의심스러운 활동이 검색되면 Microsoft Defender 포털에서 인시던트가 자동으로 만들어집니다. 두 인시던트가 동일한 공격 스토리의 일부를 설명할 때 Defender는 일반적으로 이러한 인시던트들을 단일 인시던트에 자동으로 병합하여 인시던트가 보다 효율적이고 효과적으로 조사되고 더 빠르고 정확하게 resolve 수 있도록 지원합니다.
그러나 이를 방지하는 특정 조건으로 인해 자동 병합이 발생하지 않는 경우도 있습니다. 인시던트가 병합되거나 병합되지 않는 경우에 대한 자세한 내용은 인시던트 상관 관계 및 병합을 참조하세요. 이러한 상황에서 또는 두 개의 (병합되지 않은) 인시던트가 관련되어 있고 단일 단위로 조사되어야 한다고 독립적으로 결정하는 경우 수동으로 병합할 수 있습니다. 이 문서에서는 이 작업을 수행하는 방법을 설명합니다.
필수 구성 요소
- 사용자에게 인시던트 큐를 볼 수 있는 권한이 있어야 합니다.
- 사용자는 병합하려는 모든 인시던트에 대한 읽기 및 쓰기 권한이 있어야 합니다. 다른 원본의 인시던트에는 서로 다른 RBAC 역할이 정의됩니다.
- 병합 후보인 인시던트에는 할당 대상, 분류 및 결정 필드에 대해 서로 동일한 값 또는 null 값이 있어야 합니다.
인시던트 큐 페이지에서 인시던트 병합
인시던트 큐를 엽니다. Microsoft Defender 포털의 빠른 실행 메뉴에서 조사 & 응답 > 인시던트 > & 경고 인시던트 를 선택합니다.
큐의 행 시작 부분에 확인란을 표시하여 병합하려는 두 인시던트 를 선택합니다. 두 인시던트가 표시되면 인시던트 병합 단추가 도구 모음에 나타납니다.
도구 모음에서 인시던트 병합 을 선택합니다. 병합 인시던트 플라이아웃이 열립니다.
병합 이유 텍스트 상자에 인시던트 병합을 원하는 이유에 대한 설명을 입력합니다.
플라이아웃 아래쪽에서 병합 인시던 트 를 선택하여 병합을 실행합니다.
표시되는 확인 대화 상자에서 병합을 선택합니다. 병합이 완료되면 병합된(대상) 인시던트로 이동하는 링크와 함께 "성공" 알림이 나타납니다.
병합에 실패하면 인시던트가 병합되지 못했다는 메시지와 함께 대화 상자가 나타납니다. 두 인시던트에 동일한 값이 있거나 하나 이상의 인시던트에 할당됨, 분류 및 결정에 대한 null 값이 있는지 확인합니다.
인시던트 페이지 내에서 인시던트 병합
인시던트 큐에서 병합하려는 두 인시던트 중 하나의 이름을 선택합니다. Microsoft Defender 결정하므로 원본 또는 대상 인시던트가 될 수 있습니다. 자세한 내용은 병합 프로세스의 세부 정보를 참조하세요.
인시던트 페이지가 나타납니다. 여기에서 작업 메뉴(오른쪽 위 모서리에 있는 세 개의 점)에서 인시던트 병합을 선택합니다.
병합 인시던트 플라이아웃이 나타납니다. 기타 인시던트 이름 또는 ID 필드에서 열려 있는 인시던트에 병합하려는 인시던트 이름 또는 ID를 입력하기 시작합니다. 사용 가능한 인시던트 목록은 입력할 때 동적으로 표시되고 필터링됩니다. 목록에 원하는 항목이 표시되면 선택합니다.
주석 텍스트 상자에 인시던트 병합을 원하는 이유에 대한 설명을 입력합니다.
플라이아웃 아래쪽에서 병합 인시던 트 를 선택하여 병합을 실행합니다.
표시되는 확인 대화 상자에서 병합을 선택합니다. 병합이 완료되면 "성공" 알림이 나타나고 열린 인시던트가 닫혀 병합된(대상) 인시던트로 리디렉션됩니다.
병합에 실패하면 인시던트가 병합되지 못했다는 메시지와 함께 대화 상자가 나타납니다. 병합이 성공하려면 두 인시던트 모두 동일한 값을 가져야 합니다. 또는 하나 이상의 인시던트에 할당됨, 분류 및 결정에 대해 null 값이 있어야 합니다.
참고
인시던트가 병합 중일 때는 인시던트 중 하나를 표시하거나 변경할 수 없습니다.
인시던트 병합은 대상 인시던트의 활동 로그에 기록됩니다. 로그 메시지는 열린(대상) 인시던트에 병합된 원본 인시던트 이름과 ID를 표시합니다.
원본 인시던트의 활동 로그 항목은 대상 인시던트의 활동 로그에 복사됩니다. 항목은 원본 인시던트에서 병합되었음을 나타내는 표시와 함께 표시됩니다. 활동 로그를 필터링하여 원본 또는 대상 인시던트 또는 둘 다의 항목을 표시할 수 있습니다.