(상태, 세부 정보, 설명 등)

모든 경고에 경고 스토리 섹션에 나열된 하위 섹션이 모두 있는 것은 아닙니다.

그래프는 공격의 전체 scope, 시간이 지남에 따라 공격이 네트워크를 통해 확산되는 방법, 시작된 위치 및 공격자가 얼마나 멀리 갔는지를 보여줍니다. 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스 및 사서함과 같은 관련 자산과 연결합니다.

그래프에서 다음을 수행할 수 있습니다.

  • 시간이 지남에 따라 발생한 그래프에서 경고 및 노드를 재생하여 공격의 연대기를 이해합니다.

    공격 스토리 그래프 페이지에서 경고 및 노드 재생을 보여 주는 스크린샷

  • 엔터티 창을 열어 엔터티 세부 정보를 검토하고 파일 삭제 또는 디바이스 격리와 같은 수정 작업을 수행할 수 있습니다.

    공격 스토리 그래프 페이지의 엔터티 세부 정보 검토를 보여 주는 스크린샷.

  • 관련된 엔터티에 따라 경고를 강조 표시합니다.

  • 디바이스, 파일, IP 주소, URL, 사용자, 전자 메일, 사서함 또는 클라우드 리소스의 엔터티 정보를 헌팅합니다.

탐색

Go Hunt 작업은 고급 헌팅 기능을 활용하여 엔터티에 대한 관련 정보를 찾습니다. Go Hunt 쿼리는 조사 중인 특정 엔터티와 관련된 이벤트 또는 경고에 대한 관련 스키마 테이블을 확인합니다. 옵션을 선택하여 엔터티에 대한 관련 정보를 찾을 수 있습니다.

  • 사용 가능한 모든 쿼리를 참조하세요. 이 옵션은 조사 중인 엔터티 형식에 대해 사용 가능한 모든 쿼리를 반환합니다.
  • 모든 활동 – 쿼리는 엔터티와 연결된 모든 활동을 반환하여 인시던트의 컨텍스트를 포괄적으로 볼 수 있습니다.
  • 관련 경고 – 쿼리는 특정 엔터티와 관련된 모든 보안 경고를 검색하고 반환하여 정보를 놓치지 않도록 합니다.

공격 스토리에서 디바이스에서 이동 사냥 옵션 선택

결과 로그 또는 경고는 결과를 선택한 다음 인시던트에 연결을 선택하여 인 시던트에 연결할 수 있습니다.

go hunt 쿼리 결과에서 인시던트에 대한 링크 옵션 강조 표시

인시던트 또는 관련 경고가 설정한 분석 규칙의 결과인 경우 쿼리 실행을 선택하여 다른 관련 결과를 볼 수도 있습니다.

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

공격 경로

인시던트 그래프에는 공격 경로에 대한 정보도 포함됩니다. 이러한 경로를 통해 보안 분석가는 공격자가 다음에 대상으로 지정할 가능성이 있는 다른 엔터티를 식별할 수 있습니다. 공격 경로를 보려면 인시던트 그래프에서 엔터티를 클릭하고 공격 경로 표시를 선택할 수 있습니다. 공격 경로는 중요한 자산 태그가 있는 엔터티에 사용할 수 있습니다.

인시던트 그래프에서 공격 경로 표시 작업을 강조 표시합니다.

공격 경로 표시를 선택하면 선택한 엔터티에 대한 공격 경로 목록을 표시하는 측면 창이 열립니다. 공격 경로는 공격 경로 이름, 진입점, 진입점 유형, 대상, 대상 유형, 대상 중요도를 보여 주는 테이블 형식으로 표시됩니다.

목록에서 공격 경로를 선택하면 진입점에서 대상까지의 공격 경로를 보여 주는 공격 경로 그래프가 표시됩니다. 지도 보기를 선택하면 공격 경로를 전체적으로 볼 수 있는 새 창이 열립니다.

측면 창에 표시된 공격 경로 그래프의 예입니다.

참고

공격 경로의 세부 정보를 보려면 Microsoft Defender 포털에서 읽기 액세스 권한과 Microsoft 보안 노출 관리 대한 라이선스가 있어야 합니다.

통합 보안 운영 플랫폼에서 공격 경로 세부 정보를 보려면 Sentinel 읽기 권한자 역할이 필요합니다. 새 공격 경로를 만들려면 보안 관리자 역할이 필요합니다.

경고

경고 탭에서 인시던트와 관련된 경고 및 다음과 같은 기타 정보에 대한 경고 큐를 볼 수 있습니다.

