Microsoft Defender XDR의 새로운 기능
Microsoft Defender XDR의 새로운 기능을 나열합니다.
다른 Microsoft Defender 보안 제품 및 Microsoft Sentinel의 새로운 기능과 관련된 자세한 내용은 다음을 참조하세요.
- Microsoft의 통합 보안 운영 플랫폼의 새로운 기능
- Office 365용 Microsoft Defender의 새로운 기능
- 엔드포인트용 Microsoft Defender의 새로운 기능
- Identity용 Microsoft Defender의 새로운 기능
- 클라우드 앱용 Microsoft Defender의 새로운 기능
- Microsoft Sentinel의 새로운 기능
메시지 센터통해 제품 업데이트 및 중요 알림을 받을 수도 있습니다.
2024년 12월
- 이제 XDR용 Microsoft Defender 전문가 지역, 자회사 또는 기능에 따라 특정 디바이스 및/또는 사용자 집합을 정의하려는 고객을 위해 범위가 지정된 범위를 제공합니다. 이 경우 Defender 전문가가 지원을 제공하려고 합니다.
- (미리 보기) 이제 Microsoft Defender 고급 헌팅의 인시던트에 연결 기능을 사용하면 Microsoft Sentinel 쿼리 결과를 연결할 수 있습니다. Microsoft Defender 통합 환경과 Defender XDR 고급 헌팅 모두에서 엔터티가 영향을 받은 자산인지 또는 관련 증거인지 지정할 수 있습니다.
- (미리 보기) 고급 헌팅에서 Microsoft Defender 포털 사용자는 이제 연산자를
adx()
사용하여 Azure Data Explorer 저장된 테이블을 쿼리할 수 있습니다. 이미 Microsoft Defender 있는 경우 이 연산자를 사용하려면 더 이상 Microsoft Sentinel 로그 분석으로 이동하지 않아도 됩니다. - Microsoft의 통합 보안 운영 플랫폼에 대한 새로운 설명서 라이브러리입니다. Microsoft Defender 포털에서 Microsoft의 통합 SecOps 플랫폼에 대한 중앙 집중식 설명서를 찾습니다. Microsoft의 통합 SecOps 플랫폼은 defender 포털에 Microsoft Sentinel, Microsoft Defender XDR, Microsoft 보안 노출 관리 및 생성 AI의 전체 기능을 결합합니다. Microsoft의 통합 SecOps 플랫폼에서 사용할 수 있는 기능과 기능에 대해 알아보고 배포 계획을 시작합니다.
- (GA) 고급 헌팅에서는 이제 자주 사용하는 스키마 테이블, 함수, 쿼리 및 검색 규칙을 각 탭 아래의 즐겨찾기 섹션에서 추가하여 더 빠르게 액세스할 수 있습니다.
2024년 11월
- 다중 테넌트 관리에서 테넌트 그룹을 만드는 단계를 업데이트했습니다. 다중 테넌트 관리에서 테넌트 그룹을 사용하여 콘텐츠 배포의 새 단계를 알아봅니다.
- (미리 보기) 인시던트 그래프의 공격 경로는 이제 Microsoft Defender 포털에서 사용할 수 있습니다. 이제 공격 스토리에는 공격자가 디바이스를 손상시킨 후 잠재적으로 취할 수 있는 경로를 보여 주는 잠재적인 공격 경로가 포함되어 있습니다. 이 기능은 응답 작업의 우선 순위를 지정하는 데 도움이 됩니다. 자세한 내용은 공격 스토리의 공격 경로를 참조하세요.
- (미리 보기) Microsoft Defender XDR 고객은 이제 인시던트 데이터를 PDF로 내보낼 수 있습니다. 내보낸 데이터를 사용하여 인시던트 데이터를 쉽게 캡처하고 다른 관련자와 공유합니다. 자세한 내용은 인시던트 데이터를 PDF로 내보내기를 참조하세요.
- (GA) 이제 인시던트 큐의 마지막 업데이트 시간 열을 일반 공급할 수 있습니다.
- (미리 보기) 클라우드 네이티브 조사 및 응답 작업은 이제 Microsoft Defender 포털에서 컨테이너 관련 경고에 사용할 수 있습니다. SOC(보안 운영 센터) 분석가는 이제 클라우드 네이티브 응답 작업 및 조사 로그를 사용하여 거의 실시간으로 컨테이너 관련 경고를 조사하고 대응하여 관련 활동을 찾아낼 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 컨테이너 위협 조사 및 대응을 참조하세요.
- (GA)
arg()
이제 Microsoft Defender Portal에서 고급 헌팅의 연산자를 일반 공급할 수 있습니다. 이제 사용자는 Azure Resource Graph 쿼리에 arg() 연산자를 사용하여 Azure 리소스를 검색할 수 있으며, Microsoft Defender 이미 있는 경우 이 연산자를 사용하기 위해 Microsoft Sentinel Log Analytics로 더 이상 이동하지 않아도 됩니다. - (미리 보기) CloudProcessEvents 테이블은 이제 고급 헌팅에서 미리 보기로 사용할 수 있습니다. 여기에는 다중 클라우드 호스팅 환경의 프로세스 이벤트에 대한 정보가 포함되어 있습니다. 이를 사용하여 악의적인 프로세스 또는 명령줄 서명과 같은 프로세스 세부 정보를 통해 관찰할 수 있는 위협을 검색할 수 있습니다.
