Microsoft Defender 포털은 모든 자산의 상관 관계 경고, 자산, 조사 및 증거를 인시던트에 제공하여 공격의 전체 범위를 포괄적으로 조사합니다.
인시던트 내에서 경고를 분석하고, 경고를 이해하고, 효과적인 수정 계획을 고안할 수 있도록 증거를 수집합니다.
초기 조사
세부 정보를 살펴보기 전에 속성 및 인시던트 전체 공격 이야기를 살펴보십시오.
검사 표시 열에서 인시던트 를 선택하여 시작할 수 있습니다. 다음은 예입니다.
이렇게 하면 인시던트의 세부 정보, 권장 작업 및 관련 위협과 같은 인시던트에 대한 주요 정보가 포함된 요약 창이 열립니다. 다음은 예입니다.
여기에서 인시던트 페이지 열기를 선택할 수 있습니다. 그러면 경고, 디바이스, 사용자, 조사 및 증거에 대한 전체 공격 스토리 정보 및 탭을 찾을 수 있는 인시던트의 기본 페이지가 열립니다. 인시던트 큐에서 인시던트 이름을 선택하여 인시던트에 대한 기본 페이지를 열 수도 있습니다.
참고
Microsoft Security Copilot 대한 프로비전된 액세스 권한이 있는 사용자는 인시던트를 열면 화면 오른쪽에 Copilot 창이 표시됩니다. Copilot는 인시던트를 조사하고 대응하는 데 도움이 되는 실시간 인사이트 및 권장 사항을 제공합니다. 자세한 내용은 Microsoft Defender Microsoft Copilot 참조하세요.
공격 스토리
공격 스토리는 동일한 탭에서 공격의 전체 스토리를 보면서 공격을 신속하게 검토, 조사 및 수정하는 데 도움이 됩니다. 또한 엔터티 세부 정보를 검토하고 컨텍스트를 잃지 않고 파일을 삭제하거나 디바이스를 격리하는 등의 수정 작업을 수행할 수 있습니다.
공격 스토리는 다음 비디오에서 간략하게 설명합니다.
공격 스토리 내에서 경고 페이지와 인시던트 그래프를 찾을 수 있습니다.
인시던트 경고 페이지에는 다음 섹션이 있습니다.
다음을 포함하는 경고 스토리:
- 무슨 일이 있었나요
- 수행한 작업
- 관련 이벤트
오른쪽 창의 경고 속성(상태, 세부 정보, 설명 등)
모든 경고에 경고 스토리 섹션에 나열된 하위 섹션이 모두 있는 것은 아닙니다.
그래프는 공격의 전체 scope, 시간이 지남에 따라 공격이 네트워크를 통해 확산되는 방법, 시작된 위치 및 공격자가 얼마나 멀리 갔는지를 보여줍니다. 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스 및 사서함과 같은 관련 자산과 연결합니다.
그래프에서 다음을 수행할 수 있습니다.
시간이 지남에 따라 발생한 그래프에서 경고 및 노드를 재생하여 공격의 연대기를 이해합니다.
엔터티 창을 열어 엔터티 세부 정보를 검토하고 파일 삭제 또는 디바이스 격리와 같은 수정 작업을 수행할 수 있습니다.
관련된 엔터티에 따라 경고를 강조 표시합니다.
디바이스, 파일, IP 주소, URL, 사용자, 전자 메일, 사서함 또는 클라우드 리소스의 엔터티 정보를 헌팅합니다.
탐색
Go Hunt 작업은 고급 헌팅 기능을 활용하여 엔터티에 대한 관련 정보를 찾습니다. Go Hunt 쿼리는 조사 중인 특정 엔터티와 관련된 이벤트 또는 경고에 대한 관련 스키마 테이블을 확인합니다. 옵션을 선택하여 엔터티에 대한 관련 정보를 찾을 수 있습니다.
