Microsoft Defender 포털은 상관 관계 분석을 적용하고 관련 경고 및 다양한 제품의 자동화된 조사를 인시던트에 집계합니다. 또한 Microsoft Sentinel 및 Defender XDR 전체 제품 제품군에서 통합 플랫폼의 엔드 투 엔드 가시성을 감안할 때 악의적인 것으로만 식별될 수 있는 활동에 대한 고유한 경고를 트리거합니다. 이 보기는 보안 분석가에게 광범위한 공격 스토리를 제공하여 organization 전체에서 복잡한 위협을 더 잘 이해하고 처리하는 데 도움이 됩니다.
중요
Microsoft Sentinel 일반적으로 Microsoft Defender XDR 또는 E5 라이선스를 사용하거나 사용하지 않고 Microsoft Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.
인시던트 큐
인시던트 큐에는 디바이스, 사용자, 사서함 및 기타 리소스에서 생성된 인시던트 큐가 표시됩니다. 인시던트를 심사하고, 우선 순위를 지정하고, 정보에 입각한 사이버 보안 대응 결정을 내리는 데 도움이 됩니다.
Microsoft Defender 포털의 빠른 시작에서 인시던트 & 경고 > 인시던트에서 인시던트 큐를 찾습니다.
가장 최근 인시던트 및 경고를 선택하여 지난 24시간 동안 수신된 경고 및 인시던트 수의 타임라인 차트를 전환합니다.
인시던트 큐에는 보안 팀이 많은 수의 인시던트를 잘라내고 가장 중요한 인시던트에 집중하는 데 도움이 되는 Defender 큐 도우미가 포함되어 있습니다. Machine Learning 우선 순위 지정 알고리즘을 사용하여 Queue Assistant는 우선 순위가 가장 높은 인시던트를 표시하고, 우선 순위에 대한 추론을 설명하고, 인시던트 큐를 정렬하고 필터링하기 위한 직관적인 도구를 제공합니다. 알고리즘은 모든 경고, Microsoft 네이티브 경고, 사용자 지정 검색 또는 타사 신호에 대해 실행됩니다. 이 알고리즘은 실제 익명화된 데이터에 대해 학습되며 우선 순위 점수를 계산할 때 다음 데이터 요소를 고려합니다.
- 공격 중단 신호
- 위협 분석
- 심각도
- SnR
- MITRE 기술
- 자산 중요도
- 경고 유형 및 희귀성
- 랜섬웨어 및 국가 국가 공격과 같은 높은 프로필 위협.
인시던트에는 우선 순위 점수가 0에서 100까지 자동으로 할당되고 100은 가장 높은 우선 순위입니다. 점수 범위는 다음과 같이 색으로 구분됩니다.
- 빨강: 우선 순위(점수 > 85)
- 주황색: 보통 우선 순위(15~85)
- 회색: 낮은 우선 순위(<15)
인시던트 이름을 제외한 모든 위치에서 인시던트 행을 선택하여 인시던트에 대한 주요 정보가 포함된 요약 창을 표시합니다. 창에는 우선 순위 평가, 우선 순위 점수에 영향을 주는 요소, 인시던트의 세부 정보, 권장 작업 및 관련 위협이 포함됩니다. 창 위쪽의 위쪽 및 아래쪽 화살표를 사용하여 인시던트 큐의 이전 또는 다음 인시던트로 이동합니다. 인시던트 조사에 대한 자세한 내용은 인시 던트 조사를 참조하세요.
기본적으로 인시던트 큐에는 지난 주에 생성된 인시던트가 표시됩니다. 큐 위의 시간 선택기 드롭다운을 선택하여 다른 시간 프레임을 선택합니다.
큐 의 총 인시던트 수는 시간 선택기 옆에 표시됩니다. 인시던트 수는 사용 중인 필터에 따라 달라집니다. 이름 또는 인시던트 ID로 인시던트 검색할 수 있습니다.
열 사용자 지정을 선택하여 큐에 표시되는 열을 선택합니다. 인시던트 큐에 표시하려는 열을 확인하거나 선택 취소합니다. 열을 위아래로 끌어 열의 순서를 정렬합니다.
내보내기 단추를 사용하면 인시던트 큐의 필터링된 데이터를 CSV 파일로 내보낼 수 있습니다. CSV 파일로 내보낼 수 있는 최대 레코드 수는 10,000개입니다.
인시던트 이름
한눈에 볼 수 있도록 Microsoft Defender XDR 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 인시던트 이름을 자동으로 생성합니다. 이 특정 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다.
예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.
