Microsoft Defender XDR Office 365용 Microsoft Defender 인시던트 및 경고 관리

• 적용 대상:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Microsoft Defender XDR 인시던트 는 공격의 전체 스토리를 정의하는 상관 관계 경고 및 관련 데이터의 컬렉션입니다. Office 365용 Defender 경고, AIR(자동 조사 및 대응) 및 조사 결과는 기본적으로 의 Microsoft Defender XDR https://security.microsoft.com/incidents-queue인시던트 페이지에서 통합되고 상관 관계가 지정됩니다. 이 페이지를 인시던트 큐라고 합니다.

악의적이거나 의심스러운 활동이 엔터티(예: 전자 메일, 사용자 또는 사서함)에 영향을 줄 때 경고가 생성됩니다. 경고는 진행 중 또는 완료된 공격에 대한 중요한 인사이트를 제공합니다. 그러나 지속적인 공격은 여러 엔터티에 영향을 줄 수 있으며, 이로 인해 여러 원본에서 여러 경고가 발생합니다. 일부 기본 제공 경고는 AIR 플레이북을 자동으로 트리거합니다. 이러한 플레이북은 영향을 받은 다른 엔터티 또는 의심스러운 활동을 찾기 위해 일련의 조사 단계를 수행합니다.

Microsoft Defender XDR Office 365용 Microsoft Defender 경고를 관리하는 방법에 대한 이 짧은 비디오를 시청하세요.

Office 365용 Defender 경고, 조사 및 해당 데이터는 자동으로 상관 관계가 지정됩니다. 관계가 결정되면 시스템은 보안 팀이 전체 공격에 대한 가시성을 제공하는 인시던트를 만듭니다.

SecOps 팀은 의 인시던트 큐https://security.microsoft.com/incidents-queue에 있는 Office 365용 Defender 인시던트 및 경고를 관리하는 것이 좋습니다. 이 방법은 다음과 같은 이점이 있습니다.

• 관리를 위한 여러 옵션:

  • 우선 순위
  • 필터링
  • 분류
  • 태그 관리

  큐에서 직접 인시던트 작업을 수행하거나 다른 사람에게 할당할 수 있습니다. 메모 및 메모 기록은 진행 상황을 추적하는 데 도움이 될 수 있습니다.

• 공격이 Microsoft Defender^* 의해 보호되는 다른 워크로드에 영향을 미치는 경우 관련 경고, 조사 및 해당 데이터도 동일한 인시던트와 상관 관계가 있습니다.

  ^*엔드포인트용 Microsoft Defender, Microsoft Defender for Identity 및 Microsoft Defender for Cloud Apps.

• 시스템에서 논리를 제공하므로 복잡한 상관 관계 논리는 필요하지 않습니다.

• 상관 관계 논리가 요구 사항을 완전히 충족하지 않는 경우 기존 인시던트에 경고를 추가하거나 새 인시던트 생성을 수행할 수 있습니다.

• 관련 Office 365용 Defender 경고, AIR 조사 및 조사 보류 중인 작업이 인시던트에 자동으로 추가됩니다.

• AIR 조사에서 위협이 발견되지 않으면 시스템에서 관련 경고를 자동으로 해결합니다. 인시던트 내의 모든 경고가 해결되면 인시던트 상태 해결됨으로 변경됩니다.

• 관련 증거 및 대응 작업은 인시던트 증거 및 응답 탭에서 자동으로 집계됩니다.

• 보안 팀 구성원은 인시던트에서 직접 응답 작업을 수행할 수 있습니다. 예를 들어 사서함에서 전자 메일을 일시 삭제하거나 사서함에서 의심스러운 받은 편지함 규칙을 제거할 수 있습니다.

• 권장 전자 메일 작업은 악성 전자 메일의 최신 배달 위치가 클라우드 사서함인 경우에만 만들어집니다.