- 사용 가능한 모든 쿼리를 참조하세요. 이 옵션은 조사 중인 엔터티 형식에 대해 사용 가능한 모든 쿼리를 반환합니다.
- 모든 활동 – 쿼리는 엔터티와 연결된 모든 활동을 반환하여 인시던트의 컨텍스트를 포괄적으로 볼 수 있습니다.
- 관련 경고 – 쿼리는 특정 엔터티와 관련된 모든 보안 경고를 검색하고 반환하여 정보를 놓치지 않도록 합니다.
결과 로그 또는 경고는 결과를 선택한 다음 인시던트에 연결을 선택하여 인 시던트에 연결할 수 있습니다.
인시던트 또는 관련 경고가 설정한 분석 규칙의 결과인 경우 쿼리 실행을 선택하여 다른 관련 결과를 볼 수도 있습니다.
중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
폭발 반경 분석
폭발 반경 분석은 인시던트 조사 환경에 통합된 고급 그래프 시각화입니다. Microsoft Sentinel 데이터 레이크 및 그래프 인프라를 기반으로 하여 선택한 노드에서 사용자의 권한으로 범위가 지정된 미리 정의된 중요한 대상으로의 전파 경로를 보여 주는 대화형 그래프를 생성합니다.
참고
폭발 반경 분석은 공격 경로 분석을 확장하고 대체합니다.
폭발 반경 그래프는 인시던트 페이지에서 사전 검사 및 위반 후 정보의 고유한 통합 보기를 제공합니다. 인시던트 조사 중에 분석가는 하나의 통합 그래프에서 위반의 현재 영향과 향후 영향을 확인할 수 있습니다. 인시던트 그래프에 통합되기 때문에 폭발 반경 그래프는 보안 팀이 보안 인시던트의 scope 더 빨리 이해하고 광범위한 피해 가능성을 줄이기 위해 방어 조치를 강화하는 데 도움이 됩니다. 폭발 반경 분석은 분석가가 높은 평가를 받는 대상에 대한 위험을 더 잘 평가하고 비즈니스 영향을 이해하는 데 도움이 됩니다.
폭발 반경 그래프를 사용하려면 다음 필수 구성 요소가 필요합니다.
- Microsoft Sentinel 데이터 레이크 등록해야 합니다. 자세한 내용은 Microsoft Sentinel 데이터 레이크 및 그래프에 온보딩을 참조하세요.
- 노출 관리(읽기) 권한 이상. 자세한 내용은 MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)를 사용하여 권한 관리를 참조하세요.
중요
공격 경로 및 폭발 반경 기능은 organization 사용 가능한 환경 데이터를 기반으로 계산됩니다. 그래프의 값은 계산에 더 많은 데이터를 사용할 수 있게 되면서 증가합니다. 추가 워크로드가 활성화되지 않았거나 중요한 자산이 완전히 정의되지 않은 경우 폭발 반경 그래프는 환경 위험을 완전히 나타내지 않습니다. 중요한 자산을 정의하는 방법에 대한 자세한 내용은 중요한 자산 검토 및 분류를 참조하세요.
다음 표에서는 다양한 사용자 역할에 대한 폭발 반경 분석 사용 사례를 요약합니다.
