장치에 대해 대응 조치 실행Take response actions on a device

적용 대상:Applies to:

Endpoint용 Defender를 경험하고 싶나요?Want to experience Defender for Endpoint? 무료 평가판에 등록합니다.Sign up for a free trial.

장치를 고르거나 조사 패키지를 수집하여 감지된 공격에 신속하게 대응합니다.Quickly respond to detected attacks by isolating devices or collecting an investigation package. 장치에 대한 작업을 수행한 후, 작업 센터에서 활동 세부 정보를 확인할 수 있습니다.After taking action on devices, you can check activity details on the Action center.

응답 작업은 특정 장치 페이지의 위쪽을 따라 실행하고 다음을 포함합니다.Response actions run along the top of a specific device page and include:

  • 태그 관리Manage tags
  • 자동화된 조사 시작Initiate Automated Investigation
  • 실시간 응답 세션 시작Initiate Live Response Session
  • 조사 패키지 수집Collect investigation package
  • 바이러스 백신 검사 실행Run antivirus scan
  • 앱 실행 제한Restrict app execution
  • 장치 격리Isolate device
  • 위협 전문가에게 문의Consult a threat expert
  • 작업 센터Action center

응답 작업의 이미지 Image of response actions

다음 보기에서 장치 페이지를 찾을 수 있습니다.You can find device pages from any of the following views:

  • 보안 작업 대시보드 - 위험 카드의 장치에서 장치 이름을 선택합니다.Security operations dashboard - Select a device name from the Devices at risk card.
  • 경고 큐 - 경고 큐에서 디바이스 아이콘 옆에 있는 디바이스 이름을 선택하세요.Alerts queue - Select the device name beside the device icon from the alerts queue.
  • 장치 목록 - 장치 목록에서 장치 이름의 제목을 선택합니다.Devices list - Select the heading of the device name from the devices list.
  • 검색 상자 - 드롭다운 메뉴에서 디바이스를 선택하고 디바이스 이름을 입력하세요.Search box - Select Device from the drop-down menu and enter the device name.

중요

  • 이러한 응답 작업은 버전 1703 이상의 Windows 10 장치에만 사용할 수 있습니다.These response actions are only available for devices on Windows 10, version 1703 or later.
  • 비영리 Windows 플랫폼의 경우 응답 기능(예: 장치 고리)은 타사 기능에 따라 달라집니다.For non-Windows platforms, response capabilities (such as Device isolation) are dependent on the third-party capabilities.

태그 관리Manage tags

태그를 추가하거나 관리하여 논리 그룹 소속을 만들 수 있습니다.Add or manage tags to create a logical group affiliation. 디바이스 태그는 네트워크의 적절한 매핑을 지원하므로 다양한 태그를 연결하여 컨텍스트를 캡처하고 인시던트 일부로 동적 목록 만들기를 사용하도록 설정할 수 있습니다.Device tags support proper mapping of the network, enabling you to attach different tags to capture context and to enable dynamic list creation as part of an incident.

장치 태그 지정에 대한 자세한 내용은 장치 태그 만들기 및 관리를 참조하세요.For more information on device tagging, see Create and manage device tags.

자동화된 조사 시작Initiate Automated Investigation

필요한 경우 디바이스에서 새로운 일반 목적의 자동화된 조사를 시작할 수 있습니다.You can start a new general purpose automated investigation on the device if needed. 조사가 실행되는 동안 장치에서 생성된 다른 모든 경고는 해당 조사가 완료될 때까지 진행 중인 자동화된 조사에 추가됩니다.While an investigation is running, any other alert generated from the device will be added to an ongoing Automated investigation until that investigation is completed. 또한 다른 장치에서 동일한 위협이 있는 경우 해당 장치가 조사에 추가됩니다.In addition, if the same threat is seen on other devices, those devices are added to the investigation.

자동화된 조사에 대한 자세한 내용은 Overview of Automated investigations를 참조하십시오.For more information on automated investigations, see Overview of Automated investigations.

