다음을 통해 공유


Microsoft Defender 인시던트 관리

인시던트 관리는 인시던트 워크플로에서 시간을 최적화하고 위협을 보다 신속하게 억제하고 해결하기 위해 인시던트 이름을 지정하고 할당하고 태그를 지정하는 데 중요합니다.

Microsoft Defender 포털(security.microsoft.com)의 빠른 시작 시조사 & 대응 > 인시던트 & 경고 > 인시던트에서 인시던트 관리 다음은 예입니다.

Microsoft Defender 포털의 인시던트 큐 및 빠른 실행 창을 보여 주는 스크린샷

이 문서에서는 인시던트의 수명 주기에서 여러 단계와 관련된 다양한 인시던트 관리 작업을 수행하는 방법을 보여 줍니다.

인시던트 심사:

인시던트 조사 및 해결:

인시던트 로깅 및 보고:

시던트 관리 창에 액세스

이러한 작업의 대부분은 인시던트에 대한 인시던트 관리 창에서 액세스할 수 있습니다. 여러 위치에서 이 창에 연결할 수 있습니다.

인시던트 큐에서

  1. Microsoft Defender 포털의 빠른 시작에서 조사 & 응답 > 인시던트 > & 경고 인시던트 를 선택합니다.

  2. 인시던트 큐에서 다음 두 가지 방법 중 하나로 인시던트 관리 창에 액세스합니다.

    • 인시던트 검사 상자를 선택하고 필터 위의 도구 모음에서 인시던트 관리를 선택합니다. 여러 검사 상자를 선택하여 많은 인시던트 관리를 한 번에 관리합니다.

    • 인시던트 세부 정보 창이 표시되도록 인시던트 이름을 선택하지 않고 인시던트 행을 선택하고 인시던트 세부 정보 창에서 인시던트 관리를 선택합니다.

      Microsoft Defender 포털의 인시던트 큐에서 인시던트 관리 방법을 보여 주는 스크린샷

인시던트 페이지에서

  1. Microsoft Defender 포털의 빠른 시작에서 조사 & 응답 > 인시던트 > & 경고 인시던트 를 선택합니다.

  2. 큐에서 인시던트 이름을 선택합니다. 또는 큐에서 인시던트 행을 선택한 다음 인시던트 세부 정보 창에서 인시던트 페이지 열기 를 선택합니다.

  3. 인시던트 페이지의 위쪽 패널에서 인시던트 관리를 선택합니다.

    인시던트 관리가 표시되지 않으면 오른쪽 위 모서리에 있는 세 개의 점("인시던트 관리" 옆에 있는 다음 스크린샷에 표시됨)을 선택하고 표시되는 메뉴에서 선택합니다.

    Microsoft Defender 포털의 인시던트 페이지에서 인시던트를 관리하는 방법을 보여 주는 스크린샷

인시던트 심사

다음 관리 작업은 인시던트 심사와 밀접하게 연관되어 있지만 언제든지 수행할 수 있습니다.

소유자에게 인시던트 할당

기본적으로 새 인시던트가 소유자 없이 만들어집니다. SecOps 팀에는 소유자에게 인시던트 자동 할당을 위한 메커니즘과 절차가 있어야 합니다. 에스컬레이션 또는 잘못된 원래 할당의 경우 인시던트를 다시 할당해야 할 수 있습니다.

소유자 할당

인시던트에 새 소유자를 수동으로 할당하려면 다음 단계를 수행합니다.

  1. 열기 섹션의 지침에 따라 인시던트 관리 창에 액세스합니다.

  2. 할당 대상 상자를 선택합니다. 제안된 담당자의 드롭다운 목록이 나타납니다.

  3. 인시던트 할당하려는 사용자 또는 그룹 계정이 표시되면 선택합니다.

    그렇지 않으면 목록 맨 위에 있는 텍스트 상자에 원하는 사용자 또는 그룹의 이름 또는 계정 ID를 입력하기 시작합니다. 목록은 동적으로 업데이트되고 입력한 항목에 따라 필터링됩니다. 원하는 사용자 또는 그룹이 표시되면 선택합니다.

