자동화된 조사 개요Overview of automated investigations

적용 대상:Applies to:

작동 방법을 보고 싶나요?Want to see how it works? 다음 비디오를 시청합니다.Watch the following video:

자동화된 조사의 기술은 다양한 검사 알고리즘을 사용하며 보안 분석가가 사용하는 프로세스를 기반으로 합니다.The technology in automated investigation uses various inspection algorithms and is based on processes that are used by security analysts. AIR 기능은 경고를 검사하고 위반을 해결하기 위해 즉각적인 조치를 취하도록 고안되었습니다.AIR capabilities are designed to examine alerts and take immediate action to resolve breaches. AIR 기능은 경고 볼륨을 크게 줄여 보안 운영이 보다 정교한 위협 및 기타 고가치 이니셔티브에 집중할 수 있도록 합니다.AIR capabilities significantly reduce alert volume, allowing security operations to focus on more sophisticated threats and other high-value initiatives. 보류 중인지 완료 여부에 따라 모든 수정 작업은 관리 센터에서 추적됩니다.All remediation actions, whether pending or completed, are tracked in the Action center. 작업 센터에서 보류 중인 작업이 승인되거나 거부될 수 있으며, 필요한 경우 완료된 작업을 실행하지 않습니다.In the Action center, pending actions are approved (or rejected), and completed actions can be undone if needed.

이 문서에서는 AIR에 대한 개요를 제공하며 다음 단계 및 추가 리소스에 대한 링크를 제공합니다.This article provides an overview of AIR and includes links to next steps and additional resources.

끝점용 Microsoft Defender를 경험하고 싶나요?Want to experience Microsoft Defender for Endpoint? 무료 평가판에 등록합니다.Sign up for a free trial.

자동화된 조사 시작 방법How the automated investigation starts

경고가 트리거되거나 보안 운영자가 조사를 시작할 때 자동화된 조사가 시작될 수 있습니다.An automated investigation can start when an alert is triggered or when a security operator initiates the investigation.

상황Situation 진행 작업What happens
경고가 트리거됩니다.An alert is triggered 일반적으로 경고가 트리거되면 자동화된 조사가 시작되고 인시던트가 생성됩니다.In general, an automated investigation starts when an alert is triggered, and an incident is created. 예를 들어 악성 파일이 장치에 있는 경우를 가정해 보겠습니다.For example, suppose a malicious file resides on a device. 해당 파일이 검색되면 경고가 트리거되고 인시던트가 만들어집니다.When that file is detected, an alert is triggered, and incident is created. 자동화된 조사 프로세스가 디바이스에서 시작됩니다.An automated investigation process begins on the device. 다른 장치에서 동일한 파일로 인시던트가 생성되는 다른 경고는 관련 인시던트 및 자동화된 조사에 추가됩니다.As other alerts are generated because of the same file on other devices, they are added to the associated incident and to the automated investigation.
조사가 수동으로 시작An investigation is started manually 보안 운영 팀에서 자동화된 조사를 수동으로 시작할 수 있습니다.An automated investigation can be started manually by your security operations team. 예를 들어 보안 운영자가 장치 목록을 검토하고 장치에 높은 위험 수준이 있는 것으로 표시하는 경우를 가정해 보겠습니다.For example, suppose a security operator is reviewing a list of devices and notices that a device has a high risk level. 보안 운영자는 목록에서 디바이스를 선택하여 플라이아웃을 연 다음 자동화된 조사 시작을 선택할 수 있습니다.The security operator can select the device in the list to open its flyout, and then select Initiate Automated Investigation.

자동화된 조사가 범위를 확장하는 방법How an automated investigation expands its scope

조사가 실행되는 동안 장치에서 생성된 다른 모든 경고는 해당 조사가 완료될 때까지 진행 중인 자동화된 조사에 추가됩니다.While an investigation is running, any other alerts generated from the device are added to an ongoing automated investigation until that investigation is completed. 또한 다른 장치에서 동일한 위협이 있는 경우 해당 장치가 조사에 추가됩니다.In addition, if the same threat is seen on other devices, those devices are added to the investigation.

