Microsoft Defender XDR 자동화된 조사 및 대응 기능 구성

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

Microsoft Defender XDR 보안 운영 팀에 많은 시간과 노력을 절약할 수 있는 강력한 자동화된 조사 및 대응 기능을 포함합니다. 자체 복구를 통해 이러한 기능은 보안 분석가가 위협을 조사하고 대응하기 위해 수행하는 단계를 모방하며, 더 빠르고 확장할 수 있습니다.

이 문서에서는 다음 단계를 사용하여 Microsoft Defender XDR 자동화된 조사 및 응답을 구성하는 방법을 설명합니다.

  1. 필수 구성 요소를 검토합니다.
  2. 디바이스 그룹의 자동화 수준을 검토하거나 변경합니다.
  3. Office 365 보안 및 경고 정책을 검토합니다.

그런 다음, 모든 설정이 완료되면 알림 센터에서 수정 작업을 보고 관리할 수 있습니다. 필요한 경우 자동화된 조사 설정을 변경할 수 있습니다.

Microsoft Defender XDR 자동 조사 및 대응을 위한 필수 구성 요소

요구 사항 세부 정보
구독 요구 사항 다음 구독 중 하나:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E5 Security 추가 기능으로 Microsoft 365 E3
  • Microsoft 365 A5 보안 추가 기능으로 Microsoft 365 A3
  • Office 365 E5+ Enterprise Mobility + Security E5 및 Windows E5

Microsoft Defender XDR 라이선스 요구 사항을 참조하세요.
네트워크 요구 사항
Windows 디바이스 요구 사항
전자 메일 콘텐츠 및 Office 파일 보호
권한 자동화된 조사 및 응답 기능을 구성하려면 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.com)에https://admin.microsoft.com 할당된 다음 역할 중 하나가 있어야 합니다.
  • 전역 관리자
  • 보안 관리자
보류 중인 작업을 검토, 승인 또는 거부하는 등 자동화된 조사 및 대응 기능을 사용하려면 알림 센터 작업에 필요한 권한을 참조하세요.

디바이스 그룹의 자동화 수준 검토 또는 변경

자동 조사 실행 여부 및 수정 작업이 자동으로 수행되는지 또는 디바이스에 대한 승인 시만 수행되는지 여부는 organization 디바이스 그룹 정책과 같은 특정 설정에 따라 달라집니다. 디바이스 그룹 정책에 대해 구성된 자동화 수준을 검토합니다. 다음 절차를 수행하려면 전역 관리자 또는 보안 관리자여야 합니다.

  1. 에서 Microsoft Defender 포털로 https://security.microsoft.com 이동하여 로그인합니다.

  2. 사용 권한 아래의 >설정>엔드포인트디바이스 그룹으로 이동합니다.

  3. 디바이스 그룹 정책을 검토합니다. 특히 Automation 수준 열을 확인합니다. 전체 - 위협을 자동으로 수정하는 것이 좋습니다. 원하는 자동화 수준을 얻으려면 디바이스 그룹을 만들거나 편집해야 할 수 있습니다. 이 작업에 대한 도움을 받으려면 다음 문서를 참조하세요.

Office 365 보안 및 경고 정책 검토

Microsoft는 특정 위험을 식별하는 데 도움이 되는 기본 제공 경고 정책을 제공합니다. 이러한 위험에는 Exchange 관리자 권한 남용, 맬웨어 활동, 잠재적인 외부 및 내부 위협, 데이터 수명 주기 관리 위험이 포함됩니다. 일부 경고는 Office 365 자동화된 조사 및 응답을 트리거할 수 있습니다. Office 365용 Defender 기능이 올바르게 구성되었는지 확인합니다.

특정 경고 및 보안 정책은 자동화된 조사를 트리거할 수 있지만 이메일 및 콘텐츠에 대한 수정 작업은 자동으로 수행되지 않습니다. 대신 메일 및 전자 메일 콘텐츠에 대한 모든 수정 작업은 알림 센터의 보안 운영 팀의 승인을 기다리고 있습니다.

EOP(Exchange Online Protection 및 Office 365용 Defender 보안 설정은 전자 메일 및 콘텐츠를 보호하는 데 도움이 됩니다. 표준 및 엄격한 사전 설정 보안 정책을 사용하여 사용자에게 보호를 할당하는 것이 좋습니다.

사용자 지정 정책을 사용하는 경우 구성 분석기를 사용하여 정책 설정을 표준 및 엄격한 미리 설정된 보안 정책 설정과 비교합니다. 모든 정책 설정에 대한 자세한 목록은 EOP 및 Office 365용 Microsoft Defender 보안에 대한 권장 설정의 표를 참조하세요.

정책 & 규칙>경고 정책 또는 에서 직접 Defender 포털에서 https://security.microsoft.com>https://security.microsoft.com/alertpoliciesv2경고 정책을 검토할 수 있습니다. 몇 가지 기본 경고 정책은 위협 관리 범주에 있습니다. 위협 관리 범주의 일부 경고 정책은 자동화된 조사 및 응답을 트리거할 수 있습니다. 자세한 내용은 위협 관리 경고 정책을 참조하세요.

자동화된 조사 설정을 변경해야 합니까?

자동화된 조사 및 응답 기능에 대한 설정을 변경하는 몇 가지 옵션 중에서 선택할 수 있습니다. 다음 표에는 몇 가지 옵션이 나열되어 있습니다.

수행할 작업 같이
디바이스 그룹에 대한 자동화 수준 지정
  1. 하나 이상의 디바이스 그룹을 설정합니다. 디바이스 그룹 만들기 및 관리를 참조하세요.
  2. Microsoft Defender 포털에서디바이스 그룹을 & >권한>엔드포인트 역할로이동합니다.
  3. 디바이스 그룹을 선택하고 Automation 수준 설정을 검토합니다. ( 전체 - 위협을 자동으로 수정하는 것이 좋습니다). 자동화된 조사 및 수정 기능의 자동화 수준을 참조하세요.
  4. 모든 디바이스 그룹에 적절하게 2단계와 3단계를 반복합니다.

다음 단계

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.