- (미리 보기) 이제 고급 헌팅에서 사용자 지정 검색 쿼리를 연속(거의 실시간 또는 NRT) 빈도 로 마이그레이션할 수 있습니다. NRT(연속) 빈도를 사용하면 organization 위협을 더 빠르게 식별할 수 있습니다. 리소스 사용량에 영향을 최소화하거나 전혀 영향을 주지 않으므로 organization 정규화된 사용자 지정 검색 규칙에 대해 고려해야 합니다. NRT(연속) 빈도의 단계에 따라 호환되는 KQL 쿼리를 마이그레이션할 수 있습니다.
2024년 10월
- Microsoft 통합 RBAC 역할은 Microsoft 위협 전문가 고객이 Defender 전문가에게 문의 기능을 사용할 수 있도록 새로운 권한 수준으로 추가됩니다.
- (미리 보기) 고급 헌팅에서 Microsoft Defender 포털 사용자는 이제 Azure Resource Graph 쿼리에 대한 연산자를 사용하여
arg()
Azure 리소스를 검색할 수 있습니다. 이미 Microsoft Defender 있는 경우 더 이상 Microsoft Sentinel Log Analytics로 이동하여 이 연산자를 사용할 필요가 없습니다.
2024년 9월
- (GA) 이제 Microsoft Defender 포털의 엔터티에 대한 전역 검색 일반 공급됩니다. 향상된 검색 결과 페이지는 모든 엔터티의 결과를 중앙 집중화합니다. 자세한 내용은 Microsoft Defender 포털에서 전역 검색을 참조하세요.
- (GA) Defender의 Copilot에는 이제 ID 요약 기능이 포함되어 사용자의 위험 수준, 로그인 활동 등에 대한 즉각적인 인사이트를 제공합니다. 자세한 내용은 Defender에서 Copilot를 사용하여 ID 정보 요약을 참조하세요.
- 이제 Microsoft Defender 위협 인텔리전스 고객은 Microsoft Defender 포털 홈페이지에서 최신 주요 위협 인텔리전스 문서를 볼 수 있습니다. 이제 Intel 탐색기 페이지에는 Defender 포털에 마지막으로 액세스한 이후 게시된 새 Defender TI 아티클 수를 알리는 문서 다이제스트도 있습니다.
- Microsoft Defender XDR 통합 RBAC 권한은 문의를 제출하고 Microsoft Defender 전문가의 응답을 보기 위해 추가됩니다. 또한 문의를 제출할 때 나열된 이메일 주소를 통해 또는 Defender 포털에서 보고서>Defender 전문가 메시지로 이동하여 Defender 전문가에게 문의하도록 제출된 문의 응답을 볼 수도 있습니다.
- (GA) 고급 헌팅 컨텍스트 창 은 이제 더 많은 환경에서 사용할 수 있습니다. 이렇게 하면 현재 워크플로를 벗어나지 않고 고급 헌팅 기능에 액세스할 수 있습니다.
- 분석 규칙에 의해 생성된 인시던트 및 경고의 경우 쿼리 실행을 선택하여 관련 분석 규칙의 결과를 탐색할 수 있습니다.
- 분석 규칙 마법사의 규칙 논리 설정 단계에서 쿼리 결과 보기를 선택하여 설정하려는 쿼리의 결과를 확인할 수 있습니다.
- 쿼리 리소스 보고서에서 쿼리 행에서 세 개의 점을 선택하고 쿼리 편집기에서 열기를 선택하여 쿼리를 볼 수 있습니다.
- 인시던트 또는 경고와 관련된 디바이스 엔터티의 경우 이동 헌 팅은 디바이스 쪽 패널에서 세 개의 점을 선택한 후 옵션 중 하나로 사용할 수도 있습니다.
2024년 8월
- (미리 보기) 이제 Microsoft Sentinel 데이터는 Microsoft Defender 다중 테넌트 관리에서 Defender XDR 데이터와 함께 사용할 수 있습니다. 현재 Microsoft 통합 보안 운영 플랫폼에서는 테넌트당 하나의 Microsoft Sentinel 작업 영역만 지원됩니다. 따라서 다중 테넌트 관리에 Microsoft Defender 테넌트당 하나의 Microsoft Sentinel 작업 영역의 SIEM(보안 정보 및 이벤트 관리) 데이터가 표시됩니다. 자세한 내용은 Microsoft Defender 포털에서 다중 테넌트 관리 및 Microsoft Sentinel Microsoft Defender 참조하세요.
- Microsoft Defender 포털을 탐색하는 동안 원활한 환경을 보장하려면 허용 목록에 적절한 주소를 추가하여 네트워크 방화벽을 구성합니다. 자세한 내용은 Microsoft Defender XDR 대한 네트워크 방화벽 구성을 참조하세요.
