고급 헌팅을 통해 위협을 사전 예방적으로 헌팅Proactively hunt for threats with advanced hunting

중요

향상된 Microsoft 365 보안 센터를 공개 미리 보기에서 사용할 수 있습니다.The improved Microsoft 365 security center is now available in public preview. 이 새로운 환경은 Endpoint용 Defender, Office 365용 Defender, Microsoft 365 Defender 등 Microsoft 365 보안 센터에 제공합니다.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 새로운 내용을 자세히 알아보는 것이 있습니다.Learn what's new. 이 항목은 끝점용 Microsoft Defender와 Microsoft 365 Defender 둘 다에 적용될 수 있습니다.This topic might apply to both Microsoft Defender for Endpoint and Microsoft 365 Defender. 적용 적용 섹션을 참조하고 이 문서에서 차이점이 있을 수 있는 특정 통화를 찾아보십시오.Refer to the Applies To section and look for specific call outs in this article where there might be differences.

적용 대상:Applies to:

끝점용 Defender를 경험하고 싶나요?Want to experience Defender for Endpoint? 무료 평가판에 등록하세요.Sign up for a free trial.

고급 헌팅은 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다.Advanced hunting is a query-based threat-hunting tool that lets you explore up to 30 days of raw data. 네트워크에서 이벤트를 사전 검사하여 위협 표시기 및 엔터티를 찾을 수 있습니다.You can proactively inspect events in your network to locate threat indicators and entities. 데이터에 대한 유연한 액세스를 통해 알려진 위협과 잠재적 위협 모두에 대한 제한 없는 헌팅을 사용할 수 있습니다.The flexible access to data enables unconstrained hunting for both known and potential threats.

이 비디오를 시청하여 고급 헌팅에 대한 간략한 개요와 빠르게 시작할 수 있는 짧은 자습서를 시청하세요.Watch this video for a quick overview of advanced hunting and a short tutorial that will get you started fast.

동일한 위협 헌팅 쿼리를 사용하여 사용자 지정 검색 규칙을 만들 수 있습니다.You can use the same threat-hunting queries to build custom detection rules. 이러한 규칙은 자동으로 실행되어 의심되는 위반 활동, 잘못 구성한 컴퓨터 및 기타 결과를 확인한 후 대응합니다.These rules run automatically to check for and then respond to suspected breach activity, misconfigured machines, and other findings.

Microsoft Threat Protection의 고급 헌팅을 사용하여 Endpoint용 Defender, Office 365용 Microsoft Defender, Microsoft Cloud App Security 및 ID용 Microsoft Defender의 데이터를 사용하여 위협을 헌팅합니다.Use advanced hunting in Microsoft Threat Protection to hunt for threats using data from Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity. Microsoft 365 Defender 켜기Turn on Microsoft 365 Defender

고급 헌팅 시작Get started with advanced hunting

다음 단계를 수행하여 고급 헌팅 지식을 쌓습니다.Go through the following steps to ramp up your advanced hunting knowledge.

고급 헌팅을 빠르게 시작하고 실행하기 위해 몇 가지 단계를 진행하는 것이 좋습니다.We recommend going through several steps to quickly get up and running with advanced hunting.

