엔드포인트용 Microsoft Defender 경고 관리
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
엔드포인트용 Defender는 경고를 통해 가능한 악성 이벤트, 특성 및 컨텍스트 정보를 알릴 수 있습니다. 새 경고의 요약이 보안 작업 대시보드 에 표시되며 경고 큐 의 모든 경고에 액세스할 수 있습니다.
경고 큐 에서 경고를 선택하거나 개별 디바이스에 대한 디바이스 페이지의 경고 탭을 선택하여 경고를 관리할 수 있습니다.
이러한 위치 중 하나에서 경고를 선택하면 경고 관리 창이 표시됩니다.
새 엔드포인트용 Microsoft Defender 경고 페이지를 사용하는 방법을 알아보려면 이 비디오를 시청하세요.
다른 인시던트에 연결
경고에서 새 인시던트를 만들거나 기존 인시던트에 연결할 수 있습니다.
경고 할당
경고가 아직 할당되지 않은 경우 나에게 할당을 선택하여 자신에게 경고를 할당할 수 있습니다.
경고 표시 안 함
경고가 Microsoft 365 Defender 표시되지 않도록 해야 하는 시나리오가 있을 수 있습니다. 엔드포인트용 Defender를 사용하면 조직의 알려진 도구 또는 프로세스와 같이 무해한 것으로 알려진 특정 경고에 대한 억제 규칙을 만들 수 있습니다.
기존 경고에서 제거 규칙을 만들 수 있습니다. 필요한 경우 사용하지 않도록 설정하여 다시 활성화할 수 있습니다.
제거 규칙을 만들면 규칙이 만들어진 시점부터 적용됩니다. 규칙은 규칙을 만들기 전에 큐에 이미 있는 기존 경고에 영향을 미치지 않습니다. 규칙은 규칙을 만든 후 설정된 조건을 충족하는 경고에만 적용됩니다.
표시 안 함 규칙에 대한 두 가지 컨텍스트 중에서 선택할 수 있습니다.
- 이 디바이스에서 경고 표시 안 함
- 조직에서 경고 표시 안 함
규칙의 컨텍스트를 사용하면 포털에 표시되는 항목을 조정하고 실제 보안 경고만 포털에 표시되도록 할 수 있습니다.
다음 표의 예제를 사용하여 표시 안 함 규칙의 컨텍스트를 선택할 수 있습니다.
| 컨텍스트 | 정의 | 예제 시나리오 |
|---|---|---|
| 이 디바이스에서 경고 표시 안 함 | 동일한 경고 제목과 해당 특정 디바이스에 대한 경고는 표시되지 않습니다. 해당 디바이스의 다른 모든 경고는 표시되지 않습니다. |
|
| 조직에서 경고 표시 안 함 | 모든 디바이스에서 동일한 경고 제목이 있는 경고는 표시되지 않습니다. |
|
경고 표시 안 함 및 새 표시 안 함 규칙 만들기
경고를 표시하지 않거나 해결하는 시기를 제어하는 사용자 지정 규칙을 만듭니다. 경고 제목, 손상 표시기 및 조건을 지정하여 경고가 표시되지 않는 경우에 대한 컨텍스트를 제어할 수 있습니다. 컨텍스트를 지정한 후에는 경고에 대한 작업 및 범위를 구성할 수 있습니다.
표시하지 않을 경고를 선택합니다. 그러면 경고 관리 창이 표시됩니다.
제거 규칙 만들기를 선택합니다.
이러한 특성을 사용하여 억제 조건을 만들 수 있습니다. AND 연산자는 각 조건 사이에 적용되므로 모든 조건이 충족되는 경우에만 제거가 발생합니다.
- 파일 SHA1
- 파일 이름 - 지원되는 와일드카드
- 폴더 경로 - 와일드카드 지원
- IP 주소
- URL - 지원되는 와일드카드
- 명령줄 - 와일드카드 지원
트리거 IOC를 선택합니다.
경고에 대한 작업 및 범위를 지정합니다.
경고를 자동으로 해결하거나 포털에서 숨길 수 있습니다. 자동으로 해결되는 경고는 경고 큐, 경고 페이지 및 디바이스 타임라인의 해결된 섹션에 표시되며 엔드포인트 API용 Defender에서 해결된 것으로 표시됩니다.
숨겨진 것으로 표시된 경고는 디바이스의 연결된 경고와 대시보드 모두에서 전체 시스템에서 표시되지 않으며 엔드포인트 API용 Defender에서 스트리밍되지 않습니다.
규칙 이름과 메모를 입력합니다.
저장 을 클릭합니다.
표시 안 함 규칙 목록 보기
탐색 창에서 설정 > 경고 표시 안 을 선택합니다.
제거 규칙 목록에는 조직의 사용자가 만든 모든 규칙이 표시됩니다.
표시 안 함 규칙 관리에 대한 자세한 내용은 제거 규칙 관리를 참조하세요.
경고 상태 변경
조사가 진행됨에 따라 상태를 변경하여 경고를 새로 만들기, 진행 중 또는 해결됨 으로 분류할 수 있습니다. 이렇게 하면 팀이 경고에 응답하는 방법을 구성하고 관리할 수 있습니다.
예를 들어 팀 리더는 모든 새 경고를 검토하고 추가 분석을 위해 진행 중인 큐에 할당하도록 결정할 수 있습니다.
또는 경고가 무해하다는 것을 알고 있거나, 관련이 없는 디바이스(예: 보안 관리자에 속한 디바이스)에서 제공되거나 이전 경고를 통해 처리되고 있는 경우 팀 리더가 해결 된 큐에 경고를 할당할 수 있습니다.
경고 분류
분류를 설정하지 않도록 선택하거나 경고가 실제 경고인지 아니면 거짓 경고인지 지정할 수 있습니다. 참 긍정/가양성의 분류를 제공하는 것이 중요합니다. 이 분류는 경고 품질을 모니터링하고 경고를 보다 정확하게 만드는 데 사용됩니다. "결정" 필드는 "참 긍정" 분류에 대한 추가 충실도를 정의합니다.
메모 추가 및 경고 기록 보기
경고를 이전에 변경한 내용을 확인하려면 주석을 추가하고 경고에 대한 기록 이벤트를 볼 수 있습니다.
경고가 변경되거나 주석이 표시될 때마다 메모 및 기록 섹션에 기록됩니다.
추가된 메모는 창에 바로 표시됩니다.