Defender 포털의 Microsoft Defender XDR
Microsoft 통합 SecOps 플랫폼의 Microsoft Defender XDR 디바이스 및 엔드포인트, ID, 이메일, Microsoft 365 서비스 및 SaaS 앱을 비롯한 광범위한 자산에서 위협 방지를 통합하고 조정합니다.
Defender XDR Microsoft Defender 포털의 단일 위치에서 보안 위협을 모니터링하고 관리할 수 있도록 자산 간에 위협 신호 및 데이터를 통합합니다.
Defender XDR 여러 Microsoft 보안 서비스를 결합합니다.
| 서비스 | 세부 정보 |
|---|---|
| Office 365용 Defender 사용하여 전자 메일 위협으로부터 보호 | 전자 메일 및 Office 365 리소스를 보호하는 데 도움이 됩니다. |
| 엔드포인트용 Defender를 사용하여 디바이스 보호 | 디바이스에 대한 예방 보호, 위반 후 검색 및 자동 조사 및 대응을 제공합니다. |
| Defender for Identity를 사용하여 Active Directory 보호 | Active Directory 신호를 사용하여 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사합니다. |
| Defender for Cloud Apps 사용하여 SaaS 클라우드 앱 보호 | SaaS 및 PaaS 클라우드 앱에 대한 심층적인 가시성, 강력한 데이터 제어 및 향상된 위협 방지 기능을 제공합니다. |
| Microsoft Sentinel 사용하여 광범위한 위협으로부터 보호 | Microsoft Sentinel Defender XDR 원활하게 통합되어 두 제품의 기능을 위협 탐지, 조사, 헌팅 및 대응을 위한 통합 보안 플랫폼으로 결합합니다. |
위협 감지
Defender XDR 지속적인 위협 모니터링을 제공합니다. 위협이 감지되면 보안 경고가 생성됩니다. Defender는 관련 경고 및 보안 신호를 보안 인시던트에 자동으로 집계합니다.
인시던트가 공격의 전체 그림을 정의합니다. 인시던트 는 SOC 팀이 공격을 이해하고 더 신속하게 대응하는 데 도움이 됩니다. 인시던트에는 관련 경고, 공격 scope 및 진행률에 대한 정보, 공격에 관련된 엔터티 및 자산이 함께 수집됩니다.
Defender 포털의 단일 인시던트 큐 는 최신 경고 및 인시던트 및 기록 데이터에 대한 완전한 가시성을 제공합니다. 인시던트 큐를 검색 및 쿼리하고 심각도에 따라 응답의 우선 순위를 지정할 수 있습니다.
횡적 이동 공격 감지
XDR용 Defender에는 랜섬웨어 및 이메일 손상과 같은 일반적인 공격에 자주 사용되는 사람이 운영하는 횡적 이동을 감지하는 기만 기능이 포함되어 있습니다.
기만 기능은 디코이 자산을 생성합니다. 공격자가 이러한 자산과 상호 작용할 때 기만 기능은 포털의 경고 페이지에서 볼 수 있는 신뢰도가 높은 경고를 발생합니다.
위협 자동 중단
Defender XDR 진행 중인 공격을 포함하고, 공격 영향을 제한하고, 보안 팀이 대응할 수 있는 더 많은 시간을 제공하기 위해 자동 공격 중단을 사용합니다.
자동 중단은 높은 신호 대 노이즈 비율을 보장하기 위해 수백만 개의 Defender 제품 신호 및 Microsoft 보안 연구 팀의 지속적인 조사 인사이트에서 인시던트 상관 관계에 의해 생성되는 고충실도 신호에 의존합니다.
자동 중단은 공격이 감지될 때 Defender XDR 응답 작업을 사용합니다. 응답에는 자산을 포함하거나 사용하지 않도록 설정하는 것이 포함됩니다.
공격 중단은 Defender XDR 인시던트 큐 및 특정 인시던트 페이지에 명확하게 표시됩니다.
위협 헌팅
사전 예방적 헌팅은 보안 이벤트 및 데이터를 검사하고 조사하여 알려진 보안 위협과 잠재적인 보안 위협을 찾습니다.
Defender XDR Defender 포털에서 위협 헌팅 기능을 제공합니다.
고급 헌팅: SOC 팀은 포털에서 Kusto 쿼리 언어(KQL)와 함께 고급 헌팅을 사용하여 엔터프라이즈 전체에서 위협 헌팅을 위한 사용자 지정 쿼리 및 규칙을 만들 수 있습니다. 분석가는 Defender XDR 데이터 원본에서 손상, 변칙 및 의심스러운 활동의 지표를 검색할 수 있습니다.
KQL에 익숙하지 않은 경우 Defender XDR 쿼리를 시각적으로 만들고 미리 정의된 쿼리 템플릿을 만드는 단계별 모드를 제공합니다.
사용자 지정 검색 규칙: SOC 팀은 고급 헌팅 외에도 이벤트 및 시스템 상태를 사전에 모니터링하고 대응하는 사용자 지정 검색 규칙을 만들 수 있습니다. 규칙은 경고 또는 자동 응답 작업을 트리거할 수 있습니다.
위협에 대응
XDR용 Defender는 자동화된 조사 및 응답 기능을 제공합니다. 자동화는 SOC 팀에서 수동으로 처리해야 하는 경고의 양을 줄입니다.
경고가 인시던트가 생성되면 자동화된 조사는 위협이 발견되었는지 여부를 결정하는 판결을 내보낸다. 의심스럽고 악의적인 위협이 식별되면 수정 작업에는 격리할 파일 보내기, 프로세스 중지, URL 차단 또는 디바이스 격리가 포함됩니다.
포털의 홈페이지에서 자동화된 조사 및 응답의 요약을 볼 수 있습니다. 보류 중인 수정 작업은 포털 알림 센터에서 처리됩니다.