2024년 7월
손상된 디바이스가 OT(운영 기술) 디바이스와 통신하는 경고가 있는 인시던트는 이제 Microsoft Defender for IoT 라이선스 및 엔드포인트용 Defender의 디바이스 검색 기능을 통해 Microsoft Defender 포털에 표시됩니다. 엔드포인트용 Defender 데이터를 사용하여 Defender XDR 이러한 새 OT 경고를 인시던트와 자동으로 상호 연결하여 포괄적인 공격 스토리를 제공합니다. 관련 인시던트 필터링은 Microsoft Defender 포털에서 인시던트 우선 순위를 참조하세요.
(GA) 인시던트 및 경고 큐에서 연결된 경고 구독 ID로 클라우드 경고에 대한 Microsoft Defender 필터링하는 것이 이제 일반 공급됩니다. 자세한 내용은 Microsoft Defender XDR 클라우드용 Microsoft Defender 참조하세요.
(GA) Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼은 일반적으로 사용할 수 있습니다. 이 릴리스는 Microsoft Defender에서 Microsoft Sentinel, Microsoft Defender XDR 및 Microsoft Copilot의 전체 기능을 함께 제공합니다. 자세한 내용은 다음 리소스를 참조하세요.
블로그 게시물: Microsoft 통합 보안 운영 플랫폼의 일반 공급
(미리 보기) 이제 Microsoft Defender 포털의 인시던트 및 경고 큐에서 열을 사용자 지정할 수 있습니다. 필요한 정보를 표시하기 위해 열을 추가, 제거, 다시 정렬할 수 있습니다. 자세한 내용은 인시던트 큐 및 경고 큐에서 열을 사용자 지정하는 방법을 참조하세요.
(미리 보기) 이제 중요한 자산 이 인시던트 및 경고 큐의 태그에 속합니다. 중요한 자산이 인시던트 또는 경고에 관련된 경우 중요한 자산 태그가 큐에 표시됩니다. 자세한 내용은 인시던트 태그 및 경고 큐를 참조하세요.
(미리 보기) 이제 인시던트에 대한 최신 자동 또는 수동 업데이트에 따라 인시던트가 정렬됩니다. 인시던트 큐의 마지막 업데이트 시간 열에 대해 읽어보세요.
(GA) 학습 허브 리소스가 Microsoft Defender 포털에서 learn.microsoft.com 이동했습니다. Ninja 학습, 학습 경로, 학습 모듈 등에 Microsoft Defender XDR 액세스합니다. 학습 경로 목록을 찾아보고 제품, 역할, 수준 및 주제를 기준으로 필터링합니다.
(GA) 고급 헌 팅의 UrlClickEvents 테이블이 이제 일반 공급됩니다. 이 표를 사용하여 지원되는 데스크톱, 모바일 및 웹앱의 전자 메일 메시지, Microsoft Teams 및 Office 365 앱에서 안전한 링크 클릭에 대한 정보를 가져옵니다.
(GA) 이제 고급 헌팅 및 사용자 지정 검색에서 작업 수행에서 직접 격리에서 사용자의 받은 편지함으로 전자 메일 메시지를 해제하거나 이동할 수 있습니다. 이렇게 하면 보안 운영자가 컨텍스트를 잃지 않고도 가양성 을 보다 효율적으로 관리할 수 있습니다.
2024년 6월
(미리 보기) 이제 다중 테넌트 관리에서 테넌트 그룹을 통한 콘텐츠 배포 를 사용할 수 있습니다. 콘텐츠 배포는 Microsoft Defender XDR 다중 테넌트 관리에서 테넌트 전체에서 대규모로 콘텐츠를 관리하는 데 도움이 됩니다. 콘텐츠 배포에서 테넌트 그룹을 만들어 원본 테넌트에서 테넌트 그룹을 만드는 동안 할당한 대상 테넌트까지 사용자 지정 검색 규칙과 같은 기존 콘텐츠를 복사할 수 있습니다. 그런 다음 콘텐츠는 테넌트 그룹 scope 설정한 대상 테넌트의 디바이스 또는 디바이스 그룹에서 실행됩니다.
(미리 보기) 이제 인시던트 및 경고 큐의 연결된 경고 구독 ID로 클라우드 경고에 대한 Microsoft Defender 필터링할 수 있습니다. 자세한 내용은 Microsoft Defender XDR 클라우드용 Microsoft Defender 참조하세요.
(GA) 이제 고급 헌팅에서 결과를 필터링 하여 집중하려는 특정 데이터에 대한 조사를 좁힐 수 있습니다.
2024년 5월
(미리 보기) 이제 보안 분석가는 Microsoft Purview 내부 위험 관리 대한 프로비전된 액세스 권한이 있는 Microsoft Defender XDR 사용자에게 제공되는 내부자 위험 심각도 및 인사이트를 사용하여 Microsoft Defender 포털에서 사용자의 내부자 위험을 조사할 수 있습니다. 자세한 내용은 사용자 페이지의 엔터티 세부 정보를 참조하세요.
