Office 365용 Microsoft Defender 플랜 2의 AIR(자동 조사 및 대응)
팁
Office 365용 Microsoft Defender 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 시도에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
의 Microsoft 365 organization https://security.microsoft.com/alerts보안 경고가 표시되면 SecOps(보안 운영) 팀이 해당 경고를 검토, 우선 순위 지정 및 대응해야 합니다. 들어오는 경고의 볼륨을 유지하는 것은 압도적일 수 있습니다. 이러한 작업 중 일부를 자동화하면 도움이 될 수 있습니다.
Office 365용 Microsoft Defender 플랜 2(E5 또는 독립 실행형 구독과 같은 Microsoft 365 라이선스에 포함됨)에는 SecOps 팀의 시간과 노력을 절약하는 강력한 AIR(자동 조사 및 대응) 기능이 포함되어 있습니다.
AIR는 organization 수준 조사를 완료하여 높은 영향, 대용량 경고를 심사합니다. AIR 조사는 탐지를 확장하거나 추가 분석을 제공하여 organization 대한 위협 상태 확인합니다. AIR는 위협을 식별할 때 SecOps 담당자가 승인할 위협 수정 작업을 큐에 대기합니다. AIR는 다음과 같은 이점을 제공합니다.
- 잘 알려진 위협에 대응하는 자동화된 조사 프로세스입니다.
- 승인을 기다리는 적절한 수정 작업으로 SecOps 팀이 검색된 위협에 효과적으로 대응할 수 있습니다.
- SecOps 팀은 트리거되는 중요한 경고를 놓치지 않고 우선 순위가 높은 작업에 집중할 수 있습니다.
Office 365용 Defender 플랜 2의 AIR를 사용하려면 감사 로깅이 켜져 있어야 합니다(기본적으로 켜져 있음).
AIR의 전체 흐름
경고가 트리거되고 보안 플레이북이 자동화된 조사를 시작하여 결과 및 권장 작업이 발생합니다. AIR의 전체 흐름은 단계별로 다음과 같습니다.
자동화된 조사는 다음 방법 중 하나로 시작됩니다.
AIR를 시작하도록 설계된 특정 경고입니다. 이러한 경고는 다음과 같습니다.
의심스러운 항목은 전자 메일(예: 메시지 자체, 첨부 파일, URL 또는 손상된 사용자 계정)에서 식별됩니다.
사용자 제출.
사용자가 경고를 클릭합니다.
의심스러운 사서함 동작.
팁
organization 경고를 정기적으로 검토해야 합니다. 자동화된 조사를 트리거하는 경고 정책에 대한 자세한 내용은 위협 관리 범주의 기본 경고 정책을 참조하세요. 자동 조사에 대한 예 값이 포함된 항목은 자동화된 조사를 트리거할 수 있습니다. 이러한 경고를 사용하지 않도록 설정하거나 사용자 지정 경고로 대체하면 AIR가 트리거되지 않습니다.
보안 분석가는 위협 Explorer, 고급 헌팅
, 사용자 지정 검색, Email 엔터티 페이지 또는 Email 요약 패널에서 작업 수행을 선택하여 조사를 수동으로 트리거합니다. 자세한 내용은 위협 헌팅: Email 수정을 참조하세요. 예제는 Office 365용 Microsoft Defender 계획 2의 AIR(자동 조사 및 응답) 예제를 참조하세요.
자동화된 조사는 경고의 특성, 관련된 메시지 및 메시지와 관련된 추가 증거를 평가하고 분석합니다. 조사 scope 조사 중에 발견되고 수집된 증거에 따라 증가할 수 있습니다.
자동 조사 중 및 후에 세부 정보 및 결과를 사용할 수 있습니다. 결과에는 발견된 위협을 수정하기 위해 SecOps 담당자에게 권장되는 작업이 포함될 수 있습니다.
SecOps 팀은 조사 결과 및 권장 사항(조사 자체, 인시던트 또는 알림 센터)을 검토하고 수정 작업을 승인하거나 거부합니다.
팁
수정 작업이 자동으로 수행되지 않습니다. 수정 작업을 수행하려면 SecOps 담당자의 수동 승인이 필요합니다. AIR 기능은 정보에 입각한 결정을 내리기 위해 모든 세부 정보와 함께 권장되는 수정 작업에 도착하여 시간을 절약합니다.
또한 AIR는 위협이 발견되지 않은 경고 및 인시던트도 평가하고 자동으로 해결하여 시간을 절약합니다. 이 결과는 사용자 제출 시나리오에서 매우 일반적입니다. AIR는 위협이 발견되지 않거나 이미 수정된 메시지에서 위협이 발견되면 조사를 종료합니다. 일반적 으로
보류 중인 수정 작업이 승인되거나 거부되면 자동화된 조사가 완료됩니다.
권장 작업이 식별되지 않으면 자동 조사가 자동으로 닫힙니다. 조사 세부 정보는 의 조사 페이지에서 https://security.microsoft.com/airinvestigation계속 사용할 수 있습니다.
각 자동화된 조사 중 및 후에 SecOps 팀은 다음 작업을 수행할 수 있습니다.
AIR에 대한 필수 권한 및 라이선스
AIR을 사용하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.
-
MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)(협업>을 Email & 경우Office 365용 Defender 권한은 활성입니다
. PowerShell이 아닌 Defender 포털에만 영향을 줍니다.- 자동화된 조사를 시작하거나 권장 작업 승인 또는 거부: 보안 작업/Email 고급 수정 작업(관리).
-
Microsoft Defender 포털에서 공동 작업 권한을 Email &.
- AIR 기능 설정: 조직 관리 또는 보안 관리자 역할 그룹의 멤버 자격.
-
자동화된 조사를 시작 하거나 권장 작업을 승인하거나 거부합니다.
- 조직 관리, 보안 관리자, 보안 운영자, 보안 읽기 권한자 또는 전역 읽기 권한자 역할 그룹의 멤버 자격입니다. 및
- 검색 및 제거 역할은 기본적으로 데이터 조사자 또는 조직 관리 역할 그룹에만 할당됩니다. 또는 검색 및 제거 역할이 할당된 새 역할 그룹을 만들고 사용자를 사용자 지정 역할 그룹에 추가할 수 있습니다.
-
Microsoft Entra 권한: 사용자에게 Microsoft 365의 다른 기능에 필요한 권한 및 권한을 부여합니다.
- AIR 기능 설정전역 관리자 또는 보안 관리자 역할의 멤버 자격.
-
자동화된 조사를 시작 하거나 권장 작업을 승인하거나 거부합니다.
- 전역 관리자, 보안 관리자, 보안 운영자, 보안 읽기 권한자 또는 전역 읽기 권한자 역할의 멤버 자격입니다. 및
- 앞에서 설명한 대로 검색 및 제거 역할이 할당된 Email & 협업 역할 그룹의 멤버 자격입니다.
AIR를 사용하려면 Office 365용 Defender 플랜 2(구독 또는 추가 기능 라이선스에 포함)에 대한 라이선스를 할당받아야 합니다.