위협 분석을 통해 새로운 위협 추적 및 대응

  • 아티클

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

더 정교한 악의적 사용자와 새로운 위협이 자주 널리 나타나고 있으므로 신속하게 다음을 할 수 있어야 합니다.

  • 새 위협의 영향 평가
  • 위협에 대한 복원력 또는 노출 검토
  • 위협을 중지하거나 포함하기 위해 수행할 수 있는 작업 식별

위협 분석은 다음을 포함하여 가장 관련성이 큰 위협을 다루는 전문가 Microsoft 보안 연구원의 보고서 세트입니다.

  • 활성 위협 행위자 및 해당 캠페인
  • 인기 있는 새로운 공격 기술
  • 주요 취약성
  • 일반적인 공격 표면
  • 널리 사용되는 맬웨어

각 보고서는 위협에 대한 자세한 분석과 해당 위협을 방어하는 방법에 대한 광범위한 지침을 제공합니다. 또한 네트워크의 데이터를 통합하여 위협이 활성 상태인지 여부와 적용 가능한 보호 기능이 있는지 여부를 나타냅니다.

이 짧은 비디오를 시청하여 위협 분석이 최신 위협을 추적하고 중지하는 데 어떻게 도움이 되는지 자세히 알아보세요.

필요한 역할 및 사용 권한 할당

다음 표에서는 Threat Analytics에 액세스하는 데 필요한 역할 및 권한을 간략하게 설명합니다. 아래 표에 정의된 역할은 개별 포털의 사용자 지정 역할을 참조하며, 비슷하게 명명된 경우에도 Microsoft Entra ID 전역 역할에 연결되지 않습니다.

다음 역할 중 하나가 Microsoft Defender XDR 엔드포인트용 Defender에는 다음 역할 중 하나가 필요합니다. Office 365용 Defender 다음 역할 중 하나가 필요합니다. Defender for Cloud Apps에는 다음 역할 중 하나가 필요합니다.
위협 분석 경고 및 인시던트 데이터:
  • 데이터 보기 - 보안 작업
Defender 취약성 관리 완화:
  • 데이터 보기 - 위협 및 취약성 관리
 경고 및 인시던트 데이터:
  • 보기 전용 경고 관리
  • 경고 관리
  • 조직 구성
  • 감사 로그
  • 보기 전용 감사 로그
  • 보안 읽기 권한자
  • 보안 관리자
  • 보기 전용 받는 사람
전자 메일 시도 방지:
  • 보안 읽기 권한자
  • 보안 관리자
  • 보기 전용 받는 사람
 Defender for Cloud Apps 또는 MDI 사용자에게는 사용할 수 없음

위협 분석 대시보드 보기

위협 분석 dashboard organization 가장 관련성이 큰 보고서로 이동할 수 있는 좋은 지점입니다. 위협을 다음 섹션으로 요약합니다.

  • 최신 위협: 활성 및 해결된 경고가 있는 디바이스 수와 함께 가장 최근에 게시된 위협 보고서를 Lists.
  • 영향력이 큰 위협: organization 가장 큰 영향을 미친 위협을 Lists. 이 섹션에서는 활성 경고가 있는 디바이스 수에 따라 위협의 순위를 지정합니다.
  • 위협 요약: 활성 및 해결된 경고가 있는 위협 수를 표시하여 추적된 위협의 전반적인 영향을 보여 줍니다.

대시보드에서 위협을 선택하여 해당 위협에 대한 보고서를 봅니다.

위협 분석 dashboard

위협 분석 보고서 보기

각 위협 분석 보고서는 개요, 분석가 보고서완화의 세 가지 섹션으로 정보를 제공합니다.

개요: 위협을 신속하게 이해하고, 위협을 평가하고, 방어를 검토합니다.

개요 섹션에서는 자세한 분석가 보고서의 미리 보기를 제공합니다. 또한 잘못 구성되고 패치되지 않은 디바이스를 통해 organization 대한 위협의 영향과 노출을 강조하는 차트를 제공합니다.

