다음을 통해 공유


알림 센터

적용 대상:

  • Microsoft Defender XDR

알림 센터는 다음과 같은 인시던트 및 경고 작업에 대한 "단일 창"을 제공합니다.

  • 보류 중인 수정 작업을 승인합니다.
  • 이미 승인된 수정 작업의 감사 로그 보기
  • 완료된 수정 작업을 검토

알림 센터는 직장에서 Microsoft Defender XDR 대한 포괄적인 보기를 제공하기 때문에 보안 운영 팀이 보다 효과적이고 효율적으로 운영할 수 있습니다.

통합 알림 센터

통합 알림 센터(https://security.microsoft.com/action-center)에는 디바이스에 대한 보류 중 및 완료된 수정 작업, 전자 메일 & 공동 작업 콘텐츠 및 ID가 한 위치에 나열됩니다.

Microsoft Defender 포털의 통합 알림 센터입니다.

예를 들면

통합 알림 센터는 엔드포인트용 Microsoft Defender 및 Office 365용 Microsoft Defender 걸쳐 수정 작업을 함께 제공합니다. 모든 수정 작업에 대한 공용 언어를 정의하고 통합 조사 환경을 제공합니다. 보안 운영 팀에는 수정 작업을 보고 관리할 수 있는 "단일 창" 환경이 있습니다.

적절한 권한과 다음 구독 중 하나 이상이 있는 경우 통합 알림 센터를 사용할 수 있습니다.

자세한 내용은 요구 사항을 참조하세요.

다음 두 가지 방법으로 승인 보류 중인 작업 목록으로 이동할 수 있습니다.

알림 센터 사용

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창의 작업 및 제출에서 알림 센터를 선택합니다. 또는 자동 조사 & 응답 카드 알림 센터에서 승인을 선택합니다.

  3. 보류 중인 작업기록 탭을 사용합니다. 다음 표에는 각 탭에 표시되는 내용이 요약됩니다.

    Tab 설명
    보류 중 주의가 필요한 작업 목록을 표시합니다. 작업을 한 번에 하나씩 승인하거나 거부하거나 동일한 유형의 작업(예: 격리 파일)이 있는 경우 여러 작업을 선택할 수 있습니다.

    자동화된 조사가 적시에 완료될 수 있도록 가능한 한 빨리 보류 중인 작업을 검토하고 승인(또는 거부)해야 합니다.
    기록 다음과 같이 수행된 작업에 대한 감사 로그 역할을 합니다.
    • >자동화된 조사의 결과로 수행된 수정 작업
    • 의심스럽거나 악의적인 전자 메일 메시지, 파일 또는 URL에 대해 수행된 수정 작업
    • 보안 운영 팀에서 승인한 수정 작업
    • 라이브 응답 세션 중에 적용된 실행 및 수정 작업이었던 명령
    • 바이러스 백신 보호에 의해 수행된 수정 작업


    특정 작업을 실행 취소하는 방법을 제공합니다( 완료된 작업 실행 취소 참조).
  4. 알림 센터에서 데이터를 사용자 지정, 정렬, 필터링 및 내보낼 수 있습니다.

    알림 센터의 정렬, 필터링 및 사용자 지정 기능을 보여 주는 스크린샷

    • 열 머리글을 선택하여 항목을 오름차순 또는 내림차순으로 정렬합니다.
    • 기간 필터를 사용하여 지난 요일, 주, 30일 또는 6개월의 데이터를 볼 수 있습니다.
    • 보려는 열을 선택합니다.
    • 데이터의 각 페이지에 포함할 항목 수를 지정합니다.
    • 필터를 사용하여 보려는 항목만 볼 수 있습니다.
    • 내보내기를 선택하여 결과를 .csv 파일로 내보 냅니다 .

알림 센터에서 추적된 작업

승인 보류 중이든 이미 수행되었든 관계없이 모든 작업은 알림 센터에서 추적됩니다. 사용 가능한 작업에는 다음이 포함됩니다.

  • 조사 패키지 수집
  • 디바이스 격리(이 작업은 실행 취소할 수 있습니다.)
  • 컴퓨터 등록 취소
  • 릴리스 코드 실행
  • 격리에서 해제
  • 샘플 요청
  • 코드 실행 제한(이 작업은 실행 취소할 수 있습니다.)
  • 바이러스 백신 검사 실행
  • 중지 및 격리
  • 네트워크의 디바이스 포함

자동 조사 결과로 자동으로 수행되는 수정 작업 외에도 알림 센터는 보안 팀이 검색된 위협을 해결하기 위해 수행한 작업과 Microsoft Defender XDR 위협 방지 기능의 결과로 수행된 작업을 추적합니다. 자동 및 수동 수정 작업에 대한 자세한 내용은 수정 작업을 참조하세요.

작업 원본 세부 정보 보기

향상된 알림 센터에는 각 작업의 출처를 알려주는 작업 원본 열이 포함되어 있습니다. 다음 표에서는 가능한 작업 원본 값에 대해 설명합니다.

