위협 분석을 통해 새로운 위협 추적 및 대응
적용 대상:
엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
더 정교한 악의적 사용자와 새로운 위협이 자주 자주 발생하므로 신속하게 다음을 수행할 수 있어야 합니다.
- 새 위협의 영향 평가
- 위협에 대한 복원력 또는 노출 검토
- 위협을 중지하거나 포함하기 위해 수행할 수 있는 작업 식별
위협 분석은 다음을 포함하여 가장 관련성이 큰 위협을 다루는 전문 Microsoft 보안 연구원의 보고서 세트입니다.
- 활성 위협 행위자 및 해당 캠페인
- 인기 있는 새로운 공격 기술
- 중요한 취약성
- 일반적인 공격 표면
- 널리 사용되는 맬웨어
각 보고서는 위협에 대한 자세한 분석과 해당 위협을 방어하는 방법에 대한 광범위한 지침을 제공합니다. 또한 네트워크의 데이터를 통합하여 위협이 활성 상태인지 여부와 적용 가능한 보호 기능이 있는지 여부를 나타냅니다.
이 짧은 비디오를 시청하여 위협 분석이 최신 위협을 추적하고 중지하는 데 어떻게 도움이 되는지 자세히 알아보세요.
필요한 역할 및 사용 권한 할당
다음 표에서는 Threat Analytics에 액세스하는 데 필요한 역할 및 권한을 간략하게 설명합니다. 아래 표에 정의된 역할은 개별 포털의 사용자 지정 역할을 참조하며, 이름이 비슷하더라도 Azure AD 전역 역할에 연결되지 않습니다.
| Microsoft 365 Defender 다음 역할 중 하나가 필요합니다. | 엔드포인트용 Defender에는 다음 역할 중 하나가 필요합니다. | Office 365용 Defender 다음 역할 중 하나가 필요합니다. | 클라우드용 Defender 앱에 다음 역할 중 하나가 필요합니다. |
|---|---|---|---|
| 위협 분석 | 경고 및 인시던트 데이터:
|
경고 및 인시던트 데이터:
|
클라우드용 Defender 앱 또는 MDI 사용자에 대해 사용할 수 없음 |
위협 분석 대시보드 보기
위협 분석 대시보드는 조직과 가장 관련이 있는 보고서로 이동할 수 있는 좋은 출발점입니다. 다음 섹션의 위협을 요약합니다.
- 최신 위협: 활성 및 해결된 경고가 있는 디바이스 수와 함께 가장 최근에 게시된 위협 보고서를 나열합니다.
- 영향력이 큰 위협: 조직에 가장 큰 영향을 미친 위협을 나열합니다. 이 섹션에서는 활성 경고가 있는 디바이스 수에 따라 위협의 순위를 지정합니다.
- 위협 요약: 활성 및 해결된 경고가 있는 위협 수를 보여 줌으로써 추적된 위협의 전반적인 영향을 보여 줍니다.
대시보드에서 위협을 선택하여 해당 위협에 대한 보고서를 봅니다.
위협 분석 보고서 보기
각 위협 분석 보고서는 개요, 분석가 보고서 및 완화 의 세 가지 섹션에 정보를 제공합니다.
개요: 위협을 신속하게 이해하고, 그 영향을 평가하고, 방어를 검토합니다.
개요 섹션에서는 자세한 분석가 보고서의 미리 보기를 제공합니다. 또한 잘못 구성되고 패치되지 않은 디바이스를 통해 조직에 대한 위협의 영향과 노출을 강조하는 차트를 제공합니다.
위협 분석 보고서의 개요 섹션
조직에 미치는 영향 평가
각 보고서에는 위협의 조직 영향에 대한 정보를 제공하도록 설계된 차트가 포함되어 있습니다.
- 경고가 있는 디바이스: 위협의 영향을 받은 현재 고유 디바이스 수를 표시합니다. 해당 위협과 관련된 경고가 하나 이상 있는 경우 디바이스가 활성 으로 분류되고 디바이스의 위협과 관련된 모든 경고가 해결된 경우 해결 됩니다.
- 시간이 지남에 따라 경고가 있는 디바이스: 시간이 지남에 따라 활성 및 해결된 경고가 있는 고유 디바이스의 수를 표시합니다. 해결된 경고 수는 조직이 위협과 관련된 경고에 얼마나 빨리 대응하는지를 나타냅니다. 이상적으로 차트는 며칠 내에 해결된 경고를 표시해야 합니다.
보안 복원력 및 상태 검토
각 보고서에는 지정된 위협에 대한 조직의 복원력에 대한 개요를 제공하는 차트가 포함되어 있습니다.
- 보안 구성 상태: 위협을 완화하는 데 도움이 될 수 있는 권장 보안 설정을 적용한 디바이스 수를 표시합니다. 디바이스는 추적된 모든 설정을 적용한 경우 보안 으로 간주됩니다.
- 취약성 패치 상태: 위협에 의해 악용된 취약성을 해결하는 보안 업데이트 또는 패치를 적용한 디바이스 수를 표시합니다.
분석가 보고서: Microsoft 보안 연구원으로부터 전문가 인사이트 얻기
분석가 보고서 섹션으로 이동하여 자세한 전문가 쓰기 작업을 읽어보세요. 대부분의 보고서는 MITRE ATT&CK 프레임워크에 매핑된 전술 및 기술, 철저한 권장 사항 목록 및 강력한 위협 헌팅 지침을 포함하여 공격 체인에 대한 자세한 설명을 제공합니다.
완화: 완화 목록 및 디바이스 상태 검토
완화 섹션에서 위협에 대한 조직의 복원력을 높이는 데 도움이 될 수 있는 특정 실행 가능한 권장 사항 목록을 검토합니다. 추적된 완화 목록에는 다음이 포함됩니다.
- 보안 업데이트: 취약성에 대한 보안 업데이트 또는 패치 배포
- Microsoft Defender 바이러스 백신 설정
- 보안 인텔리전스 버전
- 클라우드 제공 보호
- PUA(사용자 동의 없이 설치된 애플리케이션) 보호
- 실시간 보호
이 섹션의 완화 정보는 보고서의 다양한 링크에서 자세한 드릴다운 정보를 제공하는 위협 및 취약성 관리 데이터를 통합합니다.
위협 분석 보고서의 완화 섹션
추가 보고서 세부 정보 및 제한 사항
보고서를 사용하는 경우 다음 사항에 유의하세요.
- 데이터는 RBAC(역할 기반 액세스 제어) 범위에 따라 범위가 지정됩니다. 액세스할 수 있는 그룹의 디바이스 상태가 표시됩니다.
- 차트는 추적되는 완화만 반영합니다. 차트에 표시되지 않는 추가 완화에 대한 보고서 개요를 확인합니다.
- 완화는 완전한 복원력을 보장하지 않습니다. 제공된 완화는 복원력을 개선하는 데 필요한 최상의 작업을 반영합니다.
- 디바이스는 서비스에 데이터를 전송하지 않은 경우 "사용할 수 없음"으로 계산됩니다.
- 바이러스 백신 관련 통계는 Microsoft Defender 바이러스 백신 설정을 기반으로 합니다. 타사 바이러스 백신 솔루션이 있는 디바이스는 "노출됨"으로 표시될 수 있습니다.