Microsoft Defender XDR 자동 공격 중단

적용 대상:

• Microsoft Defender XDR

Microsoft Defender XDR 수백만 개의 개별 신호를 상호 연결하여 환경에서 활성 랜섬웨어 캠페인 또는 기타 정교한 공격을 높은 신뢰도로 식별합니다. 공격이 진행되는 동안 Defender XDR 자동 공격 중단을 통해 공격자가 사용하는 손상된 자산을 자동으로 포함시켜 공격을 방해합니다.

자동 공격 중단은 초기에 횡적 이동을 제한하고 관련 비용에서 생산성 손실에 이르기까지 공격의 전반적인 영향을 줄입니다. 동시에 보안 운영 팀은 자산을 조사, 수정 및 다시 온라인 상태로 만들 수 있는 완전한 제어를 하게 됩니다.

이 문서에서는 자동화된 공격 중단에 대한 개요를 제공하고 다음 단계 및 기타 리소스에 대한 링크를 포함합니다.

자동 공격 중단의 작동 방식

자동 공격 중단은 진행 중인 공격을 포함하고, organization 자산에 미치는 영향을 제한하며, 보안 팀이 공격을 완전히 수정하는 데 더 많은 시간을 제공하도록 설계되었습니다. 공격 중단은 XDR(확장 탐지 및 대응) 신호의 전체 범위를 사용하여 전체 공격을 고려하여 인시던트 수준에서 작동합니다. 이 기능은 단일 손상 지표를 기반으로 하는 방지 및 차단과 같은 알려진 보호 방법과는 다릅니다.

많은 XDR 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼을 사용하면 자동 대응 작업을 만들 수 있지만 자동 공격 중단이 기본 제공되고 Microsoft 보안 연구원 및 고급 AI 모델의 인사이트를 사용하여 고급 공격의 복잡성을 상쇄합니다. 자동 공격 중단은 손상된 자산을 결정하기 위해 다양한 원본의 신호의 전체 컨텍스트를 고려합니다.

자동 공격 중단은 다음 세 가지 주요 단계에서 작동합니다.

• 엔드포인트, ID, 이메일 및 공동 작업 도구 및 SaaS 앱의 인사이트를 통해 다양한 소스의 신호를 단일 신뢰도 인시던트와 상호 연결하는 Defender XDR 기능을 사용합니다.
• 공격자가 제어하고 공격을 확산하는 데 사용되는 자산을 식별합니다.
• 영향을 받는 자산을 격리하여 실시간으로 공격을 포함하도록 관련 Microsoft Defender 제품 전체에서 자동으로 대응 작업을 수행합니다.

이 게임 변경 기능은 초기에 위협 행위자의 진행 상황을 제한하고 관련 비용에서 생산성 손실에 이르기까지 공격의 전반적인 영향을 크게 줄입니다.

자동 작업을 수행할 때 높은 신뢰도 설정

자동 조치를 취하는 것은 organization 미칠 수 있는 잠재적 영향을 감안할 때 보안 팀의 주저와 함께 오는 경우가 있다는 것을 알고 있습니다. 따라서 Defender XDR 자동 공격 중단 기능은 충실도가 높은 신호를 사용하도록 설계되었습니다. 또한 이메일, ID, 애플리케이션, 문서, 디바이스, 네트워크 및 파일에서 수백만 개의 Defender 제품 신호와 Defender XDR 인시던트 상관 관계를 사용합니다. Microsoft 보안 연구 팀이 수천 건의 인시던트를 지속적으로 조사한 인사이트를 통해 자동 공격 중단이 높은 SNR(신호 대 노이즈 비율)을 유지하도록 합니다.

조사는 고품질의 정확한 보호를 보장하기 위해 신호 및 공격 위협 환경을 모니터링하는 데 필수적입니다.

팁

이 문서에서는 공격 중단의 작동 방식을 설명합니다. 이러한 기능을 구성하려면 Microsoft Defender XDR 공격 중단 기능 구성을 참조하세요.

자동화된 응답 작업

자동 공격 중단은 Microsoft 기반 XDR 응답 작업을 사용합니다. 이러한 작업의 예는 다음과 같습니다.

• 디바이스 포함 - 엔드포인트용 Microsoft Defender 기능에 따라 이 작업은 의심스러운 디바이스를 자동으로 포함하여 해당 디바이스와의 들어오고 나가는 통신을 차단합니다.

