Defender에서 자동화된 조사 및 대응 Microsoft 365 구성Configure automated investigation and response capabilities in Microsoft 365 Defender

중요

개선된 Microsoft 365 보안 센터를 사용할 수 있습니다.The improved Microsoft 365 security center is now available. 이 새로운 환경은 엔드포인트용 Defender, Office 365용 Defender, Microsoft 365 Defender 등을 Microsoft 365 보안 센터에 제공합니다.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 새로운 기능에 대해 알아보세요.Learn what's new.

Microsoft 365 Defender에는 보안 운영 팀에 많은 시간과 노력을 절약할 수 있는 강력한 자동화된 조사 및 대응 기능이 포함되어 있습니다.Microsoft 365 Defender includes powerful automated investigation and response capabilities that can save your security operations team much time and effort. 자체 복구를통해 이러한 기능은 보안 분석가가 위협을 조사하고 대응하는 단계와 모방하여 더 빠르고 확장할 수 있습니다.With self-healing, these capabilities mimic the steps a security analyst would take to investigate and respond to threats, only faster, and with more ability to scale.

이 문서에서는 다음 단계를 사용하여 Defender에서 자동화된 조사 Microsoft 365 대응을 구성하는 방법을 설명합니다.This article describes how to configure automated investigation and response in Microsoft 365 Defender with these steps:

  1. 선행 준비를 검토합니다.Review the prerequisites.
  2. 장치 그룹의 자동화 수준을 검토하거나 변경합니다.Review or change the automation level for device groups.
  3. 에서 보안및 경고 정책을 Office 365.Review your security and alert policies in Office 365.
  4. Defender가 Microsoft 365 있는지 확인Make sure Microsoft 365 Defender is turned on.

그런 다음 모든 설정이 끝날 때 관리 센터 에서 수정 작업을 보고 관리할 수 있습니다.Then, after you're all set up, you can view and manage remediation actions in the Action center.

Defender의 자동화된 조사 및 대응을 위한 Microsoft 365Prerequisites for automated investigation and response in Microsoft 365 Defender



요구 사항Requirement 세부 정보Details
구독 요구 사항Subscription requirements 다음 구독 중 하나:One of these subscriptions:
  • Microsoft 365 E5Microsoft 365 E5
  • Microsoft 365 A5Microsoft 365 A5
  • Microsoft 365 E3 추가 Microsoft 365 E5 Security 있는 경우Microsoft 365 E3 with the Microsoft 365 E5 Security add-on
  • Microsoft 365 A3 및 Microsoft 365 A5 보안 추가 기능Microsoft 365 A3 with the Microsoft 365 A5 Security add-on
  • Office 365 E5 및 Enterprise Mobility + Security E5 및 Windows E5Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

자세한 Microsoft 365 Defender 라이선스 요구 사항을 참조하세요.See Microsoft 365 Defender licensing requirements.

네트워크 요구 사항Network requirements
Windows 컴퓨터 요구 사항Windows machine requirements
전자 메일 콘텐츠 및 Office 보호Protection for email content and Office files Microsoft Defender for Office 365 구성Microsoft Defender for Office 365 configured
사용 권한Permissions 자동화된 조사 및 응답 기능을 구성하려면 전역 관리자 또는 보안 관리자 역할이 Azure Active Directory( ) 또는 Microsoft 365 관리 https://portal.azure.com 센터()에서 할당되어야 합니다. https://admin.microsoft.comTo configure automated investigation and response capabilities, you must have the Global Administrator or Security Administrator role assigned in either Azure Active Directory (https://portal.azure.com) or in the Microsoft 365 admin center (https://admin.microsoft.com).

보류 중인 작업의 검토, 승인 또는 거부와 같은 자동화된 조사 및 응답 기능과 함께 작업하는 데 필요한 사용 권한을 얻하려면 Action Center 작업에 필요한 사용 권한을 참조하세요.To get the permissions needed to work with automated investigation and response capabilities, such as reviewing, approving, or rejecting pending actions, see Required permissions for Action center tasks.

장치 그룹의 자동화 수준 검토 또는 변경Review or change the automation level for device groups

자동화된 조사가 실행될지 여부와 수정 작업이 자동으로 수행되거나 장치에 대한 승인 시에만 수행될지 여부는 조직의 장치 그룹 정책과 같은 특정 설정에 따라 결정됩니다.Whether automated investigations run, and whether remediation actions are taken automatically or only upon approval for your devices depend on certain settings, such as your organization's device group policies. 장치 그룹 정책에 대해 구성된 자동화 수준을 검토합니다.Review the configured automation level for your device group policies.

