엔드포인트용 Microsoft Defender에서 인시던트 조사

  • 아티클

적용 대상:

네트워크에 영향을 주는 인시던트 조사, 의미 이해 및 증거를 수집하여 resolve.

인시던트를 조사하면 다음이 표시됩니다.

  • 사건 세부 정보
  • 인시던트 주석 및 작업
  • 탭(경고, 디바이스, 조사, 증거, 그래프)

인시던트 세부 정보 분석

2024년 1월 동안 제한된 시간 동안 인시던트 페이지를 방문하면 Defender Boxed가 나타납니다. Defender Boxed는 2023년 동안 organization 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. Defender Boxed를 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음, Defender Boxed를 선택합니다.

인시던트를 클릭하여 인시던트 창을 확인합니다. 인시던트 페이지 열기를 선택하여 인시던트 세부 정보 및 관련 정보(경고, 디바이스, 조사, 증거, 그래프)를 확인합니다.

인시던트 세부 정보

경고

경고를 조사하고 인시던트에서 경고가 어떻게 함께 연결되었는지 확인할 수 있습니다. 경고는 다음과 같은 이유로 인시던트로 그룹화됩니다.

  • 자동화된 조사 - 자동 조사로 인해 원래 경고를 조사하는 동안 연결된 경고가 트리거되었습니다.
  • 파일 특성 - 경고와 연결된 파일의 특성이 비슷합니다.
  • 수동 연결 - 사용자가 경고를 수동으로 연결했습니다.
  • 근접 시간 - 경고가 특정 기간 내에 동일한 디바이스에서 트리거되었습니다.
  • 동일한 파일 - 경고와 연결된 파일은 정확히 동일합니다.
  • 동일한 URL - 경고를 트리거한 URL은 정확히 동일합니다.

인시던트 세부 정보가 포함된 경고 탭 페이지에서 해당 인시던트에서 경고가 함께 연결된 이유를 보여 줍니다.

경고를 관리하고 다른 정보와 함께 경고 메타데이터를 볼 수도 있습니다. 자세한 내용은 경고 조사를 참조하세요.

디바이스

지정된 인시던트에 속하거나 관련된 디바이스를 조사할 수도 있습니다. 자세한 내용은 디바이스 조사를 참조하세요.

인시던트 세부 정보 페이지의 디바이스 탭

조사

조사를 선택하여 인시던트 경고에 대한 응답으로 시스템에서 시작된 모든 자동 조사를 확인합니다.

인시던트 세부 정보 페이지의 조사 탭

증거를 통해 진행

엔드포인트용 Microsoft Defender 경고에서 인시던트의 지원되는 모든 이벤트 및 의심스러운 엔터티를 자동으로 조사하여 중요한 파일, 프로세스, 서비스 등에 대한 자동 해결 및 정보를 제공합니다.

분석된 각 엔터티는 감염, 수정 또는 의심스러운 것으로 표시됩니다.

인시던트 세부 정보 페이지의 증거 탭

관련 사이버 보안 위협 시각화

엔드포인트용 Microsoft Defender 다양한 데이터 요소에서 들어오는 패턴과 상관 관계를 볼 수 있도록 위협 정보를 인시던트에 집계합니다. 인시던트 그래프를 통해 이러한 상관 관계를 볼 수 있습니다.

인시던트 그래프

그래프는 사이버 보안 공격에 대한 이야기를 들려줍니다. 예를 들어 진입점이 무엇이었는지, 어떤 디바이스에서 손상 또는 활동이 관찰되었는지를 보여줍니다. 등.

인시던트 그래프

인시던트 그래프의 원을 클릭하여 악성 파일의 세부 정보, 관련 파일 검색, 전 세계적으로 발생한 인스턴스 수, organization 관찰되었는지 여부, 인스턴스 수 등을 확인할 수 있습니다.

인시던트 세부 정보 페이지

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.