4단계 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트에 대응

이 문서에서는 심사, 조사 및 해결을 포함하는 Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트를 해결하는 일반적인 단계 및 절차를 제공합니다. Microsoft Sentinel 및 Microsoft Defender XDR 공유:

• 수명 주기(상태, 소유자, 분류)의 업데이트 제품 간에 공유됩니다.
• 조사 중에 수집된 증거는 Microsoft Sentinel 인시던트에 표시됩니다.

다음 다이어그램에서는 Microsoft의 XDR(확장 검색 및 응답) 솔루션이 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.

이 다이어그램에서

• 전체 조직에서 신호의 인사이트는 Microsoft Defender XDR 및 클라우드용 Microsoft Defender 피드합니다.
• Microsoft Defender XDR 및 클라우드용 Microsoft Defender 일련의 Microsoft Sentinel 커넥터를 통해 SIEM 로그 데이터를 보냅니다.
• 그런 다음 SecOps 팀은 위협을 분석하고 대응할 수 있습니다.
• Microsoft Sentinel은 다중 클라우드 환경을 지원하고 타사 앱 및 파트너와 통합합니다.

Microsoft Defender와 Microsoft Sentinel의 통합에 대한 자세한 내용은 Microsoft Sentinel과 Microsoft Defender XDR 통합을 참조하세요. 이 대화형 가이드 에서는 Microsoft의 SIEM(통합 보안 정보 및 이벤트 관리) 및 XDR(확장 검색 및 대응) 기능을 사용하여 최신 공격을 감지하고 대응하는 단계를 안내합니다.

인시던트 대응 프로세스

Microsoft Sentinel 및 Microsoft Defender XDR을 사용하여 인시던트를 해결하기 위한 인시던트 대응 프로세스는 다음과 같습니다.

1. Microsoft Sentinel 포털을 사용하여 인시던트 세부 정보를 이해하고 즉각적인 조치를 취하는 등 잠재적인 인시던트 심사를 수행합니다.

2. Microsoft Defender 포털로 이동하여 조사를 시작합니다. 다음 내용이 포함됩니다.

   • 인시던트 및 해당 범위를 이해하고 자산 타임라인 검토합니다.
   • 자체 복구 보류 중인 작업을 검토하고, 엔터티를 수동으로 수정하고, 라이브 응답을 수행합니다.
   • 방지 조치 추가.

3. 필요한 경우 Microsoft Sentinel 포털에서 조사를 계속합니다. 다음 내용이 포함됩니다.

   • 인시던트 범위를 이해합니다(보안 프로세스, 정책 및 프로시저 [3P]와 상관 관계).
   • 3P 자동화된 조사 및 수정 작업을 수행하고 SOAR(사용자 지정 보안 오케스트레이션, 자동화 및 응답) 플레이북을 만듭니다.
   • 인시던트 관리를 위한 기록 증거입니다.
   • 사용자 지정 측정값 추가

4. Microsoft Sentinel 포털에서 인시던트 해결 및 보안 팀 내에서 적절한 후속 조치를 수행합니다.

Microsoft Sentinel 내에서 플레이북 및 자동화 규칙을 활용할 수 있습니다.

• 플레이북은 Microsoft Sentinel 포털에서 루틴으로 실행할 수 있는 조사 및 수정 작업의 컬렉션입니다. 플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 될 수 있습니다. 인시던트, 엔터티 및 경고에 대해 수동으로 실행하거나 자동화 규칙에 의해 트리거될 때 특정 경고 또는 인시던트에 대한 응답으로 자동으로 실행되도록 설정할 수 있습니다. 자세한 내용은 플레이북을 사용하여 위협 대응 자동화를 참조 하세요.
• 자동화 규칙은 다양한 시나리오에 적용할 수 있는 작은 규칙 집합을 정의하고 조정할 수 있도록 하여 Microsoft Sentinel에서 자동화를 중앙 관리하는 방법입니다. 자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조 하세요.

다음 섹션에서는 Microsoft Sentinel 및 Microsoft Defender 포털을 사용하는 일반적인 인시던트 대응 프로세스에 대해 설명합니다.

1단계: Microsoft Sentinel 포털에서 인시던트 심사

다음 단계를 일반적인 방법으로 사용하여 Microsoft Sentinel을 사용하여 인시던트를 심사합니다.