실시간 응답 세션 시작Initiate Live Response Session

실시간 응답은 원격 셸 연결을 사용하여 장치에 즉시 액세스할 수 있는 기능입니다.Live response is a capability that gives you instantaneous access to a device by using a remote shell connection. 이를 통해 조사 작업을 심층적으로 수행하고 즉각적인 대응 조치를 취하여 식별된 위협을 실시간으로 즉시 포함할 수 있습니다.This gives you the power to do in-depth investigative work and take immediate response actions to promptly contain identified threats — real time.

실시간 대응은 사용자가 법의적 데이터를 수집하고, 스크립트를 실행하고, 분석을 위해 의심스러운 엔터티를 보내고, 위협을 수정하고, 새로운 위협에 대한 사전 대응적 헌팅을 할 수 있도록 하여 조사를 강화하도록 고안된 것입니다.Live response is designed to enhance investigations by enabling you to collect forensic data, run scripts, send suspicious entities for analysis, remediate threats, and proactively hunt for emerging threats.

라이브 응답에 대한 자세한 내용은 라이브 응답을 사용하여 디바이스에서 엔터티 조사를 참조하세요.For more information on live response, see Investigate entities on devices using live response.

장치에서 조사 패키지 수집Collect investigation package from devices

조사 또는 응답 프로세스의 일부로 장치에서 조사 패키지를 수집할 수 있습니다.As part of the investigation or response process, you can collect an investigation package from a device. 조사 패키지를 수집하면 장치의 현재 상태를 식별하고 공격자가 사용하는 도구와 기술을 추가로 이해할 수 있습니다.By collecting the investigation package, you can identify the current state of the device and further understand the tools and techniques used by the attacker.

패키지(Zip 파일)를 다운로드하고 장치에서 발생한 이벤트를 조사하려면To download the package (Zip file) and investigate the events that occurred on a device

  1. 디바이스 페이지 맨 위에 있는 응답 작업 행에서 조사 패키지 수집을 선택합니다.Select Collect investigation package from the row of response actions at the top of the device page.
  2. 텍스트 상자에서 이 작업을 수행할 이유를 지정합니다.Specify in the text box why you want to perform this action. 확인 을 선택합니다.Select Confirm.
  3. zip 파일이 다운로드됩니다.The zip file will download

대체 방법:Alternate way:

  1. 디바이스 페이지의 응답 작업 섹션에서 동작 센터를 선택합니다.Select Action center from the response actions section of the device page.

    센터 단추의 이미지

  2. Action Center 플라이아웃에서 zip 파일을 다운로드할 수 있는 패키지 컬렉션 패키지를 선택합니다.In the Action center fly-out, select Package collection package available to download the zip file.

    다운로드 패키지 단추의 이미지

패키지에는 다음 폴더가 포함되어 있습니다.The package contains the following folders:

폴더Folder 설명Description
자동 런Autoruns 각각 디바이스에서 공격자 지속성을 식별하는 데 도움이 되는 알려진 ASEP(자동 시작 진입점)의 레지스트리 콘텐츠를 나타내는 파일 집합이 포함되어 있습니다.Contains a set of files that each represent the content of the registry of a known auto start entry point (ASEP) to help identify attacker’s persistency on the device.
참고: 레지스트리 키를 찾을 수 없는 경우 파일에 "오류: 시스템에서 지정된 레지스트리 키 또는 값을 찾을 수 없습니다."라는 메시지가 표시됩니다.NOTE: If the registry key is not found, the file will contain the following message: “ERROR: The system was unable to find the specified registry key or value.”
설치된 프로그램Installed programs 이 .CSV 파일에는 장치에 현재 설치된 프로그램을 식별하는 데 도움이 되는 설치된 프로그램 목록이 포함되어 있습니다.This .CSV file contains the list of installed programs that can help identify what is currently installed on the device. 자세한 내용은 클래스 Win32_Product 참조하세요.For more information, see Win32_Product class.
네트워크 연결Network connections 이 폴더에는 의심스러운 URL, 공격자 명령 및 제어(C&C) 인프라, 측면 이동 또는 원격 연결에 대한 연결을 식별하는 데 도움이 될 수 있는 연결 정보와 관련된 데이터 포인트 집합이 포함되어 있습니다.This folder contains a set of data points related to the connectivity information which can help in identifying connectivity to suspicious URLs, attacker’s command and control (C&C) infrastructure, any lateral movement, or remote connections.
- ActiveNetConnections.txt - 프로토콜 통계 및 현재 TCP/IP 네트워크 연결을 표시합니다.- ActiveNetConnections.txt – Displays protocol statistics and current TCP/IP network connections. 프로세스에서 만들어지는 의심스러운 연결을 찾아 볼 수 있는 기능을 제공합니다.Provides the ability to look for suspicious connectivity made by a process.

