인시던트 관리
Microsoft Defender XDR은 위협을 조사할 수 있도록 도메인 간 위협 상관 관계 및 목적에 맞는 포털을 제공합니다. 인시던트는 네트워크에서 악의적인 이벤트나 활동이 확인될 때 생성되는 관련 경고를 기반으로 합니다. 개별 경고는 진행 중인 공격에 관한 중요한 단서를 제공합니다. 그러나 공격은 일반적으로 다양한 벡터와 기법을 사용하여 위반을 실행합니다. 개별 단서를 종합하는 것은 쉽지 않고 시간이 걸립니다.
이 짧은 비디오에서는 Microsoft Defender XDR의 인시던트를 개략적으로 설명합니다.
인시던트는 공격 스토리를 구성하는 관련 경고의 컬렉션입니다. Microsoft Defender XDR은 네트워크의 다양한 디바이스, 사용자 및 사서함 엔터티에 있는 악의적이고 의심스러운 이벤트를 자동으로 집계합니다. 관련 경고를 인시던트로 그룹화하면 보안 방어자가 공격을 포괄적으로 파악할 수 있습니다.
예를 들어, 보안 방어자는 공격이 시작된 위치, 사용된 전술 및 공격이 네트워크까지 이동한 거리를 확인할 수 있습니다. 보안 방어자가 공격 범위를 볼 수도 있습니다. 예를 들어 영향을 받는 디바이스, 사용자 및 사서함 수, 영향의 심각도, 영향을 받는 엔터티에 관한 기타 세부 정보입니다.
사용되는 경우 Microsoft Defender XDR은 자동화 및 인공 지능을 통해 개별 경고를 자동으로 조사하고 해결할 수 있습니다. 보안 방어자는 추가 수정 단계를 수행하여 인시던트 보기에서 바로 공격을 해결할 수도 있습니다.
최근 30일 동안 생성된 인시던트는 인시던트 큐에 표시됩니다. 여기에서 보안 방어자는 위험 수준 및 기타 요인에 따라 우선 순위를 지정해야 하는 인시던트를 확인할 수 있습니다.
또한 보안 방어자는 인시던트 이름을 바꾸고, 인시던트를 개별 분석가에게 할당하고, 분류하고, 인시던트에 태그를 추가하여 사용자 지정 인시던트 관리 환경을 개선할 수 있습니다.
인시던트 우선 순위 지정
Microsoft Defender XDR은 상관 관계 분석을 적용하고 다양한 제품의 모든 관련 경고 및 조사를 하나의 인시던트에 집계합니다. 또한 Microsoft Defender XDR은 Microsoft Defender XDR이 전체 환경 및 제품군에서 확보한 엔드투엔드 가시성을 고려하여 악의적인 것으로 식별할 수 있는 활동에 대해서만 고유한 경고를 트리거합니다. 이 보기는 보안 운영 분석가에게 더 광범위한 공격 스토리를 제공하므로 조직에서 복잡한 위협을 파악하고 처리하는 데 도움이 됩니다.
인시던트 큐에는 디바이스, 사용자, 사서함의 플래그가 지정된 인시던트 컬렉션이 표시됩니다. 인시던트 큐는 인시던트를 정렬하여 합리적인 사이버 보안 응답 결정을 내리는 데 도움이 됩니다.
기본적으로 Microsoft Defender 포털의 큐에는 최근 30일 동안 확인된 인시던트가 표시됩니다. 가장 최근 인시던트는 목록의 맨 위에 있으므로 먼저 확인할 수 있습니다.
인시던트 큐는 인시던트 또는 포함된 엔터티의 다양한 특성을 파악하는 사용자 지정 가능한 열을 공개합니다. 이 심층 정보는 처리할 인시던트의 우선 순위를 합리적으로 결정하는 데 도움이 됩니다.
한눈에 더욱 분명히 파악할 수 있도록 자동 인시던트 이름 지정을 통해 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 인시던트 이름이 생성됩니다. 자동 이름 지정을 통해 인시던트 범위를 빠르게 파악할 수 있습니다.
사용 가능한 필터
상태
상태에 따라 표시되는 인시던트 목록을 제한하여 활성 또는 해결된 인시던트를 표시하도록 선택할 수 있습니다.
심각도
인시던트 심각도는 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지며 일반적으로 가장 즉각적인 주의가 필요합니다.
인시던트 할당
자신에게 할당되는 경고 또는 자동화로 처리되는 경고를 표시하도록 선택할 수 있습니다.
여러 서비스 원본
아니요(기본값)를 선택하거나, 예를 선택하여 사용하도록 설정합니다.
서비스 원본
필터링하여 다양한 소스의 경고가 포함된 인시던트만 확인합니다. 소스에는 엔드포인트용 Microsoft Defender, Microsoft Cloud App Security, Microsoft Defender for Identity, Office 365용 Microsoft Defender가 포함됩니다.
태그
할당된 태그 기준으로 필터링합니다. 태그 이름 입력 필드를 선택하면 모든 할당된 태그가 표시됩니다.
여러 범주
여러 범주에 매핑되었고 잠재적으로 더 많은 손상을 유발할 수 있는 인시던트만 표시하도록 선택할 수 있습니다.