  • 경고의 심각도입니다.
  • 경고에 관련된 엔터티입니다.
  • 경고(Microsoft Defender for Identity, 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Defender for Cloud Apps 및 앱 거버넌스의 원본 추가 기능).
  • 그들이 함께 연결된 이유.

다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 경고 창

기본적으로 경고는 시간순으로 정렬되어 시간이 지남에 따라 공격이 어떻게 수행되었는지 확인할 수 있습니다. 인시던트 내에서 경고를 선택하면 Microsoft Defender XDR 전체 인시던트 컨텍스트와 관련된 경고 정보를 표시합니다.

다른 트리거된 경고가 현재 경고를 발생시킨 경고의 이벤트와 디바이스, 파일, 사용자, 클라우드 앱 및 사서함을 포함하여 공격에 관련된 모든 영향을 받는 엔터티 및 활동을 볼 수 있습니다.

다음은 예입니다.

Microsoft Defender 포털의 인시던트 내 경고 세부 정보입니다.

경고 조사에서 경고 큐 및 경고 페이지를 사용하는 방법을 알아봅니 .

자산

새 자산 탭을 사용하여 모든 자산을 한 곳에서 쉽게 보고 관리할 수 있습니다 . 이 통합 보기에는 디바이스, 사용자, 사서함 및 앱이 포함됩니다.

자산 탭에는 이름 옆에 총 자산 수가 표시됩니다. 자산 탭을 선택할 때 해당 범주 내의 자산 수가 포함된 다양한 범주 목록이 표시됩니다.

Microsoft Defender 포털의 인시던트에 대한 자산 페이지

디바이스

디바이스 보기에는 인시던트 관련 모든 디바이스가 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 디바이스 페이지

목록에서 디바이스를 선택하면 선택한 디바이스를 관리할 수 있는 막대가 열립니다. 신속하게 내보내기, 태그 관리, 자동화된 조사 등을 시작할 수 있습니다.

디바이스에 대한 검사 표시를 선택하여 디바이스, 디렉터리 데이터, 활성 경고 및 로그온한 사용자의 세부 정보를 볼 수 있습니다. 엔드포인트용 Defender 디바이스 인벤토리에서 디바이스 세부 정보를 보려면 디바이스 이름을 선택합니다. 다음은 예입니다.

Microsoft Defender 포털의 자산 페이지에 있는 디바이스 옵션입니다.

디바이스 페이지에서 모든 경고, 타임라인 및 보안 권장 사항과 같은 디바이스에 대한 추가 정보를 수집할 수 있습니다. 예를 들어 타임라인 탭에서 디바이스 타임라인 스크롤하고 머신에서 관찰된 모든 이벤트 및 동작을 시간순으로 보고 경고가 발생한 후 산재할 수 있습니다.

사용자

사용자 보기에는 인시던트에 속하거나 관련된 것으로 식별된 모든 사용자가 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 사용자 페이지입니다.

사용자의 검사 표시를 선택하여 사용자 계정 위협, 노출 및 연락처 정보에 대한 세부 정보를 볼 수 있습니다. 사용자 이름을 선택하여 추가 사용자 계정 세부 정보를 확인합니다.

추가 사용자 정보를 보고 사용자를 조사할 때 인시던트 사용자를 관리하는 방법을 알아봅니다.

사서함

사서함 보기에는 인시던트에 속하거나 관련된 것으로 확인된 모든 사서함이 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 사서함 페이지입니다.

사서함의 검사 표시를 선택하여 활성 경고 목록을 볼 수 있습니다. 사서함 이름을 선택하여 Office 365용 Defender 대한 Explorer 페이지에서 추가 사서함 세부 정보를 확인합니다.

보기에는 인시던트에 속하거나 관련된 것으로 식별된 모든 앱이 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 앱 페이지입니다.

앱의 검사 표시를 선택하여 활성 경고 목록을 볼 수 있습니다. 앱 이름을 선택하여 Defender for Cloud Apps 대한 Explorer 페이지에서 추가 세부 정보를 확인합니다.

클라우드 리소스

클라우드 리소스 뷰에는 인시던트에 속하거나 관련된 것으로 확인된 모든 클라우드 리소스가 나열됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 클라우드 리소스 페이지입니다.

클라우드 리소스에 대한 검사 표시를 선택하여 리소스의 세부 정보와 활성 경고 목록을 볼 수 있습니다. 클라우드 리소스 페이지 열기를 선택하여 추가 세부 정보를 확인하고 클라우드용 Microsoft Defender 전체 세부 정보를 봅니다.

조사

조사 탭에는 이 인시던트에서 경고에 의해 트리거되는 모든 자동화된 조사가 나열됩니다. 자동화된 조사는 엔드포인트용 Defender 및 Office 365용 Defender 실행되도록 자동화된 조사를 구성한 방법에 따라 수정 작업을 수행하거나 분석가의 작업 승인을 기다립니다.

