Defender 포털을 사용하여 인시던트에 대응
이 문서에서는 Defender 포털에서 Microsoft Sentinel을 사용하여 심사, 조사 및 해결 방법을 다루는 인시던트에 대응하는 방법을 설명합니다.
필수 구성 요소
Defender 포털에서 사건 조사하기:
- Microsoft Sentinel에 사용되는 Log Analytics 작업 영역을 Defender 포털에 온보딩해야 합니다. 자세한 내용은 Microsoft Sentinel을 Microsoft Defender 포털에 연결하는 방법을 참조하세요.
인시던트 대응 프로세스
Defender 포털에서 작업할 때는 그렇지 않은 경우와 마찬가지로 초기 심사, 해결 및 후속 단계를 수행합니다. 조사할 때 다음을 확인합니다.
- 자산 타임라인을 검토하여 인시던트 및 해당 범위를 이해합니다.
- 보류 중인 자체 복구 작업을 검토하고, 엔터티를 수동으로 수정하며, 라이브 응답을 실행합니다.
- 방지 조치를 추가합니다.
Defender 포털의 추가된 Microsoft Sentinel 영역은 다음을 포함하여 조사를 심화하는 데 도움이 됩니다.
- 인시던트 범위를 보안 프로세스, 정책 및 절차(3P)와 상호 연결하여 이해합니다.
- 3P 자동화된 조사 및 수정 작업을 수행하고 SOAR(사용자 지정 보안 오케스트레이션, 자동화 및 응답) 플레이북을 만듭니다.
- 인시던트 관리를 위한 기록 증거입니다.
- 사용자 지정 측정값 추가
자세한 내용은 다음을 참조하세요.
- Microsoft Defender XDR에서 인시던트 조사
- Microsoft Defender XDR을(를) 통한 인시던트 대응
- Microsoft Sentinel의 엔터티 페이지
Microsoft Sentinel을 사용하여 자동화
Microsoft Sentinel의 플레이북 및 자동화 규칙 기능을 활용해야 합니다.
플레이북 Microsoft Sentinel 포털에서 루틴으로 실행할 수 있는 조사 및 수정 작업의 컬렉션입니다. 플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 될 수 있습니다. 인시던트, 엔터티 및 경고에 대해 수동으로 실행하거나, 자동화 규칙에 의해 트리거될 때 특정 경고 또는 인시던트에 대한 응답으로 자동으로 실행되도록 설정할 수 있습니다. 자세한 내용은 플레이북 사용하여 위협 대응 자동화참조하세요.
Automation 규칙 다양한 시나리오에 적용할 수 있는 작은 규칙 집합을 정의하고 조정할 수 있도록 하여 Microsoft Sentinel에서 자동화를 중앙에서 관리하는 방법입니다. 자세한 내용은 Microsoft Sentinel에서 자동화 규칙 를 사용하여 위협 대응을 자동화하는 방법에 대한을 참조하세요.
Microsoft Sentinel 작업 영역을 통합 보안 운영 플랫폼에 온보딩한 후에는 작업 영역에서 자동화가 작동하는 방식에 차이가 있습니다. 자세한 내용은 통합 보안 운영 플랫폼 Automation을 참조하세요.
인시던트 후 대응
인시던트가 해결되면 인시던트 대응 리드에 보고하여 추가 작업을 결정할 수 있는 후속 조치를 확인합니다. 예를 들어:
- 계층 1 보안 분석가에게 공격을 조기에 더 잘 감지하도록 알릴 수 있습니다.
- Microsoft Defender XDR 위협 분석 및 보안 커뮤니티에서 보안 공격 동향을 연구합니다. 자세한 내용은 Microsoft Defender XDR 위협 분석을 참조하세요.
- 필요에 따라 인시던트 해결에 사용한 워크플로를 기록하고 표준 워크플로, 프로세스, 정책 및 플레이북을 업데이트합니다.
- 보안 구성의 변경이 필요한지 여부를 확인하고 구현합니다.
- 나중에 비슷한 위험에 대비하여 위협 대응을 자동화하고 조율하는 플레이북을 만드십시오. 자세한 내용은 Microsoft Sentinel의 "플레이북을 사용하여 위협 대응 자동화"를에서 참조하십시오.
관련 콘텐츠
자세한 내용은 다음을 참조하세요.