(GA) 엔드포인트 보안 정책 페이지는 이제 Microsoft Defender XDR 다중 테넌트 관리에서 사용할 수 있습니다. 엔드포인트 보안 정책 페이지에서 테넌트 디바이스에 대한 보안 정책을 만들고, 편집하고, 삭제합니다. 자세한 내용은 다중 테넌트 관리의 엔드포인트 보안 정책을 참조하세요.
경고 심각도 및 경고 제목 값을 조건으로 사용하여 경고 튜닝 규칙을 만듭니다. 경고 튜닝을 사용하면 경고 큐를 간소화하고, 경고가 자동으로 숨기거나 해결되고, 특정 예상 조직 동작이 발생하고 규칙 조건이 충족될 때마다 심사 시간을 절약할 수 있습니다. 자세한 내용은 경고 튜닝을 참조하세요.
(미리 보기) 다른 Microsoft 365 Defender 미리 보기 기능과 함께 기본 Microsoft 365 Defender 설정에서 미리 보기 옵션을 켭니다. 아직 미리 보기 기능을 사용하지 않는 고객은 설정 > 엔드포인트 > 고급 기능 > 미리 보기 기능에서 레거시 설정을 계속 볼 수 있습니다. 자세한 내용은 Microsoft 365 Defender 미리 보기 기능을 참조하세요.
(미리 보기) 이제 통합 보안 운영 플랫폼에서 Microsoft Defender 포털의 SOC 최적화 페이지를 사용할 수 있습니다. SOC 팀이 수동 분석 및 연구에 시간을 할애하지 않고도 Microsoft Defender XDR 통합하고 Microsoft Sentinel SOC 최적화를 사용하여 프로세스와 결과를 모두 최적화합니다. 자세한 내용은 다음 항목을 참조하세요.
(미리 보기) 이제 Microsoft Defender 포털에서 검색에는 Microsoft Sentinel 디바이스 및 사용자를 검색하는 기능이 포함됩니다. 검색 창을 사용하여 Microsoft Defender XDR 및 Microsoft Sentinel 인시던트, 경고 및 기타 데이터를 검색합니다. 자세한 내용은 Microsoft Defender 검색을 참조하세요.
(미리 보기) CloudAuditEvents 테이블은 이제 고급 헌팅에서 사용할 수 있습니다. 이를 통해 클라우드용 Microsoft Defender 클라우드 감사 이벤트를 헌팅하고 의심스러운 Azure Resource Manager 및 Kubernetes(KubeAudit) 컨트롤 플레인 활동을 표시하기 위한 사용자 지정 검색을 만들 수 있습니다.
(GA) 전자 메일 메시지에 대한 작업으로 일시 삭제 가 선택된 경우 보낸 사람의 복사본 자동 일시 삭제는 이제 고급 헌팅의 작업 수행 마법사에서 사용할 수 있습니다. 이 새로운 기능은 보낸 항목, 특히 일시 삭제 및 받은 편지함 작업으로 이동을 사용하는 관리자를 관리하는 프로세스를 간소화합니다. 자세한 내용은 전자 메일에 대한 작업 수행을 참조하세요.
(미리 보기) 이제 고급 헌팅 쿼리 API를 사용하여 Microsoft Sentinel 데이터를 쿼리할 수 있습니다. 매개 변수를
timespan
사용하여 Defender XDR 쿼리하고 Defender XDR 기본값인 30일보다 더 긴 데이터 보존을 Microsoft Sentinel 수 있습니다.(미리 보기) 이제 통합 Microsoft Defender 포털에서 Microsoft Sentinel 및 Defender XDR 테이블에 걸쳐 있는 데이터를 쿼리할 때 사용자 지정 검색을 만들 수 있습니다. 자세한 내용은 사용자 지정 분석 및 검색 규칙 만들기 를 참조하세요.
Microsoft Teams의 Microsoft Defender 전문가 앱 권한에 대한 문제 해결 단계가 업데이트되었습니다.
2024년 4월
(미리 보기) 이제 Microsoft Defender 포털의 통합 보안 운영 플랫폼을 사용할 수 있습니다. 이 릴리스는 Microsoft Defender에서 Microsoft Sentinel, Microsoft Defender XDR 및 Microsoft Copilot의 전체 기능을 함께 제공합니다. 자세한 내용은 다음 리소스를 참조하세요.
(GA) 이제 Microsoft Defender의 Microsoft Copilot이 일반 공급됩니다. Defender의 Copilot은 인시던트를 더 빠르고 효과적으로 조사하고 대응하는 데 도움이 됩니다. Copilot는 단계별 응답, 인시던트 요약 및 보고서를 제공하고, 위협을 헌팅하고, 파일 및 스크립트 분석을 제공하고, 관련성 있고 실행 가능한 위협 인텔리전스를 요약할 수 있도록 KQL 쿼리를 빌드하는 데 도움이 됩니다.
