1단계. 첫 번째 인시던트 심사 및 분석

  • 아티클
  • 읽는 데 7분 걸림

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender

조직의 표준에 따라 보안 조치를 설정, 구현 및 유지 관리하는 데 시간을 할애할 때 보안 위험 및 위협을 신속하게 식별하는 데 도움이 되는 보안 솔루션을 설정할 수 있습니다. Microsoft 365 Defender 통해 적시에 결정을 내리는 데 필요한 정보를 찾을 수 있는 단일 창 환경을 통해 인시던트 검색, 심사 및 조사할 수 있습니다.

보안 인시던트가 검색되면 Microsoft 365 Defender 인시던트 또는 인시던트를 다른 인시던트보다 심사하거나 우선 순위를 지정해야 하는 세부 정보를 제공합니다. 우선 순위를 결정한 후 분석가는 할당된 사례를 조사하는 데 집중할 수 있습니다.

Microsoft 365 Defender 의한 검색

Microsoft 365 Defender 여러 Microsoft 보안 플랫폼에서 검색 원본으로 경고 및 이벤트를 수신하여 악의적인 활동의 전체적인 그림과 컨텍스트를 만듭니다. 가능한 검색 원본은 다음과 같습니다.

  • 엔드포인트용 Microsoft Defender Microsoft Security Graph를 사용하여 Microsoft Defender 바이러스 백신 및 클라우드 지원 고급 위협 방지를 사용하는 EDR(엔드포인트 검색 및 대응 솔루션)입니다. 엔드포인트용 Defender는 예방적 보호, 위반 후 검색, 자동화된 조사 및 대응을 위한 통합 플랫폼입니다. 사이버 공격으로부터 엔드포인트를 보호하고, 고급 공격 및 데이터 위반을 감지하고, 보안 인시던트를 자동화하고, 보안 태세를 개선합니다.
  • Microsoft Defender for Identity AD DS(온-프레미스 Active Directory Domain Services) 신호를 사용하여 조직을 대상으로 하는 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 감지 및 조사하는 클라우드 기반 보안 솔루션입니다.
  • Microsoft Defender for Cloud Apps 사용자가 있는 위치와 사용 중인 디바이스에 관계없이 엔터프라이즈 사용자와 사용하는 클라우드 리소스 간에 실시간으로 액세스를 중개하는 게이트키퍼 역할을 합니다.
  • Office 365용 Microsoft Defender 전자 메일 메시지, 링크(URL) 및 공동 작업 도구의 악의적인 위협으로부터 조직을 보호합니다.
  • Azure Security Center 데이터 센터의 보안 태세를 강화하고 클라우드 및 온-프레미스의 하이브리드 워크로드에서 고급 위협 방지 기능을 제공하는 통합 인프라 보안 관리 시스템입니다.

Microsoft 365 Defender 이러한 다양한 검색 원본의 경고 상관 관계를 지정하여 인시던트가 식별됩니다. 리소스를 함께 묶거나 여러 경고를 해당 인시던트에 구분하는 대신 즉시 Microsoft 365 Defender 인시던트 큐로 시작할 수 있습니다. 이 방법을 사용하면 엔드포인트, ID, 이메일 및 애플리케이션에서 인시던트를 효율적으로 심사하고 공격으로 인한 피해를 줄일 수 있습니다.

인시던트 심사

조직의 권장 우선 순위 지정 방법을 사용하여 인시던트 목록을 심사하면 Microsoft 365 Defender 인시던트 대응이 시작됩니다. 심사하는 것은 인시던트에 중요도 또는 긴급도 수준을 할당한 다음 조사할 순서를 결정하는 것을 의미합니다.

Microsoft 365 Defender 우선 순위를 지정할 인시던트를 결정하는 유용한 샘플 가이드는 심각 도 + 영향 = 우선 순위 수식으로 요약할 수 있습니다.