Microsoft Sentinel Defender 포털에 온보딩한 경우 Microsoft Sentinel 발생한 경고 및 인시던트가 온보딩 전이나 이후에 만들어졌는지 여부에 관계없이 이름이 변경될 수 있습니다.
자동화 규칙을 트리거하기 위한 조건으로 인시던트 이름을 사용하지 않는 것이 좋습니다. 인시던트 이름이 조건이고 인시던트 이름이 변경되면 규칙이 트리거되지 않습니다.
필터
인시던트 큐는 또한 여러 필터링 옵션을 제공합니다. 이 옵션을 적용하면 환경에서 모든 기존 인시던트에 대한 광범위한 스윕을 수행하거나 특정 시나리오 또는 위협에 집중할 수 있습니다. 사고 큐 필터를 적용 하면 즉시 주의가 필요한 사고를 결정할 수 있습니다.
인 시던트 큐 위의 필터 목록에는 현재 큐에 적용된 현재 필터가 표시됩니다. 필터 추가를 선택하여 더 많은 필터를 적용하여 표시된 인시던트 집합을 제한합니다.
사용하려는 필터를 선택한 다음 , 추가를 선택합니다. 선택한 필터는 기존 적용된 필터와 함께 표시됩니다. 새 필터를 선택하여 조건을 지정합니다. 예를 들어 "서비스/검색 원본" 필터를 선택한 경우 해당 필터를 선택하여 목록을 필터링할 원본을 선택합니다.
필터 목록의 필터 이름에서 X 를 선택하여 필터를 제거할 수 있습니다.
다음 표에서는 사용 가능한 필터를 나열합니다.
| 필터 이름 | 설명/조건 |
|---|---|
| 상태 | 새로 만들기, 진행 중 또는 해결됨을 선택합니다. |
|
경고 심각도 인시던트 심각도 |
경고 또는 인시던트의 심각도는 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 커지고 일반적으로 가장 즉각적인 주의가 필요합니다. 높음, 중간, 낮음 또는 정보를 선택합니다. |
| 인시던트 할당 | 할당된 사용자 또는 사용자를 선택합니다. |
| 다중 서비스 원인 | 둘 이상의 서비스 원본에 대한 필터인지 여부를 지정합니다. |
| 서비스/검색 원본 | 다음 중 하나 이상의 경고를 포함하는 인시던트 지정: 이러한 서비스의 대부분은 메뉴에서 확장하여 지정된 서비스 내에서 검색 원본의 추가 선택을 표시할 수 있습니다. |
| 태그 | 목록에서 하나 이상의 태그 이름을 선택합니다. |
| 여러 범주 | 필터가 둘 이상의 범주에 대한 것인지 여부를 지정합니다. |
| 범주 | 특정 전술, 기술 또는 공격 구성 요소에 집중할 범주를 선택합니다. |
| 엔터티 | 사용자, 디바이스, 사서함 또는 애플리케이션 이름과 같은 자산의 이름을 지정합니다. |
| 민감도 레이블 | 데이터에 적용된 민감도 레이블을 기반으로 인시던트 필터링 일부 공격은 중요하거나 중요한 데이터를 유출하는 데 중점을 줍니다. 특정 민감도 레이블에 필터를 적용하면 중요한 정보가 잠재적으로 손상되었는지 신속하게 확인하고 이러한 인시던트 해결의 우선 순위를 지정할 수 있습니다. |
| Device groups | 디바이스 그룹 이름을 지정합니다. |
| OS 플랫폼 | 디바이스 운영 체제를 지정합니다. |
| 분류 | 관련 경고의 분류 집합을 지정합니다. |
| 자동화된 조사 상태 | 자동 조사의 상태 지정합니다. |
| 관련 위협 | 명명된 위협을 지정합니다. |
| 정책/정책 규칙 | 정책 또는 정책 규칙에 따라 인시던트 필터링 |
| 제품 이름 | 제품 이름에 따라 인시던트 필터링 |
| 데이터 스트림 | 위치 또는 워크로드에 따라 인시던트 필터링 |
참고
Microsoft Purview 내부 위험 관리 대한 액세스를 프로비전한 경우 Microsoft Defender 포털에서 내부자 위험 관리 경고를 보고 관리하고 내부자 위험 관리 이벤트를 검색할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 내부자 위험 위협 조사를 참조하세요.
기본 필터는 신규 및 진행 중의 상태 높음,중간 또는 낮음의 심각도로 모든 경고 및 인시던트 표시입니다.
저장된 필터 쿼리 필터 집합 만들기를 선택하여 인시던트 페이지 내에서 필터 집합을 만들 수도 있습니다>. 필터 집합이 만들어지지 않은 경우 저장 을 선택하여 만듭니다.
