Microsoft 365 Defender 통해 Microsoft 위협 전문가 기능 구성 및 관리

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

• Microsoft 365 Defender
• 엔드포인트용 Microsoft Defender

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

시작하기 전에

중요

적용하기 전에 Microsoft 기술 서비스 공급자 및 계정 팀과 엔드포인트 공격 알림 관리 위협 헌팅 서비스에 대한 자격 요구 사항을 논의해야 합니다.

엔드포인트 공격 알림을 받으려면 등록된 디바이스를 사용하여 Microsoft 365 Defender 배포해야 합니다. 그런 다음, 엔드포인트 공격 알림에 대한 M365 포털을 통해 애플리케이션을 제출합니다.

계정 팀 또는 Microsoft 담당자에게 문의하여 Microsoft 위협 전문가 - 주문형 전문가를 구독하세요. 주문형 전문가를 통해 위협 전문가와 상담하여 관련 탐지 및 악의적 사용자로부터 조직을 보호하는 방법을 확인할 수 있습니다.

엔드포인트 공격 알림 서비스에 적용

이미 엔드포인트용 Microsoft Defender 및 Microsoft 365 Defender 있는 경우 Microsoft 365 Defender 포털을 통해 엔드포인트 공격 알림을 신청할 수 있습니다. 엔드포인트 공격 알림은 조직에 가장 중요한 위협을 식별하는 데 도움이 되는 특별한 인사이트와 분석을 부여하므로 신속하게 대응할 수 있습니다.

1. 탐색 창에서 엔드포인트 공격 알림을 > 설정 > 엔드포인트 > 일반 > 고급 기능 으로 이동합니다.

2. 적용 을 선택합니다.

3. Microsoft에서 애플리케이션에 대해 연락할 수 있도록 전자 메일 주소를 입력합니다.

   

4. 개인정보처리방침을 읽은 다음, 완료되면 제출 을 선택합니다. 애플리케이션이 승인되면 환영 전자 메일을 받게 됩니다.

   

5. 환영 전자 메일을 받으면 엔드포인트 공격 알림 수신이 자동으로 시작됩니다.

6. 설정 > 엔드포인트 > 일반 > 고급 기능을 방문하여 상태를 확인할 수 있습니다. 승인되면 엔드포인트 공격 알림 토글이 표시되고 켜 지게 됩니다.

Microsoft 위협 전문가 엔드포인트 공격 알림이 표시되는 위치

다음 매체를 통해 Microsoft 위협 전문가 엔드포인트 공격 알림을 받을 수 있습니다.

• Microsoft 365 Defender 포털의 인시던트 페이지
• Microsoft 365 Defender 포털의 경고 대시보드
• OData 경고 API 및 REST API
• 고급 헌팅의 DeviceAlertEvents 테이블
• 전자 메일을 통해 엔드포인트 공격 알림을 보내도록 선택한 경우 받은 편지함. 아래 의 전자 메일 알림 규칙 만들기를 참조하세요.

전자 메일 알림 규칙 만들기

알림 받는 사람에 대한 전자 메일 알림을 보내는 규칙을 만들 수 있습니다. 자세한 내용은 전자 메일 알림을 만들거나 편집, 삭제 또는 문제를 해결하도록 경고 알림 구성 을 참조하세요.

엔드포인트 공격 알림 보기

전자 메일 알림을 받도록 시스템을 구성한 후 전자 메일의 Microsoft 위협 전문가 엔드포인트 공격 알림을 받기 시작합니다.

1. 메일의 링크를 선택하여 Defender 전문가 로 태그가 지정된 대시보드의 해당 경고 컨텍스트로 이동합니다.

2. 경고 페이지에서 전자 메일에서 받은 것과 동일한 경고 항목을 선택하여 자세한 내용을 확인합니다.

엔드포인트 공격 알림만 보려면 필터링

많은 경고 사이에 Defender 전문가 알림만 표시하려면 인시던트 및 경고를 필터링할 수 있습니다. 방법은 다음과 같습니다.