• 보류 중인 전자 메일 작업은 최신 배달 위치에 따라 업데이트됩니다. 전자 메일이 수동 작업에 의해 이미 수정된 경우 상태 이를 반영합니다.

• 권장 작업은 가장 중요한 위협으로 확인된 이메일 및 메일 클러스터에 대해서만 생성됩니다.

  • 맬웨어
  • 높은 정확도 피싱
  • 악의적인 URL
  • 악성 파일

참고

인시던트가 정적 이벤트만 나타내는 것은 아닙니다. 또한 시간이 지남에 따라 발생하는 공격 스토리를 나타냅니다. 공격이 진행됨에 따라 새로운 Office 365용 Defender 경고, AIR 조사 및 해당 데이터가 기존 인시던트에 지속적으로 추가됩니다.

의 Microsoft Defender 포털https://security.microsoft.com/incidents-queue에서 인시던트 페이지에서 인시던트 관리

에서 Microsoft Sentinelhttps://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel의 인시던트 페이지에서 인시던트 관리

수행할 응답 작업

보안 팀은 Office 365용 Defender 도구를 사용하여 전자 메일에 대해 다양한 응답 작업을 수행할 수 있습니다.

• 메시지를 삭제할 수 있지만 전자 메일에서 다음 작업을 수행할 수도 있습니다.

  • 받은 편지함으로 이동
  • 정크로 이동
  • 지운 편지함으로 이동
  • 일시 삭제
  • 하드 삭제.

  다음 위치에서 이러한 작업을 수행할 수 있습니다.

  • 인시던트 페이지**https://security.microsoft.com/incidents-queue에 있는 인시던트 세부 정보의 증거 및 응답 탭(권장)입니다.
  • 에서 위협 Explorerhttps://security.microsoft.com/threatexplorer.
  • 의 통합 알림 센터 입니다 https://security.microsoft.com/action-center/pending.

• 위협 Explorer 트리거 조사 작업을 사용하여 전자 메일 메시지에서 AIR 플레이북을 수동으로 시작할 수 있습니다.

• 위협 Explorer 또는 관리자 제출을 사용하여 가양성 또는 거짓 부정 검색을 Microsoft에 직접 보고할 수 있습니다.

• 테넌트 허용/차단 목록을 사용하여 검색되지 않은 악성 파일, URL 또는 보낸자를 차단할 수 있습니다.

Office 365용 Defender 작업은 헌팅 환경에 원활하게 통합되며 작업의 기록은 의 통합 알림 센터의https://security.microsoft.com/action-center/history기록 탭에 표시됩니다.

작업을 수행하는 가장 효과적인 방법은 Microsoft Defender XDR 인시던트와 기본 제공 통합을 사용하는 것입니다. Microsoft Defender XDR 인시던트 증거 및 대응 탭에서 Office 365용 Defender AIR에서 권장한 작업을 승인할 수 있습니다. 이 태킹 작업 방법은 다음과 같은 이유로 권장됩니다.

• 전체 공격 스토리를 조사합니다.
• 다른 워크로드(엔드포인트용 Microsoft Defender, Microsoft Defender for Identity 및 Microsoft Defender for Cloud Apps)와의 기본 제공 상관 관계를 활용할 수 있습니다.
• 한 곳에서 전자 메일에 대한 작업을 수행합니다.

수동 조사 또는 헌팅 작업의 결과에 따라 전자 메일에 대한 조치를 취합니다. 위협 Explorer 통해 보안 팀 구성원은 클라우드 사서함에 여전히 존재할 수 있는 전자 메일 메시지에 대해 조치를 취할 수 있습니다. organization 사용자 간에 전송된 조직 내 메시지에 대한 작업을 수행할 수 있습니다. 위협 Explorer 데이터는 지난 30일 동안 사용할 수 있습니다.

이 짧은 비디오를 시청하여 Microsoft Defender XDR Office 365용 Defender 같은 다양한 검색 원본의 경고를 인시던트에 결합하는 방법을 알아봅니다.