1. Microsoft Sentinel 포털을 엽니다.
2. 인시던트 선택 및 의심스러운 인시던트 찾기 ID, 제목, 태그, 인시던트 소유자, 엔터티 또는 제품별로 인시던트 검색할 수 있습니다.
3. 인시던트가 찾은 후 인시던트 요약 창(미리 보기)에서 전체 세부 정보 보기를 선택합니다.
4. 개요 탭에서 인시던트 요약, 타임라인, 엔터티, 상위 인사이트, 유사한 인시던트 및 기타 정보를 확인합니다. 인시던트에서 이전에 만든 플레이북을 실행하려면 인시던트 작업을 선택한 다음 플레이북 실행(미리 보기)을 선택합니다.
5. 엔터티 탭에서 목록에서 관심 있는 엔터티를 찾습니다. 검색 상자를 사용하여 엔터티의 이름을 검색하거나 엔터티 형식을 필터링할 수 있습니다.
6. 엔터티에서 이전에 만든 플레이북을 실행하려면 엔터티를 선택한 다음 플레이북 실행을 선택합니다. 플레이북 실행 창에서 만든 플레이북에 대해 실행을 선택하고 엔터티에 대한 추가 정보를 생성하려면 이 인시던트가 필요합니다.
7. 엔터티 창의 Insights 섹션에서 엔터티에 대한 정보를 수집하는 데 필요한 적절한 인사이트 범주를 선택합니다. 여기에 표시된 인사이트는 첫 번째 경고가 생성되기 전의 지난 24시간을 기반으로 합니다. 전체 세부 정보를 클릭하면 구성 가능한 시간 범위와 함께 더 많은 인사이트가 표시됩니다.
8. 인시던트 및 메모 탭을 선택합니다.
9. 플레이북이 자동으로 또는 수동으로 실행된 경우 인시던트에 대해 생성된 주석을 검토합니다.

자세한 내용은 Microsoft Sentinel에서 인시던트 탐색 및 조사를 참조 하세요.

2단계: Microsoft Defender 포털에서 인시던트 조사

다음 단계를 일반적인 방법으로 사용하여 Microsoft Defender XDR을 사용하여 인시던트를 조사합니다.

1. Microsoft Sentinel 포털(미리 보기)의 인시던트 페이지에서 요약 창의 Microsoft Defender XDR에서 조사를 선택합니다.
2. Microsoft Defender 포털의 공격 스토리 탭에서 Microsoft Defender XDR로 조사를 시작합니다. 사용자 고유의 인시던트 대응 워크플로에 다음 단계를 사용하는 것이 좋습니다.
3. 인시던트의 공격 스토리를 보고 해당 범위, 심각도, 검색 원본 및 영향을 받는 엔터티를 이해합니다.
4. 인시던트 내의 경고 스토리를 사용하여 해당 원본, 범위 및 심각도를 이해하기 위해 경고를 분석하기 시작합니다.
5. 필요에 따라 그래프를 사용하여 영향을 받은 디바이스, 사용자 및 사서함에 대한 정보를 수집합니다. 모든 엔터티를 클릭하여 모든 세부 정보가 포함된 플라이아웃을 엽니다.
6. 조사 탭을 사용하여 Microsoft Defender XDR이 일부 경고를 자동으로 해결하는 방법을 알아봅니다 .
7. 필요에 따라 증거 및 응답 탭에서 인시던트에 대한 데이터 집합의 정보를 사용합니다.

자세한 내용은 Microsoft Defender XDR을 사용한 인시던트 응답을 참조하세요.

3단계: 필요에 따라 Microsoft Sentinel 포털에서 조사를 계속합니다.

향상된 인시던트 페이지(미리 보기)를 사용하여 Microsoft Sentinel에서 인시던트 조사를 계속하려면 이 단계를 일반적인 방법으로 사용합니다.

1. Microsoft Sentinel 포털에서 인시던트 큐에서 인시던트 큐를 찾아 선택한 다음 인시던트 요약 창에서 전체 세부 정보 보기를 선택합니다.

2. 개요 탭 창에서:

   a. 인시던트 타임라인 확인합니다.

   b. 엔터티 목록을 스크롤합니다.

   c. 관련 인시던트 목록을 참조하세요.

   d. 인시던트에 대한 주요 인사이트를 확인합니다.

   e. 플레이북 실행 또는 자동화 규칙 만들기와 같은 추가 인시던트 작업을 수행합니다.

   f. 조사를 선택하여 인시던트 그래프를 확인합니다.

3. 엔터티 탭 창에서:

   a. 선택한 엔터티에 대한 세부 정보 및 인사이트를 봅니다.

   b. 필요에 따라 사용 가능한 경우 플레이북(미리 보기)을 실행합니다.

4. 인시던트에 주석을 추가하여 작업 및 분석 결과를 기록합니다.

자세한 내용은 Microsoft Sentinel에서 인시던트 탐색 및 조사를 참조 하세요.

4단계: 인시던트 해결

조사가 결론에 도달하고 포털 내에서 인시던트를 수정한 경우 인시던트의 상태 종료됨으로 설정하여 Microsoft Sentinel 포털에서 인시던트를 해결할 수 있습니다.

