엔드포인트용 Microsoft Defender 경고 큐 보기 및 구성
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
경고 큐 에는 네트워크의 디바이스에서 플래그가 지정된 경고 목록이 표시됩니다. 기본적으로 큐는 지난 30일 동안 그룹화된 보기에 표시된 경고를 표시합니다. 가장 최근의 경고는 목록 맨 위에 표시되어 가장 최근의 경고를 먼저 볼 수 있도록 도와줍니다.
참고
자동화된 조사 및 수정을 통해 경고가 크게 감소하여 보안 운영 전문가가 보다 정교한 위협 및 기타 높은 가치의 이니셔티브에 집중할 수 있습니다. 경고에 지원되는 운영 체제가 있는 디바이스에서 자동화된 조사(예: 파일)를 위해 지원되는 엔터티가 포함된 경우 자동화된 조사 및 수정이 시작될 수 있습니다. 자동화된 조사에 대한 자세한 내용은 자동화된 조사 개요를 참조하세요.
경고 보기를 사용자 지정하기 위해 선택할 수 있는 몇 가지 옵션이 있습니다.
위쪽 탐색에서 다음을 수행할 수 있습니다.
- 열을 추가하거나 제거할 열 사용자 지정
- 필터 적용
- 1일, 3일, 1주, 30일, 6개월과 같은 특정 기간에 대한 경고 표시
- 경고 목록을 Excel로 내보내기
- 알림 관리
경고 정렬 및 필터링
다음 필터를 적용하여 경고 목록을 제한하고 경고에 대한 보다 집중적인 보기를 얻을 수 있습니다.
심각도
| 경고 심각도 | 설명 |
|---|---|
| 높음 (빨강) |
APT(고급 영구 위협)와 관련된 경고가 일반적으로 표시됩니다. 이러한 경고는 디바이스에 가해질 수 있는 손상의 심각도 때문에 높은 위험을 나타냅니다. 자격 증명 도난 도구 활동, 그룹과 연결되지 않은 랜섬웨어 활동, 보안 센서 변조 또는 악의적인 악의적인 활동을 예로 들 수 있습니다. |
| 보통 (주황색) |
APT(고급 영구 위협)의 일부일 수 있는 엔드포인트 검색 및 대응 위반 후 동작의 경고입니다. 이러한 동작에는 공격 단계의 일반적인 관찰된 동작, 비정상적인 레지스트리 변경, 의심스러운 파일 실행 등이 포함됩니다. 일부는 내부 보안 테스트의 일부일 수 있지만 고급 공격의 일부일 수도 있으므로 조사가 필요합니다. |
| 낮음 (노란색) |
널리 퍼진 맬웨어와 관련된 위협에 대한 경고입니다. 예를 들어 탐색 명령 실행, 로그 지우기 등과 같은 해킹 도구, 맬웨어가 아닌 해킹 도구는 종종 조직을 대상으로 하는 고급 위협을 나타내지 않습니다. 조직의 사용자가 격리된 보안 도구 테스트에서도 발생할 수 있습니다. |
| 정보 (회색) |
네트워크에 유해한 것으로 간주되지는 않지만 잠재적인 보안 문제에 대한 조직의 보안 인식을 유도할 수 있는 경고입니다. |
경고 심각도 이해
Microsoft Defender 바이러스 백신(Microsoft Defender AV) 및 엔드포인트용 Defender 경고 심각도는 서로 다른 범위를 나타내기 때문에 다릅니다.
Microsoft Defender 바이러스 백신 위협 심각도는 검색된 위협(맬웨어)의 절대 심각도를 나타내며, 감염된 경우 개별 디바이스에 대한 잠재적 위험에 따라 할당됩니다.
엔드포인트용 Defender 경고 심각도는 검색된 동작의 심각도, 디바이스에 대한 실제 위험, 더 중요한 것은 조직에 대한 잠재적 위험을 나타냅니다.
예를 들어 다음과 같습니다.
- Microsoft Defender 바이러스 백신에 대한 엔드포인트용 Defender 경고의 심각도는 방지되고 디바이스를 감염시키지 않은 위협을 감지했습니다. 실제 손상이 없으므로 "정보"로 분류됩니다.
- 실행하는 동안 상업용 맬웨어에 대한 경고가 감지되었지만 Microsoft Defender AV에서 차단 및 수정한 경고는 개별 디바이스에 약간의 손상을 줄 수 있지만 조직의 위협이 되지 않으므로 "낮음"으로 분류됩니다.
- 실행 중 검색된 맬웨어에 대한 경고는 개별 디바이스뿐만 아니라 조직에 위협이 될 수 있으며 결국 차단되었는지 여부에 관계없이 "보통" 또는 "높음"으로 순위가 매겨질 수 있습니다.
- 차단되거나 수정되지 않은 의심스러운 동작 경고는 동일한 조직 위협 고려 사항에 따라 "낮음", "보통" 또는 "높음"으로 지정됩니다.
상태
상태에 따라 경고 목록을 필터링하도록 선택할 수 있습니다.
참고
지원되지 않는 경고 유형 경고 상태가 표시되면 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.
범주
MITRE ATT&CK 매트릭스의 엔터프라이즈 공격 전술에 맞게 경고 범주를 다시 정의했습니다. 새 범주 이름은 모든 새 경고에 적용됩니다. 기존 경고는 이전 범주 이름을 유지합니다.
서비스 원인
이제 Microsoft 위협 전문가 미리 보기 참가자는 새로운 위협 전문가 관리형 헌팅 서비스에서 검색을 필터링하고 볼 수 있습니다.
다음 서비스 원본에 따라 경고를 필터링합니다.
- ID용 Microsoft Defender
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- Microsoft 365 Defender
- Office 365용 Microsoft Defender
- 앱 거버넌스
- AAD ID 보호
참고
바이러스 백신 필터는 디바이스가 Microsoft Defender 바이러스 백신을 기본 실시간 보호 맬웨어 방지 제품으로 사용하는 경우에만 표시됩니다.
태그
경고에 할당된 태그에 따라 경고를 필터링할 수 있습니다.
정책
다음 정책에 따라 경고를 필터링할 수 있습니다.
| 검색 원본 | API 값 |
|---|---|
| 타사 센서 | ThirdPartySensors |
| 바이러스 검사 | WindowsDefenderAv |
| 자동화된 조사 | AutomatedInvestigation |
| 사용자 지정 검색 | CustomDetection |
| 사용자 지정 TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft 365 Defender | MTP |
| Office 365용 Microsoft Defender | OfficeATP |
| Microsoft 위협 전문가 | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
항목
엔터티 이름 또는 ID에 따라 경고를 필터링할 수 있습니다.
자동화된 조사 상태
자동 조사 상태에 따라 경고를 필터링하도록 선택할 수 있습니다.