범주
범주를 선택하여 특정 전략, 기술 또는 확인된 공격 구성 요소에 초점을 맞출 수 있습니다.
엔터티
엔터티 이름 또는 ID를 기준으로 필터링합니다.
데이터 민감도
일부 공격은 집중적으로 민감하거나 중요한 데이터 반출을 겨냥합니다. 필터를 적용하여 중요한 데이터가 인시던트에 관련되는지 확인하면 중요한 정보가 손상되었는지 빠르게 확인할 수 있습니다. 그리고 손상이 발견되면 해당 인시던트에 대한 응답의 우선 순위를 지정할 수 있습니다. 이 필터링 기능은 Microsoft Purview Information Protection이 켜져 있는 경우에만 적용됩니다.
디바이스 그룹
정의된 디바이스 그룹을 기준으로 필터링합니다.
OS 플랫폼
인시던트 큐 보기를 운영 체제별로 제한합니다.
분류
관련 경고의 설정된 분류에 따라 인시던트를 필터링합니다. 값에는 true 경고, false 경고 또는 설정 안 함이 포함됩니다.
자동 조사 상태
자동화된 조사 상태를 기준으로 인시던트를 필터링합니다.
관련 위협
관련 위협 입력 필드를 선택하면 위협 정보를 입력하고 이전 검색 조건을 표시할 수 있습니다.
인시던트 미리 보기
포털 페이지는 대부분 목록 관련 데이터에 관한 미리 보기 정보를 제공합니다.
이 스크린샷에서 강조 표시된 세 개 영역은 원, 보다 큼 기호 및 실제 링크입니다.
Circle
원을 선택하면 정보 페이지 전체 열기 옵션이 있는 줄 항목에 대한 미리 보기를 제공하는 세부 정보 창이 페이지 오른쪽에 열립니다.
보다 큼 기호
표시할 수 있는 관련 레코드가 있는 경우 보다 큼 기호를 선택하면 현재 레코드 아래에 레코드가 표시됩니다.
링크
링크를 통해 줄 항목의 전체 페이지로 이동합니다.
인시던트 관리
위협이 억제되고 해결되도록 하는 데는 인시던트 관리가 매우 중요합니다. Microsoft Defender XDR에서는 디바이스, 사용자 및 사서함 관련 인시던트를 관리할 권한이 있습니다. 인시던트 큐에서 인시던트를 선택하여 인시던트를 관리할 수 있습니다.
인시던트 이름을 편집하고, 인시던트를 해결하고, 해당 분류 및 결정을 설정할 수 있습니다. 인시던트를 자신에게 할당하고 인시던트 태그와 설명을 추가할 수도 있습니다.
조사 중에 인스턴스 간에 경고를 이동하려는 경우 경고 탭에서도 그렇게 할 수 있습니다. 경고 탭을 사용하면 모든 관련 경고를 포함하는 더 크거나 작은 인시던트를 만들 수 있습니다.
인시던트 이름 편집
영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 이름이 인시던트에 자동으로 할당됩니다. 경고 특성에 따라 이름을 지정하면 인시던트 범위를 빠르게 이해할 수 있습니다. 기본 설정된 명명 규칙에 더 잘 부합하도록 인시던트 이름을 수정할 수 있습니다.
인시던트 할당
인시던트가 아직 할당되지 않은 경우 할당을 선택해 자신에게 인시던트를 할당할 수 있습니다. 이렇게 함으로써 해당 인시던트 외에 이와 관련된 모든 경고도 자신에게 소유권이 있는 것으로 간주합니다.
상태 및 분류 설정
인시던트 상태
조사가 진행됨에 따라 인시던트 상태를 변경하여 인시던트를 활성 또는 해결됨으로 분류할 수 있습니다. 상태를 업데이트할 수 있으면 팀이 인시던트에 대응할 방법을 구성하고 관리하는 데 도움이 됩니다.
예를 들어, SOC 분석가는 당일의 긴급한 활성 인시던트를 검토하고 조사를 위해 이를 자신에게 할당하도록 결정할 수 있습니다.
또는 인시던트가 수정된 경우 SOC 분석가가 인시던트를 해결됨으로 설정할 수 있습니다. 인시던트를 해결하면 인시던트의 일부인 모든 미해결 경고가 자동으로 닫힙니다.
분류 및 결정
분류를 설정하지 않도록 선택하거나 인시던트가 true 경고 또는 false 경고인지 지정하도록 결정할 수 있습니다. 이렇게 하면 팀이 패턴을 확인하고 유용한 정보를 얻는 데 도움이 됩니다.
주석 추가
인시던트에 관한 설명을 추가하고 기록 이벤트를 확인하여 인시던트의 이전 변경 내용을 확인할 수 있습니다.
경고 관련 변경 내용이나 설명이 추가될 때마다 설명 및 기록 섹션에 기록됩니다.
추가된 설명이 바로 창에 표시됩니다.
인시던트 태그 추가
예를 들어, 인시던트에 사용자 지정 태그를 추가하여 공통 특성을 포함하는 인시던트 그룹에 플래그를 지정할 수 있습니다. 나중에 특정 태그를 포함하는 모든 인시던트의 인시던트 큐를 필터링할 수 있습니다.