  4. 방금 추가한 할당을 포함하여 기존 할당을 제거하려면 계정 이름 옆에 있는 X 를 선택합니다. 그런 다음, 다른 할당을 추가하려면 할당 대상 상자를 선택합니다.

    하나의 사용자 또는 그룹 계정만 인시던트에 할당할 수 있습니다.

  5. 저장을 선택합니다.

인시던트 소유권을 할당하면 연결된 모든 경고에 동일한 소유권이 할당됩니다.

Microsoft Defender 포털의 인시던트 관리 창에서 소유자를 할당하는 방법을 보여 주는 스크린샷

특정 소유자에게 할당된 인시던트 보기

특정 사용자 또는 그룹에 할당된 인시던트 목록을 보려면 인시던트 큐를 필터링합니다.

  1. 인시던트 큐에서 인시던트 할당 필터를 선택합니다. 제안된 담당자의 드롭다운 목록이 나타납니다.

    필터 간에 인시던트 할당 이 표시되지 않으면 필터 추가를 선택하고 드롭다운 목록에서 인시던트 할당 을 선택하고 추가를 선택합니다.

  2. 할당된 인시던트가 표시하려는 사용자 계정이 표시되면 선택합니다.

    그렇지 않으면 목록 맨 위에 있는 텍스트 상자에 원하는 사용자 또는 그룹의 이름 또는 계정 ID를 입력하기 시작합니다. 목록은 동적으로 업데이트되고 입력한 항목에 따라 필터링됩니다. 원하는 사용자 또는 그룹이 표시되면 선택합니다.

    인시던트 할당과 달리 여기에서 둘 이상의 담당자를 선택하여 목록을 필터링할 수 있습니다. 필터에 다른 사용자 또는 그룹 계정을 추가하려면 텍스트 상자(필터의 기존 계정 옆에 있음)를 선택하면 제안된 담당자 목록이 다시 나타납니다.

  3. 적용을 선택합니다.

    Microsoft Defender 포털의 인시던트 큐 페이지에서 소유자에게 할당된 인시던트를 보는 방법을 보여 주는 스크린샷

현재 필터가 적용된 인시던트 큐에 대한 링크를 저장하려면 인시던트 큐 페이지의 도구 모음에서 목록 링크 복사 를 선택합니다. 즐겨찾기 또는 바탕 화면에 바로 가기를 만들고 링크를 붙여넣습니다.

인시던트 심각도 할당 또는 변경

인시던트의 심각도는 관련 경고의 가장 높은 심각도에 따라 결정됩니다. 인시던트의 심각도는 높음, 중간, 음 또는 정보로 설정할 수 있습니다.

인시던트의 심각도를 수동으로 할당하거나 변경하려면 다음 단계를 수행합니다.

  1. 열기 섹션의 지침에 따라 인시던트 관리 창에 액세스합니다.

  2. 인시던트 관리 창의 심각도 드롭다운에서 적용할 심각도 값을 선택합니다.

  3. 저장을 선택합니다.

인시던트 태그 추가

사용자 지정 태그는 인시던트에 컨텍스트를 빌려주는 정보를 추가합니다. 예를 들어 태그는 일반적인 특성을 가진 인시던트 그룹에 레이블을 지정할 수 있습니다. 태그는 필터링 기준이므로 나중에 특정 태그를 포함하는 모든 인시던트에 대해 인시던트 큐를 필터링할 수 있습니다. 인시던트에 태그를 적용하려면 다음을 수행합니다.

  1. 열기 섹션의 지침에 따라 인시던트 관리 창에 액세스합니다.

  2. 인시던트 태그 필드에서 적용할 태그의 이름을 입력하기 시작합니다. 입력할 때 이전에 사용되었던 태그 및 선택한 태그 목록이 나타납니다. 목록에 적용할 태그가 표시되면 선택합니다.

