파일 조사

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

특정 경고, 동작 또는 이벤트와 관련된 파일의 세부 정보를 조사하여 파일이 악의적인 활동을 나타내는지 확인하고, 공격 동기를 식별하고, 위반의 잠재적 scope 파악하는 데 도움이 됩니다.

특정 파일의 자세한 프로필 페이지에 액세스하는 방법에는 여러 가지가 있습니다. 예를 들어 검색 기능을 사용하거나 경고 프로세스 트리, 인시던트 그래프, 아티팩트 타임라인 링크를 클릭하거나 디바이스 타임라인 나열된 이벤트를 선택할 수 있습니다.

자세한 프로필 페이지에서 새 파일 페이지를 전환하여 새 페이지 레이아웃과 이전 페이지 레이아웃 간에 전환할 수 있습니다. 이 문서의 나머지 부분에는 최신 페이지 레이아웃이 설명됩니다.

파일 보기의 다음 섹션에서 정보를 가져올 수 있습니다.

• 파일 세부 정보 및 PE 메타데이터(있는 경우)
• 인시던트 및 경고
• organization 관찰됨
• 파일 이름
• 파일 콘텐츠 및 기능(Microsoft에서 파일을 분석한 경우)

이 페이지에서 파일에 대한 작업을 수행할 수도 있습니다.

파일 작업

파일 작업은 프로필 페이지의 맨 위에 있는 파일 정보 카드 위에 있습니다. 여기에서 수행할 수 있는 작업은 다음과 같습니다.

• 중지 및 격리
• 표시기 관리
• 파일 다운로드
• Microsoft Defender 전문가에게 질문하기
• 수동 작업
• 탐색
• 심층 분석

이러한 작업에 대한 자세한 내용은 파일에 대한 응답 작업 수행 을 참조하세요.

파일 페이지 개요

파일 페이지에서는 파일의 세부 정보 및 특성, 파일이 표시되는 인시던트 및 경고, 사용된 파일 이름, 지난 30일 동안 파일이 표시된 디바이스 수,organization 처음 및 마지막으로 본 날짜, 바이러스 총 검색 비율에 대한 개요를 제공합니다Microsoft Defender 바이러스 백신 검색, 파일에 연결된 클라우드 앱 수 및 organization 외부의 디바이스에서 파일의 보급.

참고

파일 보급 카드 organization 섹션에 있는 디바이스에서 다른 사용자가 서로 다른 값을 볼 수 있습니다. 이는 카드 사용자가 가지고 있는 RBAC(역할 기반 액세스 제어) scope 따라 정보를 표시하기 때문입니다. 즉, 사용자에게 특정 디바이스 집합에 대한 가시성이 부여된 경우 해당 디바이스에서 파일 조직 보급만 표시됩니다.

인시던트 및 경고

인시던트 및 경고 탭은 파일과 연결된 인시던트 목록과 파일이 연결된 경고를 제공합니다. 이 목록은 인시던트 큐와 동일한 정보를 대부분 다룹니다. 열 사용자 지정을 선택하여 표시되는 정보의 종류를 선택할 수 있습니다. 필터를 선택하여 목록을 필터링할 수도 있습니다.

organization 관찰됨

organization 관찰 탭에는 파일과 함께 관찰된 디바이스 및 클라우드 앱이 표시됩니다. 디바이스와 관련된 파일 기록은 지난 6개월까지 표시될 수 있지만 클라우드 앱 관련 기록은 지난 30일까지입니다.

디바이스

이 섹션에서는 파일이 검색되는 모든 디바이스를 보여줍니다. 이 섹션에는 지난 30일 동안 파일이 관찰된 디바이스 수를 식별하는 추세 보고서가 포함되어 있습니다. 추세선 아래에서 파일 실행 상태, 각 디바이스에서 처음 및 마지막으로 본 이벤트, 시작 프로세스 및 시간, 디바이스와 연결된 파일 이름을 포함하여 표시되는 각 디바이스의 파일에 대한 자세한 정보를 찾을 수 있습니다.

목록에서 디바이스를 클릭하여 각 디바이스에서 전체 6개월 파일 기록을 탐색하고 디바이스 타임라인 처음 본 이벤트로 피벗할 수 있습니다.

클라우드 앱

참고

클라우드 앱과 관련된 파일 정보를 보려면 Defender for Cloud Apps 워크로드를 사용하도록 설정해야 합니다.

이 섹션에서는 파일이 관찰되는 모든 클라우드 애플리케이션을 보여 줍니다. 또한 파일 이름, 앱과 연결된 사용자, 특정 클라우드 앱 정책에 대한 일치 횟수, 연결된 앱 이름, 파일이 마지막으로 수정된 시간 및 파일의 경로와 같은 정보도 포함됩니다.

파일 이름

파일 이름 탭에는 조직 내에서 파일이 사용하도록 관찰된 모든 이름이 나열됩니다.

파일 콘텐츠 및 기능

참고

파일 콘텐츠 및 기능 보기는 Microsoft에서 파일을 분석했는지 여부에 따라 달라집니다.

파일 콘텐츠 탭에는 프로세스 쓰기, 프로세스 만들기, 네트워크 활동, 파일 쓰기, 파일 삭제, 레지스트리 읽기, 레지스트리 쓰기, 문자열, 가져오기 및 내보내기를 포함하여 PE(이식 가능한 실행 파일) 파일에 대한 정보가 나열됩니다. 이 탭에는 모든 파일의 기능도 나열됩니다.

파일 기능 뷰는 MITRE ATT&CK™ 기술에 매핑된 파일의 활동을 나열합니다.

관련 항목

• 엔드포인트용 Microsoft Defender 큐 보기 및 구성
• 엔드포인트용 Microsoft Defender 경고 관리
• 엔드포인트용 Microsoft Defender 경고 조사
• 엔드포인트용 Microsoft Defender 디바이스 목록에서 디바이스 조사
• 엔드포인트용 Microsoft Defender 경고와 연결된 IP 주소 조사
• 엔드포인트용 Microsoft Defender 경고와 연결된 도메인 조사
• 엔드포인트용 Microsoft Defender 사용자 계정 조사
• 파일에 대해 대응 조치 실행

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.