위협 분석을 분석

  • 3분

위협 분석은 전문가 Microsoft 보안 연구원의 위협 인텔리전스 솔루션입니다. 다음과 같은 새로운 위협에 직면하면서 보안 팀이 최대한 효율적으로 작업할 수 있도록 설계되었습니다.

  • 활성 위협 행위자 및 해당 캠페인
  • 인기 있는 새로운 공격 기술
  • 주요 취약성
  • 일반적인 공격 표면
  • 널리 사용되는 맬웨어

Microsoft Defender 보안 포털의 탐색 메뉴 왼쪽 상단에서 위협 인텔리전스를 확장하여 위협 분석에 액세스할 수도 있고, 조직에 미치는 영향과 노출 측면에서 위협을 보여 주는 전용 위협 분석 대시보드 카드에서 위협 분석에 액세스할 수도 있습니다.

위협 분석 대시보드의 스크린샷

영향이 높은 위협은 피해를 줄 가능성이 가장 큰 반면 노출이 높은 위협은 자산이 매우 취약한 위협입니다. 위협 분석을 통해 활성 또는 진행 중인 캠페인에 대한 가시성을 확보하고 수행할 작업을 파악하면 보안 운영 팀이 정보에 입각한 의사 결정을 내리는 데 도움이 될 수 있습니다.

보다 정교한 악의적 사용자와 새로운 위협이 빈번하게 발생하고 있기 때문에, 다음과 같은 작업을 신속하게 수행할 수 있어야 합니다.

  • 새로운 위협을 식별 및 대응
  • 현재 공격을 받고 있는 중인지 파악
  • 자산에 대한 위협의 영향을 평가
  • 위협에 대한 복원력 또는 위협에 대한 노출 검토
  • 위협을 중지 또는 억제하기 위해 취할 수 있는 완화, 복구 또는 예방 조치를 식별

각 보고서는 추적된 위협에 대한 분석과 해당 위협의 대응 방법에 대한 광범위한 지침을 제공합니다. 또한 네트워크의 데이터를 통합하여 위협이 활성 상태이고 적절한 보호 기능이 있는지를 표시합니다.

위협 분석 대시보드 보기

위협 분석 대시보드는 조직과 가장 관련이 있는 보고서를 강조 표시합니다. 다음 섹션에서 위협을 요약합니다.

  • 최신 위협 - 가장 최근에 게시 또는 업데이트된 위협 보고서를 활성 및 해결된 경고 수와 함께 표시합니다.
  • 영향이 높은 위협 - 조직에 가장 큰 영향을 미치는 위협을 표시합니다. 이 섹션에서는 활성 및 해결된 경고 수가 가장 많은 위협이 먼저 나열됩니다.
  • 가장 높은 노출 - 노출 수준이 가장 높은 위협이 먼저 나열됩니다. 위협의 노출 수준은 두 가지 정보, 즉 위협과 관련된 취약성의 심각도와 조직에서 해당 취약성에 의해 악용될 수 있는 디바이스의 수를 사용하여 계산됩니다.

해당 위협에 대한 보고서를 보려면 대시보드에서 위협을 선택합니다.

위협 분석 보고서를 봅니다. 각 위협 분석 보고서는 여러 섹션에서 정보를 제공합니다.

  • 개요
  • 분석가 보고서
  • 관련 인시던트
  • 영향을 받은 자산
  • 차단된 전자 메일 시도
  • 노출 및 완화

개요: 신속하게 위협을 이해하고, 그 영향을 평가하고, 방어를 검토합니다.

개요 섹션에서는 상세한 분석가 보고서의 미리 보기를 제공합니다. 또한 잘못 구성되거나 패치되지 않은 디바이스를 통해 조직에 위협이 미치는 영향과 노출을 강조하여 보여주는 차트도 제공합니다.

조직에 미치는 영향 평가

각 보고서에는 위협이 조직에 미치는 영향에 대한 정보를 제공하도록 설계된 차트가 포함되어 있습니다.

