Microsoft 위협 전문가 기능 구성 및 관리

  • 아티클
  • 읽는 데 7분 걸림

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

시작하기 전에

참고

엔드포인트 공격 알림 관리형 위협 헌팅 서비스에 적용하기 전에 Microsoft 기술 서비스 공급자 및 계정 팀과 자격 요구 사항을 논의합니다.

랩 설정뿐만 아니라 등록된 디바이스를 사용하여 환경에 엔드포인트용 Defender를 배포했는지 확인합니다.

엔드포인트용 Defender 고객인 경우 엔드포인트 공격 알림을 신청하여 가장 중요한 위협을 식별하는 데 도움이 되는 특별한 인사이트와 분석을 가져와서 신속하게 대응할 수 있어야 합니다. 계정 팀 또는 Microsoft 담당자에게 문의하여 Microsoft 위협 전문가 - 주문형 전문가 를 구독하여 위협 전문가와 관련 탐지 및 악의적 사용자에 대해 문의하세요.

엔드포인트 공격 알림 서비스에 적용

이미 엔드포인트용 Defender 고객인 경우 Microsoft 365 Defender 포털을 통해 적용할 수 있습니다.

  1. 탐색 창에서 엔드포인트 공격 알림을 > 설정 > 일반 > 고급 기능 으로 이동합니다.

  2. 적용 을 클릭합니다.

    Microsoft 위협 전문가 설정

  3. Microsoft가 애플리케이션에서 사용자에게 돌아갈 수 있도록 이름과 전자 메일 주소를 입력합니다.

    Microsoft 위협 전문가 애플리케이션 페이지의 이름 필드

  4. 개인 정보 취급 방침을 읽은 다음 완료되면 제출 을 클릭합니다. 애플리케이션이 승인되면 환영 전자 메일을 받게 됩니다.

    Microsoft 위협 전문가 애플리케이션 확인 메시지

수락되면 환영 전자 메일을 받게 되며 적용 단추가 "켜기"인 토글로 변경된 것을 볼 수 있습니다. 엔드포인트 공격 알림 서비스에서 나가려는 경우 토글을 "끄기"로 밀고 페이지 아래쪽에서 기본 설정 저장 을 클릭합니다.

Microsoft 위협 전문가 엔드포인트 공격 알림이 표시되는 위치

다음 매체를 통해 Microsoft 위협 전문가 대상 공격 알림을 받을 수 있습니다.

  • 엔드포인트용 Defender 포털의 인시던트 페이지
  • 엔드포인트용 Defender 포털의 경고 대시보드
  • OData 경고 APIREST API
  • 고급 헌팅의 DeviceAlertEvents 테이블
  • 전자 메일을 구성하도록 선택한 경우

전자 메일을 통해 엔드포인트 공격 알림을 받으려면 전자 메일 알림 규칙을 만듭니다.

전자 메일 알림 규칙 만들기

알림 받는 사람에 대한 전자 메일 알림을 보내는 규칙을 만들 수 있습니다. 자세한 내용은 전자 메일 알림을 생성, 편집, 삭제 또는 문제 해결하도록 경고 알림 구성 을 참조하세요.

엔드포인트 공격 알림 보기

전자 메일 알림을 받도록 시스템을 구성한 후 전자 메일의 Microsoft 위협 전문가 엔드포인트 공격 알림을 받기 시작합니다.

  1. 전자 메일의 링크를 클릭하여 위협 전문가 로 태그가 지정된 대시보드의 해당 경고 컨텍스트로 이동합니다.

  2. 대시보드에서 전자 메일에서 받은 것과 동일한 경고 항목을 선택하여 세부 정보를 봅니다.

Microsoft 위협 전문가 구독 - 주문형 전문가

구독 서비스로 사용할 수 있습니다. 이미 엔드포인트용 Defender 고객인 경우 Microsoft 담당자에게 문의하여 Microsoft 위협 전문가 - 주문형 전문가를 구독할 수 있습니다.

조직의 의심스러운 사이버 보안 활동에 대한 Microsoft 위협 전문가에게 문의

응답을 위해 Microsoft 365 Defender 포털 내에서 직접 참여할 수 있는 Microsoft 위협 전문가 파트너로 참여할 수 있습니다. 전문가들은 복잡한 위협, 사용자가 받는 대상 공격 알림을 더 잘 이해하거나, 포털 대시보드에 표시되는 경고, 잠재적으로 손상된 디바이스 또는 위협 인텔리전스 컨텍스트에 대한 자세한 정보가 필요한 경우 인사이트를 제공합니다.

참고

  • 조직의 사용자 지정된 위협 인텔리전스 데이터와 관련된 경고 문의는 현재 지원되지 않습니다. 자세한 내용은 보안 운영 또는 인시던트 대응 팀에 문의하세요.
  • "위협 전문가에게 문의" 문의를 제출하려면 Microsoft 365 Defender 포털에서 보안 설정 관리 권한이 있어야 합니다.

  1. 조사하려는 관련 정보(예: 인시던트 페이지)를 사용하여 포털 페이지로 이동합니다. 조사 요청을 보내기 전에 관련 경고 또는 디바이스에 대한 페이지가 표시되는지 확인합니다.

  2. 오른쪽 위 메뉴에서 ??을 클릭합니다. 아이콘을 선택합니다. 그런 다음 , 위협 전문가에게 문의를 선택합니다.

    Microsoft 위협 전문가 전문가 주문형 메뉴 항목

    플라이아웃 화면이 열립니다. 다음 화면은 평가판 구독에 있는 경우를 보여줍니다.

