Microsoft Defender XDR에서 Defender for Identity 보안 경고 조사

  • 아티클

이 문서에서는 Microsoft Defender XDR에서 Microsoft Defender for Identity 보안 경고를 사용하는 방법의 기본 사항을 설명합니다.

Defender for Identity 경고는 기본적으로 전용 ID 경고 페이지 형식으로 Microsoft Defender XDR에 통합됩니다.

ID 경고 페이지에서는 Microsoft Defender for Identity 고객에게 더 나은 교차 작업기본 신호 보강 및 새로운 자동화된 ID 응답 기능을 제공합니다. 보안 유지를 보장하고 보안 작업의 효율성을 개선하는 데 도움이 됩니다.

Microsoft Defender XDR을 통해 경고를 조사할 때의 이점 중 하나는 Microsoft Defender for Identity 경고가 제품군의 다른 각 제품에서 얻은 정보와 더 관련이 있다는 것입니다. 이러한 향상된 경고는 Office 365용 Microsoft Defender 및 엔드포인트용 Microsoft Defender 시작된 다른 Microsoft Defender XDR 경고 형식과 일치합니다. 새 페이지에서는 ID와 관련된 경고를 조사하기 위해 다른 제품 포털로 이동할 필요가 없습니다.

이제 Defender for Identity에서 시작된 경고는 경고 자동 수정 및 의심스러운 활동에 기여할 수 있는 도구 및 프로세스의 완화를 포함하여 Microsoft Defender XDR의 AIR(자동 조사 및 대응) 기능을 트리거할 수 있습니다.

Important

Microsoft Defender XDR과의 수렴의 일환으로 일부 옵션과 세부 정보가 Defender for Identity 포털의 위치에서 변경되었습니다. 친숙한 기능과 새로운 기능을 모두 찾을 수 있는 위치를 알아보려면 아래 세부 정보를 참조하세요.

보안 경고 검토

경고 페이지, 인시던트 페이지, 개별 디바이스 페이지 및 고급 헌팅 페이지를 비롯한 여러 위치에서 경고액세스할 수 있습니다. 이 예제에서는 경고 페이지를 검토합니다.

Microsoft Defender XDR에서 인시던트 및 경고로 이동한 다음 경고로 이동합니다.

The Alerts menu item

Defender for Identity의 경고를 보려면 오른쪽 위에서 필터를 선택한 다음, 서비스 원본에서 Microsoft Defender for Identity를 선택하고 적용을 선택합니다.

The filter for the Defender for Identity events

경고는 경고 이름, 태그, 심각도, 조사 상태, 상태, 범주, 검색 원본, 영향을 받은 자산, 첫 번째 활동 및 마지막 활동에 정보와 함께 표시됩니다.

The Defender for Identity events

보안 경고 범주

Defender for Identity 보안 경고는 일반적인 사이버 공격 킬 체인에서 볼 수 있는 단계와 같이 다음과 같은 범주 또는 단계로 나뉩니다.

경고 관리

경고 중 하나에 대한 경고 이름을 선택하면 경고에 대한 세부 정보가 포함된 페이지로 이동합니다. 왼쪽 창에 발생한 일에 대한 요약이 표시됩니다.

The What happened pane

발생한 작업 상자 위에는 경고의 계정, 대상 호스트 및 원본 호스트에 대한 단추가 있습니다. 다른 경고의 경우 추가 호스트, 계정, IP 주소, 할 일기본 및 보안 그룹에 대한 세부 정보에 대한 단추가 표시될 수 있습니다. 관련된 엔터티에 대한 자세한 내용을 보려면 해당 엔터티를 선택합니다.

오른쪽 창에 경고 세부 정보가 표시됩니다. 여기에서 자세한 내용을 확인하고 몇 가지 작업을 수행할 수 있습니다.

  • 이 경고 분류 - 여기서 이 경고를 True 경고 또는 False 경고지정할 수 있습니다.

    The page on which you can classify an alert

  • 경고 상태 - 분류 설정에서 경고를 True 또는 False분류할 수 있습니다. 할당 대상에서 자신에게 경고를 할당하거나 할당을 취소할 수 있습니다.

    The Alert state pane

  • 경고 세부 정보 - 경고 세부 정보 아래에서 특정 경고에 대한 자세한 정보를 찾고, 경고 유형에 대한 설명서 링크를 따르고, 경고가 연결된 인시던트를 확인하고, 이 경고 유형에 연결된 자동화된 조사를 검토하고, 영향을 받는 디바이스 및 사용자를 확인할 수 있습니다.

    The Alert details page

  • 메모 및 기록 - 여기서 경고에 의견을 추가하고 경고와 관련된 모든 작업의 기록을 볼 수 있습니다.

    The Comments & history page

  • 경고 관리 - 경고 관리를 선택하면 다음을 편집할 수 있는 창으로 이동합니다.

    • 상태 - 새로 만들기, 해결됨 또는 진행 중인 항목을 선택할 수 있습니다.

    • 분류 - True 경고 또는 False 경고를 선택할 수 있습니다.

    • 주석 - 경고에 대한 설명을 추가할 수 있습니다.

    • 경고 관리 옆에 있는 세 개의 점을 선택하면 경고를 다른 인시던트에 연결하거나, 제거 규칙 만들기(미리 보기 고객에게만 사용 가능) 또는 Defender 전문가에게 문의할 수 있습니다.

      The Manage alert option

      경고를 Excel 파일로 내보낼 수도 있습니다. 이렇게 하려면 내보내기를 선택합니다 .

      참고 항목

      이제 Excel 파일에서 두 개의 링크를 사용할 수 있습니다 . 즉, Microsoft Defender for Identity 보기 및 Microsoft Defender XDR의 보기입니다. 각 링크는 관련 포털로 이동하고 해당 포털에서 경고에 대한 정보를 제공합니다.

경고 튜닝

경고를 조정하여 조정하고 최적화하여 가양성 감소 경고 튜닝을 사용하면 SOC 팀이 우선 순위가 높은 경고에 집중하고 시스템 전체에서 위협 탐지 범위를 개선할 수 있습니다. Microsoft Defender XDR에서 증거 유형에 따라 규칙 조건을 만든 다음 조건과 일치하는 규칙 유형에 규칙을 적용합니다.

자세한 내용은 경고 튜닝을 참조하세요.

참고 항목

자세한 정보