자동 조사의 세부 내용과 결과

  • 아티클
  • 읽는 데 4분 걸림

참고

Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

  • Microsoft 365 Defender

Microsoft 365 Defender 통해 자동화된 조사가 실행되면 자동 조사 프로세스 중 및 이후에 해당 조사에 대한 세부 정보를 사용할 수 있습니다. 필요한 권한이 있는 경우 최신 상태 및 보류 중인 작업을 승인할 수 있는 기능을 제공하는 조사 세부 정보 보기에서 이러한 세부 정보를 볼 수 있습니다.

(NEW) 통합 조사 페이지

조사 페이지는 최근 디바이스, 전자 메일 및 공동 작업 콘텐츠에 대한 정보를 포함하도록 업데이트되었습니다. 새로운 통합 조사 페이지는 공용 언어를 정의하고 엔드포인트용 Microsoft DefenderOffice 365용 Microsoft Defender 전체에서 자동 조사를 위한 통합 환경을 제공합니다. 통합 조사 페이지에 액세스하려면 표시되는 노란색 배너에서 링크를 선택합니다.

조사 세부정보 보기 열기

다음 방법 중 하나를 사용 하여 조사 세부정보 보기를 열 수 있습니다.

작업 센터에서 항목 선택

향상된 알림 센터 (https://security.microsoft.com/action-center)는 디바이스 간 수정 작업 , 전자 메일 & 공동 작업 콘텐츠 및 ID를 함께 제공합니다. 나열된 작업에는 자동 또는 수동으로 수행된 수정 작업이 포함됩니다. 알림 센터에서 승인 대기 중인 작업과 이미 승인되거나 완료된 작업을 볼 수 있습니다. 조사 페이지와 같은 자세한 정보로 이동할 수도 있습니다.

작업을 승인, 거부 또는 취소하려면 특정 권한이 있어야 합니다.

  1. Microsoft 365 Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 작업 센터 를 선택합니다.

  3. 보류 중인 또는 기록 탭에서 항목을 선택 합니다. 플라이아웃 창이 열립니다.

  4. 플라이아웃 창에서 정보를 검토한 다음, 다음 단계 중 하나를 수행합니다.

    • 조사 열기 페이지를 선택하여 조사에 대한 자세한 내용을 확인합니다.
    • 승인을 선택하여 보류 중인 작업을 시작합니다.
    • 보류 중인 작업이 수행되지 않도록 하려면 [거부 ]를 선택합니다.
    • Go Hunt 를 선택하여 고급 헌팅으로 이동합니다.

문제 세부정보 페이지에서 조사 오픈

세부정보 페이지를 통해 알람 원인 장치, 사용자, 사서함 등 사건에 대한 세부 정보를 확인할 수 있습니다.

  1. Microsoft 365 Defender 포털로 이동하여 로그인합니다.

  2. 탐색 창에서 인시던트 & 경고 인****시던트(Incidents > )를 선택합니다.

  3. 목록에서 항목을 선택한 다음 인 시던트 열기 페이지를 선택합니다.

  4. 조사 탭 선택한 다음 목록에서 조사를 선택합니다. 플라이아웃 창이 열립니다.

  5. 조사 열기 페이지를 선택합니다.

다음은 예입니다.

Microsoft 365 Defender 포털의 조사 페이지

조사 세부정보

조사 세부정보 보기를 사용 하여 과거, 현재 및 보류 중인 활동을 확인하고 조사합니다. 다음은 예입니다.

Microsoft 365 Defender 포털의 조사 세부 정보 페이지

조사 세부정보 보기에서 아래 테이블에 설명되어 있는 것 처럼 조사 그래프, 알람, 장치, 항목, 주요 발견 사항, 대상, 로그보류 활동 을 확인할 수 있습니다.

참고

조사 세부 정보 페이지에 표시되는 특정 탭은 구독에 포함된 항목에 따라 달라집니다. 예를 들어 구독에 Office 365용 Microsoft Defender 플랜 2가 포함되어 있지 않으면 사서함 탭이 표시되지 않습니다.

Tab 설명
조사 그래프 조사 내용이 시각적으로 표시 됩니다. 위협 대상과 목록 알람과 현재 활동이나 보류중인 활동을 보여줍니다.
그래프에서 항목을 선택하여 자세한 내용을 볼 수 있습니다. 예를 들어 증거 아이콘을 선택하면 검색된 엔터티와 해당 평결을 볼 수 있는 증거 탭으로 이동합니다.
경고 조사와 관련 된 알람목록을 보여줍니다. 경고는 사용자의 장치, Office 앱, Microsoft Defender for Cloud Apps 및 기타 Microsoft 365 Defender 기능의 위협 방지 기능에서 비롯할 수 있습니다.

지원되지 않는 경고 유형 이 표시되면 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.
장치 조사에 포함된 디바이스를 수정 수준과 함께 나열합니다. (수정 수준은 디바이스 그룹의 자동화 수준에 해당합니다.)
사서함 검색된 위협의 영향을 받는 사서함을 나열합니다.
사용자 검색된 위협의 영향을 받는 사용자 계정을 나열합니다.
증거 경고 또는 조사에 의해 제기 된 증거의 조각을 나열합니다. 평결(악성, 의심스러운, 알 수 없음 또는 위협을 찾을 수 없음) 및 수정 상태를 포함합니다.
항목 각 엔터티 유형(악성, 의심스러운 또는 위협 없음)에 대한 평결을 포함하여 분석된 각 엔터티에 대한 세부 정보를 제공합니다.
로그 경고가 트리거된 후 수행된 모든 조사 작업을 시간순으로 자세히 보여 줍니다.
보류 중인 작업 기록 진행 하려면 승인이 필요한 항목을 나열 합니다. 보류 중인 작업을 승인하려면 작업 센터(https://security.microsoft.com/action-center)로 이동합니다.

다음 단계