Microsoft Defender 고급 헌팅을 사용하여 위협을 사전에 헌팅

고급 헌팅은 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 네트워크의 이벤트를 사전에 검사하여 위협 지표와 엔터티를 찾을 수 있습니다. 데이터에 대한 유연한 액세스를 통해 알려진 위협과 잠재적인 위협 모두에 대해 제한 없이 헌팅할 수 있습니다.

고급 헌팅은 단계별 모드와 고급 모드를 지원합니다. 아직 KQL(Kusto 쿼리 언어)에 익숙하지 않거나 쿼리 작성기의 편의를 선호하는 경우 단계별 모드를 사용합니다. KQL을 사용하여 처음부터 쿼리를 만드는 데 익숙한 경우 고급 모드 를 사용합니다.

헌팅을 시작하려면 Microsoft Defender 포털에서 헌팅할 단계별 모드와 고급 모드 중에서 선택을 참조하세요.

동일한 위협 헌팅 쿼리를 사용하여 사용자 지정 검색 규칙을 빌드할 수 있습니다. 이러한 규칙은 자동으로 실행되어 의심스러운 위반 활동, 잘못 구성된 컴퓨터 및 기타 결과에 대해 검사 대응합니다.

고급 헌팅은 다음에서 제공되는 광범위한 데이터 집합을 검사 쿼리를 지원합니다.

• 엔드포인트용 Microsoft Defender
• Office 365용 Microsoft Defender
• Microsoft Defender for Cloud Apps
• Microsoft Defender for Identity
• Microsoft Sentinel

고급 헌팅을 사용하려면 Microsoft Defender XDR 켭니다. 또는 Microsoft Sentinel 고급 헌팅을 사용하려면 Microsoft Sentinel Defender 포털에 연결합니다.

Microsoft Defender for Cloud Apps 데이터의 고급 헌팅에 대한 자세한 내용은 비디오를 참조하세요.

액세스 권한 가져오기

고급 헌팅 쿼리를 실행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

• Microsoft Defender XDR URBAC(통합 역할 기반 액세스 제어):

  • 읽기 전용 고급 헌팅 액세스(Email & 협업 테이블): 보안 작업>보안 데이터 보안 데이터>기본(읽기) URBAC 권한으로 할당된 멤버 자격입니다. 이 권한은 다음에 대한 액세스를 제공합니다.
    • EmailEvents
    • EmailUrlInfo
    • EmailAttachmentInfo
    • UrlClickEvents
    • 엔터티 메타데이터 Email

• Microsoft Defender 포털에서 공동 작업 권한 Email &: 다음 Email & 협업 역할 그룹 중 하나의 멤버 자격은 고급 헌팅의 전자 메일 데이터 테이블에 대한 액세스를 제공합니다.

  • 보안 관리자
  • 보안 운영자
  • 보안 읽기 권한자

• Exchange Online 권한: 고급 헌팅에 표시되어 있는 Exchange Online 데이터에 액세스하려면 사용자가 다음 Exchange Online 역할 그룹 중 하나의 구성원이어야 합니다.

  • View-Only Organization Management
  • 보기 전용 구성
  • 보안 읽기 권한자
  • 전역 읽기 권한자

• Microsoft Entra 권한: 다음 Microsoft Entra 역할 중 하나의 멤버 자격은 모든 고급 헌팅 데이터에 대한 전체 읽기 권한을 부여합니다.

  • 전역 관리자
  • 보안 관리자
  • 보안 읽기 권한자
  • 전역 읽기 권한자

  또한 엔드포인트 데이터에 대한 액세스는 엔드포인트용 Microsoft Defender RBAC(역할 기반 액세스 제어) 설정에 따라 결정됩니다. 자세한 내용은 Microsoft Entra 전역 역할을 사용하여 Microsoft Defender XDR 대한 액세스 관리를 참조하세요.

데이터 새로 고침 및 업데이트 빈도

고급 헌팅 데이터는 각각 다르게 통합된 두 가지 유형으로 분류할 수 있습니다.

이벤트 또는 활동 데이터

이벤트 또는 활동 데이터는 경고, 보안 이벤트, 시스템 이벤트 및 일상적인 평가에 대한 테이블을 채웁니다. 고급 헌팅은 이 데이터를 수집한 센서가 해당 클라우드 서비스로 데이터를 성공적으로 전송한 직후에 이 데이터를 수신합니다. 예를 들어 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity에서 사용할 수 있게 된 직후 워크스테이션 또는 도메인 컨트롤러의 정상 센서에서 이벤트 데이터를 쿼리할 수 있습니다.

더 많은 이벤트 속성을 수집하려면 집계된 보고를 설정하는 옵션이 있습니다.

엔터티 데이터

엔터티 데이터는 사용자 및 디바이스에 대한 정보로 테이블을 채웁니다. 이 데이터는 Active Directory 항목 및 이벤트 로그와 같은 비교적 정적 데이터 원본과 동적 원본에서 모두 제공됩니다. 새 데이터를 제공하기 위해 테이블은 상태 상태 및 태그와 같은 다른 유용한 정보를 포함하여 각 엔터티에 대한 가장 포괄적인 최신 데이터 집합이 포함된 레코드를 삽입하도록 매시간 업데이트됩니다.

표준 시간대

쿼리

고급 헌팅 데이터는 UTC(유니버설 타임 조정) 표준 시간대를 사용합니다.

쿼리는 UTC로 만들어야 합니다.

결과

고급 헌팅 결과는 Microsoft Defender XDR 설정된 표준 시간대로 변환됩니다.

고급 헌팅에 대한 30일 보존 기간을 연장하려면 스트리밍 API를 사용할 수 있습니다.

고급 헌팅에 대한 30일 보존 기간을 연장하려면 다음 리소스를 참조하세요.

• 스트리밍 API Microsoft Defender XDR
• 원시 데이터 스트리밍 API 엔드포인트용 Microsoft Defender

관련 콘텐츠

• 단계별 헌팅 모드와 고급 헌팅 모드 중에서 선택
• 단계별 모드를 사용하여 헌팅 쿼리 빌드
• 쿼리 언어 배우기
• 스키마에 대한 이해
• Microsoft Graph 보안 API
• 사용자 지정 검색 개요