| 사용자 역할 | 사용 사례 |
|---|---|
| 보안 분석가 | 폭발 반경 분석을 사용하여 인시던트를 조사합니다. 그래프 중앙에 손상된 구성 요소와 잠재적으로 손상된 대상에 대한 경로를 즉시 볼 수 있습니다. 그래프는 인시던트에 대한 직관적인 시각적 이해를 제공하고 위반의 잠재적 scope 빠르게 학습하는 데 도움이 됩니다. 대상 및 경로에 따라 대상 경로를 따라 노드에서 인시던트가 중단, 격리 및 포함되도록 작업을 에스컬레이션하고 트리거할 수 있습니다. |
| IT 관리자 및 SOC 엔지니어 | 폭발 반경 분석을 사용하여 비즈니스 영향 및 잠재적 손상 추정에 따라 리소스를 동원합니다. 엔지니어는 즉각적인 주의가 필요한 가장 중요한 취약성의 우선 순위를 지정할 수 있습니다. 엔지니어는 맵에 취약성이 표시된 여러 노드를 검사하여 organization 중요한 대상에 도달한 폭발 반경에 따라 필요한 리소스를 사전에 할당할 수 있습니다. 엔지니어는 보호된 내용과 영향을 명확하게 전달하고 향후 잠재적 공격의 추가 영향을 줄이는 데 필요한 추가 방어 및 네트워크 세분화를 계획하고 우선 순위를 지정할 수 있습니다. |
| 인시던트 대응 팀 | 동적 시각적 인시던트 맵을 사용하여 인시던트 scope 신속하게 확인하여 그래프에 표시된 시스템에서 대상 작업을 수행할 수 있습니다. |
| CISO 또는 보안 리더 | 폭발 반경 기능을 사용하여 현재 상태 나타내고, 목표 및 메트릭 지표를 설정하고, 이를 사용하여 규정 준수 이유를 보고하고 감사합니다. 이 기능은 방어 조치 및 보호 조치 투자의 진행 상황을 추적하는 데 사용할 수 있습니다. |
폭발 반경 그래프 보기
인시던트 페이지의 목록에서 인시던트를 선택하면 인시던트와 관련된 엔터티 및 자산을 보여 주는 그래프 보기가 표시됩니다.
노드를 선택하여 상황에 맞는 메뉴를 연 다음, 폭발 반경 보기를 선택합니다. 그룹에 있는 단일 노드의 폭발 반경을 보려면 그리드 위의 그룹 해제 토글을 사용하여 모든 노드를 표시합니다.
8개의 상위 등급 공격 경로를 보여 주는 새 그래프 보기가 로드됩니다. 그래프 위의 전체 폭발 반경 목록 보기를 선택하면 경로의 전체 목록이 오른쪽 패널에 표시됩니다. 연결할 수 있는 대상 목록에서 나열된 대상 중 하나를 선택하여 경로를 추가로 탐색할 수 있습니다. 오른쪽 패널에는 진입점에서 이 대상까지의 잠재적 경로가 표시됩니다. 일부 노드에는 연결된 경로가 없을 수 있습니다.
폭발 반지름 그래프의 노드 및 가장자리에 사용되는 아이콘에 대한 설명은 Microsoft Defender 그래프 및 시각화 이해를 참조하세요.
폭발 반경 목록 보기를 선택하여 대상 자산 목록을 확인합니다. 목록에서 대상 자산을 선택하여 세부 정보 및 잠재적 공격 경로를 확인합니다. 연결에서 배지를 선택하면 연결에 대한 자세한 내용이 표시됩니다.
경로가 동일한 형식의 그룹화된 대상으로 이어지는 경우 대상에 대한 개별 경로를 보려면 그룹화된 아이콘을 선택합니다. 그룹의 모든 대상을 보여 주는 오른쪽 패널이 열립니다. 왼쪽에서 검사 상자를 선택하고 위쪽의 확장 단추를 선택하면 각 대상과 해당 경로가 개별적으로 표시됩니다.
폭발 반경 그래프를 숨기고 노드를 선택하고 폭발 반경 숨기기를 선택하여 원래 인시던트 그래프로 돌아갑니다.
제한 사항
폭발 반지름 그래프에는 다음과 같은 제한 사항이 적용됩니다.
경로 길이 제한 사항(분석 scope): 폭발 반지름 그래프 길이 계산은 원본 노드에서 최대 7개의 홉으로 제한됩니다. 폭발 반경은 전체 공격 범위의 근사치입니다. 최대 홉 수는 환경에 따라 달라집니다.
