Microsoft 365 Defender 인시던트 우선 순위 지정
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
Microsoft 365 Defender 상관 관계 분석 및 집계 관련 경고 및 여러 제품의 자동화된 조사를 인시던트에 적용합니다. 또한 Microsoft 365 Defender 전체 제품 제품군에서 Microsoft 365 Defender 종단 간 가시성을 고려할 때 악의적인 것으로만 식별될 수 있는 활동에 대한 고유한 경고를 트리거합니다. 이 보기는 보안 분석가에게 광범위한 공격 스토리를 제공하여 조직 전체에서 복잡한 위협을 더 잘 이해하고 처리하는 데 도움이 됩니다.
인시던트 큐 는 디바이스, 사용자 및 사서함에서 생성된 인시던트 컬렉션을 보여 줍니다. 인시던트를 정렬하여 인시던트 심사라고 하는 정보에 입각한 사이버 보안 대응 결정의 우선 순위를 지정하고 만드는 데 도움이 됩니다.
Microsoft 365 Defender 포털의 빠른 시작 시 인시던트 & 경고 > 인시던트 큐에 도착합니다. 다음은 예입니다.
가장 최근의 인시던트 및 경고 섹션에는 수신된 경고 수와 지난 24시간 동안 생성된 인시던트 그래프가 표시됩니다.
기본적으로 Microsoft 365 Defender 포털의 인시던트 큐에는 지난 6개월 동안의 인시던트가 표시됩니다. 가장 최근의 인시던트가 목록 맨 위에 있으므로 먼저 확인할 수 있습니다.
인시던트 큐에는 인시던트의 다양한 특성 또는 영향을 받은 엔터티에 대한 가시성을 제공하는 사용자 지정 가능한 열(열 선택 선택)이 있습니다. 이렇게 하면 분석을 위해 인시던트 우선 순위 지정에 대해 정보에 입각한 결정을 내릴 수 있습니다.
추가 가시성을 위해 자동 인시던트 명명은 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성을 기반으로 인시던트 이름을 생성합니다. 이렇게 하면 인시던트의 범위를 빠르게 이해할 수 있습니다.
예를 들어 여러 원본에서 보고하는 여러 엔드포인트의 다단계 인시던트입니다.
참고
자동 인시던트 이름을 롤아웃하기 전에 존재했던 인시던트에는 이름이 변경되지 않습니다.
또한 인시던트 큐는 여러 필터링 옵션을 제공합니다. 이 옵션을 적용하면 사용자 환경의 모든 기존 인시던트에 대한 광범위한 스윕을 수행하거나 특정 시나리오 또는 위협에 집중할 수 있습니다. 사고 큐 필터를 적용 하면 즉시 주의가 필요한 사고를 결정할 수 있습니다.
인 시던트 목록 위의 필터 목록에는 현재 적용된 필터가 표시됩니다.
사용 가능한 필터
기본 인시던트 큐에서 필터 를 선택하여 필터링된 인시던트 집합을 지정하는 필터 창을 볼 수 있습니다. 다음은 예입니다.
인시던트 목록 위의 필터 목록에서 필터를 선택하여 필터 창을 볼 수도 있습니다.
이 표에는 사용할 수 있는 필터 이름이 나열되어 있습니다.