    인시던트 관리 창에서 인시던트 태그를 만드는 방법을 보여 주는 스크린샷

    이전에 사용되지 않은 태그 이름을 입력한 경우 목록에서 마지막 항목을 선택합니다. 이 항목은 입력한 텍스트 뒤에 "(새로 만들기)"입니다.

    인시던트 관리 창에서 인시던트에 적용할 태그를 선택하는 방법을 보여 주는 스크린샷

    태그는 인시던트 태그 필드 내에 레이블로 나타납니다. 이 단계를 반복하여 원하는 대로 태그를 더 추가합니다.

    선택한 태그가 인시던트 태그 필드에 표시되는 방법을 보여 주는 스크린샷

  3. 저장을 선택합니다.

인시던트에는 특정 색 배경이 있는 시스템 태그 및/또는 사용자 지정 태그가 있을 수 있습니다. 사용자 지정 태그는 흰색 배경을 사용하고 시스템 태그는 일반적으로 빨간색 또는 검은색 배경색을 사용합니다. 시스템 태그는 인시던트에서 다음을 식별합니다.

  • 자격 증명 피싱 또는 BEC 사기와 같은 공격 유형
  • 자동 조사 및 대응 및 자동 공격 중단과 같은 자동 작업
  • 인시던트를 처리하는 Defender 전문가
  • 시던트에 관련된 중요한 자산

미리 정의된 분류에 따라 Microsoft의 보안 노출 관리 디바이스, ID 및 클라우드 리소스를 중요한 자산으로 자동으로 태그를 지정합니다. 이 기본 제공 기능은 organization 중요하고 가장 중요한 자산을 보호할 수 있도록 합니다. 또한 보안 운영 팀이 조사 및 수정의 우선 순위를 지정하는 데 도움이 됩니다. 중요한 자산 관리에 대해 자세히 알아보세요.

인시던트 상태 변경

인시던트 수명은 활성 상태 시작합니다. 인시던트를 작업할 때 상태를진행 중으로 변경합니다.

인시던트 조사 및 해결

다음 관리 작업은 인시던트 조사 및 해결과 밀접하게 연관되어 있지만 언제든지 수행할 수 있습니다.

인시던트 해결

인시던트가 수정되고 해결되면 다음 작업을 수행하여 해결 방법을 기록합니다.

  1. 열기 섹션의 지침에 따라 인시던트 관리 창에 액세스합니다.

  2. 상태 변경합니다. 상태 드롭다운 목록에서 해결됨을 선택합니다. 인시던트의 상태 해결됨으로 변경하면 상태 필드 바로 다음에 새 필드가 표시됩니다.

  3. 이 필드에 인시던트가 해결된 이유를 설명하는 메모를 입력합니다. 이 메모는 인시던트의 해결을 기록하는 항목 근처의 인시던트의 활동 로그에 표시됩니다.

    인시던트 해결 메모가 있는 인시던트 관리 패널의 스크린샷

    해결 참고 사항은 인시던트 큐 페이지와 해결된 인시던 트 페이지의 인시던트 세부 정보 패널에도 표시됩니다.

    인시던트 세부 정보 패널의 해결 정보 모양 스크린샷

  4. 저장을 선택합니다.

인시던트를 해결하면 인시던트와 관련된 모든 연결 및 활성 경고도 해결됩니다. 확인되지 않은 인시던트가 활성으로 표시됩니다.

인시던트의 분류 지정

인시던트를 resolve 때 또는 인시던트 조사의 어느 시점에서든 인시던트를 분류하는 방법을 알게 되자마자 그에 따라 분류 필드를 설정합니다.

  1. 열기 섹션의 지침에 따라 인시던트 관리 창에 액세스합니다.

  2. 분류 드롭다운 목록에서 적절한 값을 선택합니다.

