경고 관리 및 조사

  • 10분

경고 조사 관리

개별 디바이스의 디바이스 페이지에 있는 경고 큐나 경고 탭에서 경고를 선택하면 경고를 관리할 수 있습니다. 이들 위치 가운데서 경고를 선택하면 대상 경고 관리 창이 표시됩니다.

Screenshot of the Microsoft Defender XDR Alerts Queue page.

경고 관리

경고 미리 보기나 경고 세부 정보 페이지에 대한 메타데이터를 확인하고 설정할 수 있습니다.

Screenshot of the Microsoft Defender XDR Alert details page.

메타데이터 필드와 작업은 다음을 포함합니다.

심각도

  • 높음(빨강) - APT(지능형 지속 위협)와 관련되어 일반적으로 표시되는 경고입니다. 이러한 경고는 디바이스에 끼칠 수 있는 손상의 심각도로 인해 위험 수준이 높다는 뜻입니다. 예로는 자격 증명 도용 도구 활동, 어떤 그룹과도 관련되지 않은 랜섬웨어 활동, 보안 센서를 통한 변조 또는 악의적 사용자 징후 관련 악의적 활동이 있습니다.

  • 중간(주황) - APT(지능형 지속 위협)의 일부일 수 있는 엔드포인트 검색 및 응답 위반 후 동작으로 인한 경고입니다. 여기에는 공격 단계, 비정상 레지스트리 변경, 의심되는 파일 실행 등의 관찰된 동작 유형이 포함됩니다. 내부 보안 테스트의 일환으로 발생하는 것도 있지만, 지능형 공격의 일부일 수도 있으므로 조사를 수행해야 합니다.

  • 낮음(노랑) - 널리 사용되는 맬웨어와 관련된 위협에 대한 경고입니다. 예를 들면, 해킹 도구, 맬웨어가 아닌 해킹 도구로서 탐색 명령 실행, 로그 지우기와 같은 것들은 조직을 노리는 지능형 위협으로 나타나지 않는 경우가 많습니다. 조직 내 사용자가 격리된 보안 도구를 테스트하면서 발생하는 경우도 있습니다.

  • 정보(회색) - 네트워크에는 유해하지 않은 것으로 간주될 수 있지만 잠재적 보안 문제에 관한 조직의 보안 인식을 높일 수 있는 경고입니다.

Microsoft Defender 바이러스 백신(Microsoft Defender AV)과 엔드포인트용 Microsoft Defender는 각자의 경고 심각도가 해당하는 범위가 다르므로 서로 다릅니다. Microsoft Defender AV 위협 심각도는 탐지된 위협(맬웨어)의 절대적 심각도를 나타내며 감염 시 개별 디바이스가 받게 될 잠재적 위험에 따라 할당됩니다.

엔드포인트용 Defender 경고 심각도는 검색된 동작, 디바이스에 대한 실제 위험, 특히 조직에 대한 잠재적 위험의 심각도를 나타냅니다.

예를 들면 다음과 같습니다.

  • Microsoft Defender AV가 탐지 후 예방해서 디바이스 감염으로 이어지지 않은 위협에 대한 엔드포인트용 Defender의 심각도는 실제 피해가 없었기 때문에 "정보"로 분류됩니다.

  • 실행 중에 탐지되었지만 Microsoft Defender AV가 차단 후 해결한 상업적 맬웨어에 대한 경고는, 개별 디바이스에 조금 피해를 주었을 수 있지만 조직적 위협을 가하지는 않기 때문에 “낮음”으로 분류됩니다.

  • 개별 디바이스뿐 아니라 조직에도 위협이 될 수 있는 맬웨어가 실행 중 탐지되어 발생한 경고는 해당 맬웨어가 결국 차단되었는지 여부와 상관없이 “중간” 또는 “높음”으로 분류될 수 있습니다.

  • 차단이나 해결되지 않은 의심스러운 동작 경고는 동일한 조직 위협 고려 수준에 따라 “낮음”이나 “중간” 또는 “높음”으로 분류할 수 있습니다.