- Arp.txt - 모든 인터페이스에 대한 현재 ARP(주소 확인 프로토콜) 캐시 테이블을 표시됩니다.- Arp.txt – Displays the current address resolution protocol (ARP) cache tables for all interfaces.

ARP 캐시는 네트워크에서 내부 공격을 실행하기 위해 사용될 수 있는 손상되거나 의심스러운 네트워크의 추가 호스트를 노출할 수 있습니다.ARP cache can reveal additional hosts on a network that have been compromised or suspicious systems on the network that might have been used to run an internal attack.

- DnsCache.txt - 로컬 호스트 파일에서 미리 로드된 항목과 컴퓨터에서 확인된 이름 쿼리에 대해 최근에 획득한 리소스 레코드를 모두 포함하는 DNS 클라이언트 확인자 캐시의 내용을 표시합니다.- DnsCache.txt - Displays the contents of the DNS client resolver cache, which includes both entries preloaded from the local Hosts file and any recently obtained resource records for name queries resolved by the computer. 이는 의심스러운 연결을 식별하는 데 도움이 될 수 있습니다.This can help in identifying suspicious connections.

- IpConfig.txt - 모든 어댑터에 대한 전체 TCP/IP 구성을 표시됩니다.- IpConfig.txt – Displays the full TCP/IP configuration for all adapters. 어댑터는 설치된 네트워크 어댑터와 같은 물리적 인터페이스나 전화 접속 연결과 같은 논리적 인터페이스를 표현할 수 있습니다.Adapters can represent physical interfaces, such as installed network adapters, or logical interfaces, such as dial-up connections.

- FirewallExecutionLog.txt 및 pfirewall.log- FirewallExecutionLog.txt and pfirewall.log
프리포치 파일Prefetch files Windows 프리포치 파일은 응용 프로그램 시작 프로세스의 속도를 향상하도록 디자인됩니다.Windows Prefetch files are designed to speed up the application startup process. 이 파일을 사용하여 최근에 시스템에서 사용된 모든 파일을 추적하고 삭제된 응용 프로그램에 대한 추적을 찾을 수 있지만 프리포치 파일 목록에서 계속 찾을 수 있습니다.It can be used to track all the files recently used in the system and find traces for applications that might have been deleted but can still be found in the prefetch file list.
- 프리포치 폴더 - 의 프리포치 파일의 %SystemRoot%\Prefetch 복사본을 포함- Prefetch folder – Contains a copy of the prefetch files from %SystemRoot%\Prefetch. 참고: 프리포치 파일을 보기 위해 프리포치 파일 뷰어를 다운로드하는 것이 좋습니다.NOTE: It is suggested to download a prefetch file viewer to view the prefetch files.