| 필터 이름 | 설명 |
|---|---|
| 상태 | 새로 만들기, 진행 중 또는 해결됨을 선택합니다. |
| 심각도 | 인시던트의 심각도는 자산에 미칠 수 있는 영향을 나타냅니다. 심각도가 높을수록 영향이 클수록 일반적으로 가장 즉각적인 주의가 필요합니다. 높음, 중간, 낮 음 또는 정보를 선택합니다. |
| 인시던트 할당 | 할당된 사용자 또는 사용자를 선택합니다. |
| 다중 서비스 원인 | 둘 이상의 서비스 원본에 대한 필터인지 여부를 지정합니다. |
| 서비스 원인 | 앱 거버넌스, Microsoft 365 Defender, Office 365용 Microsoft Defender, 엔드포인트용 Microsoft Defender 등의 경고를 포함하는 인시던트 지정 Microsoft Defender for Identity, Microsoft Defender for Cloud Apps. |
| 태그 | 목록에서 하나 이상의 태그 이름을 선택합니다. |
| 다중 범주 | 필터가 둘 이상의 범주에 대한 것인지 여부를 지정합니다. |
| 범주 | 특정 전술, 기술 또는 공격 구성 요소에 집중할 범주를 선택합니다. |
| 항목 | 사용자, 디바이스, 사서함 또는 애플리케이션 이름과 같은 자산의 이름을 지정합니다. |
| 데이터 민감도 | 일부 공격은 민감하거나 가치있는 데이터 수집을 목적으로 합니다. 특정 민감도 레이블에 대한 필터를 적용하면 중요한 정보가 잠재적으로 손상되었는지 신속하게 확인하고 이러한 인시던트 해결의 우선 순위를 지정할 수 있습니다. 이 필터는 Microsoft Purview Information Protection 민감도 레이블을 적용한 경우에만 정보를 표시합니다. |
| Device groups | 디바이스 그룹 이름을 지정합니다. |
| OS 플랫폼 | 디바이스 운영 체제를 지정합니다. |
| 분류 | 관련 경고의 분류 집합을 지정합니다. |
| 자동화된 조사 상태 | 자동 조사 상태를 지정합니다. |
| 관련 위협 | 명명된 위협을 지정합니다. |
| 배우 | 명명된 위협 행위자를 지정합니다. |
기본 필터는 모든 경고 및 인시던트의 상태가 새로 만들기 및 진행 중 이며 심각도가 낮 음, 보통 또는 높음 으로 표시되는 것입니다.
필터 목록에서 필터 이름에서 X 를 선택하여 필터를 신속하게 제거할 수 있습니다 .
사용자 지정 필터를 URL로 저장
인시던트 큐에서 유용한 필터를 구성한 후에는 브라우저 탭의 URL을 책갈피로 지정하거나 웹 페이지, Word 문서 또는 원하는 위치에 링크로 저장할 수 있습니다. 이렇게 하면 다음과 같은 인시던트 큐의 주요 보기에 대해 한 번 클릭으로 액세스할 수 있습니다.
- 새 인시던트
- 심각도가 높은 인시던트
- 할당되지 않은 인시던트
- 심각도가 높고 할당되지 않은 인시던트
- 나에게 할당된 인시던트
- 저와 엔드포인트용 Microsoft Defender 할당된 인시던트
- 특정 태그 또는 태그가 있는 인시던트
- 특정 위협 범주가 있는 인시던트
- 특정 관련 위협이 있는 인시던트
- 특정 행위자를 사용하는 인시던트
유용한 필터 뷰 목록을 URL로 컴파일하고 저장한 후에는 이를 사용하여 큐에서 인시던트 처리 및 우선 순위를 지정하고 후속 할당 및 분석을 위해 인시던트 처리 및 우선 순위를 지정할 수 있습니다.
인시던트 검색
인시던트 목록 위의 이름 또는 ID 검색 상자에서 인시던트 ID 또는 인시던트 이름을 입력할 수 있습니다. 검색 결과 목록에서 인시던트를 선택하면 Microsoft 365 Defender 포털에서 인시던트 속성이 포함된 새 탭이 열리며, 이 탭에서 조사를 시작할 수 있습니다.
영향을 받은 자산 검색
자산—의 이름을 사용자, 디바이스, 사서함 또는 애플리케이션 이름으로— 지정하고 모든 관련 인시던트를 찾을 수 있습니다.
시간 범위 지정
인시던트 기본 목록은 지난 6개월 동안 발생한 인시던트에 대한 것입니다. 다음을 선택하여 일정 아이콘 옆에 있는 드롭다운 상자에서 새 시간 범위를 지정할 수 있습니다.
- 1일
- 3일
- 1주
- 30일
- 30일
- 6개월
- 날짜와 시간을 모두 지정할 수 있는 사용자 지정 범위
다음 단계
우선 순위가 가장 높은 인시던트가 필요한 인시던트가 결정되면 다음을 선택합니다.