Defender에서 인시던트 Microsoft 365 관리Manage incidents in Microsoft 365 Defender

중요

개선된 Microsoft 365 보안 센터를 사용할 수 있습니다.The improved Microsoft 365 security center is now available. 이 새로운 환경은 엔드포인트용 Defender, Office 365용 Defender, Microsoft 365 Defender 등을 Microsoft 365 보안 센터에 제공합니다.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 새로운 기능에 대해 알아보세요.Learn what's new.

적용 대상:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

인시던트 관리는 위협이 포함 및 해결될 수 있도록 하는 중요한 요소입니다.Incident management is critical in ensuring that threats are contained and addressed.

인시던트 및 인시던트 & (>)의 빠른 실행에서 인시던트 및 인시던트 Microsoft 365관리합니다(security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 security center (security.microsoft.com). 다음은 예입니다.Here's an example.

인시던트 큐의 예

인시던트 관리 방법은 다음과 같습니다.Here are the ways you can manage your incidents:

인시던트에 대한 인시던트 관리 창에서 인시던트 관리를 할 수 있습니다.You can manage incidents from the Manage incident pane for an incident. 다음은 예입니다.Here's an example.

인시던트의 인시던트 관리 창 예

이 창은 다음의 문제 관리 링크에서 표시할 수 있습니다.You can display this pane from the Manage incident link on the:

  • 인시던트 큐에 있는 인시던트의 속성 창입니다.Properties pane of an incident in the incident queue.
  • 인시던트의 요약 페이지입니다.Summary page of an incident.

한 인시던트에서 다른 인시던트로 경고를 이동하려는 경우 경고 탭에서 알림을 이동하여 모든 관련 알림을 포함하는 더 크거나 작은 인시던트가 생성될 수도 있습니다.In cases where you want to move alerts from one incident to another, you can also do so from the Alerts tab, thus creating a larger or smaller incident that includes all relevant alerts.

인시던트 이름 편집Edit the incident name

Microsoft 365 Defender는 영향을 받는 끝점 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 이름을 자동으로 할당합니다.Microsoft 365 Defender automatically assigns a name based on alert attributes such as the number of endpoints affected, users affected, detection sources or categories. 이렇게 하면 인시던트의 범위를 빠르게 이해할 수 있습니다.This allows you to quickly understand the scope of the incident. 예: 여러 원본에서 보고한 여러 끝점의 다단계 인시던트For example: Multi-stage incident on multiple endpoints reported by multiple sources.

문제 관리 창의 인시던트 이름 필드에서 문제 이름을 편집할 수 있습니다. You can edit the incident name from the Incident name field on the Manage incident pane.

참고

자동 인시던트 명명 기능을 출시하기 전에 존재한 인시던트의 이름은 유지됩니다.Incidents that existed before the rollout of the automatic incident naming feature will retain their name.

인시던트 태그 추가Add incident tags

인시던트에 사용자 지정 태그를 추가할 수 있습니다. 예를 들어 인시던트 그룹에 공통적인 특성이 있는 플래그를 지정합니다.You can add custom tags to an incident, for example to flag a group of incidents with a common characteristic. 나중에 특정 태그가 포함된 모든 인시던트에 대한 인시던트 큐를 필터링할 수 있습니다.You can later filter the incident queue for all incidents that contain a specific tag.

입력을 시작할 때 선택한 태그 목록에서 선택할 수 있는 옵션이 있습니다.When you start typing, you have the option to select from a list of selected tags.

인시던트 할당Assign incidents

인시던트 할당하려면 나에게 할당을 선택합니다.To assign an incident, select Assign to me. 이렇게 하면 인시던트의 소유권과 인시던트와 관련된 모든 경고가 사용자 계정에 할당됩니다.Doing so assigns ownership of the incident and all the alerts associated with it to your user account.

인시던트 큐를 필터링하여 사용자에게 할당된 인시던트 목록을 얻을 수 있습니다.You can get a list of incidents assigned to you by filtering the incident queue.

  1. 인시던트 큐에서 필터 를 선택합니다.From the incident queue, select Filters.
  2. 인시던트 할당 섹션에서 모두 선택을 취소하고 할당된 내게 할당을 선택합니다.in the Incident assignment section, clear Select all and select Assigned to me.
  3. 적용을 선택한 다음 필터 창을 닫습니다.Select Apply, and then close the Filters pane.

그런 다음 결과 URL을 브라우저에 책갈피로 저장하여 할당된 인시던트 목록을 빠르게 볼 수 있습니다.You can then save the resulting URL in your browser as a bookmark to quickly see the list of incidents assigned to you.

인시던트 해결Resolve an incident

인시던트가 수정된 경우 인시던트 해결을 선택하여 토글을 오른쪽으로 이동합니다.If the incident has been remediated, select Resolve incident to move the toggle to the right. 인시던트 해결을 통해 인시던트와 관련된 연결된 경고 및 활성 경고도 모두 해결됩니다.Note that resolving an incident also resolves all the linked and active alerts related to the incident.

해결되지 않은 인시던트가 활성으로 표시됩니다.An incident that is not resolved displays as Active.

분류 및 결정 설정Set the classification and determination

인시던트 분류는 실제 경고인지 또는 거짓 경고인지를 분류 필드에서 구성하는 것입니다.The incident classification is whether it was a true alert or a false alert, which you configure from the Classification field.

실제 경고인 경우 결정 필드를 사용하여 위협의 유형도 지정해야 합니다.If it was a true alert, you should also specify what type of threat it was with the Determination field. 위협 유형을 지정하면 보안 팀이 위협 패턴을 보고 조직을 방어하는 데 도움이 됩니다.Specifying the threat type helps your security team see threat patterns and act to defend your organization from them.

메모 추가Add comments

설명 필드를 사용하여 인시던트에 여러 개의 설명을 추가할 있습니다.You can add multiple comments to an incident with the Comment field. 각 설명은 인시던트의 기록 이벤트에 추가됩니다.Each comment gets added to the historical events of the incident. 인시던트에 대한 설명과 기록은 요약 페이지의 설명 및 기록 링크에서 볼 수 있습니다.You can see the comments and history of an incident from the Comments and history link on the Summary page.

다음 단계Next steps

새 인시던트의 경우 조사를 시작합니다.For new incidents, begin your investigation.

In-process 인시던트의 경우 조사를 계속합니다.For in-process incidents, continue your investigation.

해결된 인시던트의 경우 인시던트 사후 검토를 수행 합니다.For resolved incidents, perform a post-incident review.

참고 항목See also