엔드포인트용 Microsoft Defender 경고와 연결된 파일 조사
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
특정 경고, 동작 또는 이벤트와 관련된 파일의 세부 정보를 조사하여 파일이 악의적인 활동을 나타내는지 확인하고, 공격 동기를 식별하고, 위반의 잠재적 범위를 파악합니다.
특정 파일의 자세한 프로필 페이지에 액세스하는 방법에는 여러 가지가 있습니다. 예를 들어 검색 기능을 사용하거나 경고 프로세스 트리, 인시던트 그래프, 아티팩트 타임라인 에서 링크를 클릭하거나 디바이스 타임라인 에 나열된 이벤트를 선택할 수 있습니다.
자세한 프로필 페이지에서 새 파일 페이지를 전환하여 새 페이지 레이아웃과 이전 페이지 레이아웃 간에 전환할 수 있습니다. 이 문서의 나머지 부분에는 최신 페이지 레이아웃이 설명됩니다.
파일 보기의 다음 섹션에서 정보를 가져올 수 있습니다.
- 파일 세부 정보, 맬웨어 검색, 파일 보급
- 파일 PE 메타데이터(있는 경우)
- 심층 분석
- 경고
- 조직에서 관찰됨
- 심층 분석
- 파일 이름
이 페이지에서 파일에 대한 작업을 수행할 수도 있습니다.
파일 작업
프로필 페이지 위쪽의 파일 정보 카드 위에 있습니다. 여기에서 수행할 수 있는 작업은 다음과 같습니다.
- 중지 및 격리
- 표시기 추가/편집
- 파일 다운로드
- 위협 전문가에게 문의
- 알림 센터
이러한 작업에 대한 자세한 내용은 파일에 대한 응답 작업 수행을 참조하세요.
파일 세부 정보, 맬웨어 검색 및 파일 보급
파일 세부 정보, 인시던트, 맬웨어 검색 및 파일 보급 카드는 파일에 대한 다양한 특성을 표시합니다.
파일의 MD5, 바이러스 총 검색 비율, 사용 가능한 경우 Microsoft Defender AV 검색 및 파일의 보급과 같은 세부 정보가 표시됩니다.
파일 보급 카드는 조직 및 전 세계 디바이스에서 파일이 표시된 위치를 보여 줍니다. 파일이 표시된 첫 번째 및 마지막 디바이스로 쉽게 피벗하고 디바이스 타임라인에서 조사를 계속할 수 있습니다.
참고
다른 사용자는 파일 보급 카드의 조직 섹션에 있는 디바이스에서 서로 다른 값을 볼 수 있습니다. 이는 카드가 사용자가 가진 RBAC 범위에 따라 정보를 표시하기 때문입니다. 즉, 사용자에게 특정 디바이스 집합에 대한 가시성이 부여된 경우 해당 디바이스에 대한 파일 조직 보급만 표시됩니다.
경고
경고 탭은 경고가 연결된 인시던트뿐만 아니라 파일과 연결된 경고 목록을 제공합니다. 이 목록은 영향을 받는 디바이스가 속한 디바이스 그룹(있는 경우)을 제외하고 경고 큐와 동일한 정보를 대부분 다룹니다. 열 머리글 위의 도구 모음에서 열 사용자 지정 을 선택하여 표시되는 정보의 종류를 선택할 수 있습니다.
조직에서 관찰됨
조직에서 관찰됨 탭을 사용하면 날짜 범위를 지정하여 파일로 관찰된 디바이스를 확인할 수 있습니다.
참고
이 탭에는 최대 100개의 디바이스가 표시됩니다. 파일이 있는 모든 디바이스를 보려면 탭의 열 머리글 위에 있는 작업 메뉴에서 내보내 기를 선택하여 탭을 CSV 파일로 내보냅니다.
슬라이더 또는 범위 선택기를 사용하여 파일과 관련된 이벤트를 확인할 기간을 빠르게 지정할 수 있습니다. 범위에 대한 경고 표시의 도움을 받을 수 있습니다. 기간을 하루만큼 작게 지정할 수 있습니다. 이렇게 하면 해당 시간에 해당 IP 주소와 통신한 파일만 볼 수 있으므로 불필요한 스크롤 및 검색이 크게 줄어듭니다.
심층 분석
심층 분석 탭을 사용하면 심층 분석을 위해 파일을 제출하여 파일의 동작에 대한 자세한 내용과 조직 내에 미치는 영향을 확인할 수 있습니다. 파일을 제출하면 결과를 사용할 수 있게 되면 이 탭에 심층 분석 보고서가 표시됩니다. 심층 분석에서 아무 것도 찾지 못하면 보고서가 비어 있고 결과 공간은 비어 있습니다.
파일 이름
파일 이름 탭에는 조직 내에서 파일이 사용되도록 관찰된 모든 이름이 나열됩니다.
알림 센터
알림 센터에 는 특정 파일에서 필터링된 알림 센터가 표시되므로 보류 중인 작업 및 파일에서 수행된 작업의 기록을 볼 수 있습니다.