엔드포인트용 Microsoft Defender 플랜 1 시작
적용 대상:
Microsoft 365 Defender 포털(https://security.microsoft.com)을 사용하면 검색된 위협에 대한 정보를 보고, 경고 및 인시던트 관리, 검색된 위협에 대해 필요한 조치를 취하고, 디바이스를 관리할 수 있습니다. Microsoft 365 Defender 포털에서는 엔드포인트용 Defender 계획 1에서 제공하는 위협 방지 기능과 상호 작용을 시작할 수 있습니다. 다음 섹션에서는 시작하는 방법을 설명합니다.
Microsoft 365 Defender 포털
Microsoft 365 Defender 포털(https://security.microsoft.com)에서는 경고를 보고, 디바이스를 관리하고, 보고서를 볼 수 있습니다. Microsoft 365 Defender 포털에 로그인하면 다음 이미지와 같이 홈 페이지로 시작합니다.
홈페이지는 보안 팀에 검색된 경고, 디바이스 상태 및 위협에 대한 스냅샷 집계 보기를 제공합니다. 보안 운영 팀이 찾고 있는 정보를 빠르고 쉽게 찾을 수 있도록 Defender for Cloud가 설정되었습니다.
참고
이 문서에 표시된 예제는 Microsoft 365 Defender 포털에 표시되는 예제와 다를 수 있습니다. 포털에 표시되는 내용은 라이선스 및 사용 권한에 따라 달라집니다. 또한 보안 팀은 카드를 추가, 제거 및 다시 정렬하여 조직의 포털을 사용자 지정할 수 있습니다.
카드는 주요 정보를 강조 표시하고 권장 사항을 포함합니다.
홈 페이지에는 다음 이미지에 표시된 활성 인시던트 카드와 같은 카드가 포함됩니다.
이 카드는 더 자세한 정보를 보기 위해 선택할 수 있는 링크 또는 단추와 함께 정보를 한눈에 제공합니다. 예제 활성 인시던트 카드를 참조하여 모든 인시던트 보기를 선택하여 인시던트 목록으로 이동할 수 있습니다.
탐색 모음을 사용하면 경고, 알림 센터 등을 쉽게 찾을 수 있습니다.
화면 왼쪽의 탐색 모음을 사용하면 인시던트, 경고, 알림 센터, 보고서 및 설정 간에 쉽게 이동할 수 있습니다. 다음 표에서는 탐색 모음에 대해 설명합니다.
| 탐색 모음 항목 | 설명 |
|---|---|
| 홈 | Microsoft 365 Defender 포털의 홈 페이지로 이동합니다. |
| 인시던트 & 경고 | 확장되어 인시던트 및 경고를 표시합니다. |
| 인시던트 & 경고 > 사건 | 인시던트 목록으로 이동합니다. 경고가 트리거되거나 위협이 감지되면 인시던트가 생성됩니다. 기본적으로 인시던트 목록에는 지난 30일 동안의 데이터가 표시되며 가장 최근 인시던트가 먼저 나열됩니다. 자세한 내용은 인시던트(Incidents)를 참조하세요. |
| 인시던트 & 경고 > 경고 | 경고 목록( 경고 큐 라고도 함)으로 이동합니다. 의심스러운 파일, 프로세스 또는 동작이 감지되면 경고가 트리거됩니다. 기본적으로 경고 목록에는 최근 경고가 먼저 나열된 지난 30일 동안의 데이터가 표시됩니다. 자세한 내용은 경고를 참조하세요. |
| 작업 센터 | 수정 및 수동 응답 작업을 추적하는 알림 센터로 이동합니다. 작업 센터는 다음과 같은 활동을 추적합니다. - Microsoft Defender 바이러스 백신이 악성 파일을 발견한 다음 해당 파일을 차단/제거합니다. - 보안 팀이 디바이스를 격리합니다. - 엔드포인트용 Defender가 파일을 검색하고 격리합니다. 자세한 내용은 작업 센터를 참조하세요. |
| 보안 점수 | 개선 작업 및 메트릭 목록과 함께 조직의 보안 상태를 표시합니다. 자세한 내용은 Microsoft 보안 점수를 참조하세요. |
| 학습 허브 | Microsoft 365 보안 기능에 대해 자세히 알아보려면 액세스할 수 있는 학습 경로 목록으로 이동합니다. |