1. 탐색 메뉴에서 인시던트 & 경고 > 인 시던트 로 이동하여 필터 아이콘 아이콘](../../media/mte/defenderexperts/filter.png)을 ![선택 >.
2. 태그 필드까지 아래로 스크롤하여 Defender 전문가 확인란을 선택 >.
3. 적용 을 선택합니다.

Microsoft 위협 전문가 구독 - 주문형 전문가

이미 엔드포인트용 Microsoft Defender 고객인 경우 Microsoft 담당자에게 문의하여 Microsoft 위협 전문가 - 주문형 전문가를 구독할 수 있습니다.

조직의 의심스러운 사이버 보안 활동에 대한 Microsoft 위협 전문가에게 문의

Microsoft 365 Defender 포털 내에서 Microsoft 위협 전문가 연결할 수 있습니다. 전문가는 복잡한 위협 및 엔드포인트 공격 알림을 이해하는 데 도움을 줄 수 있습니다. 경고 및 인시던트에 대한 자세한 내용 또는 손상 처리에 대한 조언을 전문가와 협력하세요. 포털 대시보드에서 설명하는 위협 인텔리전스 컨텍스트에 대한 인사이트를 얻습니다.

참고

• 조직의 사용자 지정된 위협 인텔리전스 데이터와 관련된 경고 문의는 현재 지원되지 않습니다. 자세한 내용은 보안 운영 또는 인시던트 대응 팀에 문의하세요.
• Defender 전문가 요청 양식을 통해 문의를 제출하려면 Microsoft 365 Defender 포털의 보안 센터 권한에 보안 설정 관리 권한이 있어야 합니다.

1. 조사하려는 정보(예: 디바이스, 경고 또는 인시던트)와 관련된 포털 페이지로 이동합니다. 조사 요청을 보내기 전에 문의와 관련된 포털 페이지가 표시되는지 확인합니다.

2. 위쪽 메뉴에서 ?를 선택합니다. Defender 전문가에게 문의하세요. 플라이아웃 화면이 열립니다. 헤더는 평가판 구독 또는 전체 Microsoft 위협 전문가 - 전문가 주문형 구독에 있는지 여부를 나타냅니다. 조사 항목 필드는 요청에 대한 관련 페이지에 대한 링크로 이미 채워져 있습니다.

3. 다음 필드에서는 Microsoft 위협 전문가 조사를 시작하기에 충분한 컨텍스트를 제공하기에 충분한 정보를 제공합니다.

4. Microsoft 위협 전문가 해당하는 데 사용할 전자 메일 주소를 입력합니다.

참고

Microsoft Services Hub를 통해 주문형 전문가 사례의 상태를 추적하려면 기술 계정 관리자에게 문의하세요.

Microsoft Services Hub에 대한 간략한 개요는 이 비디오를 시청하세요.

샘플 조사 항목

경고 정보

• 우리는 살아있는 오프 - 더 - 토지 이진에 대한 경고의 새로운 유형을 보았다. 경고 ID를 제공할 수 있습니다. 이 경고에 대해 자세히 알아보고 더 자세히 조사할 수 있는 방법을 알려드릴 수 있나요?
• 악의적인 PowerShell 스크립트를 실행하려고 하지만 서로 다른 경고를 생성하는 두 가지 유사한 공격을 관찰했습니다. 하나는 "의심스러운 PowerShell 명령줄"이고 다른 하나는 "O365에서 제공한 표시에 따라 악성 파일이 검색되었습니다"입니다. 차이점은 무엇인가요?
• 높은 프로필 사용자의 디바이스에서 실패한 로그인의 비정상적인 수에 대한 이상한 경고가 오늘 수신되었습니다. 우리는 이러한 시도에 대한 추가 증거를 찾을 수 없습니다. 이러한 시도를 Microsoft 365 Defender 어떻게 볼 수 있나요? 모니터링되는 로그인 유형은 무엇인가요?
• "시스템 유틸리티에 의한 의심스러운 동작이 관찰되었습니다"라는 경고에 대한 더 많은 컨텍스트 또는 인사이트를 제공할 수 있나요?
• "전달/리디렉션 규칙 만들기"라는 경고가 표시되었습니다. 나는 활동이 양성이라고 믿는다. 경고를 받은 이유를 알려줄 수 있나요?