- PrefetchFilesList.txt - 프리피치 폴더에 대한 복사 오류가 발생했다는 기록을 추적하는 데 사용할 수 있는 복사된 모든 파일 목록이 포함되어 있습니다.- PrefetchFilesList.txt – Contains the list of all the copied files which can be used to track if there were any copy failures to the prefetch folder.
프로세스Processes 디바이스에서 .CSV 식별하는 기능을 제공하는 실행 중인 프로세스를 나열하는 파일 목록이 들어 있습니다.Contains a .CSV file listing the running processes, which provides the ability to identify current processes running on the device. 이는 의심스러운 프로세스 및 상태를 식별할 때 유용할 수 있습니다.This can be useful when identifying a suspicious process and its state.
예약된 작업Scheduled tasks 예약된 .CSV 목록이 들어 있습니다. 이 파일은 선택한 장치에서 자동으로 수행되는 루틴을 식별하여 자동으로 실행으로 설정된 의심스러운 코드를 확인하는 데 사용할 수 있습니다.Contains a .CSV file listing the scheduled tasks, which can be used to identify routines performed automatically on a chosen device to look for suspicious code which was set to run automatically.
보안 이벤트 로그Security event log 로그인 또는 로그아웃 활동의 레코드 또는 시스템의 감사 정책에 지정된 기타 보안 관련 이벤트를 포함하는 보안 이벤트 로그가 들어 있습니다.Contains the security event log, which contains records of login or logout activity, or other security-related events specified by the system's audit policy.
참고: 이벤트 뷰어를 사용하여 이벤트 로그 파일을 열 수 있습니다.NOTE: Open the event log file using Event viewer.
서비스Services 서비스 및 .CSV 나열하는 파일 포함Contains a .CSV file that lists services and their states.
Windows SMB(서버 메시지 블록) 세션Windows Server Message Block (SMB) sessions 파일, 프린터 및 직렬 포트에 대한 공유 액세스와 네트워크의 노드 간 기타 통신을 나열합니다.Lists shared access to files, printers, and serial ports and miscellaneous communications between nodes on a network. 이는 데이터 유출 또는 측면 이동을 식별하는 데 도움이 될 수 있습니다.This can help identify data exfiltration or lateral movement.
SMBInboundSessions 및 SMBOutboundSession용 파일이 들어 있습니다.Contains files for SMBInboundSessions and SMBOutboundSession.

참고: 세션(인바운드 또는 아웃바운드)이 없는 경우 SMB 세션을 찾을 수 없음을 설명하는 텍스트 파일이 표시됩니다.NOTE: If there are no sessions (inbound or outbound), you'll get a text file which tell you that there are no SMB sessions found.
시스템 정보System Information OS 버전 SystemInformation.txt 네트워크 카드와 같은 시스템 정보를 나열하는 파일 목록이 들어 있습니다.Contains a SystemInformation.txt file which lists system information such as OS version and network cards.
Temp DirectoriesTemp Directories 시스템의 모든 사용자에 대해 %Temp%에 있는 파일을 나열하는 텍스트 파일 집합이 들어 있습니다.Contains a set of text files that lists the files located in %Temp% for every user in the system.
이는 공격자가 시스템에 떨어뜨린 의심스러운 파일을 추적하는 데 도움이 될 수 있습니다.This can help to track suspicious files that an attacker may have dropped on the system.

참고: 파일에 "시스템에서 지정된 경로를 찾을 수 없습니다."라는 메시지가 포함된 경우 이 사용자의 임시 디렉터리가 없음을 의미하며 사용자가 시스템에 로그인하지 않았기 때문에일 수 있습니다.NOTE: If the file contains the following message: “The system cannot find the path specified”, it means that there is no temp directory for this user, and might be because the user didn’t log in to the system.
사용자 및 그룹Users and Groups 각 그룹 및 해당 구성원을 나타내는 파일 목록을 제공합니다.Provides a list of files that each represent a group and its members.
WdSupportLogsWdSupportLogs 다음 MpCmdRunLog.txt 및 MPSupportFiles.cabProvides the MpCmdRunLog.txt and MPSupportFiles.cab
참고: 이 폴더는 2020년 2월 업데이트 롤업 이상이 설치된 Windows 10 버전 1709 이상에서만 만들어집니다.NOTE: This folder will only be created on Windows 10, version 1709 or later with February 2020 update rollup or more recent installed:
Win10 1709(RS3) 빌드 16299.1717: KB4537816Win10 1709 (RS3) Build 16299.1717 : KB4537816
Win10 1803(RS4) 빌드 17134.1345: KB4537795Win10 1803 (RS4) Build 17134.1345 : KB4537795
Win10 1809(RS5) 빌드 17763.1075: KB4537818Win10 1809 (RS5) Build 17763.1075 : KB4537818
Win10 1903/1909(19h1/19h2) 빌드 18362.693 및 18363.693 : KB4535996Win10 1903/1909 (19h1/19h2) Builds 18362.693 and 18363.693 : KB4535996
CollectionSummaryReport.xlsCollectionSummaryReport.xls 이 파일은 조사 패키지 컬렉션에 대한 요약 파일로, 데이터 포인트 목록, 데이터를 추출하는 데 사용되는 명령, 실행 상태 및 실패 시 오류 코드가 포함되어 있습니다.This file is a summary of the investigation package collection, it contains the list of data points, the command used to extract the data, the execution status, and the error code in case of failure. 이 보고서를 사용하여 패키지에 예상된 데이터가 모두 포함되어 있는지 추적하고 오류가 발생했습니다.를 확인할 수 있습니다.You can use this report to track if the package includes all the expected data and identify if there were any errors.