- 클라우드용 홉 5개
- 온-프레미스용 5홉
- 하이브리드용 3홉
데이터 새로 고침: organization 환경의 변경과 폭발 반경 그래프에서 이러한 변경 내용의 반영 사이에 대기 시간이 있을 수 있습니다. 이 시간 동안 모델은 불완전할 수 있습니다.
가능한 경로: 폭발 반지름 그래프는 가능한 경로를 보여 줍니다. 공격자가 표시된 모든 경로를 취한다고 보장하지는 않습니다.
알려진 공격 벡터: 그래프는 알려진 공격 벡터를 사용합니다. 공격자가 아직 모델링되지 않은 새로운 횡적 이동 또는 새로운 기술을 찾으면 폭발 반경 그래프에 표시되지 않습니다.
사용자 범위: 표시되는 그래프는 보기 사용자에 대해 허용되는 범위를 기반으로 합니다. 정의된 RBAC 및 범위 지정 설정에 따라 사용자의 범위가 지정된 노드 및 에지만 그래프에 표시됩니다. scope 노드 또는 가장자리를 포함하는 경로는 표시되지 않습니다.
아일랜드 노드: 연결되지 않은 노드는 데이터가 수집되는 시간과 폭발 반경 계산 사이에 발생할 수 있는 변경으로 인해 그래프에 나타날 수 있습니다.
사건 세부 정보
인시던트 페이지의 오른쪽 창에서 인시던트의 세부 정보를 볼 수 있습니다. 인시던트 세부 정보에는 인시던트 할당, ID, 분류, 범주, 첫 번째 및 마지막 활동 날짜 및 시간이 포함됩니다. 또한 인시던트, 영향을 받은 자산, 활성 경고 및 해당하는 경우 관련 위협, 권장 사항 및 중단 요약 및 영향에 대한 설명도 포함됩니다. 인시던트 설명이 강조 표시된 인시던트 세부 정보의 예는 다음과 같습니다.
인시던트 설명은 인시던트에 대한 간략한 개요를 제공합니다. 경우에 따라 인시던트에서 첫 번째 경고가 인시던트 설명으로 사용됩니다. 이 경우 설명은 포털에만 표시되며 Azure Portal 활동 로그, 고급 헌팅 테이블 또는 Microsoft Sentinel에 저장되지 않습니다.
팁
Microsoft Sentinel 고객은 API 또는 자동화를 통해 인시던트 설명을 설정하여 Azure Portal 동일한 인시던트 설명을 보고 덮어쓸 수도 있습니다.
경고
경고 탭에서 인시던트와 관련된 경고 및 다음과 같은 기타 정보에 대한 경고 큐를 볼 수 있습니다.
- 경고의 심각도입니다.
- 경고에 관련된 엔터티입니다.
- 경고의 원본(ID, 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Defender for Cloud Apps 및 앱 거버넌스 추가 기능에 대한 Microsoft Defender).
- 그들이 함께 연결된 이유.
다음은 예입니다.
기본적으로 경고는 시간순으로 정렬되어 시간이 지남에 따라 공격이 어떻게 수행되었는지 확인할 수 있습니다. 인시던트 내에서 경고를 선택하면 Microsoft Defender XDR 전체 인시던트 컨텍스트와 관련된 경고 정보를 표시합니다.
다른 트리거된 경고가 현재 경고를 발생시킨 경고의 이벤트와 디바이스, 파일, 사용자, 클라우드 앱 및 사서함을 포함하여 공격에 관련된 모든 영향을 받는 엔터티 및 활동을 볼 수 있습니다.
다음은 예입니다.
경고 조사에서 경고 큐 및 경고 페이지를 사용하는 방법을 알아봅니 다.
참고
Microsoft Purview 내부 위험 관리 대한 액세스를 프로비전한 경우 Microsoft Defender 포털에서 내부자 위험 관리 경고를 보고 관리하고 내부자 위험 관리 이벤트를 검색할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 내부자 위험 위협 조사를 참조하세요.