    • 설정되지 않음 (기본값).
    • 위협 유형이 있는 참 긍정입니다. 실제 위협을 정확하게 나타내는 인시던트에 이 분류를 사용합니다. 위협 유형을 지정하면 보안 팀이 위협 패턴을 보고 조직을 방어하는 데 도움이 됩니다.
    • 활동 유형이 있는 정보 및 예상 활동입니다. 이 범주의 옵션을 사용하여 보안 테스트, 레드 팀 활동 및 신뢰할 수 있는 앱 및 사용자의 예상된 비정상적인 동작에 대한 인시던트 분류를 수행합니다.
    • 판단하는 인시던트 유형에 대한 가양성은 기술적으로 부정확하거나 오해의 소지가 있으므로 무시할 수 있습니다.

    다음 스크린샷에서 이러한 각 분류에 대해 사용 가능한 유형의 활동 및 위협을 참조하세요.

  3. 저장을 선택합니다.

    인시던트에 대한 분류 옵션을 보여 주는 스크린샷

인시던트 분류 및 상태 및 형식 지정은 Microsoft Defender 조정하여 시간이 지남에 따라 더 나은 검색 결정을 제공하는 데 도움이 됩니다.

인시던트에 주석 추가

조사 및 인시던트를 진행하는 동안 의견을 추가하여 활동, 인사이트 및 결론을 기록합니다.

  1. 인시던트의 활동 로그를 엽니다. 인시던트 페이지 또는 인시던트 큐 페이지의 인시던트 세부 정보 패널에서 오른쪽 위 모서리에 있는 세 개의 점을 선택하고 결과 메뉴에서 활동 로그를 선택합니다.

    인시던트의 활동 로그에 액세스하는 방법을 보여 주는 스크린샷

  2. 텍스트 필드에 메모를 입력합니다. 주석 필드는 텍스트 및 서식, 링크 및 이미지를 지원합니다. 각 주석은 30,000자로 제한됩니다.

    인시던트에 주석을 추가하는 방법을 보여 주는 스크린샷

  3. 저장을 선택합니다.

모든 주석은 인시던트 기록 이벤트에 추가됩니다. 요약 페이지의 메모 및 기록 링크에서 인시던트 주석 및 기록을 볼 수 있습니다.

인시던트 로깅 및 보고

다음 관리 작업은 언제든지 수행할 수 있지만 인시던트 조사에 대한 감사 및 보고와 연결할 수 있습니다.

인시던트 이름 편집

Microsoft Defender 영향을 받는 엔드포인트 수, 영향을 받는 사용자, 검색 원본 또는 범주와 같은 경고 특성에 따라 이름을 자동으로 할당합니다. 인시던트 이름을 사용하면 인시던트 scope 빠르게 이해할 수 있습니다. 예: 여러 원본에서 보고한 여러 엔드포인트의 다단계 인시던트입니다.

인시던트 이름을 편집하려면 다음 단계를 수행합니다.

  1. 열기 섹션의 지침에 따라 인시던트 관리 창에 액세스합니다.

  2. 인시던트 관리 창의 인시던트 이름 필드에 새 이름을 입력합니다.

  3. 저장을 선택합니다.

참고

  • 자동 인시던트 명명 기능이 출시되기 전에 존재한 인시던트 이름은 그대로 유지됩니다.

  • 이름이 바뀐 인시던트에 다른 인시던트가 병합되면 Defender는 인시던트에 새 이름을 지정하고 미리 지정한 사용자 지정 이름을 덮어씁니다.

인시던트 활동 로그 보기

인시던트의 사후 관리를 수행할 때 인시던트의 활동 로그를 확인하여 인시던트에 대해 수행된 작업의 기록("감사"라고 함) 및 기록된 주석을 확인합니다. 사용자가든 시스템에서든 인시던트에 대한 모든 변경 내용은 활동 로그에 기록됩니다.

  1. 인시던트의 활동 로그를 엽니다. 인시던트 페이지 또는 인시던트 큐 페이지의 인시던트 세부 정보 패널에서 오른쪽 위 모서리에 있는 세 개의 점을 선택하고 결과 메뉴에서 활동 로그를 선택합니다.

    Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 옵션을 강조 표시하는 스크린샷

  2. 메모 및 작업을 기준으로 로그 내의 활동을 필터링합니다. 콘텐츠: 감사, 주석을 선택한 다음, 활동을 필터링할 콘텐츠 형식을 선택합니다. 다음은 예입니다.

    Microsoft Defender 포털의 인시던트 페이지에서 활동 로그 창 내의 필터 옵션을 강조 표시하는 스크린샷

  3. 적용을 선택합니다.

활동 로그 내에서 사용할 수 있는 주석 상자를 사용하여 고유한 주석을 추가할 수도 있습니다. 주석 상자는 텍스트 및 서식, 링크 및 이미지를 허용합니다.

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

인시던트 데이터를 PDF로 내보내기

인시던트의 데이터를 인시던트 내보내기 함수 를 통해 PDF로 내보내고 PDF 형식으로 저장할 수 있습니다. 이 기능을 사용하면 보안 팀이 언제든지 오프라인으로 인시던트의 세부 정보를 검토할 수 있습니다.

내보낸 인시던트 데이터에는 다음 정보가 포함됩니다.

  • 인시던트 세부 정보가 포함된 개요
  • 공격 스토리 그래프 및 위협 범주
  • 각 자산 유형 대해 최대 10개의 자산을 포함하는 영향을 받은 자산
  • 최대 100개 항목을 포함하는 증거 목록
  • 활동 로그에 기록된 모든 관련 경고 및 활동을 포함한 지원 데이터

내보낸 PDF의 예는 다음과 같습니다.

내보낸 PDF의 첫 페이지 스크린샷

보안용 Copilot 라이선스가 있는 경우 내보낸 PDF에는 다음과 같은 추가 인시던트 데이터가 포함됩니다.

PDF로 내보내기 함수는 Copilot 측면 패널에서도 사용할 수 있습니다. 인시던트 보고서 결과 카드 오른쪽 위에 있는 기타 작업 줄임표(...)를 선택하면 인시던트 내보내기를 PDF로 선택할 수 있습니다.

문제 보고서 결과 카드의 추가 작업 스크린샷.

PDF를 생성하려면 다음 단계를 수행합니다.

  1. 인시던트 페이지를 엽니다. 오른쪽 위 모서리에서 기타 작업 줄임표(...)를 선택하고 인시던트 내보내기를 PDF로 선택합니다.

    인시던트 페이지의 추가 작업 줄임표를 강조 표시하는 스크린샷

  2. 다음에 나타나는 대화 상자에서 PDF에 포함하거나 제외하려는 인시던트 정보를 확인합니다. 모든 인시던트 정보는 기본적으로 선택됩니다. PDF 내보내기를 선택하여 계속 진행합니다.

    PDF로 인시던트 내보내기 옵션을 강조 표시하는 스크린샷

  3. 다운로드의 현재 상태를 나타내는 상태 메시지가 인시던트 제목 아래에 표시됩니다. 내보내기 프로세스는 인시던트의 복잡성 및 내보낼 데이터의 양에 따라 몇 분 정도 걸릴 수 있습니다.

    다운로드하기 전에 내보내기 메시지 및 상태 강조 표시하는 스크린샷

  4. PDF가 준비되었음을 나타내는 다른 대화 상자가 나타납니다. 대화 상자에서 다운로드 를 선택하여 PDF를 장치에 저장합니다. 인시던트 제목 아래의 상태 메시지도 업데이트되어 다운로드를 사용할 수 있음을 나타냅니다.

    다운로드를 사용할 수 있는 경우 내보내기 메시지 및 상태 강조 표시하는 스크린샷

보고서는 몇 분 동안 캐시됩니다. 짧은 시간 내에 동일한 인시던트 다시 내보내려고 하면 시스템에서 이전에 생성된 PDF를 제공합니다. 최신 버전의 PDF를 생성하려면 캐시가 만료되기까지 몇 분 정도 기다립니다.

다음 단계

새 인시던트 및 In-Process 인시던트에 대해 인시던트 조사를 계속합니다.

해결된 인시던트에 대해 인시던트 후 검토를 수행합니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.