장치에서 Microsoft Defender 바이러스 백신 실행Run Microsoft Defender Antivirus scan on devices

조사 또는 응답 프로세스의 일부로 원격으로 바이러스 백신 검색을 시작하여 손상된 장치에 있을 수 있는 맬웨어를 식별하고 수정하는 데 도움을 줄 수 있습니다.As part of the investigation or response process, you can remotely initiate an antivirus scan to help identify and remediate malware that might be present on a compromised device.

중요

  • 이 작업은 버전 1709 이상에서 Windows 10 장치에 사용할 수 있습니다.This action is available for devices on Windows 10, version 1709 or later.
  • A Microsoft Defender 바이러스 백신(Microsoft Defender AV) 검사는 Microsoft Defender AV가 활성 바이러스 백신 솔루션인지 여부에 따라 다른 바이러스 백신 솔루션과 함께 실행할 수 있습니다.A Microsoft Defender Antivirus (Microsoft Defender AV) scan can run alongside other antivirus solutions, whether Microsoft Defender AV is the active antivirus solution or not. Microsoft Defender AV는 수동 모드일 수 있습니다.Microsoft Defender AV can be in Passive mode. 자세한 내용은 호환성 Microsoft Defender 바이러스 백신 참조하세요.For more information, see Microsoft Defender Antivirus compatibility.

바이러스 백신 검사 실행을 선택한 경우 실행할 검사 유형(빠른 또는 전체)을 선택하고 스캔을 확인하기 전에 설명을 추가합니다.One you have selected Run antivirus scan, select the scan type that you'd like to run (quick or full) and add a comment before confirming the scan.

빠른 검사 또는 전체 스캔을 선택하고 설명을 추가하는 알림 이미지

작업 센터는 검사 정보를 표시하고 장치 타임라인에는 디바이스에 검사 작업이 제출된 경우를 반영하는 새 이벤트가 포함됩니다.The Action center will show the scan information and the device timeline will include a new event, reflecting that a scan action was submitted on the device. Microsoft Defender AV 경고는 검사 중에 발견된 모든 검색을 반영합니다.Microsoft Defender AV alerts will reflect any detections that surfaced during the scan.

참고

Endpoint 응답 작업을 위해 Defender를 사용하여 검색을 트리거할 때 Microsoft Defender 바이러스 백신 'ScanAvgCPULoadFactor' 값은 계속 적용하고 검사의 CPU 영향을 제한합니다.When triggering a scan using Defender for Endpoint response action, Microsoft Defender antivirus 'ScanAvgCPULoadFactor' value still applies and limits the CPU impact of the scan.
ScanAvgCPULoadFactor가 구성되지 않은 경우 기본값은 검사 중에 최대 CPU 부하의 50% 제한입니다.If ScanAvgCPULoadFactor is not configured, the default value is a limit of 50% maximum CPU load during a scan.
자세한 내용은 configure-advanced-scan-types-microsoft-defender-antivirus 을 참조하세요.For more information, see configure-advanced-scan-types-microsoft-defender-antivirus.

앱 실행 제한Restrict app execution

악의적인 프로세스를 중지하여 공격을 포함하는 것 외에도 장치를 잠그고 잠재적인 악성 프로그램이 실행되지 않도록 할 수도 있습니다.In addition to containing an attack by stopping malicious processes, you can also lock down a device and prevent subsequent attempts of potentially malicious programs from running.

