자동화된 조사 후 수정 작업 검토

  • 아티클
  • 읽는 데 5분 걸림

적용 대상:

수정 작업

자동화된 조사가 실행되면 조사된 각 증거에 대한 판결이 생성됩니다. 판결은 악의적이거나 의심 스럽거나 위협을 찾을 수 없습니다.

에 따라

수정 작업은 자동으로 또는 조직의 보안 운영 팀의 승인에 따라 발생할 수 있습니다.

다음은 몇 가지 예입니다.

  • 예제 1: Fabrikam의 디바이스 그룹이 전체로 설정되어 위협을 자동으로 수정 합니다(권장 설정). 이 경우 자동화된 조사 후 악성으로 간주되는 아티팩트에서 수정 작업이 자동으로 수행됩니다( 완료된 작업 검토 참조).

  • 예제 2: Contoso의 디바이스는 Semi로 설정된 디바이스 그룹에 포함됩니다. 모든 수정에 대한 승인이 필요합니다. 이 경우 Contoso의 보안 운영 팀은 자동화된 조사 후 모든 수정 작업을 검토하고 승인해야 합니다( 보류 중인 작업 검토 참조).

  • 예제 3: Tailspin Toys에는 디바이스 그룹이 자동 응답 없음 으로 설정되어 있습니다(권장되지 않음). 이 경우 자동화된 조사가 발생하지 않습니다. 수정 작업이 수행되거나 보류 중이 아니고 디바이스에 대한 알림 센터에 작업이 기록되지 않습니다( 디바이스 그룹 관리 참조).

자동으로 수행되거나 승인 시 자동 조사로 인해 하나 이상의 수정 작업이 발생할 수 있습니다.

  • 파일 격리
  • 레지스트리 키 제거
  • 프로세스 종료
  • 서비스 중지
  • 드라이버 사용 안 함
  • 예약된 작업 제거

보류 중인 작업 검토

  1. Microsoft 365 Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 작업 센터 를 선택합니다.

  3. 보류 중인 탭에서 항목을 검토합니다.

  4. 작업을 선택하여 플라이아웃 창을 엽니다.

  5. 플라이아웃 창에서 정보를 검토한 다음, 다음 단계 중 하나를 수행합니다.

    • 조사 열기 페이지를 선택하여 조사에 대한 자세한 내용을 확인합니다.
    • 승인을 선택하여 보류 중인 작업을 시작합니다.
    • 보류 중인 작업이 수행되지 않도록 하려면 [거부 ]를 선택합니다.
    • Go Hunt 를 선택하여 고급 헌팅으로 이동합니다.

완료된 작업 검토

  1. Microsoft 365 Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 작업 센터 를 선택합니다.

  3. 기록 탭에서 항목을 검토합니다.

  4. 항목을 선택하여 해당 수정 작업에 대한 자세한 내용을 확인합니다.

완료된 작업 실행 취소

디바이스 또는 파일이 위협이 아니라고 판단한 경우 해당 작업이 자동으로 수행되었든 수동으로 수행되었는지 여부에 관계없이 수행된 수정 작업을 실행 취소할 수 있습니다. 작업 센터의 기록 탭에서 다음 작업을 실행 취소할 수 있습니다.

작업 원본 지원되는 작업
  • 자동화된 조사
  • 수동 응답 작업(아래 참고 사항 참조)
  • Microsoft Defender 바이러스 백신
  • 드라이버 사용 안 함
  • 디바이스 격리
  • 파일 격리
  • 레지스트리 키 제거
  • 예약된 작업 제거
  • 코드 실행 제한
  • 서비스 중지

참고

엔드포인트용 Defender 계획 1비즈니스용 Microsoft Defender 다음 수동 응답 작업만 포함합니다.

  • 바이러스 백신 검사 실행
  • 디바이스 격리
  • 파일 중지 및 격리
  • 파일을 차단하거나 허용하는 표시기 추가

자세한 내용은 중소기업에 대한 Microsoft 365 계획의 엔드포인트용 Microsoft Defender 계획 비교 및 보안 기능 비교를 참조하세요.

한 번에 여러 작업을 실행 취소하려면

  1. 작업 센터(https://security.microsoft.com/action-center)로 이동하여 로그인합니다.