    주문형 Microsoft 위협 전문가 전문가 페이지

    다음 화면에서는 전체 Microsoft 위협 전문가 - 전문가 주문형 구독을 사용하는 경우를 보여 집니다.

    주문형 Microsoft 위협 전문가 전문가 전체 구독 페이지

    조사 항목 필드는 조사 요청에 대한 관련 페이지에 대한 링크로 미리 채워져 있습니다. 예를 들어 요청을 했을 때 발생한 인시던트, 경고 또는 디바이스 세부 정보 페이지에 대한 링크입니다.

  3. 다음 필드에서는 Microsoft 위협 전문가 조사를 시작하기에 충분한 컨텍스트를 제공하기에 충분한 정보를 제공합니다.

  4. Microsoft 위협 전문가 해당하는 데 사용할 전자 메일 주소를 입력합니다.

참고

Microsoft Services Hub를 통해 주문형 전문가 사례의 상태를 추적하려면 고객 성공 계정 관리자에게 문의하세요.

Microsoft Services Hub에 대한 간략한 개요는 이 비디오를 시청하세요.

Microsoft 위협 전문가 상담할 수 있는 샘플 조사 항목 - 주문형 전문가

경고 정보

  • 우리는 살아있는 오프 - 더 - 토지 이진에 대한 경고의 새로운 유형을 참조하십시오 : [AlertID]. 이 경고에 대해 자세히 알아보고 더 자세히 조사할 수 있는 방법을 알려드릴 수 있나요?
  • 악의적인 PowerShell 스크립트를 실행하려고 하지만 다른 경고를 생성하는 두 가지 유사한 공격을 관찰했습니다. 하나는 "의심스러운 PowerShell 명령줄"이고 다른 하나는 "O365에서 제공한 표시에 따라 악성 파일이 검색되었습니다"입니다. 차이점은 무엇인가요?
  • 높은 프로필 사용자의 디바이스에서 실패한 로그인의 비정상적인 수에 대한 홀수 경고가 오늘 수신됩니다. 이러한 로그인 시도에 대한 추가 증거를 찾을 수 없습니다. 엔드포인트용 Defender는 이러한 시도를 어떻게 볼 수 있나요? 모니터링되는 로그인 유형은 무엇인가요?
  • "시스템 유틸리티에 의한 의심스러운 동작이 관찰되었습니다."라는 경고에 대해 더 많은 컨텍스트 또는 인사이트를 제공할 수 있습니다.

가능한 디바이스 손상

  • "알 수 없는 프로세스가 관찰됨"이 표시되는 이유를 대답할 수 있나요? 이 메시지 또는 경고는 많은 디바이스에서 자주 볼 수 있습니다. 이 메시지 또는 경고가 악의적인 활동과 관련이 있는지 여부를 명확히 하기 위한 모든 입력에 감사드립니다.
  • [월]의 동일한 시스템에서 이전 [맬웨어 이름] 맬웨어 검색과 유사한 동작으로 [날짜]에 다음 시스템에 대한 가능한 손상의 유효성을 검사할 수 있나요?

위협 인텔리전스 세부 정보

  • 사용자에게 악성 Word 문서를 배달하는 피싱 전자 메일을 발견했습니다. 악의적인 Word 문서에서 일련의 의심스러운 이벤트가 발생하여 [맬웨어 이름] 맬웨어에 대한 여러 엔드포인트 공격 알림 경고가 트리거되었습니다. 이 맬웨어에 대한 정보가 있나요? 그렇다면 링크를 보낼 수 있나요?
  • 나는 최근에 내 산업을 대상으로하는 위협에 대한 [소셜 미디어 참조, 예 : 트위터 또는 블로그] 게시물을 보았다. 이 위협 행위자에 대해 엔드포인트용 Defender가 제공하는 보호 기능을 이해하는 데 도움이 될 수 있나요?

Microsoft 위협 전문가 경고 통신

  • 인시던트 대응 팀이 얻은 엔드포인트 공격 알림을 해결하는 데 도움이 될 수 있나요?

  • Microsoft 위협 전문가 이 엔드포인트 공격 알림을 받았습니다. 자체 인시던트 대응 팀이 없습니다. 우리는 지금 무엇을 할 수 있고, 어떻게 인시던트(incident)를 포함할 수 있는가?

  • Microsoft 위협 전문가 엔드포인트 공격 알림을 받았습니다. 인시던트 대응 팀에 전달할 수 있는 데이터는 무엇인가요?

    참고

    Microsoft 위협 전문가 인시던트 대응 서비스가 아닌 관리형 사이버 보안 헌팅 서비스입니다. 그러나 사용자 고유의 인시던트 대응 팀과 협력하여 인시던트 대응이 필요한 문제를 해결할 수 있습니다. 자체 인시던트 대응 팀이 없고 Microsoft의 도움을 받으려면 CSS CIRT(사이버 보안 인시던트 대응 팀)에 참여할 수 있습니다. 문의를 처리하는 데 도움이 되는 티켓을 열 수 있습니다.

시나리오

관리형 헌팅 문의에 대한 진행률 보고서 받기

Microsoft 위협 전문가 응답은 문의에 따라 달라집니다. 다음 범주에서 조사 상태를 전달하기 위해 2일 이내에 컨설팅 위협 전문가 문의에 대한 진행 상황 보고서를 이메일로 보내드립니다.

  • 조사를 계속하려면 추가 정보가 필요합니다.
  • 기술 컨텍스트를 확인하려면 파일 또는 여러 파일 샘플이 필요합니다.
  • 조사에 더 많은 시간이 필요합니다.
  • 초기 정보는 조사를 마무리하기에 충분했습니다.

조사를 계속 진행하기 위해 신속하게 대응하는 것이 중요합니다.