Defender의 Copilot 고객은 이제 인시던트 데이터를 PDF로 내보낼 수 있습니다. 내보낸 데이터를 사용하여 인시던트 데이터를 쉽게 공유하고 보안 팀 및 기타 이해 관계자와의 논의를 촉진합니다. 자세한 내용은 인시던트 데이터를 PDF로 내보내기를 참조하세요.
이제 Microsoft Defender 포털에서 알림을 사용할 수 있습니다. Defender 포털의 오른쪽 위에서 벨 아이콘을 선택하여 모든 활성 알림을 봅니다. Microsoft Defender 포털에서 알림에 대해 자세히 알아보세요.
디바이스와 연결된 Azure 리소스의 고유 식별자를 보여주는
AzureResourceId
열은 이제 고급 헌팅의 DeviceInfo 테이블에서 사용할 수 있습니다.
2024년 2월
(GA) 이제 Microsoft Defender 포털에서 다크 모드를 사용할 수 있습니다. Defender 포털의 홈페이지 오른쪽 위에서 다크 모드를 선택합니다. 밝음 모드를 선택하여 색 모드를 기본값으로 다시 변경합니다.
(GA) 이제 인시던트에 심각도 할당, 그룹에 인시던트 할당 및 공격 스토리 그래프의 이동 헌팅 옵션이 일반 공급됩니다. 인시던트 심각도를 할당하거나 변경하고 인시던트를 그룹에 할당하는 방법을 알아보는 가이드는 인시던트 관리 페이지에 있습니다. 공격 스토리를 탐색 하여 go hunt 옵션을 사용하는 방법을 알아봅니다.
(미리 보기) 이제 Microsoft Graph 보안 API의 사용자 지정 검색 규칙을 사용할 수 있습니다. 조직과 관련된 고급 헌팅 사용자 지정 검색 규칙을 만들어 위협을 사전에 모니터링하고 조치를 취합니다.
경고
2024-02 플랫폼 릴리스는 디스크/디바이스 수준 액세스만 있는 이동식 미디어 정책(7보다 작은 마스크)을 사용하는 디바이스 제어 고객에게 일관되지 않은 결과를 발생합니다. 적용이 예상대로 작동하지 않을 수 있습니다. 이 문제를 완화하려면 이전 버전의 Defender 플랫폼으로 롤백하는 것이 좋습니다.
2024년 1월
Defender Boxed는 제한된 기간 동안 사용할 수 있습니다. Defender Boxed는 2023년 동안 조직의 보안 성공, 개선 사항 및 대응 작업을 강조 표시합니다. 잠시 시간을 내어 조직의 보안 상태 개선 사항, 감지된 위협에 대한 전반적인 대응(수동 및 자동), 차단된 전자 메일 등을 축하하세요.
- Microsoft Defender 포털의 인시던트 페이지로 이동하면 Defender Boxed가 자동으로 열립니다.
- Defender Boxed를 닫았다가 다시 열려면 Microsoft Defender 포털에서 인시던트로 이동한 다음 Defender Boxed를 선택합니다.
- 신속하게 조치를 취할 수 있습니다! Defender Boxed는 짧은 기간 동안만 사용할 수 있습니다.
이제 XDR용 Defender 전문가를 통해 Teams를 사용하여 관리되는 응답 알림 및 업데이트를 받을 수 있습니다. 또한 관리되는 응답이 실행되는 인시던트에 대해 Defender 전문가와 채팅할 수도 있습니다.
(GA) 인시던트 큐의 사용 가능한 필터의 새로운 기능이 이제 일반 공급됩니다. 필터 집합을 만들고 필터 쿼리를 저장하여 기본 필터에 따라 인시던트 우선 순위를 지정합니다. 사용 가능한 필터의 인시던트 큐 필터에 대해 자세히 알아봅니다.
(GA) 이제 Microsoft Defender XDR과 클라우드용 Microsoft Defender 경고 통합이 일반 공급됩니다. Microsoft Defender XDR의 클라우드용 Microsoft Defender 통합에 대해 자세히 알아보세요.
(GA) 이제 인시던트 페이지 내에서 활동 로그를 사용할 수 있습니다. 활동 로그를 사용하여 모든 감사 및 주석을 보고 인시던트 로그에 주석을 추가합니다. 자세한 내용은 활동 로그를 참조하세요.
(미리 보기) 이제 고급 헌팅의 쿼리 기록을 사용할 수 있습니다. 이제 최근에 실행한 쿼리를 다시 실행하거나 구체화할 수 있습니다. 지난 28일 동안 최대 30개의 쿼리를 쿼리 기록 창에 로드할 수 있습니다.
(미리 보기) 이제 고급 헌팅에서 쿼리 결과에서 드릴다운하는 데 사용할 수 있는 추가 기능을 사용할 수 있습니다.
2023년 12월
이제 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)가 일반 공급됩니다. RBAC(통합)를 사용하면 관리자가 중앙 집중식 단일 위치의 여러 보안 솔루션에서 사용자 권한을 관리할 수 있습니다. 이 제품은 GCC Moderate 고객에게도 제공됩니다. 자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.