| 끝점 > 검색 | 디바이스 이름으로 특정 디바이스를 검색할 수 있는 페이지로 이동합니다. 결과 목록에서 위험 수준 및 상태와 같은 세부 정보를 한눈에 볼 수 있습니다. |
| 끝점 > 디바이스 인벤토리 | 엔드포인트용 Defender에 온보딩된 디바이스 목록으로 이동합니다. 노출 및 위험 수준과 같은 디바이스에 대한 정보를 제공합니다. 자세한 내용은 디바이스 인벤토리를 참조하세요. |
| 끝점 > 구성 & 기준 | 확장되어 보안 기준 및 구성 관리를 표시합니다. |
| 끝점 > 구성 & 기준 > 보안 기준 | 보안 기준은 권장 보안 설정을 효율적이고 효과적으로 적용하는 데 도움이 될 수 있는 미리 구성된 정책 및 설정 그룹입니다. 기준에는 업계 모범 사례를 기반으로 하는 설정이 포함됩니다. 기본 설정을 유지하거나 조직의 요구에 맞게 기준을 사용자 지정할 수 있습니다. 자세한 내용은 보안 기준을 사용하여 Intune Windows 10 디바이스 구성을 참조하세요. |
| 끝점 > 구성 & 기준 > 구성 관리 | 온보딩된 디바이스에 대한 정보를 보고 더 많은 디바이스를 온보딩하는 단계를 수행할 수 있는 디바이스 구성 관리 페이지로 이동합니다. |
| 보고서 | 위협 방지 보고서, 디바이스 상태 및 규정 준수 보고서 및 웹 보호 보고서와 같은 보고서로 이동합니다. |
| 상태 | 서비스 상태 및 메시지 센터에 대한 링크를 포함합니다. |
| 건강 > 서비스 상태 | Microsoft 365 관리 센터 서비스 상태 페이지로 이동합니다. 이 페이지에서는 조직의 구독에서 사용할 수 있는 모든 서비스에서 상태를 볼 수 있습니다. |
| 건강 > 메시지 센터 | Microsoft 365 관리 센터 메시지 센터로 이동합니다. 메시지 센터에서는 계획된 변경 내용에 대한 정보를 제공합니다. 각 메시지는 예정된 내용, 사용자에게 미치는 영향 및 변경 내용을 관리하는 방법을 설명합니다. |
| 권한 & 역할 | Microsoft 365 Defender 포털을 사용할 수 있는 권한을 부여할 수 있습니다. 권한은 Azure AD(Azure Active Directory)의 역할을 통해 부여됩니다. 역할을 선택하면 플라이아웃 창이 나타납니다. 플라이아웃에는 역할 그룹에서 멤버를 추가하거나 제거할 수 있는 Azure AD 대한 링크가 포함되어 있습니다. 자세한 내용은 역할 기반 액세스 제어를 사용하여 포털 액세스 관리를 참조하세요. |
| 설정 | Microsoft 365 Defender 포털(보안 센터로 나열됨) 및 엔드포인트용 Defender(엔드포인트 로 나열됨)에 대한 일반 설정으로 이동합니다. 자세한 내용은 설정을 참조하세요. |
| 추가 리소스 | Azure Active Directory 및 Microsoft Purview 규정 준수 포털 같은 더 많은 포털 및 센터의 목록을 표시합니다. 자세한 내용은 Microsoft 보안 포털 및 관리 센터를 참조하세요. |
팁
자세한 내용은 Microsoft 365 Defender 포털 개요를 참조하세요.
인시던트 & 경고 보기 및 관리
Microsoft 365 Defender 포털에 로그인하는 경우 인시던트 및 경고를 보고 관리해야 합니다. 인시던트 목록으로 시작합니다. 다음 이미지는 심각도가 높은 인시던트 및 중간 심각도의 인시던트 목록을 보여 줍니다.
인시던트에 대한 세부 정보를 보려면 인시던트를 선택합니다. 세부 정보에는 트리거된 경고, 영향을 받은 디바이스 및 사용자 수 및 기타 세부 정보가 포함됩니다. 다음 이미지는 인시던트 세부 정보의 예를 보여줍니다.
경고, 디바이스 및 사용자 탭을 사용하여 트리거된 경고, 영향을 받은 디바이스 및 영향을 받은 사용자 계정과 같은 자세한 정보를 볼 수 있습니다. 여기에서 디바이스 격리, 파일 중지 및 격리 등과 같은 수동 응답 작업을 수행할 수 있습니다.
팁
인시던트 보기를 사용하는 방법에 대한 자세한 내용은 인시 던트 관리를 참조하세요.