  • 심각도 는 Microsoft 365 Defender 및 통합 보안 구성 요소에 의해 지정된 수준입니다.
  • 영향은 조직에 의해 결정되며 일반적으로 영향을 받는 사용자, 디바이스, 영향을 받는 서비스(또는 해당 조합) 및 경고 유형의 임계값을 포함하지만 제한되지는 않습니다.

그런 다음, 분석가는 조직에서 설정한 우선 순위 기준에 따라 조사를 시작합니다.

인시던트 우선 순위는 조직에 따라 달라질 수 있습니다. 또한 NIST는 인시던트의 기능 및 정보 영향과 복구 가능성을 고려할 것을 권장합니다.

심사에 대한 한 가지 방법은 아래에 설명되어 있습니다.

  1. 인시던트 페이지로 이동하여 심사를 시작합니다. 여기에서 조직에 영향을 주는 인시던트 목록을 볼 수 있습니다. 기본적으로 가장 최근의 인시던트부터 가장 오래된 인시던트까지 정렬됩니다. 여기에서 각 인시던트에 대해 심각도, 범주, 활성 경고 수 및 영향을 받은 엔터티를 보여 주는 여러 열을 볼 수도 있습니다. 열 집합을 사용자 지정하고 열 이름을 선택하여 이러한 열 중 일부를 기준으로 인시던트 큐를 정렬할 수 있습니다. 필요에 따라 인시던트 큐를 필터링할 수도 있습니다. 사용 가능한 필터의 전체 목록은 인시던트 우선 순위를 참조하세요.

    Microsoft 365 보안 포털의 인시던트

    이 인시던트 집합에 대한 심사를 수행하는 방법의 한 가지 예는 더 많은 사용자 및 디바이스에 영향을 주는 인시던트 우선 순위를 지정하는 것입니다. 이 예제에서는 디바이스 7개, 사용자 6명, 사서함 2개 등 가장 많은 엔터티에 영향을 주므로 인시던트 ID 6769의 우선 순위를 지정할 수 있습니다. 또한 인시던트에는 id 기반 경고 및 가능한 자격 증명 도난을 나타내는 Microsoft Defender for Identity 경고가 포함된 것으로 보입니다.

    Microsoft 365 보안 포털에서 영향력이 큰 인시던트의 예를 보여 주는 인시던트** 페이지

  2. 인시던트 이름 옆에 있는 원을 선택하여 세부 정보를 검토합니다. 오른쪽에 측면 창이 표시되며, 여기에는 심사에 도움이 될 수 있는 추가 정보가 포함됩니다.

    Microsoft 365 보안 포털의 인시던트 쪽 창 예제를 보여 주는 인시던트 페이지

    예를 들어 공격자가 인시던트의 범주에 따라 사용한 MITRE ATT&CK 전술을 살펴보면 공격자가 도난당한 자격 증명, 설정된 명령 및 제어, 횡적 이동 수행 및 일부 데이터를 유출했기 때문에 이 인시던트의 우선 순위를 지정할 수 있습니다. 이러한 조치는 공격자가 이미 네트워크에 깊숙이 들어갔으며 기밀 정보를 도난당했을 가능성이 있음을 시사합니다.

    또한 조직에서 제로 트러스트 프레임워크를 구현한 경우 자격 증명 액세스를 우선 순위에 따라 중요한 보안 위반으로 간주할 수 있습니다.

    측면 창을 아래로 스크롤하면 사용자, 디바이스 및 사서함과 같은 영향을 받은 특정 엔터티가 표시됩니다. 각 디바이스의 노출 수준과 영향을 받는 사서함의 소유자를 확인할 수 있습니다.

    인시던트 쪽 창 세부 정보

  3. 측면 창의 아래쪽에서 연결된 경고를 찾을 수 있습니다. Microsoft 365 Defender 이미 단일 인시던트에 해당 경고의 상관 관계를 수행하여 공격을 수정하는 데 더 많은 시간과 리소스를 절약했습니다. 경고는 의심스럽기 때문에 네트워크에 공격자가 있음을 시사하는 악의적인 시스템 이벤트일 수 있습니다.