이제 XDR용 Microsoft Defender 전문가를 통해 전문가가 수행한 수정 작업에서 디바이스를 제외하고 대신 해당 엔터티에 대한 수정 지침을 얻을 수 있습니다.
Microsoft Defender 포털의 인시던트 큐에 업데이트된 필터, 검색 및 고유한 필터 집합을 만들 수 있는 새 함수가 추가되었습니다. 자세한 내용은 사용 가능한 필터를 참조하세요.
이제 사용자 그룹 또는 다른 사용자에게 인시던트를 할당할 수 있습니다. 자세한 내용은 인시던트 할당을 참조하세요.
2023년 11월
이제 헌팅용 Microsoft Defender 전문가가 샘플 Defender 전문가 알림을 생성하여 사용자 환경에서 실제 중요한 활동이 발생할 때까지 기다릴 필요 없이 서비스를 시작할 수 있습니다. 자세한 정보
(미리 보기) 클라우드용 Microsoft Defender 경고는 이제 Microsoft Defender XDR에 통합됩니다. 클라우드용 Defender 경고는 Microsoft Defender 포털의 인시던트 및 경고와 자동으로 상관 관계가 지정되며 클라우드 리소스 자산은 인시던트 및 경고 큐에서 볼 수 있습니다. Microsoft Defender XDR의 클라우드용 Defender 통합에 대해 자세히 알아보세요.
(미리 보기) Microsoft Defender XDR은 이제 사람이 조작하는 횡적 이동을 사용하는 강력한 공격으로부터 환경을 보호하기 위해 속임수 기술을 구축했습니다. 속임수 기능 및 속임수 기능을 구성하는 방법에 대해 자세히 알아봅니다.
이제 XDR용 Microsoft Defender 전문가를 통해 XDR용 Defender 전문가를 위한 환경을 준비할 때 자체 준비 평가를 수행할 수 있습니다.
2023년 10월
(미리 보기) 이제 Microsoft Defender XDR에서 수행된 수동 또는 자동화된 작업에 대한 전자 메일 알림을 받을 수 있습니다. 포털에서 수행되는 수동 또는 자동화된 응답 작업에 대한 전자 메일 알림을 구성하는 방법을 알아봅니다. 자세한 내용은 Microsoft Defender XDR 응답 작업에 대한 전자 메일 알림 받기를 참조하세요.
(미리 보기) Microsoft Defender XDR의 Microsoft Security Copilot은 이제 미리 보기로 제공됩니다. Microsoft Defender XDR 사용자는 보안 Copilot 기능을 활용하여 인시던트를 요약하고, 스크립트 및 코드를 분석하고, 단계별 응답을 사용하여 인시던트를 해결하고, KQL 쿼리를 생성하고, 포털 내에서 인시던트 보고서를 만들 수 있습니다. 보안 Copilot은 초대 전용 미리 보기로 제공됩니다. Microsoft Security Copilot 조기 액세스 프로그램의 보안 관련 질문과 대답에서 Security Copilot에 대해 자세히 알아보세요.
2023년 9월
- (미리 보기) Identity용 Microsoft Defender 및 클라우드 앱용 Microsoft Defender의 데이터, 특히
CloudAppEvents
,IdentityDirectoryEvents
,IdentityLogonEvents
및IdentityQueryEvents
테이블을 사용하는 사용자 지정 검색은 이제 거의 실시간 연속(NRT) 빈도로 실행할 수 있습니다.
2023년 8월
새 사용자에 대한 첫 번째 인시던트에 응답하는 가이드가 이제 라이브로 제공됩니다. 인시던트를 이해하고 심사 및 우선 순위를 지정하는 방법을 알아보고, 자습서 및 비디오를 사용하여 첫 번째 인시던트를 분석하고, 포털에서 사용할 수 있는 작업을 이해하여 공격을 수정합니다.
(미리 보기) 자산 규칙 관리 - 디바이스에 대한 동적 규칙이 이제 공개 미리 보기로 제공됩니다. 동적 규칙은 특정 조건에 따라 태그 및 디바이스 값을 자동으로 할당하여 디바이스 컨텍스트를 관리하는 데 도움이 될 수 있습니다.
(미리 보기) 고급 헌팅의 DeviceInfo 테이블에는 이제 조사 중인 디바이스와 관련된 수동 및
DeviceDynamicTags
동적으로 할당된 태그를 표시하기 위한 열DeviceManualTags
과 공개 미리 보기도 포함됩니다.XDR용 Microsoft Defender 전문가의 단계별 응답 기능이 관리되는 응답으로 이름이 바뀌었습니다. 또한 인시던트 업데이트에 대한 새 FAQ 섹션을 추가했습니다.
2023년 7월
(GA) 이제 인시던트의 공격 스토리는 일반 공급됩니다. 공격 스토리는 공격에 대한 전체 스토리를 제공하며 인시던트 대응 팀이 세부 정보를 보고 수정을 적용할 수 있도록 합니다.