  • 관련 인시던트 - 추적된 위협이 조직에 미치는 영향에 대한 개요를 활성 경보의 수, 연결된 활성 인시던트의 수 및 심각도와 함께 제공합니다.
  • 시간 경과에 따른 경고 - 시간 경과에 따른 활성 및 해결된 경고의 수를 보여 줍니다. 해결된 경고의 수는 조직이 위협과 관련된 경고에 응답하는 속도를 나타냅니다. 이상적인 상황은 차트에 며칠 이내로 해결된 경고가 표시되는 것입니다.
  • 영향을 받는 자산 - 현재 추적된 위협과 연결된 하나 이상의 활성 경고가 있는 개별 디바이스 및 이메일 계정(사서함)의 수를 보여 줍니다. 위협 이메일을 받은 사서함에 대한 경고가 트리거됩니다. 조직 및 사용자 수준 정책 모두에서 위협 이메일 배달을 초래한 재정의를 검토합니다.
  • 방지된 이메일 시도 - 지난 7일간 배달 전에 차단되었거나 정크 메일 폴더로 배달된 이메일 수를 보여 줍니다.

보안 복원력 및 태세 검토

각 보고서에는 조직이 특정 위협에 대해 얼마나 복원력이 있는지를 개괄적으로 보여주는 차트가 포함되어 있습니다.

  • 보안 구성 상태 - 잘못 구성된 보안 설정이 있는 디바이스의 수를 보여줍니다. 권장 보안 설정을 적용하여 위협을 완화합니다. 모든 추적된 설정을 적용한 경우 디바이스는 안전한 것으로 간주됩니다.
  • 취약성 패치 상태 - 취약한 디바이스의 수를 보여 줍니다. 보안 업데이트 또는 패치를 적용하여 위협에 의해 악용된 취약성을 해결합니다.

위협 태그별 보고서 보기

위협 보고서 목록을 필터링하고 특정 위협 태그(범주) 또는 보고서 유형에 따라 가장 관련성이 큰 보고서를 볼 수 있습니다.

  • 위협 태그 - 특정 위협 범주에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 랜섬웨어와 관련된 모든 보고서입니다.
  • 보고서 유형 - 특정 보고서 유형에 따라 가장 관련성이 큰 보고서를 보는 데 도움이 됩니다. 예를 들어 도구 및 기술을 다루는 모든 보고서입니다.
  • 필터 - 위협 보고서 목록을 효율적으로 검토하고 특정 위협 태그 또는 보고서 유형에 따라 보기를 필터링하는 데 도움이 됩니다. 예를 들어 랜섬웨어 범주와 관련된 모든 위협 보고서 또는 취약성을 다루는 위협 보고서를 검토합니다.

작동 원리

Microsoft Threat Intelligence 팀은 각 위협 보고서에 위협 태그를 추가했습니다.

이제 4개의 위협 태그를 사용할 수 있습니다.

  • 랜섬웨어
  • 피싱
  • 취약성
  • 활동 그룹

위협 태그는 위협 분석 페이지의 맨 위에 표시됩니다. 각 태그 아래에 사용 가능한 보고서 수에 대한 카운터가 있습니다.

분석가 보고서: Microsoft 보안 연구원으로부터 전문가 인사이트를 얻습니다.

분석가 보고서 섹션에서 자세한 전문가 기고문을 읽어보세요. 대부분의 보고서는 MITRE ATT&CK 프레임워크에 매핑된 전술 및 기술, 전체 권장 사항 목록 및 강력한 위협 헌팅 지침을 포함하여 공격 체인에 대한 자세한 설명을 제공합니다.

관련 인시던트 탭은 추적된 위협과 관련된 모든 인시던트의 목록을 제공합니다. 인시던트를 할당하거나 각 인시던트에 연결된 경고를 관리할 수 있습니다.

영향을 받는 자산: 영향을 받는 디바이스 및 사서함의 목록을 가져옵니다.

자산은 해결되지 않은 활성 경고의 영향을 받는 경우 영향을 받음으로 간주됩니다. 영향을 받는 자산 탭에는 다음 유형의 영향을 받는 자산이 나열됩니다.

