2단계. 첫 번째 인시던트 수정

  • 아티클
  • 읽는 데 5분 걸림

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender

Microsoft 365 Defender 검색 및 분석 기능을 제공할 뿐만 아니라 맬웨어를 억제하고 근절합니다. 포함에는 공격의 영향을 줄이는 단계가 포함되어 있으며, 제거하면 공격자 활동의 모든 추적이 네트워크에서 제거됩니다. Microsoft 365 Defender 영향을 받는 디바이스의 운영 체제 및 공격 유형에 따라 자동 수정하도록 구성할 수 있는 몇 가지 수정 작업을 제공합니다.

Microsoft 365 Defender 분석가가 수동으로 시작할 수 있는 몇 가지 수정 작업을 제공합니다. 작업은 디바이스에 대한 작업과 파일에 대한 작업의 두 가지 범주로 구분됩니다. 일부 작업은 위협을 즉시 중지하는 데 사용할 수 있으며, 다른 작업은 추가 포렌식 분석을 지원할 수 있습니다.

장치에 대한 작업

  • 디바이스 격리 - 이 작업은 모든 네트워크 트래픽(인터넷 및 내부)을 즉시 차단하여 맬웨어 확산을 최소화하고 악의적인 행위자가 공격을 계속할 수 없도록 분석가가 분석을 계속할 수 있도록 합니다. 허용되는 유일한 연결은 Microsoft Defender for Identity 디바이스를 계속 모니터링할 수 있도록 Microsoft Defender for Identity 서비스 클라우드에 대한 것입니다.
  • 앱 실행 제한 - 애플리케이션 실행을 제한하기 위해 Microsoft에서 발급한 인증서로 서명된 파일만 실행할 수 있도록 하는 코드 무결성 정책이 적용됩니다. 이 제한 방법은 공격자가 손상된 디바이스를 제어하고 추가 악의적인 활동을 수행하는 것을 방지하는 데 도움이 될 수 있습니다.
  • 바이러스 백신 검사 실행 - Microsoft Defender 바이러스 백신 검사는 Defender 바이러스 백신이 활성 바이러스 백신 솔루션인지 여부에 관계없이 다른 바이러스 백신 솔루션과 함께 실행할 수 있습니다. 다른 바이러스 백신 공급업체 제품이 기본 엔드포인트 보호 솔루션인 경우 수동 모드에서 Defender 바이러스 백신을 실행할 수 있습니다.
  • 자동화된 조사 시작 - 디바이스에서 새로운 범용 자동화 조사를 시작할 수 있습니다. 조사가 실행되는 동안 디바이스에서 생성된 다른 경고는 조사가 완료될 때까지 진행 중인 자동화된 조사에 추가됩니다. 또한 다른 디바이스에서 동일한 위협이 표시되면 해당 디바이스가 조사에 추가됩니다.
  • 라이브 응답 시작 - 라이브 응답은 원격 셸 연결을 사용하여 디바이스에 즉시 액세스할 수 있는 기능입니다. 이를 통해 심층 조사 작업을 수행하고 즉각적인 대응 조치를 취하여 식별된 위협을 실시간으로 신속하게 포함할 수 있습니다. 라이브 응답은 포렌식 데이터를 수집하고, 스크립트를 실행하고, 분석을 위해 의심스러운 엔터티를 보내고, 위협을 수정하고, 새로운 위협을 사전에 헌팅할 수 있도록 하여 조사를 강화하도록 설계되었습니다.
  • 조사 패키지 수집 - 조사 또는 응답 프로세스의 일부로 디바이스에서 조사 패키지를 수집할 수 있습니다. 조사 패키지를 수집하여 디바이스의 현재 상태를 식별하고 공격자가 사용하는 도구와 기술을 더 잘 이해할 수 있습니다.
  • 위협 전문가 (디바이스 및 파일의 작업 모두에서 사용 가능) - 이미 손상된 잠재적으로 손상된 디바이스 또는 디바이스에 대한 자세한 인사이트를 Microsoft 위협 전문가에게 문의할 수 있습니다. Microsoft 위협 전문가는 적시에 정확한 대응을 위해 Microsoft 365 Defender 내에서 직접 참여할 수 있습니다.