작업 원본 값 설명
수동 디바이스 작업 디바이스에서 수행되는 수동 작업입니다. 예를 들어 디바이스 격리 또는 파일 격리가 있습니다.
수동 전자 메일 작업 전자 메일에 대해 수행된 수동 작업입니다. 예를 들어 전자 메일 메시지를 일시 삭제하거나 전자 메일 메시지를 수정합니다.
자동화된 디바이스 작업 파일 또는 프로세스와 같은 엔터티에서 수행되는 자동화된 작업입니다. 자동화된 작업의 예로는 격리할 파일을 보내고, 프로세스를 중지하고, 레지스트리 키를 제거하는 작업이 있습니다. (엔드포인트용 Microsoft Defender 수정 작업을 참조하세요.)
자동화된 전자 메일 작업 전자 메일 메시지, 첨부 파일 또는 URL과 같은 전자 메일 콘텐츠에 대해 수행되는 자동화된 작업입니다. 자동화된 작업의 예로는 전자 메일 메시지 일시 삭제, URL 차단, 외부 메일 전달 해제 등이 있습니다. (Office 365용 Microsoft Defender 수정 작업을 참조하세요.)
고급 헌팅 작업 고급 헌팅을 사용하여 디바이스 또는 전자 메일에서 수행된 작업입니다.
Explorer 작업 Explorer 사용하여 전자 메일 콘텐츠에 대해 수행된 작업입니다.
수동 라이브 응답 작업 라이브 응답이 있는 디바이스에서 수행되는 작업입니다. 예를 들어 파일 삭제, 프로세스 중지, 예약된 작업 제거 등이 있습니다.
라이브 응답 작업 엔드포인트용 Microsoft Defender API를 사용하여 디바이스에서 수행되는 작업입니다. 작업의 예로는 디바이스 격리, 바이러스 백신 검사 실행, 파일에 대한 정보 가져오기 등이 있습니다.

알림 센터 작업에 필요한 사용 권한

알림 센터에서 보류 중인 작업을 승인하거나 거부하는 등의 작업을 수행하려면 특정 권한이 필요합니다. 다음과 같은 옵션을 선택할 수 있습니다.

  • Microsoft Entra 권한: 이러한 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 필요한 권한 권한을 제공합니다.

    • 엔드포인트용 Microsoft Defender 수정(디바이스): 보안 관리자 역할의 멤버 자격입니다.

    • Office 365용 Microsoft Defender 수정(Office 콘텐츠 및 전자 메일):

      • 보안 관리자 역할의 멤버 자격.

      • 검색 및 제거 역할이 할당된 Email & 공동 작업 권한의 역할 그룹의 멤버 자격. 기본적으로 이 역할은 Email & 협업 권한의 데이터 조사자 및 조직 관리 역할 그룹에만 할당됩니다. 해당 역할 그룹에 사용자를 추가하거나 검색 및 제거 역할이 할당된 Email & 협업 권한에서 새 역할 그룹을 만들고 사용자를 사용자 지정 역할 그룹에 추가할 수 있습니다.
  • Microsoft Defender 포털에서 공동 작업 권한을 Email &.

    • Office 365용 Microsoft Defender 수정(Office 콘텐츠 및 전자 메일):

      • 보안 관리자 역할 그룹의 멤버 자격

      • 검색 및 제거 역할이 할당된 Email & 공동 작업 권한의 역할 그룹의 멤버 자격. 기본적으로 이 역할은 Email & 협업 권한의 데이터 조사자 및 조직 관리 역할 그룹에만 할당됩니다. 해당 역할 그룹에 사용자를 추가하거나 검색 및 제거 역할이 할당된 Email & 협업 권한에서 새 역할 그룹을 만들고 사용자를 사용자 지정 역할 그룹에 추가할 수 있습니다.
  • MICROSOFT DEFENDER XDR RBAC(통합 역할 기반 액세스 제어)

    • 엔드포인트용 Microsoft Defender 수정: 보안 작업 \ 보안 데이터 \ 응답(관리).
    • Office 365용 Microsoft Defender 수정(공동 작업을> Email & 경우 Office 콘텐츠 및 전자 메일Office 365용 Defender 권한은 활성입니다. PowerShell이 아닌 Defender 포털에만 영향을 줍니다.
      • 이메일 및 Teams 메시지 헤더에 대한 읽기 액세스: 보안 작업/원시 데이터(전자 메일 & 공동 작업)/Email & 협업 메타데이터(읽기).
      • 악의적인 이메일 수정: 보안 작업/보안 데이터/Email & 협업 고급 작업(관리).

    공동 작업 권한을 Email & 보안 관리자 역할 그룹의 멤버 자격은 알림 센터 또는 Microsoft Defender XDR 기능에 대한 액세스 권한을 부여하지 않습니다. 이러한 경우 Microsoft Entra 권한에서 보안 관리자 역할의 멤버여야 합니다.

  • 엔드포인트용 Defender 권한:

    • 엔드포인트용 Microsoft Defender 수정(디바이스): 활성 수정 작업 역할의 멤버 자격입니다.

Microsoft Entra ID 전역 관리자 역할의 구성원은 알림 센터에서 보류 중인 작업을 승인하거나 거부할 수 있습니다. 그러나 모범 사례로 전역 관리자 역할의 멤버를 제한해야 합니다. 이전 알림 센터 권한 목록에 설명된 대로 대체 역할 및 역할 그룹을 사용하는 것이 좋습니다.

다음 단계

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.