환경에 영향을 주는 경고를 조사하고, 해당 경고의 의미와 resolve 방법을 이해합니다.
Microsoft Defender 포털의 경고 페이지에서 경고를 선택하여 조사를 시작합니다. 경고 페이지에는 심각도, 상태 및 영향을 받는 자산을 포함하여 Defender for Identity에서 생성된 모든 보안 경고 목록이 표시됩니다. 경고를 선택하면 경고 제목, 영향을 받는 자산, 세부 정보 쪽 창 및 경우에 따라 경고 스토리가 포함된 경고 페이지가 열립니다.
경고 스토리를 사용하여 조사
경고 스토리는 경고와 관련된 이벤트의 시간순 보기를 제공합니다. 어떤 일이 발생했는지, 언제 발생했는지, 트리거 이벤트 전후에 어떤 엔터티가 관련되었는지를 보여줍니다. 이벤트 시퀀스를 따르고 경고가 생성된 방법을 이해하는 데 도움이 됩니다.
경고 그래프는 경고와 관련된 사용자, 디바이스 및 도메인 컨트롤러를 시각적으로 매핑합니다. 이러한 엔터티가 상호 작용하는 방식을 보여 줍니다. 이를 통해 관계 및 패턴을 한눈에 쉽게 식별할 수 있습니다.
중요 정보 섹션에는 조사를 지원하는 추가 기술 세부 정보가 포함되어 있습니다. 어떤 작업이 수행되었는지, 누가 시작했는지, 활동이 시작된 위치를 이해하는 데 도움이 됩니다. 이 섹션에서는 경고의 유효성을 검사하고 다음 단계를 안내하는 데 도움이 되는 원시 증거를 제공합니다.
경고 스토리, 경고 그래프 및 중요 정보를 함께 사용하면 경고의 전체 그림을 볼 수 있습니다. 경고를 트리거한 항목, 어떤 엔터티가 관련되었는지, 활동에 추가 조사 또는 조치가 필요한지 여부를 이해하는 데 도움이 됩니다.
참고
경고 스토리는 클래식 Defender for Identity 구조를 사용하는 경고에 대해서만 표시됩니다. Defender 포털에서 경고가 표시되는 방식의 차이점에 대한 자세한 내용은 경고 보기 및 관리를 참조하세요.
세부 정보 창에서 작업 수행
관심 경고를 선택하면 세부 정보 창이 변경되어 선택한 경고에 대한 정보, 사용 가능한 기록 정보 및 이 경고에 대한 조치를 취할 권장 조치를 제공합니다.
조사가 완료되면 시작한 경고로 돌아가서 경고의 상태 해결됨으로 표시하고 거짓 경고 또는 True 경고로 분류합니다. 경고를 분류하면 이 기능을 조정하여 더 많은 실제 경고와 덜 거짓 경고를 제공할 수 있습니다.
고급 보안 경고 조사
보안 경고에 대한 자세한 내용을 보려면 경고 세부 정보 페이지에서 내보내 기를 선택하여 자세한 Excel 경고 보고서를 다운로드합니다.
참고
Excel로 내보내기 옵션은 클래식 Defender for Identity 구조를 사용하는 경고에만 사용할 수 있습니다. Defender 포털에서 경고가 표시되는 방식의 차이점에 대한 자세한 내용은 경고 보기 및 관리를 참조하세요.
다운로드한 파일에는 다음을 포함하여 첫 번째 탭의 경고에 대한 요약 세부 정보가 포함됩니다.
- 제목
- 설명
- 시작 시간(UTC)
- 종료 시간(UTC)
- 심각도 – 낮음/중간/높음
- 상태 – 열기/닫힘
- 상태 업데이트 시간(UTC)
- 브라우저에서 보기
계정, 컴퓨터 및 리소스를 비롯한 모든 관련 엔터티가 해당 역할로 구분되어 나열됩니다. 경고에 따라 원본, 대상 또는 공격된 엔터티에 대한 세부 정보가 제공됩니다.
대부분의 탭에는 엔터티당 다음 데이터가 포함됩니다.
이름
세부 정보
유형
SamName
원본 컴퓨터
원본 사용자(사용 가능한 경우)
도메인 컨트롤러
액세스한 리소스: 시간, 컴퓨터, 이름, 세부 정보, 유형, 서비스.
관련 엔터티: ID, 형식, 이름, 고유 엔터티 Json, 고유 엔터티 프로필 Json
다음을 포함하여 경고(네트워크 또는 이벤트 활동)와 관련된 Defender for Identity Sensors에서 캡처한 모든 원시 활동
- 네트워크 활동
- 이벤트 활동
일부 경고에는 다음과 같은 추가 탭이 있습니다.
- 의심되는 공격이 무차별 대입을 사용했을 때 계정을 공격했습니다.
- 의심되는 공격 시 DNS(도메인 이름 시스템) 서버가 DNS(네트워크 매핑 정찰)와 관련이 있습니다.
예시:
조사에서 Defender for Identity 정보를 어떻게 사용할 수 있나요?
조사는 필요에 따라 자세히 설명될 수 있습니다. 다음은 Defender for Identity에서 제공하는 데이터를 사용하여 조사하는 방법에 대한 몇 가지 아이디어입니다.
관련 엔터티
각 경고에서 마지막 탭은 관련 엔터티를 제공합니다. 관련 엔터티는 경고에서 실행한 "역할"을 분리하지 않고 의심스러운 활동에 관련된 모든 엔터티입니다. 각 엔터티에는 고유 엔터티 Json 및 고유 엔터티 프로필 Json의 두 Json 파일이 있습니다. 이러한 두 Json 파일을 사용하여 엔터티에 대해 자세히 알아보고 경고를 조사할 수 있습니다.
고유 엔터티 Json 파일
계정에 대해 Active Directory에서 학습한 Defender for Identity 데이터를 포함합니다. 여기에는 고유 이름, SID, LockoutTime 및 PasswordExpiryTime과 같은 모든 특성이 포함됩니다. 사용자 계정의 경우 에는 부서, 메일 및 PhoneNumber와 같은 데이터가 포함됩니다. 컴퓨터 계정의 경우 에는 OperatingSystem, IsDomainController 및 DnsName과 같은 데이터가 포함됩니다.
고유 엔터티 프로필 Json 파일
엔터티에 프로파일된 모든 Defender for Identity 데이터를 포함합니다. Defender for Identity는 캡처된 네트워크 및 이벤트 활동을 사용하여 환경의 사용자 및 컴퓨터에 대해 알아봅니다. Defender for Identity는 엔터티당 관련 정보를 프로파일합니다. 이 정보는 Defender for Identity의 위협 식별 기능에 기여합니다.
Defender for Identity 보안 경고를 사용하는 방법에 대한 자세한 내용은 보안 경고 작업을 참조하세요.