자산
새 자산 탭을 사용하여 모든 자산을 한 곳에서 쉽게 보고 관리할 수 있습니다 . 이 통합 보기에는 디바이스, 사용자, 사서함 및 앱이 포함됩니다.
자산 탭에는 이름 옆에 총 자산 수가 표시됩니다. 자산 탭을 선택할 때 해당 범주 내의 자산 수가 포함된 다양한 범주 목록이 표시됩니다.
디바이스
디바이스 보기에는 인시던트 관련 모든 디바이스가 나열됩니다. 다음은 예입니다.
목록에서 디바이스를 선택하면 선택한 디바이스를 관리할 수 있는 막대가 열립니다. 신속하게 내보내기, 태그 관리, 자동화된 조사 등을 시작할 수 있습니다.
디바이스에 대한 검사 표시를 선택하여 디바이스, 디렉터리 데이터, 활성 경고 및 로그온한 사용자의 세부 정보를 볼 수 있습니다. 엔드포인트용 Defender 디바이스 인벤토리에서 디바이스 세부 정보를 보려면 디바이스 이름을 선택합니다. 다음은 예입니다.
디바이스 페이지에서 모든 경고, 타임라인 및 보안 권장 사항과 같은 디바이스에 대한 추가 정보를 수집할 수 있습니다. 예를 들어 타임라인 탭에서 디바이스 타임라인 스크롤하고 머신에서 관찰된 모든 이벤트 및 동작을 시간순으로 보고 경고가 발생한 후 산재할 수 있습니다.
사용자
사용자 보기에는 인시던트에 속하거나 관련된 것으로 식별된 모든 사용자가 나열됩니다. 다음은 예입니다.
사용자의 검사 표시를 선택하여 사용자 계정 위협, 노출 및 연락처 정보에 대한 세부 정보를 볼 수 있습니다. 사용자 이름을 선택하여 추가 사용자 계정 세부 정보를 확인합니다.
추가 사용자 정보를 보고 사용자를 조사할 때 인시던트 사용자를 관리하는 방법을 알아봅니다.
사서함
사서함 보기에는 인시던트에 속하거나 관련된 것으로 확인된 모든 사서함이 나열됩니다. 다음은 예입니다.
사서함의 검사 표시를 선택하여 활성 경고 목록을 볼 수 있습니다. 사서함 이름을 선택하여 Office 365용 Defender 대한 Explorer 페이지에서 추가 사서함 세부 정보를 확인합니다.
앱
앱 보기에는 인시던트에 속하거나 관련된 것으로 식별된 모든 앱이 나열됩니다. 다음은 예입니다.
앱의 검사 표시를 선택하여 활성 경고 목록을 볼 수 있습니다. 앱 이름을 선택하여 Defender for Cloud Apps 대한 Explorer 페이지에서 추가 세부 정보를 확인합니다.
클라우드 리소스
클라우드 리소스 뷰에는 인시던트에 속하거나 관련된 것으로 확인된 모든 클라우드 리소스가 나열됩니다. 다음은 예입니다.
클라우드 리소스에 대한 검사 표시를 선택하여 리소스의 세부 정보와 활성 경고 목록을 볼 수 있습니다. 클라우드 리소스 페이지 열기를 선택하여 추가 세부 정보를 확인하고 클라우드용 Microsoft Defender 전체 세부 정보를 봅니다.
조사
조사 탭에는 이 인시던트에서 경고에 의해 트리거되는 모든 자동화된 조사가 나열됩니다. 자동화된 조사는 엔드포인트용 Defender 및 Office 365용 Defender 실행되도록 자동화된 조사를 구성한 방법에 따라 수정 작업을 수행하거나 분석가의 작업 승인을 기다립니다.
조사를 선택하여 조사 및 수정 상태 대한 전체 정보를 보려면 세부 정보 페이지로 이동합니다. 조사의 일환으로 승인을 위해 보류 중인 작업이 있는 경우 보류 중인 작업 탭에 표시됩니다. 인시던트 수정의 일부로 조치를 취합니다.