학습 목표Learning goal 설명Description 리소스Resource
언어 학습Learn the language 고급 헌팅은 Kusto쿼리 언어를 기반으로 하여 동일한 구문과 연산자를 지원합니다.Advanced hunting is based on Kusto query language, supporting the same syntax and operators. 첫 번째 쿼리를 실행하여 쿼리 언어 학습을 시작하십시오.Start learning the query language by running your first query. 쿼리 언어 개요Query language overview
쿼리 결과 사용 방법 학습Learn how to use the query results 결과를 보거나 내보낼 수 있는 차트 및 다양한 방법에 대해 자세히 알아보습니다.Learn about charts and various ways you can view or export your results. 보다 풍부한 정보를 얻을 수 있도록 쿼리를 빠르게 조정하고 드릴다운하는 방법을 살펴보아야 합니다.Explore how you can quickly tweak queries and drill down to get richer information. 쿼리 결과 작업Work with query results
스키마 이해Understand the schema 이 경우 각 테이블의 열에 대한 이해를 높입니다.Get a good, high-level understanding of the tables in the schema and their columns. 쿼리를 구성할 때 데이터를 검색할 위치를 알 수 있습니다.Learn where to look for data when constructing your queries. Schema referenceSchema reference
미리 정의한 쿼리 사용Use predefined queries 다양한 위협 헌팅 시나리오를 다루는 미리 정의한 쿼리 모음을 탐색합니다.Explore collections of predefined queries covering different threat hunting scenarios. 공유 쿼리Shared queries
쿼리 최적화 및 오류 처리Optimize queries and handle errors 효율적이고 오류가 없는 쿼리를 만드는 방법을 이해합니다.Understand how to create efficient and error-free queries. - 쿼리 모범 사례- Query best practices
- 오류 처리- Handle errors
가장 완전한 적용 범위 얻기Get the most complete coverage 감사 설정을 사용하여 조직에 더 나은 데이터 범위를 제공합니다.Use audit settings to provide better data coverage for your organization. - 고급 헌팅 범위 확장- Extend advanced hunting coverage
빠른 조사 실행Run a quick investigation 고급 헌팅 쿼리를 빠르게 실행하여 의심스러운 활동을 조사합니다.Quickly run an advanced hunting query to investigate suspicious activity. - 이동 헌트로 엔터티 또는 이벤트 정보를 빠르게 헌팅- Quickly hunt for entity or event information with go hunt
위협 포함 및 손상 해결Contain threats and address compromises 파일을 검색하고, 앱 실행을 제한하고, 기타 작업을 수행하여 공격에 대응Respond to attacks by quarantining files, restricting app execution, and other actions - 고급 헌팅 쿼리 결과에 대한 작업 수행- Take action on advanced hunting query results
사용자 지정 검색 규칙 만들기Create custom detection rules 고급 헌팅 쿼리를 사용하여 경고를 트리거하고 응답 작업을 자동으로 수행할 수 있는 방법을 이해합니다.Understand how you can use advanced hunting queries to trigger alerts and take response actions automatically. - 사용자 지정 검색 개요- Custom detections overview
- 사용자 지정 검색 규칙- Custom detection rules

데이터 최신성 및 업데이트 빈도Data freshness and update frequency

고급 헌팅 데이터는 서로 다른 두 가지 유형으로 분류할 수 있습니다.Advanced hunting data can be categorized into two distinct types, each consolidated differently.

  • 이벤트 또는 활동 데이터- 경고, 보안 이벤트, 시스템 이벤트 및 일상적인 평가에 대한 테이블을 채우습니다.Event or activity data—populates tables about alerts, security events, system events, and routine assessments. 고급 헌팅은 이를 수집하는 센서가 끝점용 Defender로 전송한 직후에 이 데이터를 수신합니다.Advanced hunting receives this data almost immediately after the sensors that collect them successfully transmit them to Defender for Endpoint.
  • 엔터티 데이터- 사용자 및 장치에 대한 통합 정보로 테이블을 채우는 경우.Entity data—populates tables with consolidated information about users and devices. 이 데이터는 Active Directory 항목 및 이벤트 로그와 같은 비교적 정적 데이터 원본과 동적 원본 모두에서 온 것입니다.This data comes from both relatively static data sources and dynamic sources, such as Active Directory entries and event logs. 새 데이터를 제공하기 위해 표는 15분마다 새 정보로 업데이트되어 완전히 채워지지 않을 수 있는 행을 추가합니다.To provide fresh data, tables are updated with any new information every 15 minutes, adding rows that might not be fully populated. 24시간마다 데이터가 통합되어 각 엔터티에 대한 가장 포괄적인 최신 데이터 집합이 포함된 레코드를 삽입합니다.Every 24 hours, data is consolidated to insert a record that contains the latest, most comprehensive data set about each entity.

표준 시간대Time zone

고급 헌팅의 시간 정보는 현재 UTC 표준 시간대에 있습니다.Time information in advanced hunting is currently in the UTC time zone.

관련 항목Related topics