• 사용자 사용 안 함 - Microsoft Defender for Identity 기능에 따라 이 작업은 횡적 이동, 악의적인 사서함 사용 또는 맬웨어 실행과 같은 추가 손상을 방지하기 위해 손상된 계정의 자동 일시 중단입니다.

• 사용자 포함 - 엔드포인트용 Microsoft Defender 기능에 따라 이 응답 작업에는 엔드포인트용 Defender의 온보딩된 디바이스와의 들어오는 통신과 관련된 모든 횡적 이동 및 원격 암호화를 차단하는 데 도움이 되는 의심스러운 ID가 자동으로 포함됩니다.

자세한 내용은 Microsoft Defender XDR 수정 작업을 참조하세요.

Microsoft Sentinel을 사용하는 SAP에 대한 자동화된 응답 작업(미리 보기)

통합 보안 운영 플랫폼을 사용하고 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 배포한 경우 SAP에 대한 자동 공격 중단을 배포할 수도 있습니다.

예를 들어 금융 프로세스 조작 공격 발생 시 의심스러운 SAP 사용자를 잠가 SAP가 손상된 자산을 포함하도록 공격 중단을 배포합니다.

위험이 완화되면 Microsoft Defender 관리자는 공격 중단 대응에 의해 자동으로 잠긴 사용자의 잠금을 수동으로 해제할 수 있습니다. 수동으로 사용자의 잠금을 해제하는 기능은 Microsoft Defender 알림 센터에서 사용할 수 있으며, 공격 중단으로 인해 잠긴 사용자만 사용할 수 있습니다.

SAP에 대한 공격 중단을 사용하려면 새 데이터 커넥터 에이전트를 배포하거나 에이전트가 버전 90847355 이상을 사용하고 있는지 확인한 다음 필요한 Azure 및 SAP 역할을 할당하고 적용합니다. 자세한 내용은 다음 항목을 참조하세요.

• SAP 데이터 커넥터 에이전트를 호스트하는 컨테이너 배포 및 구성
• Microsoft Sentinel의 SAP 데이터 커넥터 에이전트를 업데이트합니다. 특히 자동 공격 중단을 위해 시스템을 업데이트합니다.

Azure Portal 및 SAP 시스템에서 공격 중단을 구성하는 동안 자동 공격 중단 자체는 Microsoft Defender 포털의 통합 보안 운영 플랫폼에만 표시됩니다.

사용자 환경에서 공격 중단이 발생하는 시기 식별

Defender XDR 인시던트 페이지는 공격 스토리 및 노란색 막대로 표시된 상태 통해 자동 공격 중단 작업을 반영합니다(그림 1). 인시던트에는 전용 중단 태그가 표시되고, 인시던트 그래프에 포함된 자산의 상태 강조 표시하고, 알림 센터에 작업을 추가합니다.

그림 1. 자동 공격 중단이 조치를 취한 노란색 막대를 보여 주는 인시던트 보기

이제 Defender XDR 사용자 환경에는 이러한 자동 작업의 가시성을 보장하기 위한 추가 시각적 신호가 포함되어 있습니다. 다음 환경에서 찾을 수 있습니다.

1. 인시던트 큐에서:

   • 영향을 받는 인시던트 옆에 공격 중단 이라는 태그가 표시됩니다.

2. 인시던트 페이지에서 다음을 수행합니다.

   • 공격 중단이라는 태그
   • 수행된 자동 동작을 강조 표시하는 페이지 위쪽의 노란색 배너
   • 현재 자산 상태 자산에 대한 작업이 수행된 경우(예: 계정 사용 안 함 또는 포함된 디바이스) 인시던트 그래프에 표시됩니다.

3. API를 통해:

   (공격 중단) 문자열은 자동으로 중단될 가능성이 높은 신뢰도가 높은 인시던트 타이틀의 끝에 추가됩니다. 예를 들면

   손상된 계정에서 시작된 BEC 금융 사기 공격(공격 중단)

자세한 내용은 공격 중단 세부 정보 및 결과 보기를 참조하세요.

다음 단계

• Microsoft Defender XDR 자동 공격 중단 구성
• 세부 정보 및 결과 보기
• 응답 작업에 대한 메일 알림 가져오기

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.