Microsoft Defender 포털의 인시던트에 대한 조사 페이지

조사를 선택하여 조사 및 수정 상태 대한 전체 정보를 보려면 세부 정보 페이지로 이동합니다. 조사의 일환으로 승인을 위해 보류 중인 작업이 있는 경우 보류 중인 작업 탭에 표시됩니다. 인시던트 수정의 일부로 조치를 취합니다.

다음을 보여 주는 조사 그래프 탭도 있습니다.

  • organization 영향을 받은 자산에 대한 경고 연결입니다.
  • 경고와 관련된 엔터티 및 공격 스토리의 일부인 방법.
  • 인시던트에 대한 경고입니다.

조사 그래프를 사용하면 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스 및 사서함과 같은 관련 자산과 연결하여 공격의 전체 scope 빠르게 이해할 수 있습니다.

자세한 내용은 Microsoft Defender XDR 자동 조사 및 응답을 참조하세요.

증거 및 응답

증거 및 응답 탭에는 인시던트에서 경고에 지원되는 모든 이벤트 및 의심스러운 엔터티가 표시됩니다. 다음은 예입니다.

Microsoft Defender 포털의 인시던트에 대한 증거 및 대응 페이지

Microsoft Defender XDR 경고에서 인시던트의 지원되는 모든 이벤트 및 의심스러운 엔터티를 자동으로 조사하여 중요한 이메일, 파일, 프로세스, 서비스, IP 주소 등에 대한 정보를 제공합니다. 이렇게 하면 인시던트에서 잠재적인 위협을 신속하게 감지하고 차단할 수 있습니다.

분석된 각 엔터티는 평결(악성, 의심, 정리) 및 수정 상태 표시됩니다. 이렇게 하면 전체 인시던트에 대한 수정 상태 다음 단계를 수행할 수 있는지 이해하는 데 도움이 됩니다.

수정 작업 승인 또는 거부

수정 상태 승인 보류 중인 인시던트에 대해서는 수정 작업을 승인하거나 거부하거나, Explorer 열거나, 증거 및 응답 탭 내에서 검색을 수행할 수 있습니다. 다음은 예제입니다.

Microsoft Defender 포털의 인시던트에 대한 증거 및 응답 관리 창의 승인\거부 옵션입니다.

요약

요약 페이지를 사용하여 인시던트의 상대적 중요도를 평가하고 관련 경고 및 영향을 받은 엔터티에 신속하게 액세스합니다. 요약 페이지에서는 인시던트에 대해 알아야 할 주요 사항을 스냅샷 한눈에 볼 수 있습니다.

Microsoft Defender 포털에서 인시던트에 대한 요약 정보를 보여 주는 스크린샷

정보는 이 섹션에서 구성됩니다.

섹션 설명
경고 및 범주 킬 체인에 대해 공격이 얼마나 진행되었는지에 대한 시각적 및 숫자 보기입니다. 다른 Microsoft 보안 제품과 마찬가지로 Microsoft Defender XDR MITRE ATT&CK™ 프레임워크에 맞춰집니다. 경고 타임라인 경고가 발생한 시간순 순서와 각 경고의 상태 및 이름을 보여 줍니다.
범위 영향을 받은 디바이스, 사용자 및 사서함 수를 표시하고 위험 수준 및 조사 우선 순위 순서대로 엔터티를 나열합니다.
경고 인시던트에 관련된 경고를 표시합니다.
증거 인시던트에 의해 영향을 받는 엔터티 수를 표시합니다.
인시던트 정보 태그, 상태 및 심각도와 같은 인시던트의 속성을 표시합니다.

유사한 인시던트

일부 인시던트에는 유사한 인시던트 페이지에 유사한 인시던트가 나열되어 있을 수 있습니다. 이 섹션에서는 유사한 경고, 엔터티 및 기타 속성이 있는 인시던트도 보여 줍니다. 이렇게 하면 공격의 scope 이해하고 관련될 수 있는 다른 인시던트 식별에 도움이 될 수 있습니다. 다음은 예입니다.

Microsoft Defender 포털에서 인시던트에 대한 유사한 인시던트 탭을 보여 주는 스크린샷

Defender Boxed는 지난 6개월/1년 동안 organization 보안 성공, 개선 및 대응 작업을 보여주는 일련의 카드로 매년 1월과 7월에 제한된 시간 동안 나타납니다. Defender Boxed 하이라이트를 공유하는 방법을 알아봅니다.

다음 단계

필요에 따라:

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.