중요

  • 이 작업은 버전 1709 이상에서 Windows 10 장치에 사용할 수 있습니다.This action is available for devices on Windows 10, version 1709 or later.
  • 이 기능은 조직에서 이 기능을 사용하는 Microsoft Defender 바이러스 백신.This feature is available if your organization uses Microsoft Defender Antivirus.
  • 이 작업은 응용 프로그램 제어 Windows Defender 정책 형식 및 서명 요구 사항을 충족해야 합니다.This action needs to meet the Windows Defender Application Control code integrity policy formats and signing requirements. 자세한 내용은 코드 무결성 정책 형식 및 서명을 참조하세요.For more information, see Code integrity policy formats and signing.

응용 프로그램의 실행을 제한하기 위해 Microsoft에서 발급한 인증서로 서명한 파일만 실행할 수 있는 코드 무결성 정책이 적용됩니다.To restrict an application from running, a code integrity policy is applied that only allows files to run if they are signed by a Microsoft issued certificate. 이 제한 방법은 공격자가 손상된 장치를 제어하고 추가 악의적인 활동을 수행하지 못하게 방지하는 데 도움이 될 수 있습니다.This method of restriction can help prevent an attacker from controlling compromised devices and performing further malicious activities.

참고

응용 프로그램 제한을 다시 실행하지 못하게 할 수 있습니다.You’ll be able to reverse the restriction of applications from running at any time. 디바이스 페이지의 단추가 앱 제한 제거로 변경된 다음 앱 실행을 제한하는 단계와 동일한 단계를 수행합니다.The button on the device page will change to say Remove app restrictions, and then you take the same steps as restricting app execution.

디바이스 페이지에서 앱 실행 제한을 선택한 후 설명을 입력하고 확인 을 선택합니다.Once you have selected Restrict app execution on the device page, type a comment and select Confirm. 작업 센터에 검사 정보가 표시될 것입니다. 장치 타임라인에는 새 이벤트가 포함됩니다.The Action center will show the scan information and the device timeline will include a new event.

앱 제한 알림 이미지

장치 사용자에 대한 알림:Notification on device user:
앱이 제한되면 사용자에게 앱이 실행되지 못하도록 제한되고 있는 것을 알리기 위해 다음 알림이 표시됩니다.When an app is restricted, the following notification is displayed to inform the user that an app is being restricted from running:

앱 제한 이미지

네트워크에서 장치 격리Isolate devices from the network

공격의 심각도 및 장치의 민감도에 따라 네트워크에서 장치를 격리할 수 있습니다.Depending on the severity of the attack and the sensitivity of the device, you might want to isolate the device from the network. 이 작업은 공격자가 손상된 장치를 제어하고 데이터 유출 및 측면 이동과 같은 추가 작업을 수행하지 못하게 방지하는 데 도움이 될 수 있습니다.This action can help prevent the attacker from controlling the compromised device and performing further activities such as data exfiltration and lateral movement.

중요

  • 버전 1703의 장치에서는 Windows 10 수 있습니다.Full isolation is available for devices on Windows 10, version 1703.
  • 선택적 고리는 버전 1709 이상에서 Windows 10 디바이스에 사용할 수 있습니다.Selective isolation is available for devices on Windows 10, version 1709 or later.
  • 장치를 고지할 때 특정 프로세스 및 대상만 허용됩니다.When isolating a device, only certain processes and destinations are allowed. 따라서 장치가 격리된 후 전체 VPN 터널 뒤에 있는 장치는 끝점용 Microsoft Defender 클라우드 서비스에 도달할 수 없습니다.Therefore, devices that are behind a full VPN tunnel won't be able to reach the Microsoft Defender for Endpoint cloud service after the device is isolated. Microsoft Defender for Endpoint 및 클라우드 기반 보호 관련 트래픽에 Microsoft Defender 바이러스 백신 분할 터널링 VPN을 사용하는 것이 좋습니다.We recommend using a split-tunneling VPN for Microsoft Defender for Endpoint and Microsoft Defender Antivirus cloud-based protection-related traffic.

이 장치 분리 기능은 손상된 디바이스를 네트워크에서 분리하는 동시에 디바이스를 계속 모니터링하는 Endpoint용 Defender 서비스에 대한 연결을 유지 관리합니다.This device isolation feature disconnects the compromised device from the network while retaining connectivity to the Defender for Endpoint service, which continues to monitor the device.