참고
Microsoft Defender XDR 고객은 이제 손상된 디바이스가 IoT용 Microsoft Defender 디바이스 검색 통합을 통해 엔터프라이즈 네트워크에 연결된 OT(운영 기술) 디바이스와 통신하는 경고로 인시던트를 필터링할 수 엔드포인트용 Microsoft Defender. 이러한 인시던트를 필터링하려면 서비스/검색 원본에서 Any를 선택한 다음 제품 이름에서 IoT에 대한 Microsoft Defender 선택하거나 Defender 포털에서 Microsoft Defender for IoT의 인시던트 및 경고 조사를 참조하세요. 디바이스 그룹을 사용하여 사이트별 경고를 필터링할 수도 있습니다. Defender for IoT 필수 구성 요소에 대한 자세한 내용은 Microsoft Defender XDR 엔터프라이즈 IoT 모니터링 시작을 참조하세요.
사용자 지정 필터를 URL로 저장
인시던트 큐에서 유용한 필터를 구성한 후에는 브라우저 탭의 URL을 책갈피로 지정하거나 웹 페이지, Word 문서 또는 원하는 위치에 링크로 저장할 수 있습니다. 책갈피를 사용하면 인시던트 큐의 주요 보기(예: )에 대한 단일 클릭 액세스 권한을 제공합니다.
- 새 인시던트
- 심각도가 높은 인시던트
- 할당되지 않은 인시던트
- 심각도가 높고 할당되지 않은 인시던트
- 나에게 할당된 인시던트
- 나에게 할당된 인시던트 및 엔드포인트용 Microsoft Defender
- 특정 태그 또는 태그가 있는 인시던트
- 특정 위협 범주가 있는 인시던트
- 특정 관련 위협이 있는 인시던트
- 특정 행위자를 사용하는 인시던트
유용한 필터 뷰 목록을 URL로 컴파일하고 저장한 후에는 이를 사용하여 신속하게 큐의 인시던트 처리 및 우선 순위를 지정하고 후속 할당 및 분석을 위해 인시던트 관리 합니다.
검색
인시던트 목록 위의 이름 또는 ID 검색 상자에서 다양한 방법으로 인시던트 검색을 통해 원하는 항목을 빠르게 찾을 수 있습니다.
인시던트 이름 또는 ID로 검색
인시던트 ID 또는 인시던트 이름을 입력하여 인시던트를 직접 검색합니다. 검색 결과 목록에서 인시던트를 선택하면 Microsoft Defender 포털에서 인시던트 속성이 포함된 새 탭을 열어 조사를 시작할 수 있습니다.
영향을 받는 자산별 검색
사용자, 디바이스, 사서함, 애플리케이션 이름 또는 클라우드 리소스와 같은 자산의 이름을 지정하고 해당 자산과 관련된 모든 인시던트를 찾을 수 있습니다.
시간 범위 지정
인시던트 기본 목록은 지난 6개월 동안 발생한 인시던트에 대한 것입니다. 다음을 선택하여 일정 아이콘 옆의 드롭다운 상자에서 새 시간 범위를 지정할 수 있습니다.
- 1일
- 3일
- 1주
- 30일
- 30일
- 6개월
- 날짜와 시간을 모두 지정할 수 있는 사용자 지정 범위
다음 단계
우선 순위가 가장 높은 인시던트가 필요한 인시던트가 결정되면 다음을 선택합니다.
Defender Boxed
매년 1월과 7월에 제한된 시간 동안 인시던트 큐를 처음 열면 Defender Boxed 가 자동으로 표시됩니다. Defender Boxed는 지난 6개월 또는 역년 동안 organization 보안 성공, 개선 사항 및 응답 작업을 강조 표시합니다.
참고
Defender Boxed는 Microsoft Defender 포털에서 해당 활동을 수행한 사용자만 사용할 수 있습니다.
Defender Boxed에 표시되는 일련의 카드에서 다음 작업을 수행할 수 있습니다.
organization 다른 사용자와 공유할 수 있는 도전 과제에 대한 자세한 요약을 다운로드합니다.
Defender Boxed가 표시되는 빈도를 변경합니다. 매년 한 번(1월마다) 또는 두 번(1월과 7월마다) 중에서 선택할 수 있습니다.
슬라이드를 이미지로 저장하여 소셜 미디어 네트워크, 전자 메일 및 기타 포럼에 도전 과제를 공유합니다.
Defender Boxed를 다시 열려면 인시던트 큐로 이동한 다음 창 오른쪽에서 Defender Boxed 를 선택합니다.
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.