이제 Microsoft Defender XDR에서 새 URL 및 도메인 페이지를 사용할 수 있습니다. 업데이트된 URL 및 도메인 페이지는 URL 또는 도메인에 대한 모든 정보를 볼 수 있는 단일 위치를 제공합니다. 여기에는 해당 신뢰도, 해당 URL을 클릭한 사용자, 액세스한 디바이스 및 URL 또는 도메인이 표시된 전자 메일이 포함됩니다. 자세한 내용은 Microsoft Defender XDR의 URL 조사를 참조하세요.
2023년 6월
- (GA) 이제 XDR용 Microsoft Defender 전문가가 일반 공급됩니다. XDR용 Defender 전문가는 자동화와 Microsoft의 보안 분석가 전문 지식을 결합하여 보안 운영 센터를 보강하여 자신 있게 위협을 감지하고 대응하고 보안 상태를 개선하는 데 도움을 줍니다. XDR용 Microsoft Defender 전문가는 다른 Microsoft Defender XDR 제품과는 별도로 판매됩니다. Microsoft Defender XDR 고객이며 XDR용 Defender 전문가 구매에 관심이 있는 경우 XDR용 Microsoft Defender 전문가 개요를 참조하세요.
2023년 5월
(GA) 경고 튜닝이 이제 일반 공급됩니다. 경고 튜닝을 사용하면 경고를 미세 조정하여 조사 시간을 줄이고 우선 순위가 높은 경고 해결에 집중할 수 있습니다. 경고 튜닝은 경고 표시 안 함 기능을 대체합니다.
(GA) 자동 공격 중단이 이제 일반 공급됩니다. 이 기능은 사용자 운영 랜섬웨어(HumOR), BEC(비즈니스 메일 손상) 및 AiTM(중간의 악의적 사용자) 공격을 자동으로 중단합니다.
(미리 보기) 사용자 지정 함수를 이제 고급 헌팅에서 사용할 수 있습니다. 이제 사용자 환경에서 헌팅할 때 쿼리 논리를 다시 사용할 수 있도록 고유한 사용자 지정 함수를 만들 수 있습니다.
2023년 4월
(GA) 인시던트 페이지의 통합 자산 탭이 이제 일반 공급됩니다.
Microsoft는 위협 행위자를 위해 새로운 날씨 기반 명명 분류를 사용하고 있습니다. 이 새로운 명명 스키마는 더 명확하고 참조하기 쉽습니다. 새로운 위협 행위자 분류에 대해 자세히 알아봅니다.
2023년 3월
- (미리 보기) 이제 Microsoft Defender 포털에서 Defender TI(Microsoft Defender 위협 인텔리전스)를 사용할 수 있습니다.
이 변경으로 Microsoft Defender 포털 내에 위협 인텔리전스라는 새 탐색 메뉴가 도입되었습니다. 자세히 알아보기.
(미리 보기) 고급 헌팅에서
DeviceInfo
테이블에 대한 전체 디바이스 보고서는 매일이 아닌 1시간마다 전송됩니다. 또한 이전 보고서가 변경되면 전체 디바이스 보고서도 전송됩니다. 새 열도DeviceInfo
테이블에 추가되었으며DeviceInfo
및 DeviceNetworkInfo 테이블의 기존 데이터에 대한 몇 가지 개선 사항이 추가되었습니다.(미리 보기) 이제 고급 헌팅 사용자 지정 검색에서 거의 실시간 사용자 지정 검색을 공개 미리 보기로 사용할 수 있습니다. 거의 실시간으로 수집 및 처리될 때 이벤트의 데이터를 확인하는 새로운 NRT(연속) 빈도가 있습니다.
(미리 보기) 이제 클라우드 앱용 Microsoft Defender 동작을 공개 미리 보기에서 볼 수 있습니다. 미리 보기 고객은 이제 BehaviorEntities 및 BehaviorInfo 테이블을 사용하여 고급 헌팅에서 동작을 헌팅할 수도 있습니다.
2023년 2월
(GA) 고급 헌팅 쿼리 리소스 보고서가 이제 일반 공급됩니다.
(미리 보기) 자동 공격 중단 기능은 이제 BEC(비즈니스 전자 메일 손상)를 중단합니다.
2023년 1월
이제 새 버전의 헌팅용 Microsoft Defender 전문가 보고서를 사용할 수 있습니다. 이제 보고서의 새 인터페이스를 통해 고객은 자신의 환경에서 Defender 전문가가 관찰한 의심스러운 활동에 대한 자세한 상황별 세부 정보를 얻을 수 있습니다. 또한 매월 지속적으로 추세를 보이는 의심스러운 활동을 보여 줍니다. 자세한 내용은 Microsoft Defender XDR의 헌팅용 Defender 전문가 보고서 이해를 참조하세요.
(GA) 이제 macOS 및 Linux에서 라이브 응답이 일반 공급됩니다.