  2. 기록 탭에서 실행 취소할 작업을 선택합니다. 작업 유형이 동일한 항목을 선택해야 합니다. 플라이아웃 창이 열립니다.

  3. 플라이아웃 창에서 실행 취소 를 선택합니다.

여러 디바이스에서 격리에서 파일을 제거하려면

  1. 작업 센터(https://security.microsoft.com/action-center)로 이동하여 로그인합니다.

  2. 기록 탭에서 작업 유형 격리 파일이 있는 항목을 선택합니다.

  3. 플라이아웃 창에서 이 파일의 X 인스턴스에 적용을 선택한 다음 실행 취소 를 선택합니다.

자동화 수준, 자동화된 조사 결과 및 결과 작업

자동화 수준은 특정 수정 작업이 자동으로 수행되는지 또는 승인 시만 수행되는지에 영향을 줍니다. 경우에 따라 보안 운영 팀은 자동화된 조사 결과에 따라 더 많은 단계를 수행해야 합니다. 다음 표에서는 자동화 수준, 자동화된 조사 결과 및 각 사례에서 수행할 작업을 요약합니다.

디바이스 그룹 설정 자동화된 조사 결과 수행할 작업
전체 - 자동으로 위협 수정
(권장)		 증거의 조각에 대한 악의적 인 판결에 도달합니다.

적절한 수정 작업이 자동으로 수행됩니다.

 완료된 작업 검토
세미 - 모든 수정에 대한 승인 필요 증거의 조각에 대한 악성 또는 의심스러운 중 하나에 대한 판결에 도달합니다.

수정 작업은 계속 진행하기 위해 승인을 보류 중입니다.

 보류 중인 작업 승인(또는 거부)
Semi - 핵심 폴더 수정에 대한 승인 필요 증거의 조각에 대한 악의적 인 판결에 도달합니다.

아티팩트가 파일 또는 실행 파일이고 Windows 폴더 또는 Program 파일 폴더와 같은 운영 체제 디렉터리에 있는 경우 수정 작업은 승인 보류 중입니다.

아티팩트가 운영 체제 디렉터리에 없는 경우 수정 작업이 자동으로 수행됩니다.
  1. 보류 중인 작업 승인(또는 거부)
  2. 완료된 작업 검토
Semi - 핵심 폴더 수정에 대한 승인 필요 의심스러운 판결은 증거의 조각에 도달합니다.

수정 작업은 승인을 보류 중입니다.

 보류 중인 작업을 승인(또는 거부)합니다.
Semi - 임시가 아닌 폴더 수정에 대한 승인 필요 증거의 조각에 대한 악의적 인 판결에 도달합니다.

아티팩트가 사용자의 다운로드 폴더 또는 임시 폴더와 같이 임시 폴더에 없는 파일 또는 실행 파일인 경우 수정 작업은 승인 보류 중입니다.

아티팩트가 임시 폴더에 있는 파일 또는 실행 파일인 경우 수정 작업이 자동으로 수행됩니다.
  1. 보류 중인 작업 승인(또는 거부)
  2. 완료된 작업 검토
Semi - 임시가 아닌 폴더 수정에 대한 승인 필요 의심스러운 판결은 증거의 조각에 도달합니다.

수정 작업은 승인을 보류 중입니다.

 보류 중인 작업 승인(또는 거부)
전체 또는 반자 동화 수준 발견 된 위협 없음 의 판결은 증거의 조각에 도달합니다.

수정 작업이 수행되지 않으며 승인 보류 중인 작업이 없습니다.

 자동화된 조사의 세부 정보 및 결과 보기
자동화된 응답 없음 (권장되지 않음) 자동화된 조사가 실행되지 않으므로 판결에 도달하지 않으며 수정 작업이 수행되거나 승인을 기다리고 있지 않습니다. 전체 또는 세미 자동화를 사용하도록 디바이스 그룹을 설정하거나 변경하는 것이 좋습니다.

모든 평결은 알림 센터에서 추적됩니다.

참고

비즈니스용 Defender에서 자동화된 조사 및 수정 기능은 자동으로 전체 - 수정 위협을 사용하도록 미리 설정됩니다. 이러한 기능은 기본적으로 모든 디바이스에 적용됩니다.

다음 단계

참고 항목