장치 관리
조직의 디바이스를 보고 관리하려면 탐색 모음의 엔드포인트 에서 디바이스 인벤토리 를 선택합니다. 다음 이미지와 같이 디바이스 목록이 표시됩니다.
목록에는 경고가 생성된 디바이스가 포함됩니다. 기본적으로 표시된 데이터는 지난 30일 동안이며 가장 최근 항목이 먼저 나열됩니다. 디바이스를 선택하여 디바이스에 대한 자세한 정보를 확인합니다. 다음 이미지와 같이 플라이아웃 창이 열립니다.
플라이아웃 창에는 디바이스에 대한 활성 경고와 같은 세부 정보가 표시되고 디바이스 격리와 같은 조치를 취할 수 있는 링크가 포함되어 있습니다.
디바이스에 활성 경고가 있는 경우 플라이아웃 창에서 볼 수 있습니다. 개별 경고를 선택하여 해당 경고에 대한 자세한 내용을 확인합니다. 또는 디바이스 격리 와 같은 작업을 수행하여 다른 디바이스를 감염시킬 위험을 최소화하면서 디바이스를 추가로 조사할 수 있습니다.
팁
자세한 내용은 엔드포인트용 Defender 디바이스 목록에서 디바이스 조사를 참조하세요.
보고서 보기
엔드포인트용 Defender 계획 1에서는 Microsoft 365 Defender 포털에서 여러 보고서를 사용할 수 있습니다. 보고서에 액세스하려면 다음 단계를 수행합니다.
Microsoft 365 Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
탐색 모음에서 보고서를 선택합니다.
목록에서 보고서를 선택합니다. 다음과 같은 세 가지 보고서가 표시됩니다.
- 위협 방지 보고서
- 디바이스 상태 보고서
- 웹 보호 보고서
팁
자세한 내용은 위협 방지 보고서를 참조하세요.
위협 방지 보고서
위협 방지 보고서에 액세스하려면 Microsoft 365 Defender 포털에서 보고서를 선택한 다음 위협 방지 를 선택합니다. 위협 방지 보고서에는 경고 추세, 상태, 범주 등이 표시됩니다. 보기는 다음 이미지와 같이 경고 추세 및 경고 상태 의 두 열로 정렬됩니다.
아래로 스크롤하여 각 목록의 모든 보기를 확인합니다.
- 기본적으로 경고 추세 열의 보기는 지난 30일 동안의 데이터를 표시하지만 지난 3개월, 지난 6개월 또는 사용자 지정 시간 범위(최대 180일)에 대한 데이터를 표시하도록 보기를 설정할 수 있습니다.
- 경고 상태 열의 보기는 이전 영업일에 대한 스냅샷입니다.
팁
자세한 내용은 엔드포인트용 Defender의 위협 방지 보고서를 참조하세요.
디바이스 상태 보고서
디바이스 상태 보고서에 액세스하려면 Microsoft 365 Defender 포털에서 보고서를 선택한 다음 디바이스 상태를 선택합니다. 디바이스 상태 보고서에는 조직의 디바이스에서 상태 및 바이러스 백신이 표시됩니다. 위협 방지 보고서와 마찬가지로 보기는 다음 이미지와 같이 디바이스 추세 및 디바이스 요약 의 두 열로 정렬됩니다.
아래로 스크롤하여 각 목록의 모든 보기를 확인합니다. 기본적으로 디바이스 추세 열의 보기는 지난 30일 동안의 데이터를 표시하지만 지난 3개월, 지난 6개월 또는 사용자 지정 시간 범위(최대 180일)에 대한 데이터를 표시하도록 보기를 변경할 수 있습니다. 디바이스 요약 보기는 이전 영업일에 대한 스냅샷입니다.
팁
자세한 내용은 디바이스 상태를 참조하세요.
웹 보호 보고서
디바이스 상태 보고서에 액세스하려면 Microsoft 365 Defender 포털에서 보고서를 선택한 다음 웹 보호를 선택합니다. 웹 보호 보고서는 다음 이미지와 같이 악의적인 URL 및 차단된 URL에 대한 액세스 시도와 같은 시간에 따른 검색을 보여 줍니다.
아래로 스크롤하여 웹 보호 보고서의 모든 보기를 확인합니다. 일부 보기에는 세부 정보를 보고, 위협 방지 기능을 구성하고, 엔드포인트용 Defender에서 예외 역할을 하는 지표를 관리할 수 있는 링크가 포함됩니다.
팁
자세한 내용은 웹 보호를 참조하세요.