가능한 디바이스 손상

• 조직의 여러 디바이스에서 "알 수 없는 프로세스 관찰됨"에 대한 메시지 또는 경고가 표시되는 이유를 설명할 수 있나요? 이 메시지 또는 경고가 악의적인 활동과 관련이 있는지 여부를 명확히 하기 위한 모든 입력에 감사드립니다.
• 지난 주부터 다음 시스템에서 가능한 손상의 유효성을 검사하는 데 도움이 될 수 있나요? 6개월 전 동일한 시스템에서 이전 맬웨어 검색과 유사하게 동작합니다.

위협 인텔리전스 세부 정보

• 사용자에게 악성 Word 문서를 배달하는 피싱 전자 메일을 발견했습니다. 이 문서는 일련의 의심스러운 이벤트를 발생시켰고, 이로 인해 특정 맬웨어 패밀리에 대한 여러 경고가 트리거되었습니다. 이 맬웨어에 대한 정보가 있나요? 그렇다면 링크를 보낼 수 있나요?
• 우리는 최근에 우리 산업을 대상으로하는 위협에 대한 블로그 게시물을 보았습니다. 이 위협 행위자에 대해 Microsoft 365 Defender 제공하는 보호를 이해하는 데 도움이 될 수 있나요?
• 우리는 최근에 우리 조직을 상대로 실시 된 피싱 캠페인을 관찰했습니다. 이것이 특히 회사 또는 수직을 대상으로 했는지 알려줄 수 있습니까?

Microsoft 위협 전문가 경고 통신

• 인시던트 대응 팀이 우리가 받은 대상 공격 알림을 해결하는 데 도움이 될 수 있나요?
• Microsoft 위협 전문가 엔드포인트 공격 알림을 받았습니다. 자체 인시던트 대응 팀이 없습니다. 우리는 지금 무엇을 할 수 있고, 어떻게 인시던트(incident)를 포함할 수 있는가?
• Microsoft 위협 전문가 대상 공격 알림을 받았습니다. 인시던트 대응 팀에 전달할 수 있는 데이터는 무엇인가요?

참고

Microsoft 위협 전문가 인시던트 대응 서비스가 아닌 관리형 위협 헌팅 서비스입니다. 그러나 사용자 고유의 인시던트 대응 팀과 협력하여 인시던트 대응이 필요한 문제를 해결할 수 있습니다. 자체 인시던트 대응 팀이 없고 Microsoft의 도움을 받으려면 CSS CIRT(사이버 보안 인시던트 대응 팀)에 참여할 수 있습니다. 문의를 처리하는 데 도움이 되는 티켓을 열 수 있습니다.

시나리오

관리형 헌팅 문의에 대한 진행률 보고서 받기

Microsoft 위협 전문가 응답은 문의에 따라 달라집니다. 일반적으로 다음 응답 중 하나가 표시됩니다.

• 조사를 계속하려면 추가 정보가 필요합니다.
• 기술 컨텍스트를 확인하려면 파일 또는 여러 파일 샘플이 필요합니다.
• 조사에 더 많은 시간이 필요합니다.
• 초기 정보는 조사를 마무리하기에 충분했습니다.

전문가가 추가 정보 또는 파일 샘플을 요청하는 경우 조사를 계속 진행하기 위해 신속하게 대응하는 것이 중요합니다.

엔드포인트, Office 365, 클라우드 애플리케이션 및 ID에서 위협을 사전에 헌팅하려면 다음을 참조하세요.

• 헌팅용 Microsoft Defender 전문가 개요