다음을 통해 공유

고급 헌팅 쿼리 결과에 대한 작업 수행

  • 아티클

적용 대상:

  • Microsoft Defender XDR

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

강력하고 포괄적인 작업 옵션을 사용하여 고급 헌팅 에서 찾은 위협을 신속하게 포함하거나 손상된 자산을 해결할 수 있습니다. 이러한 옵션을 사용하면 다음을 수행할 수 있습니다.

  • 디바이스에서 다양한 작업 수행
  • 파일 격리

필요한 사용 권한

고급 헌팅을 통해 디바이스에 대한 작업을 수행하려면 디바이스에서 수정 작업을 제출할 수 있는 권한이 있는 엔드포인트용 Microsoft Defender 역할이 필요합니다. 작업을 수행할 수 없는 경우 전역 관리자에게 다음 권한을 얻는 방법에 대해 문의하세요.

활성 수정 작업 > 위협 및 취약성 관리 - 수정 처리

고급 헌팅을 통해 전자 메일에 대한 작업을 수행하려면 전자 메일을 검색하고 제거하는 Office 365용 Microsoft Defender 역할이 필요합니다.

디바이스에서 다양한 작업 수행

쿼리 결과의 열로 식별된 DeviceId 디바이스에서 다음 작업을 수행할 수 있습니다.

  • 영향을 받는 디바이스를 격리하여 감염을 포함하거나 공격이 횡적으로 이동하는 것을 방지합니다.
  • 조사 패키지를 수집하여 더 많은 포렌식 정보를 얻습니다.
  • 바이러스 백신 검사를 실행하여 최신 보안 인텔리전스 업데이트를 사용하여 위협을 찾고 제거합니다.
  • 디바이스 및 영향을 받는 다른 디바이스에서 위협을 검사 수정하기 위한 자동화된 조사를 시작합니다.
  • 앱 실행을 Microsoft 서명된 실행 파일로만 제한하여 맬웨어 또는 기타 신뢰할 수 없는 실행 파일을 통한 후속 위협 활동을 방지합니다.

엔드포인트용 Microsoft Defender 통해 이러한 응답 작업을 수행하는 방법에 대해 자세히 알아보려면 디바이스의 응답 작업에 대해 읽어보세요.

파일 격리

파일이 발견되면 자동으로 격리되도록 파일에 격리 작업을 배포 할 수 있습니다. 이 작업을 선택할 때 다음 열 중에서 선택하여 쿼리 결과에서 격리할 파일을 식별할 수 있습니다.

  • SHA1: 대부분의 고급 헌팅 테이블에서 이 열은 기록된 작업의 영향을 받은 파일의 SHA-1을 나타냅니다. 예를 들어 파일이 복사된 경우 영향을 받는 이 파일은 복사된 파일입니다.
  • InitiatingProcessSHA1: 대부분의 고급 헌팅 테이블에서 이 열은 기록된 작업을 시작하는 파일을 참조합니다. 예를 들어 자식 프로세스가 시작된 경우 이 초기자 파일은 부모 프로세스의 일부가 됩니다.
  • SHA256: 이 열은 열로 식별된 SHA1 파일과 동등한 SHA-256입니다.
  • InitiatingProcessSHA256: 이 열은 열로 식별된 InitiatingProcessSHA1 파일과 동등한 SHA-256입니다.

격리 작업이 수행되는 방법 및 파일을 복원하는 방법에 대해 자세히 알아보려면 파일에 대한 응답 작업을 참조하세요.

참고

파일을 찾아 격리하려면 쿼리 결과에 디바이스 식별자로 값도 포함되어 DeviceId 야 합니다.

설명된 작업을 수행하려면 쿼리 결과에서 하나 이상의 레코드를 선택한 다음 , 작업 수행을 선택합니다. 마법사는 원하는 작업을 선택한 다음 제출하는 과정을 안내합니다.

Microsoft Defender 포털에서 작업 수행 옵션

전자 메일에 대한 다양한 작업 수행

디바이스 중심 수정 단계 외에도 쿼리 결과의 전자 메일에 대한 몇 가지 작업을 수행할 수도 있습니다. 작업을 수행할 레코드를 선택하고 작업 수행을 선택한 다음 작업 선택에서 다음 중에서 원하는 항목을 선택합니다.

  • Move to mailbox folder - 전자 메일 메시지를 정크, 받은 편지함 또는 지운 편지함 폴더로 이동하려면 이 옵션을 선택합니다.

    Microsoft Defender 포털에서 작업 수행 옵션

  • Delete email - 전자 메일 메시지를 지운 편지함 폴더(일시 삭제)로 이동하거나 영구적으로 삭제하려면 이 옵션을 선택합니다(하드 삭제).

    일시 삭제를 선택하면 보낸 사람의 복사본을 삭제하는 옵션도 제공됩니다. 또한 보낸 사람의 보낸 편지함 폴더에서 메시지를 일시 삭제하려고 시도합니다(보낸 사람의 organization 경우).

    Microsoft Defender 포털의 작업 수행 옵션

수정 이름과 알림 센터 기록에서 쉽게 추적하기 위해 수행된 작업에 대한 간단한 설명을 제공할 수도 있습니다. 승인 ID를 사용하여 알림 센터에서 이러한 작업을 필터링할 수도 있습니다. 이 ID는 마법사의 끝에 제공됩니다.

엔터티에 대한 작업 선택을 보여 주는 작업 수행 마법사

이러한 이메일 작업은 사용자 지정 검색 에도 적용됩니다.

수행된 작업 검토

각 작업은 알림 센터기록(security.microsoft.com/action-center/history)의 알림 센터에> 개별적으로 기록됩니다. 알림 센터로 이동하여 각 작업의 상태 검사.

참고

이 문서의 일부 테이블은 엔드포인트용 Microsoft Defender 사용할 수 없습니다. Microsoft Defender XDR 켜서 더 많은 데이터 원본을 사용하여 위협을 헌팅합니다. 엔드포인트용 Microsoft Defender 고급 헌팅 쿼리 마이그레이션의 단계에 따라 고급 헌팅 워크플로를 엔드포인트용 Microsoft Defender Microsoft Defender XDR 이동할 수 있습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.