  • 영향을 받는 디바이스 - 해결되지 않은 엔드포인트용 Microsoft Defender 경고가 있는 엔드포인트입니다. 이러한 경고는 일반적으로 알려진 위협 지표 및 활동을 목격할 때 발생합니다.

  • 영향을 받는 사서함 - Office 365용 Microsoft Defender 경고를 트리거한 이메일 메시지를 받은 사서함입니다. 경고를 트리거하는 대부분의 메시지는 일반적으로 차단되지만 사용자 또는 조직 수준 정책이 필터를 재정의할 수 있습니다.

방지된 이메일 시도: 차단되거나 정크로 분류된 위협 이메일을 봅니다.

Office 365용 Microsoft Defender는 일반적으로 악성 링크 또는 첨부 파일을 포함하여 알려진 위협 지표가 있는 이메일을 차단합니다. 경우에 따라 의심스러운 콘텐츠를 확인하는 사전 필터링 메커니즘은 대신 정크 메일 폴더에 위협 전자 메일을 보냅니다. 두 경우 모두 디바이스에서 맬웨어 코드를 실행하는 위협이 발생할 가능성이 줄어듭니다.

방지된 이메일 시도 탭에는 Office용 Microsoft Defender에 의해 배달 전에 차단되었거나 정크 메일 폴더로 보내진 모든 이메일이 나열됩니다.

노출 및 완화: 완화 목록 및 디바이스의 상태를 검토합니다.

노출 및 완화 섹션에서 위협에 대비하여 조직 복원력을 높이는 데 도움이 되는 실행 가능한 특정 권장 사항 목록을 검토합니다. 추적된 완화 목록에는 다음이 포함됩니다.

  • 보안 업데이트 - 온보딩된 디바이스에서 발견된 취약성에 대해 지원되는 소프트웨어 보안 업데이트 배포
  • 지원되는 보안 구성
    • 클라우드 제공 보호
    • PUA(사용자 동의 없이 설치된 애플리케이션) 보호
    • 실시간 보호

해당 섹션의 위협 완화 정보는 위협 및 취약성 관리의 데이터를 통합하며 보고서의 다양한 링크에서 드릴다운된 상세 정보를 제공합니다.

보고서 업데이트에 대한 이메일 알림 설정

위협 분석 보고서에 대한 업데이트를 보내는 이메일 알림을 설정할 수 있습니다.

위협 분석 보고서에 대한 이메일 알림을 설정하려면 다음 단계를 수행합니다.

  1. Microsoft Defender XDR 사이드바에서 설정을 선택합니다. 설정 목록에서 Microsoft Defender XDR을 선택합니다.

  2. 이메일 알림 > 위협 분석을 선택하고 + 알림 규칙 만들기 단추를 선택합니다. 플라이아웃이 나타납니다.

  3. 플라이아웃에 나열된 단계를 수행합니다. 먼저 새 규칙에 이름을 지정합니다. 설명 필드는 선택 사항이지만 이름은 필수입니다. 설명 필드 아래의 확인란을 사용하여 규칙을 켜거나 끌 수 있습니다.

    참고

    새 알림 규칙의 이름 및 설명 필드는 영어 문자 및 숫자만 허용합니다. 공백, 대시, 밑줄 또는 기타 문장 부호는 허용되지 않습니다.

  4. 알림을 받을 보고서 종류를 선택합니다. 새로 게시되거나 업데이트된 모든 보고서 또는 특정 태그 또는 형식이 지정된 보고서에 대해 업데이트되도록 선택할 수 있습니다.

  5. 알림 이메일을 받을 수신자를 하나 이상 추가합니다. 이 화면을 사용하여 테스트 이메일을 보내 알림이 제대로 들어오는지 확인할 수도 있습니다.

  1. 새 규칙을 검토합니다. 변경하려는 항목이 있으면 각 하위 섹션의 끝에 있는 편집 단추를 선택합니다. 검토가 완료되면 규칙 만들기 단추를 선택합니다.

새 규칙이 성공적으로 만들어졌습니다. 완료 단추를 선택하여 프로세스를 완료하고 플라이아웃을 닫습니다. 이제 새 규칙이 위협 분석 이메일 알림 목록에 표시됩니다.