다음을 통해 공유

Microsoft Defender 포털에서 경고 상관 관계 및 인시던트 병합

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Microsoft Defender 포털이 경고를 생성하고 포털로 보내는 모든 원본에서 수집하는 경고를 집계하고 상호 연결하는 방법을 설명합니다. Defender가 이러한 경고에서 인시던트 생성 방법 및 진화를 계속 모니터링하여 상황이 보증되는 경우 인시던트가 병합되는 방법을 설명합니다. 경고 및 해당 원본에 대한 자세한 내용과 인시던트가 Microsoft Defender 포털에서 가치를 추가하는 방법에 대한 자세한 내용은 Microsoft Defender 포털에서 인시던트 및 경고를 참조하세요.

인시던트 생성 및 경고 상관 관계

Microsoft Defender 포털의 인시던트 및 경고에 설명된 대로 Microsoft Defender 포털의 다양한 검색 메커니즘에 의해 경고가 생성되면 다음 논리에 따라 새 인시던트 또는 기존 인시던트에 배치됩니다.

  • 경고가 특정 시간 프레임 내의 모든 경고 원본에서 충분히 고유하면 Defender에서 새 인시던트가 만들어지고 경고가 추가됩니다.
  • 경고가 특정 시간 프레임 내에 동일한 원본 또는 여러 원본의 다른 경고와 충분히 관련된 경우 Defender는 기존 인시던트에 경고를 추가합니다.

Defender 포털에서 단일 인시던트에서 경고를 상호 연결하는 데 사용하는 기준은 독점적인 내부 상관 관계 논리의 일부입니다. 또한 이 논리는 새 인시던트에 적절한 이름을 지정해야 합니다.

경고의 수동 상관 관계

Microsoft Defender 이미 고급 상관 관계 메커니즘을 사용하지만 지정된 경고가 특정 인시던트에 속하는지 여부를 다르게 결정할 수 있습니다. 이러한 경우 한 인시던트에서 경고를 연결 해제하고 다른 인시던트에 연결할 수 있습니다. 모든 경고는 인시던트에 속해야 하므로 경고를 다른 기존 인시던트에 연결하거나 해당 지점에서 만든 새 인시던트에 연결할 수 있습니다.

지침은 Microsoft Defender 포털에서 다른 인시던트에 경고 연결을 참조하세요.

인시던트 상관 관계 및 병합

인시던트가 생성되면 Defender 포털의 상관 관계 활동이 중지되지 않습니다. Defender는 인시던트 간 및 인시던트 간 경고 간에 공통점과 관계를 계속 검색합니다. 두 개 이상의 인시던트가 충분히 비슷하게 결정되면 Defender는 인시던트 하나를 단일 인시던트에 병합합니다.

인시던트 병합 기준

Defender의 상관 관계 엔진은 데이터에 대한 심층 지식과 공격 동작에 따라 별도의 인시던트에서 경고 간의 공통 요소를 인식할 때 인시던트가 병합됩니다. 이러한 요소 중 일부는 다음과 같습니다.

  • 엔터티 - 사용자, 디바이스, 사서함 등과 같은 자산
  • 아티팩트 - 파일, 프로세스, 전자 메일 보낸 사람 등
  • 시간 프레임
  • 다단계 공격을 가리키는 이벤트 시퀀스(예: 피싱 이메일 검색에 밀접하게 따르는 악의적인 이메일 클릭 이벤트).

병합 프로세스의 결과

두 개 이상의 인시던트가 병합되면 이를 흡수하기 위해 새 인시던트가 만들어지지 않습니다. 대신 한 인시던트 내용이 다른 인시던트로 마이그레이션되고 프로세스에서 중단된 인시던트가 자동으로 닫힙니다. 중단된 인시던트가 Defender 포털에서 더 이상 표시되거나 사용할 수 없으며, 이에 대한 참조는 통합 인시던트로 리디렉션됩니다. 버려진 폐쇄 된 사건은 Azure Portal Microsoft Sentinel 액세스 할 수 있습니다. 인시던트 내용은 다음과 같은 방법으로 처리됩니다.

  • 중단된 인시던트에 포함된 경고는 해당 인시던트에서 제거되고 통합 인시던트에 추가됩니다.
  • 중단된 인시던트에 적용된 모든 태그는 해당 태그에서 제거되고 통합 인시던트에 추가됩니다.
  • Redirected 태그가 중단된 인시던트에 추가됩니다.
  • 엔터티(자산 등)는 연결된 경고를 따릅니다.
  • 중단된 인시던트 생성과 관련하여 기록된 분석 규칙은 통합 인시던트에 기록된 규칙에 추가됩니다.
  • 현재 중단된 인시던트에 대한 메모 및 활동 로그 항목은 통합 인시던트로 이동 되지 않습니다 .

버려진 사건의 의견과 활동 기록을 보려면 Azure Portal Microsoft Sentinel 인시던트 를 엽니다. 활동 기록에는 인시던트 닫기와 인시던트 병합과 관련된 경고, 태그 및 기타 항목의 추가 및 제거가 포함됩니다. 이러한 활동은 ID Microsoft Defender XDR - 경고 상관 관계에 기인합니다.

인시던트가 병합되지 않는 경우

상관 관계 논리에서 두 인시던트가 병합되어야 한다고 나타내는 경우에도 Defender는 다음과 같은 상황에서 인시던트 병합하지 않습니다.

  • 인시던트 중 하나에 "Closed"의 상태 있습니다. 해결된 인시던트가 다시 열리지 않습니다.
  • 병합할 수 있는 두 인시던트가 서로 다른 두 사람에게 할당됩니다.
  • 두 인시던트가 병합되면 병합된 인시던트에 있는 엔터티 수가 인시던트당 허용되는 최대 50개 엔터티보다 높아질 수 있습니다.
  • 두 인시던트에는 organization 정의된 다른 디바이스 그룹의 디바이스가 포함됩니다.
    (이 조건은 기본적으로 적용되지 않습니다. 사용하도록 설정해야 합니다.)

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.

다음 단계

인시던트 우선 순위 지정 및 관리에 대한 자세한 내용은 다음 문서를 참조하세요.

참고 항목