범주

경고 범주는 MITRE ATT&CK Enterprise 매트릭스의 공격 전술 및 기술과 밀접하게 일치합니다.

참고 항목

경고 범주에는 ATT&CK 행렬에 속하지 않는 항목(예: Unwanted Software)도 포함됩니다.

관련 범주는 다음과 같습니다.

  • 컬렉션 - 반출용 데이터 찾아 모으기

  • 명령 및 제어 - 공격자가 제어하는 네트워크 인프라에 연결하여 데이터를 릴레이하거나 명령을 수신합니다.

  • 자격 증명 액세스 - 유효한 자격 증명을 획득하여 네트워크상의 디바이스 및 기타 리소스에 대한 제어를 확장합니다.

  • 방어 회피 - 보안 애플리케이션을 끄고 임플란트를 삭제하며 루트킷을 실행하는 등의 행위를 통해 보안 제어를 회피합니다.

  • 검색 - 관리자 컴퓨터, 도메인 컨트롤러, 파일 서버 등 중요 디바이스 및 리소스의 정보를 수집합니다.

  • 실행 - RAT 및 백도어를 포함해 공격자 도구 및 악성 코드를 실행합니다.

  • 유출 - 데이터를 네트워크에서 공격자가 제어하는 외부 위치로 유출합니다.

  • 악용 - 코드를 악용하고 가능한 악용 활동을 합니다.

  • 초기 액세스 - 대상 네트워크에 대한 초기 출입 권한을 획득하며 이를 위해 흔히 암호 추측, 악용이나 피싱 메일을 이용합니다.

  • 내부 확산 - 중요 리소스에 도달하거나 네트워크 제어를 유지하기 위해 대상 네트워크 내의 다른 디바이스로 이동합니다.

  • 맬웨어 - 백도어, 트로이목마, 기타 유형의 악의적인 코드

  • 지속 - ASEP(자동 시작 확장 포인트)를 만들어 활성화 상태를 유지하고 시스템 재시작 시 상태를 유지합니다.

  • 권한 상승 - 권한 있는 프로세스나 계정 컨텍스트에서 코드를 실행하여 해당 코드에 대해 더 높은 권한 수준을 획득합니다.

  • 랜섬웨어 - 파일을 암호화한 뒤, 액세스를 복원하는 대가로 돈을 요구하는 맬웨어입니다.

  • 의심스러운 활동 - 맬웨어 활동이거나 공격의 일부일 가능성이 있는 비정상 활동입니다.

  • 사용자 동의 없이 설치된 소프트웨어 - 평판이 낮은 앱 및 생산성과 사용자 환경에 영향을 주는 앱으로, PUA(사용자 동의 없이 설치된 애플리케이션)로 탐지됩니다.

경고에서 새 인시던트를 만들거나 기존의 인시던트에 연결할 수 있습니다.

경고 할당

경고가 아직 할당되지 않은 경우 나에게 할당을 선택해 해당 경고를 자신에게 할당합니다.

알림 표시 안 함

Microsoft Defender 보안 센터에 경고가 나타나지 않게 하는 시나리오가 있을 수 있습니다. 엔드포인트용 Defender를 사용하면 조직에서 알고 있는 도구나 프로세스처럼 무해하다는 것을 알고 있는 특정 유형의 경고를 표시하지 않는 규칙을 만들 수 있습니다.

기존 경고에서 억제 규칙을 만들 수 있습니다. 사용하지 않도록 설정하고 필요한 경우 다시 사용하도록 설정할 수 있습니다.

비표시 규칙이 생성되면 규칙이 생성된 시점부터 적용됩니다. 규칙은 생성 전에 큐에 이미 있던 경고에는 영향을 주지 않습니다. 규칙은 생성 후에 설정된 조건을 만족하는 경고에만 적용됩니다.

선택할 수 있는 비표시 규칙의 두 가지 컨텍스트는 다음과 같습니다.

  • 이 디바이스에서 경고 표시 안 함.

  • 내 조직에서 경고 표시 안 함.

규칙의 컨텍스트를 통해 포털에 표시되는 항목을 조정하고 실제 보안 경고만 포털에 표시되도록 할 수 있습니다.