  1. Microsoft Defender 보안 센터 https://securitycenter.windows.com ()로 이동하여 로그인합니다.Go to the Microsoft Defender Security Center (https://securitycenter.windows.com) and sign in.
  2. 사용 권한 설정 > > 그룹으로 이동하세요.Go to Settings > Permissions > Device groups.
  3. 장치 그룹 정책을 검토합니다.Review your device group policies. 특히 수정 수준 열을 살펴보아야 합니다.In particular, look at the Remediation level column. 전체 - 위협을 자동으로 수정하는 것이 좋습니다.We recommend using Full - remediate threats automatically. 원하는 자동화 수준을 얻기 위해 장치 그룹을 만들거나 편집해야 할 수 있습니다.You might need to create or edit your device groups to get the level of automation you want. 이 작업에 대한 도움말은 다음 문서를 참조합니다.To get help with this task, see the following articles:

보안 및 경고 정책의 Office 365Review your security and alert policies in Office 365

Microsoft는 특정 위험을 식별하는 데 도움이 되는 기본 제공 경고 정책을 제공합니다.Microsoft provides built-in alert policies that help identify certain risks. 이러한 위험에는 Exchange 권한 남용, 맬웨어 활동, 잠재적인 외부 및 내부 위협, 정보 거버넌스 위험이 포함됩니다.These risks include Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. 일부 경고는 에서 자동화된 조사 및 응답을 트리거할 Office 365.Some alerts can trigger automated investigation and response in Office 365. 모든 기능에 대한 Defender가 Office 365 올바르게 구성되어 있는지 확인합니다.Make sure your Defender for Office 365 features are configured correctly.

특정 경고 및 보안 정책이 자동화된 조사를 트리거할 수 있기는 하지만 전자 메일 및 콘텐츠에 대한 수정 작업은 자동으로 수행되지 않습니다.Although certain alerts and security policies can trigger automated investigations, no remediation actions are taken automatically for email and content. 대신, 전자 메일 및 전자 메일 콘텐츠에 대한 모든 수정 작업은 알림 센터의 보안 운영 팀이 승인을 기다립니다.Instead, all remediation actions for email and email content await approval by your security operations team in the Action center.

보안 설정의 Office 365 전자 메일 및 콘텐츠를 보호하는 데 도움이 됩니다.Security settings in Office 365 help protect email and content. 이러한 설정을 보거나 변경하려면 위협으로부터 보호의 지침을 따르십시오.To view or change these settings, follow the guidance in Protect against threats.

  1. 보안 https://security.microsoft.com Microsoft 365()에서 정책 & 위협 > 정책으로 이동하십시오.In the Microsoft 365 security center (https://security.microsoft.com), go to Policies & Rules > Threat policies.
  2. 다음 정책을 모두 구성해야 합니다.Make sure all of the following policies are configured. 도움말 및 권장 사항을 얻었다면 위협으로부터 보호를 참조하세요.To get help and recommendations, see Protect against threats.
  3. Microsoft Defender for Office 365, SharePoint OneDrive 및 Microsoft Teams 켜져 있는지 확인 합니다.Make sure Microsoft Defender for Office 365 for SharePoint, OneDrive, and Microsoft Teams is turned on.
  4. 전자 메일 보호를 위한 제로 아워 자동 제거가 적용된지 확인Make sure zero-hour auto purge for email protection is in effect.
  5. 이 단계는 선택 사항입니다. Office 365 센터에서 Microsoft 365 경고 정책을 https://compliance.microsoft.com/compliancepolicies 검토합니다.(This step is optional.) Review your Office 365 alert policies in the Microsoft 365 compliance center (https://compliance.microsoft.com/compliancepolicies). 위협 관리 범주에는 몇 가지 기본 경고 정책이 있습니다.Several default alert policies are in the Threat management category. 이러한 경고 중 일부는 자동화된 조사 및 응답을 트리거할 수 있습니다.Some of these alerts can trigger automated investigation and response. 자세한 내용은 기본 경고 정책 을 참조합니다.To learn more, see Default alert policies.

Defender가 Microsoft 365 있는지 확인Make sure Microsoft 365 Defender is turned on

MTP on

  1. Microsoft 365 센터()에 https://security.microsoft.com 로그인합니다.Sign in to the Microsoft 365 security center (https://security.microsoft.com).
  2. 탐색 창에서 이전 이미지와 같이 인시던트, 작업 센터 및 헌팅을 검색합니다. In the navigation pane, look for Incidents, Action center, and Hunting, as shown in the preceding image.
    • 인시던트, 작업 센터 및 헌팅이 표시되어 Microsoft 365 Defender가 켜져 있습니다.If you see Incidents, Action center, and Hunting, Microsoft 365 Defender is turned on. 문서의 장치 그룹에 대한 자동화 수준 검토 또는 변경 섹션을 참조하세요.See the Review or change the automation level for device groups section of this article.
    • 인시던트, 작업 센터 또는 헌팅이 표시되지 Microsoft 365 Defender가 켜지지 않을 수 있습니다.If you do not see Incidents, Action center, or Hunting, Microsoft 365 Defender might not be turned on. 이 경우 작업 센터를 방문합니다.In this case, visit the Action center).
  3. 탐색 창에서 Defender 설정 > Microsoft 365 선택 합니다.In the navigation pane, choose Settings > Microsoft 365 Defender. Defender가 Microsoft 365 있는지 확인Confirm that Microsoft 365 Defender is turned on.

도움이 필요하신가요?Need help? Defender Microsoft 365 켜기 를 참조합니다.See Turn on Microsoft 365 Defender.

다음 단계Next steps