비즈니스용 Microsoft Defender 자동 공격 중단

  • 아티클

사람이 운영하는 공격은 organization 침투하고, 권한을 높이고, 네트워크를 탐색하고, 랜섬웨어를 배포하거나 정보를 도용하는 사이버 범죄자의 적극적인 공격입니다. 이러한 유형의 공격은 비즈니스 운영에 치명적일 수 있으며, 해결하기 어려운 경향이 있으며, 때로는 초기 발생 후 비즈니스 운영을 계속 위협합니다. 자세한 내용은 사람이 운영하는 랜섬웨어 공격을 참조하세요.

Microsoft Defender XDR 2022년 11월에 엔터프라이즈 고객을 위해 자동 공격 중단을 추가했습니다. 이제 이러한 기능이 비즈니스용 Defender에 제공되고 있습니다! 이 문서에서는 자동 공격 중단의 작동 방식, 공격에 대한 세부 정보를 보는 방법 및 이러한 기능을 가져오는 방법을 설명합니다.

자동 공격 중단의 작동 방식

자동 공격 중단은 다음을 수행하도록 설계되었습니다.

  • 진행 중인 고급 공격을 포함합니다.
  • 비즈니스 자산(예: 디바이스)에 대한 공격의 영향 및 진행을 제한합니다. 및
  • IT/보안 팀이 공격을 완전히 수정하는 데 더 많은 시간을 제공합니다.

자동 공격 중단은 Microsoft 보안 연구원 및 고급 AI 모델의 인사이트를 사용하여 고급 공격의 복잡성을 상쇄합니다. 초기에 위협 행위자의 진행 상황을 제한하고 관련 비용에서 생산성 손실에 이르기까지 공격의 전반적인 영향을 크게 줄입니다. Microsoft 보안 블로그에서 몇 가지 예제를 참조하세요.

자동 공격 중단으로 인해 디바이스에서 사람이 조작한 공격이 감지되는 즉시 디바이스에서 영향을 받는 디바이스 및 사용자 계정을 포함하기 위한 단계가 즉시 수행됩니다. 인시던트가 Microsoft Defender 포털(https://security.microsoft.com)에서 만들어집니다. IT/보안 팀은 프로세스 중 및 프로세스 후에 손상된 자산의 위험 및 포함 상태 대한 세부 정보를 볼 수 있습니다. 인시던트 페이지에서는 영향을 받는 자산의 공격 및 최신 상태 대한 세부 정보를 제공합니다.

자동화된 응답 작업에는 다음이 포함됩니다.

  • 수신/발신 통신을 차단하여 디바이스 포함
  • 디바이스 수준에서 현재 사용자 연결 연결을 끊어 사용자 계정 포함

중요

  • 검색된 고급 공격에 대한 정보를 보려면 보안 읽기 권한자, 보안 관리자 또는 전역 관리자 역할이 할당되어 있어야 합니다.
  • 수정 작업을 수행하거나, 포함된 디바이스/사용자를 해제하거나, 사용자 계정을 다시 사용하도록 설정하려면 보안 관리자 또는 전역 관리자 역할이 할당되어 있어야 합니다.
  • 비즈니스용 Defender의 보안 역할 및 권한을 참조하세요.

Microsoft Defender 포털에서 공격에 대한 세부 정보 보기

  1. Microsoft Defender 포털에서 인시던트로 이동합니다.

  2. 공격 중단으로 태그가 지정된 인시던트를 선택합니다.

  3. 전체 공격 스토리를 얻고 공격 중단 영향 및 상태 평가할 수 있는 인시던트 그래프를 검토합니다.

  4. 포함된 디바이스 또는 사용자 계정을 해제하거나 사용자 계정을 다시 사용하도록 설정할 준비가 되면 다음 단계 중 하나를 수행합니다.

    • 포함된 디바이스를 해제하려면 디바이스를 선택한 다음 , 포함에서 릴리스를 선택합니다.
    • 포함된 사용자를 해제하려면 사용자 계정을 선택한 다음, 측면 창에서 실행 취소를 선택합니다.

중단된 인시던트에는 에 대한 Attack Disruption 태그와 식별된 특정 위협 유형(예: 랜섬웨어)이 포함됩니다. IT/보안 팀이 인시던트 메일 알림 수신하는 경우 이러한 태그도 이메일에 표시됩니다.

인시던트가 중단되면 강조 표시된 텍스트가 인시던트 제목 아래에 표시됩니다. 포함된 디바이스 또는 사용자 계정은 해당 상태 나타내는 레이블과 함께 나열됩니다.

알림 센터에서 공격 중단 작업 추적

알림 센터는 이러한 작업이 자동으로 또는 수동으로 수행되었는지 여부에 관계없이 모든 수정 및 응답 작업을 함께 제공합니다. 알림 센터에서 모든 자동 공격 중단 작업을 볼 수 있습니다. 또한 IT/보안 팀이 위험을 완화하고 인시던트 조사를 완료한 후 포함된 자산을 해제할 수 있습니다.

  1. Microsoft Defender 포털에서 작업 & 제출>알림 센터로 이동합니다.

  2. 기록 탭을 선택합니다.

  3. 사용자 포함 또는 디바이스 포함과 같은 작업을 선택한 다음 실행 취소를 선택합니다.

자세한 내용은 알림 센터에서 수정 작업 검토를 참조하세요.

자동 공격 중단을 가져오는 방법

자동 공격 중단은 비즈니스용 Defender에 기본 제공됩니다. 이러한 기능을 명시적으로 켤 필요는 없습니다. 가능한 한 빨리 보호되도록 모든 organization 디바이스(컴퓨터, 휴대폰 및 태블릿)를 비즈니스용 Defender에 온보딩하는 것이 중요합니다.

또한 미리 보기 기능을 받으려면 등록하여 사용 가능한 즉시 최신의 가장 큰 기능을 얻을 수 있습니다.