다른 디바이스에서 인출된 엔터티가 볼 수 있는 경우 자동화된 조사 프로세스는 해당 장치를 포함하기 위해 해당 범위를 확장하고 해당 장치에서 일반 보안 플레이북이 시작됩니다.If an incriminated entity is seen in another device, the automated investigation process expands its scope to include that device, and a general security playbook starts on that device. 동일한 엔터티에서 이 확장 프로세스 중에 10개 이상의 장치가 발견되는 경우 해당 확장 작업을 수행하려면 승인이 필요하며 보류 중인 작업 탭에 표시됩니다.If 10 or more devices are found during this expansion process from the same entity, then that expansion action requires an approval, and is visible on the Pending actions tab.

위협을 수정하는 방법How threats are remediated

경고가 트리거되고 자동화된 조사가 실행되면 조사된 각 증거 조각에 대한 판결이 생성됩니다.As alerts are triggered, and an automated investigation runs, a verdict is generated for each piece of evidence investigated. 판정은 다음이 될 수 있습니다.Verdicts can be

  • 악성;Malicious;
  • 의심스러운 ; 또는Suspicious; or
  • 위협이 없습니다.No threats found.

결과가 도달하면 자동화된 조사를 통해 하나 이상의 수정 작업이 수행될 수 있습니다.As verdicts are reached, automated investigations can result in one or more remediation actions. 수정 작업의 예로는 파일을 검지로 보내기, 서비스 중지, 예약된 작업 제거 등입니다.Examples of remediation actions include sending a file to quarantine, stopping a service, removing a scheduled task, and more. 자세한 내용은 재구성 작업 을 참조합니다.To learn more, see Remediation actions.

조직에 설정된 자동화 수준 및 기타 보안 설정에 따라 수정 작업은 자동으로 또는 보안 운영 팀의 승인 시에만 발생할 수 있습니다.Depending on the level of automation set for your organization, as well as other security settings, remediation actions can occur automatically or only upon approval by your security operations team. 자동 수정에 영향을 줄 수 있는 추가 보안 설정에는 잠재적으로 원치 않는 응용 프로그램(PUA)으로부터의 보호가 포함됩니다.Additional security settings that can affect automatic remediation include protection from potentially unwanted applications (PUA).

보류 중인지 완료 여부에 따라 모든 수정 작업은 관리 센터에서 추적됩니다.All remediation actions, whether pending or completed, are tracked in the Action center. 필요한 경우 보안 운영 팀에서 수정 작업을 실행 취소할 수 있습니다.If necessary, your security operations team can undo a remediation action. 자세한 내용은 자동화된 조사 후 재구성 작업 검토 및 승인을 참조합니다.To learn more, see Review and approve remediation actions following an automated investigation.

보안 센터의 새로운 통합 조사 Microsoft 365 확인 합니다.Check out the new, unified investigation page in the Microsoft 365 security center. 자세한 내용은 (NEW!)를 참조하세요. 통합 조사 페이지.To learn more, see (NEW!) Unified investigation page.

AIR에 대한 요구 사항Requirements for AIR

조직에 끝점용 Defender가 있어야 합니다(끝점용 Microsoft Defender에 대한 최소요구 사항 참조).Your organization must have Defender for Endpoint (see Minimum requirements for Microsoft Defender for Endpoint).

현재 AIR은 다음 OS 버전만 지원됩니다.Currently, AIR only supports the following OS versions:

  • Windows Server 2019Windows Server 2019
  • Windows 10 버전 1709(OS 빌드 16299.1085(KB4493441)이상Windows 10, version 1709 (OS Build 16299.1085 with KB4493441) or later
  • Windows 10 버전 1803(OS 빌드 17134.704(KB4493464)이상Windows 10, version 1803 (OS Build 17134.704 with KB4493464) or later
  • Windows 10 버전 1803 이상Windows 10, version 1803 or later

다음 단계Next steps

참고 항목See also