    이 예제에서는 87개의 개별 경고가 하나의 보안 인시던트에 속하는 것으로 확인되었습니다. 모든 경고를 보고 공격이 어떻게 진행되었는지 빠르게 확인할 수 있습니다.

    Microsoft 365 보안 포털의 인시던트 쪽 창에 있는 경고

첫 번째 인시던트 분석

경고를 둘러싸는 컨텍스트를 이해하는 것도 똑같이 중요합니다. 경고가 단일 독립 이벤트가 아닌 경우가 많습니다. 동시에 발생하지 않았을 수 있는 프로세스, 명령 및 작업 체인이 있습니다. 따라서 분석가는 경고의 컨텍스트를 이해하려면 디바이스 타임라인에서 의심스러운 엔터티의 첫 번째 및 마지막 활동을 찾아야 합니다.

Microsoft 365 Defender 사용하여 데이터를 읽고 분석하는 방법에는 여러 가지가 있지만 분석가의 최종 목표는 가능한 한 빨리 인시던트에 대응하는 것입니다. Microsoft 365 Defender 업계 최고의 자동화된 조사 및 응답 기능을 통해 MTTR(평균 수정 시간)을 크게 줄일 수 있지만 항상 수동 분석이 필요한 경우가 있습니다.

다음은 예입니다.

  1. 심사 우선 순위가 결정되면 분석가는 인시던트 이름을 선택하여 심층 분석을 시작합니다. 이 페이지에는 분석을 지원하기 위해 데이터가 탭에 표시되는 인시던트 요약 이 표시됩니다. 경고 탭 아래에 경고 유형이 표시됩니다. 분석가는 각 경고를 클릭하여 해당 검색 원본으로 드릴다운할 수 있습니다.

    인시던트 요약 탭

    각 검색 원본에서 다루는 도메인에 대한 빠른 가이드는 이 문서의 검색 섹션을 검토하세요.

  2. 경고 탭에서 검색 원본으로 피벗하여 보다 심층적인 조사 및 분석을 수행할 수 있습니다. 예를 들어 검색 원본으로 Microsoft Defender for Cloud Apps 사용하여 맬웨어 검색을 선택하면 분석가가 해당 경고 페이지로 이동합니다.

    인시던트 경고를 선택하는 예제를 보여 주는 인시던트 페이지입니다.

    Microsoft Defender for Cloud Apps 해당 페이지

  3. 예제를 자세히 조사하려면 페이지 아래쪽으로 스크롤하여 영향을 받는 사용자를 확인합니다. 맬웨어 검색을 둘러싼 활동 및 컨텍스트를 보려면 Annette Hill의 사용자 페이지를 선택합니다.

    사용자 페이지

  4. 사용자 페이지에는 TOR 네트워크 IP 주소 경고에서 위험한 로그인 으로 시작하는 이벤트가 시간순으로 나열됩니다. 활동의 의심은 조직이 비즈니스를 수행하는 방식의 성격에 따라 달라지지만, 대부분의 경우 사용자가 익명으로 웹을 탐색할 수 있는 네트워크인 TOR(Onion Router)을 사용하는 경우 엔터프라이즈 환경에서는 정기적인 온라인 운영에 대해 가능성이 높고 불필요한 것으로 간주될 수 있습니다.

    사용자에 대한 이벤트 시간순 목록

  5. 각 경고를 선택하여 활동에 대한 자세한 정보를 얻을 수 있습니다. 예를 들어 Tor IP 주소 경고에서 활동을 선택하면 해당 경고의 자체 페이지로 연결됩니다. Annette는 상승된 권한을 나타내고 원본 인시던트가 기밀 정보에 액세스하도록 유도했을 수 있는 Office 365 관리자입니다.

    Microsoft Defender for Cloud Apps 대한 경고 세부 정보

  6. 다른 경고를 선택하면 공격의 전체 그림을 얻을 수 있습니다.

다음 단계

첫 번째 인시던트 응답 페이지의 수정 옵션

인시던트를 수정하는 방법을 알아봅니다.

참고 항목