파일에 대한 작업

  • 파일 중지 및 격리 - 이 작업에는 실행 중인 프로세스 중지, 파일 격리 및 레지스트리 키와 같은 영구 데이터 삭제가 포함됩니다. 이 작업은 지난 30일 동안 파일이 관찰된 Windows 11 또는 Windows 10 버전 1703 이상이 있는 디바이스에 적용됩니다.
  • 파일을 차단하거나 허용하는 표시기 추가 - 잠재적으로 악의적인 파일 또는 의심되는 맬웨어를 금지하여 조직에서 공격이 추가로 전파되는 것을 방지합니다. 이 작업을 수행하면 조직의 디바이스에서 파일을 읽거나 쓰거나 실행할 수 없습니다.
  • 파일 다운로드 또는 수집 – 이 작업을 통해 분석가는 조직의 추가 분석을 위해 암호로 보호된 .zip 보관 파일에 파일을 다운로드할 수 있습니다.
  • 심층 분석 – 이 작업은 안전하고 완전히 계측된 클라우드 환경에서 파일을 실행합니다. 심층 분석 결과에는 파일의 활동, 관찰된 동작 및 삭제된 파일, 레지스트리 수정, IP 주소와의 통신과 같은 관련 아티팩트가 표시됩니다.

분석가는 인시 던트 검색, 심사 및 분석의 예제를 계속 진행하면서 다음 작업으로 이 인시던트를 수정할 수 있습니다.

  1. 사용자 계정 암호 즉시 다시 설정

  2. 심층 분석이 완료될 때까지 Microsoft 365 Defender 디바이스 격리

  3. 악성 파일이 SharePoint에서 격리되었는지 확인합니다.

  4. 맬웨어의 영향을 받은 엔드포인트 확인

  5. 시스템 다시 빌드

  6. 다른 사용자에 대한 유사한 Microsoft Defender for Cloud Apps 경고 확인

  7. 엔드포인트용 Microsoft Defender Tor IP 주소를 차단하는 사용자 지정 표시기 만들기

  8. 다음 이미지에 표시된 것과 같은 이러한 유형의 경고에 대해 Microsoft Defender for Cloud Apps 거버넌스 작업을 만듭니다.

    Microsoft Defender for Cloud Apps 포털의 거버넌스 작업

대부분의 수정 작업은 Microsoft 365 Defender 적용하고 추적할 수 있습니다.

플레이북 사용

또한 플레이북을 사용하여 자동화된 수정을 만들 수 있습니다. 현재 Microsoft에는 다음 시나리오 에 대한 플레이북을 제공하는 Playbook 템플릿이 GitHub 에 있습니다.

  • 사용자 유효성 검사를 요청한 후 중요한 파일 공유 제거
  • 드문 국가 경고 자동 심사
  • 계정을 사용하지 않도록 설정하기 전에 관리자 작업 요청
  • 악성 받은 편지함 규칙 사용 안 함

플레이북은 Power Automate를 사용하여 특정 기준이 트리거되면 특정 활동을 자동화하는 사용자 지정 로봇 프로세스 자동화 흐름을 만듭니다. 조직은 기존 템플릿에서 또는 처음부터 플레이북을 만들 수 있습니다.

다음은 예입니다.

Power Automate 사용자 지정 로봇 프로세스 자동화 흐름

인시던트 후 검토 중에 플레이북을 만들어 해결된 인시던트에서 수정 작업을 만들 수도 있습니다.

다음 단계

인시던트 사후 검토를 수행하는 방법을 알아봅니다.

참고 항목