위협 분석 보고서의 개요 섹션 위협분석 보고서의 개요 섹션

organization 미치는 영향 평가

각 보고서에는 위협의 조직 영향에 대한 정보를 제공하도록 설계된 차트가 포함되어 있습니다.

  • 경고가 있는 디바이스: 위협의 영향을 받은 현재 고유 디바이스 수를 표시합니다. 해당 위협과 관련된 경고가 하나 이상 있는 경우 디바이스가 활성으로 분류되고 디바이스의 위협과 관련된 모든 경고가 해결된 경우 해결됩니다.
  • 시간이 지남에 따라 경고가 있는 디바이스: 시간이 지남에 따라활성해결된 경고가 있는 고유 디바이스의 수를 표시합니다. 해결된 경고 수는 organization 위협과 관련된 경고에 응답하는 빈도를 나타냅니다. 이상적으로 차트는 며칠 내에 해결된 경고를 표시해야 합니다.

보안 복원력 및 태세 검토

각 보고서에는 지정된 위협에 대한 organization 복원력에 대한 개요를 제공하는 차트가 포함되어 있습니다.

  • 보안 구성 상태: 위협을 완화하는 데 도움이 될 수 있는 권장 보안 설정을 적용한 디바이스 수를 표시합니다. 디바이스는 추적된 모든 설정을 적용한 경우 보안으로 간주됩니다.
  • 취약성 패치 상태: 위협에 의해 악용되는 취약성을 해결하는 보안 업데이트 또는 패치를 적용한 디바이스 수를 보여 줍니다.

분석가 보고서: Microsoft 보안 연구원으로부터 전문가 인사이트 얻기

분석가 보고서 섹션으로 이동하여 자세한 전문가 쓰기 작업을 읽어보세요. 대부분의 보고서는 MITRE ATT&CK 프레임워크에 매핑된 전술 및 기술, 철저한 권장 사항 목록 및 강력한 위협 헌팅 지침을 포함하여 공격 체인에 대한 자세한 설명을 제공합니다.

분석가 보고서에 대해 자세히 알아보기

완화: 디바이스의 완화 목록 및 상태 검토

완화 섹션에서 위협에 대한 조직의 복원력을 높이는 데 도움이 될 수 있는 특정 실행 가능한 권장 사항 목록을 검토합니다. 추적된 완화 목록에는 다음이 포함됩니다.

  • 보안 업데이트: 취약성에 대한 보안 업데이트 또는 패치 배포
  • 바이러스 백신 설정 Microsoft Defender
    • 보안 인텔리전스 버전
    • 클라우드 제공 보호
    • PUA(사용자 동의 없이 설치된 애플리케이션) 보호
    • 실시간 보호

이 섹션의 완화 정보는 보고서의 다양한 링크에서 자세한 드릴다운 정보를 제공하는 Microsoft Defender 취약성 관리 데이터를 통합합니다.

위협 분석 보고서의 완화 섹션

위협 분석 보고서의 완화 섹션

추가 보고서 세부 정보 및 제한 사항

보고서를 사용하는 경우 다음 사항에 유의하세요.

  • 데이터는 RBAC(역할 기반 액세스 제어) scope 따라 범위가 지정됩니다. 액세스할 수 있는 그룹에 디바이스의 상태 표시됩니다.
  • 차트는 추적되는 완화만 반영합니다. 차트에 표시되지 않는 추가 완화 방법이 있는지 보고서 개요를 확인합니다.
  • 완화가 완전한 복원력을 보장하지는 않습니다. 제공된 완화는 복원력을 개선하는 데 필요한 최상의 조치를 반영합니다.
  • 디바이스는 서비스에 데이터를 전송하지 않은 경우 "사용할 수 없음"으로 계산됩니다.
  • 바이러스 백신 관련 통계는 Microsoft Defender 바이러스 백신 설정을 기반으로 합니다. 타사 바이러스 백신 솔루션이 있는 디바이스는 "노출됨"으로 표시될 수 있습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.