1. 향상된 인시던트 페이지(미리 보기)를 사용하여 Microsoft Sentinel 포털에서 인시던트 큐에서 인시던트 위치를 찾아 선택합니다. 인시던트에 대한 상태 드롭다운에서 닫힘을 선택한 다음 분류를 선택합니다.

   • 진양성 – 의심스러운 활동
   • 무해한 양성 - 의심스럽지만 예상되는 활동
   • 가양성 - 잘못된 경고 논리
   • 가양성 - 잘못된 데이터
   • 결정되지 않음

   분류를 선택하면 인시던트에 대한 데이터는 Microsoft에서 권장 사항 및 상관 관계 정보를 제공하는 데 도움이 되는 기계 학습 모델에 입력됩니다.

2. 또한 인시던트에 대한 의견을 제공하라는 메시지가 표시됩니다. 다음과 같은 세부 정보를 추가할 수 있습니다.

   • 보안 팀에서 사용되는 코드 또는 약어 또는 표준 설명이 있는 공격 유형입니다.
   • 이 사건에 참여한 사람들의 이름입니다.
   • 공격의 영향을 받은 주요 엔터티입니다.
   • 수정 작업 및 전략에 대한 참고 사항입니다.

   다음은 예제입니다.

   

3. 적용을 선택하여 인시던트 해결 Microsoft Sentinel에서 인시던트가 닫히면 인시던트 상태 Microsoft Defender XDR 및 클라우드용 Microsoft Defender 동기화됩니다.

4. 필요에 따라 인시던트 대응 리드에 보고하여 다음과 같은 추가 작업을 결정할 수 있는 후속 조치를 확인합니다.

   • 계층 1 보안 분석가에게 공격을 조기에 더 잘 감지하도록 알릴 수 있습니다.
   • 유사한 위협 대응을 자동화하고 오케스트레이션하는 오케스트레이션 플레이북을 만듭니다. 자세한 내용은 Microsoft Sentinel의 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
   • 보안 공격 추세에 대한 Microsoft Defender XDR 위협 분석 및 보안 커뮤니티의 공격을 조사합니다.
   • 필요에 따라 인시던트 해결에 사용한 워크플로를 기록하고 표준 워크플로, 프로세스, 정책 및 플레이북을 업데이트합니다.
   • 보안 구성의 변경이 필요한지 여부를 확인하고 구현합니다.

권장 교육

다음은 이 단계에 권장되는 학습 모듈입니다.

Microsoft Sentinel의 보안 인시던트 관리

학습	Microsoft Sentinel의 보안 인시던트 관리
	이 모듈에서는 Microsoft Sentinel 인시던트 관리를 조사하고, Microsoft Sentinel 이벤트와 엔터티에 대해 알아보고, 인시던트를 해결하는 방법을 찾습니다.

시작 >

최신 운영 사례를 통해 안정성 향상: 인시던트 대응

학습	최신 운영 사례를 사용하여 안정성 향상 교육: 인시던트 대응
	효율적인 인시던트 대응의 기본 사항과 이런 대응을 가능하게 하는 Azure 도구를 알아보세요.

시작 >

Microsoft 365 보안 인시던트 관리 이해

학습	Microsoft 365 보안 인시던트 관리 이해
	Microsoft 365에서 보안 문제를 조사 및 관리하고 보안 문제에 대응하여 고객과 Microsoft 365 클라우드 환경을 보호하는 방법을 알아봅니다.

시작 >

다음 단계

• Microsoft Sentinel 및 Microsoft Defender 포털 내의 인시던트 대응 프로세스에 대한 자세한 내용은 Microsoft Defender XDR을 사용하여 Microsoft Sentinel 및 인시던트 대응에서 인시던트 탐색 및 조사를 참조하세요.
• Microsoft 보안 모범 사례에 대한 인시던트 응답 개요를 참조하세요.
• 일반적인 사이버 공격에 대응하기 위한 워크플로 및 검사 목록에 대한 인시던트 응답 플레이북을 참조하세요.

참조

다음 리소스를 사용하여 이 문서에 멘션 다양한 서비스 및 기술에 대해 알아봅니다.

• Microsoft Sentinel과 Microsoft Defender XDR 통합
• 통합 SIEM 및 XDR 기능 대화형 가이드
• Microsoft Sentinel의 플레이북으로 위협 대응 자동화
• 플레이북을 사용하여 위협 대응 자동화
• 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 대응 자동화
• Microsoft Defender XDR 위협 분석

인시던트 대응에 대해 자세히 알아보려면 다음 리소스를 사용합니다.

• Microsoft Sentinel에서 인시던트 탐색 및 조사
• Microsoft Defender XDR을 사용한 인시던트 대응
• 인시던트 대응 개요
• 인시던트 대응 플레이북