경고 상태 변경

조사가 진행됨에 따라 경고의 상태를 바꿔 신규, 진행 중 또는 해결됨으로 분류할 수 있습니다. 이렇게 하면 팀이 경고에 대응할 방법을 구성하고 관리하는 데 도움이 됩니다.

예를 들어 팀 리더가 모든 새 경고를 검토하고 추가 분석을 위해 진행 중인 큐에 할당하도록 결정할 수 있습니다.

또는 팀 리더는 경고가 심각하지 않은 경우(예: 보안 관리자에게 속해 있는 디바이스) 또는 이전 경고를 통해 처리되는 경고를 해결된 큐에 할당할 수 있습니다.

경고 분류

분류를 설정하지 않도록 선택하거나 경고가 실제 경고인지 또는 거짓 경고인지를 지정할 수 있습니다. 경고 품질을 모니터링하고 경고의 정확성을 높이는 데 사용되므로 진양성/가양성 분류를 제공하는 것이 중요합니다. “결정” 필드는 “진양성” 분류의 추가 충실도를 정의합니다.

설명 추가 및 경고 기록 보기

경고에 대한 설명을 추가하고 기록 이벤트를 확인하여 경고에 대한 이전 변경 내용을 확인할 수 있습니다. 경고 관련 변경 내용이나 설명이 추가될 때마다 설명 및 기록 섹션에 기록됩니다. 추가된 설명이 바로 창에 표시됩니다.

경고 조사

네트워크에 영향을 주는 경고를 조사하고 그 의미를 이해하며 문제를 해결하는 방법을 알아봅니다.

경고 큐에서 경고를 선택하여 경고 페이지로 이동합니다. 해당 보기에는 경고 제목, 영향을 받는 자산, 세부 정보 창, 경고 스토리가 포함됩니다.

경고 페이지에서 영향을 받는 자산 또는 경고 스토리 트리 뷰의 엔터티를 선택하여 조사를 시작합니다. 세부 정보 창에는 선택한 항목에 대한 추가 정보가 자동으로 채워집니다.

경고 스토리를 사용하여 조사

경고 정보에는 경고가 트리거된 이유와 그 전후에 발생하는 관련 이벤트 및 기타 관련 엔터티가 자세히 나와 있습니다.

엔터티는 클릭 가능하며 경고가 아닌 모든 엔터티는 해당 엔터티의 카드 오른쪽에 있는 확장 아이콘을 사용하여 확장할 수 있습니다. 포커스의 엔터티는 해당 엔터티 카드의 왼쪽에 파란색 스트라이프가 표시되고 포커스 중인 타이틀의 경고가 먼저 표시됩니다.

엔터티를 선택하면 세부 정보 창의 컨텍스트가 이 엔터티로 전환되고 추가 정보를 검토하고 해당 엔터티를 관리할 수 있습니다. 엔터티 카드 오른쪽에 있는 ...을 선택하면 해당 엔터티에 사용할 수 있는 모든 작업이 표시됩니다. 이러한 작업은 해당 엔터티가 포커스되어 있을 때마다 세부 정보 창에 동일하게 표시됩니다.

세부 정보 창에서 작업을 수행합니다.

관심 있는 엔터티를 선택하면 세부 정보 창이 변경되어 선택한 엔터티 유형에 대한 정보, 기록 정보(사용 가능한 경우), 경고 페이지에서 직접 이 엔터티에 대한 조치를 취할 수 있는 컨트롤을 제공합니다.

조사 완료 후에는 시작된 경고로 돌아가서 경고 상태를 해결됨으로 표시하고 경고를 거짓 경고 또는 실제 경고로 분류합니다. 경고를 분류하면 해당 기능을 조정하여 실제 경고를 더 많이 제공하고 거짓 경고를 줄일 수 있습니다.

이를 실제 경고로 분류하는 경우 결정을 선택할 수도 있습니다.

LOB(기간 업무) 애플리케이션에서 거짓 경고가 발생하는 경우 나중에 동일 유형의 경고를 방지하기 위해 비표시 규칙을 생성합니다.