버전 Windows 10 버전 1709 이상에서 네트워크 고리 수준을 추가로 제어할 수 있습니다.On Windows 10, version 1709 or later, you'll have additional control over the network isolation level. 또한 연결, Outlook, Microsoft Teams 및 비즈니스용 Skype('선택적 고리')를 사용하도록 선택할 수도 있습니다.You can also choose to enable Outlook, Microsoft Teams, and Skype for Business connectivity (a.k.a 'Selective Isolation').

참고

디바이스를 네트워크에 다시 연결할 수 있습니다.You’ll be able to reconnect the device back to the network at any time. 디바이스 페이지의 단추가 해제 해제로 변경된 후 장치를 해제하는 단계와 동일한 단계를 수행합니다. The button on the device page will change to say Release from isolation, and then you take the same steps as isolating the device.

장치 페이지에서 장치 격리를 선택한 후 설명을 입력하고 확인 을 선택합니다.Once you have selected Isolate device on the device page, type a comment and select Confirm. 작업 센터에 검사 정보가 표시될 것입니다. 장치 타임라인에는 새 이벤트가 포함됩니다.The Action center will show the scan information and the device timeline will include a new event.

장치 격리 이미지

참고

디바이스가 네트워크에서 격리된 경우에도 끝점용 Defender 서비스에 계속 연결됩니다.The device will remain connected to the Defender for Endpoint service even if it is isolated from the network. Outlook 및 비즈니스용 Skype 통신을 사용하도록 선택한 경우 장치가 격리된 동안 사용자에게 통신할 수 있습니다.If you've chosen to enable Outlook and Skype for Business communication, then you'll be able to communicate to the user while the device is isolated.

장치 사용자에 대한 알림:Notification on device user:
장치가 격리 중이면 디바이스가 네트워크에서 격리되고 있는 것을 사용자에게 알리기 위해 다음 알림이 표시됩니다.When a device is being isolated, the following notification is displayed to inform the user that the device is being isolated from the network:

네트워크 연결 없음 이미지

위협 전문가에게 문의Consult a threat expert

잠재적으로 손상된 장치 또는 이미 손상된 장치와 관련한 자세한 정보를 Microsoft 위협 전문가에게 문의할 수 있습니다.You can consult a Microsoft threat expert for more insights regarding a potentially compromised device or already compromised ones. Microsoft 위협 전문가 정확한 응답을 위해 Microsoft Defender 보안 센터 내에서 직접 사용할 수 있습니다.Microsoft Threat Experts can be engaged directly from within the Microsoft Defender Security Center for timely and accurate response. 전문가는 잠재적으로 손상된 장치에 대한 정보 뿐만 아니라 복잡한 위협, 사용자가 수신하는 대상이 지정한 공격 알림 또는 알림에 대한 추가 정보가 필요한 경우 또는 포털 대시보드에서 볼 수 있는 위협 인텔리전스 컨텍스트를 보다 잘 이해하기 위해 정보를 제공합니다.Experts provide insights not just regarding a potentially compromised device, but also to better understand complex threats, targeted attack notifications that you get, or if you need more information about the alerts, or a threat intelligence context that you see on your portal dashboard.

자세한 내용은 Microsoft Threat Expert를 참조합니다.See Consult a Microsoft Threat Expert for details.

알림 센터에서 활동 세부 정보 확인Check activity details in Action center

관리 센터는 장치 또는 파일에서 수행된 작업에 대한 정보를 제공합니다.The Action center provides information on actions that were taken on a device or file. 다음 세부 정보를 볼 수 있습니다.You’ll be able to view the following details:

  • 조사 패키지 컬렉션Investigation package collection
  • 바이러스 백신 검사Antivirus scan
  • 앱 제한App restriction
  • 장치 고리Device isolation

제출 날짜/시간, 제출 사용자 및 작업이 성공 또는 실패한 경우와 같은 기타 모든 관련 세부 정보도 표시됩니다.All other related details are also shown, for example, submission date/time, submitting user, and if the action succeeded or failed.

정보가 있는 센터 이미지