다음을 보여 주는 조사 그래프 탭도 있습니다.
- organization 영향을 받은 자산에 대한 경고 연결입니다.
- 경고와 관련된 엔터티 및 공격 스토리의 일부인 방법.
- 인시던트에 대한 경고입니다.
조사 그래프를 사용하면 공격의 일부인 다양한 의심스러운 엔터티를 사용자, 디바이스 및 사서함과 같은 관련 자산과 연결하여 공격의 전체 scope 빠르게 이해할 수 있습니다.
자세한 내용은 Microsoft Defender XDR 자동 조사 및 응답을 참조하세요.
증거 및 응답
증거 및 응답 탭에는 인시던트에서 경고에 지원되는 모든 이벤트 및 의심스러운 엔터티가 표시됩니다. 다음은 예입니다.
Microsoft Defender XDR 경고에서 인시던트의 지원되는 모든 이벤트 및 의심스러운 엔터티를 자동으로 조사하여 중요한 이메일, 파일, 프로세스, 서비스, IP 주소 등에 대한 정보를 제공합니다. 이렇게 하면 인시던트에서 잠재적인 위협을 신속하게 감지하고 차단할 수 있습니다.
분석된 각 엔터티는 평결(악성, 의심, 정리) 및 수정 상태 표시됩니다. 이렇게 하면 전체 인시던트에 대한 수정 상태 다음 단계를 수행할 수 있는지 이해하는 데 도움이 됩니다.
수정 작업 승인 또는 거부
수정 상태 승인 보류 중인 인시던트에 대해서는 수정 작업을 승인하거나 거부하거나, Explorer 열거나, 증거 및 응답 탭 내에서 검색을 수행할 수 있습니다. 다음은 예제입니다.
요약
요약 페이지를 사용하여 인시던트의 상대적 중요도를 평가하고 관련 경고 및 영향을 받은 엔터티에 신속하게 액세스합니다. 요약 페이지에서는 인시던트에 대해 알아야 할 주요 사항을 스냅샷 한눈에 볼 수 있습니다.
정보는 이 섹션에서 구성됩니다.
| 섹션 | 설명 |
|---|---|
| 경고 및 범주 | 킬 체인에 대해 공격이 얼마나 진행되었는지에 대한 시각적 및 숫자 보기입니다. 다른 Microsoft 보안 제품과 마찬가지로 Microsoft Defender XDR MITRE ATT&CK™ 프레임워크에 맞춰집니다. 경고 타임라인 경고가 발생한 시간순 순서와 각 경고의 상태 및 이름을 보여 줍니다. |
| 범위 | 영향을 받은 디바이스, 사용자 및 사서함 수를 표시하고 위험 수준 및 조사 우선 순위 순서대로 엔터티를 나열합니다. |
| 경고 | 인시던트에 관련된 경고를 표시합니다. |
| 증거 | 인시던트에 의해 영향을 받는 엔터티 수를 표시합니다. |
| 인시던트 정보 | 태그, 상태 및 심각도와 같은 인시던트의 속성을 표시합니다. |
유사한 인시던트
일부 인시던트에는 유사한 인시던트 페이지에 유사한 인시던트가 나열되어 있을 수 있습니다. 이 섹션에서는 유사한 경고, 엔터티 및 기타 속성이 있는 인시던트도 보여 줍니다. 이렇게 하면 공격의 scope 이해하고 관련될 수 있는 다른 인시던트 식별에 도움이 될 수 있습니다. 다음은 예입니다.
팁
Defender Boxed는 지난 6개월/1년 동안 organization 보안 성공, 개선 및 대응 작업을 보여주는 일련의 카드로 매년 1월과 7월에 제한된 시간 동안 나타납니다. Defender Boxed 하이라이트를 공유하는 방법을 알아봅니다.
다음 단계
필요에 따라:
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.