고급 헌팅 쿼리 결과에 대한 작업 수행

  • 아티클
  • 읽는 데 4분 걸림

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender
  • 끝점용 Microsoft Defender

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

강력하고 포괄적인 작업 옵션을 사용하여 고급 헌팅 에서 찾은 위협을 신속하게 포함하거나 손상된 자산을 해결할 수 있습니다. 이러한 옵션을 사용하면 다음을 수행할 수 있습니다.

  • 디바이스에서 다양한 작업 수행
  • 파일 격리

필요한 사용 권한

고급 헌팅을 통해 디바이스에서 작업을 수행하려면 디바이스에서 수정 작업을 제출할 수 있는 권한이 있는 엔드포인트용 Microsoft Defender 역할이 필요합니다. 조치를 취할 수 없는 경우 전역 관리자에게 다음 권한을 가져오는 방법에 대해 문의하세요.

위협 및 취약성 관리 > 활성 수정 작업 - 수정 처리

고급 헌팅을 통해 전자 메일에 대한 작업을 수행하려면 전자 메일을 검색하고 제거하는 Office 365용 Microsoft Defender 역할이 필요합니다.

디바이스에서 다양한 작업 수행

쿼리 결과의 열로 식별되는 DeviceId 디바이스에서 다음 작업을 수행할 수 있습니다.

  • 영향을 받는 디바이스를 격리하여 감염을 포함하거나 공격이 횡적으로 이동하지 않도록 방지
  • 더 많은 포렌식 정보를 얻기 위해 조사 패키지 수집
  • 바이러스 백신 검사를 실행하여 최신 보안 인텔리전스 업데이트를 사용하여 위협을 찾고 제거합니다.
  • 자동화된 조사를 시작하여 디바이스 및 영향을 받는 다른 디바이스에서 위협을 확인하고 수정합니다.
  • 앱 실행을 Microsoft 서명된 실행 파일로만 제한하여 맬웨어 또는 기타 신뢰할 수 없는 실행 파일을 통한 후속 위협 활동을 방지합니다.

이러한 응답 작업이 엔드포인트용 Microsoft Defender 통해 수행되는 방법에 대해 자세히 알아보려면 디바이스의 응답 작업에 대해 읽어보세요.

파일 격리

파일이 발견되면 자동으로 격리되도록 격리 작업을 파일에 배포할 수 있습니다. 이 작업을 선택할 때 다음 열 중에서 선택하여 쿼리 결과에서 격리할 파일을 식별할 수 있습니다.

  • SHA1: 대부분의 고급 헌팅 테이블에서 이 열은 기록된 작업의 영향을 받은 파일의 SHA-1을 나타냅니다. 예를 들어 파일이 복사된 경우 영향을 받는 이 파일은 복사된 파일입니다.
  • InitiatingProcessSHA1: 대부분의 고급 헌팅 테이블에서 이 열은 기록된 작업을 시작하는 작업을 담당하는 파일을 참조합니다. 예를 들어 자식 프로세스가 시작된 경우 이 초기자 파일은 부모 프로세스의 일부가 됩니다.
  • SHA256: 이 열은 열로 식별된 SHA1 파일과 동일한 SHA-256입니다.
  • InitiatingProcessSHA256: 이 열은 열로 식별된 InitiatingProcessSHA1 파일과 동일한 SHA-256입니다.

격리 작업이 수행되는 방법 및 파일을 복원하는 방법에 대해 자세히 알아보려면 파일에 대한 응답 작업에 대해 읽어보세요.

참고

파일을 찾아 격리하려면 쿼리 결과에 디바이스 식별자로 값도 포함되어 DeviceId 야 합니다.

설명된 작업을 수행하려면 쿼리 결과에서 하나 이상의 레코드를 선택한 다음 작업 수행을 선택합니다. 마법사는 원하는 작업을 선택한 다음 제출하는 과정을 안내합니다.

Microsoft 365 Defender 포털의 작업 수행 옵션

전자 메일에 대한 다양한 작업 수행

디바이스 중심 수정 단계 외에도 쿼리 결과에서 전자 메일에 대한 몇 가지 작업을 수행할 수도 있습니다. 작업을 수행할 레코드를 선택하고 작업 수행 을 선택한 다음 작업 선택 에서 다음 중에서 원하는 항목을 선택합니다.

  • Move to mailbox folder - 전자 메일 메시지를 정크 메일, 받은 편지함 또는 지운 편지함 폴더로 이동하려면 이 옵션을 선택합니다.

    Microsoft 365 Defender 포털의 작업 수행 옵션

  • Delete email - 전자 메일 메시지를 지운 편지함 폴더로 이동하거나(일시 삭제) 영구적으로 삭제하려면 선택합니다(하드 삭제).

    Microsoft 365 Defender 포털의 작업 수행 옵션

수정 이름 및 작업 센터 기록에서 쉽게 추적하기 위해 수행된 작업에 대한 간단한 설명을 제공할 수도 있습니다. 승인 ID를 사용하여 작업 센터에서 이러한 작업을 필터링할 수도 있습니다. 이 ID는 마법사의 끝에 제공됩니다.

엔터티에 대한 작업 선택을 보여 주는 작업 수행 마법사

이러한 전자 메일 작업은 사용자 지정 검색 에도 적용할 수 있습니다.

수행된 작업 검토

각 작업은 알림 센터**(**security.microsoft.com/action-center/history)의 알림 센터에 > 개별적으로 기록됩니다. 작업 센터로 이동하여 각 작업의 상태를 확인합니다.

참고

이 문서의 일부 테이블은 엔드포인트용 Microsoft Defender 사용할 수 없습니다. Microsoft 365 Defender 켜서 더 많은 데이터 원본을 사용하여 위협을 헌팅합니다. 엔드포인트용 Microsoft Defender 고급 헌팅 쿼리 마이그레이션의 단계에 따라 고급 헌팅 워크플로를 엔드포인트용 Microsoft Defender Microsoft 365 Defender 이동할 수 있습니다.