(GA) 이제 ID 타임라인이 Microsoft Defender XDR의 새 ID 페이지의 일부로 일반 공급됩니다. 업데이트된 사용자 페이지에는 새로운 모양, 관련 자산의 확장된 보기 및 새 전용 타임라인 탭이 있습니다. 타임라인은 지난 30일간의 활동 및 경고를 나타냅니다. Identity용 Microsoft Defender, 클라우드 앱용 Microsoft Defender 및 엔드포인트용 Microsoft Defender 등 사용 가능한 모든 워크로드에서 사용자의 ID 항목을 통합합니다. 타임라인을 사용하면 특정 기간 동안 사용자의 활동(또는 사용자가 수행한 활동)에 쉽게 집중할 수 있습니다.
2022년 12월
- (미리 보기) 이제 새 Microsoft Defender XDR RBAC(역할 기반 액세스 제어) 모델을 미리 볼 수 있습니다. 새로운 RBAC 모델을 사용하면 보안 관리자가 단일 시스템 내의 여러 보안 솔루션에서 중앙 집중식으로 권한을 관리할 수 있으며, 현재는 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender 및 Identity용 Microsoft Defender를 지원합니다. 새 모델은 현재 Microsoft Defender XDR에서 지원되는 기존 개별 RBAC 모델과 완벽하게 호환됩니다. 자세한 내용은 Microsoft Defender XDR RBAC(역할 기반 액세스 제어)를 참조하세요.
2022년 11월
(미리 보기) 이제 XDR용 Microsoft Defender 전문가(XDR용 Defender 전문가)를 미리 볼 수 있습니다. XDR용 Defender 전문가는 SOC(보안 운영 센터)가 중요한 인시던트에 집중하고 정확하게 대응하는 데 도움이 되는 관리되는 검색 및 대응 서비스입니다. 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Identity용 Microsoft Defender, 클라우드앱용 Microsoft Defender 및 Azure AD(Azure Active Directory)와 같은 Microsoft Defender XDR 워크로드를 사용하는 고객을 위한 확장 검색 및 응답을 제공합니다. 자세한 내용은 XDR용 확장된 Microsoft Defender 전문가 미리 보기를 참조하세요.
(미리 보기) 이제 쿼리 리소스 보고서를 고급 헌팅에서 사용할 수 있습니다. 이 보고서는 헌팅 인터페이스를 사용하여 지난 30일 동안 실행된 쿼리를 기반으로 헌팅에 대한 조직의 CPU 리소스 사용을 보여 줍니다. 비효율적인 쿼리를 찾으려면 쿼리 리소스 보고서 보기를 참조하세요.
2022년 10월
- (미리 보기) 이제 새로운 자동 공격 중단 기능이 미리 보기로 제공됩니다. 이 기능은 보안 연구 인사이트를 결합하고 진행 중인 공격을 자동으로 포함하도록 AI 모델을 개선합니다. 또한 자동 공격 중단은 SOC(보안 운영 센터)에 더 많은 시간을 제공하여 공격을 완전히 수정하고 조직에 대한 공격의 영향을 제한합니다. 이 미리 보기는 랜섬웨어 공격을 자동으로 중단합니다.
2022년 8월
(GA) 이제헌팅용 Microsoft Defender 전문가가 일반 공급됩니다. 강력한 보안 운영 센터를 갖춘 Microsoft Defender XDR 고객이지만 Microsoft가 Microsoft Defender 데이터를 사용하여 엔드포인트, Office 365, 클라우드 애플리케이션 및 Identity에서 위협을 사전에 헌팅하도록 지원하려는 경우 서비스 적용, 설정 및 사용에 대해 자세히 알아보세요. 헌팅용 Defender 전문가는 다른 Microsoft Defender XDR 제품과는 별도로 판매됩니다.
(미리 보기) 단계별 모드는 이제 고급 헌팅에서 공개 미리 보기로 사용할 수 있습니다. 이제 분석가는 KQL(Kusto 쿼리 언어)를 몰라도 엔드포인트, ID, 이메일 및 협업과 클라우드 앱 데이터에 대한 데이터베이스 쿼리를 시작할 수 있습니다. 단계별 모드는 사용 가능한 필터 및 조건이 포함된 드롭다운 메뉴를 통해 쿼리를 생성하는 친숙하고 사용하기 쉬운 구성 요소 스타일을 제공합니다. 쿼리 작성기 시작을 참조하세요.
2022년 7월
- (미리 보기) 이제 헌팅용 Microsoft Defender 전문가 공개 미리 보기 참가자는 Microsoft Defender XDR 제품에서 생성된 경고와 함께 헌팅 서비스가 환경에 노출한 위협을 이해하는 데 도움이 되는 월별 보고서 받기를 기대할 수 있습니다. 자세한 내용은 Microsoft Defender XDR의 헌팅용 Defender 전문가 보고서 이해를 참조하세요.
2022년 6월
(미리 보기) 이제 DeviceTvmInfoGathering 및 DeviceTvmInfoGatheringKB 테이블을 고급 헌팅 스키마에서 사용할 수 있습니다. 이러한 테이블을 사용하여 다양한 구성의 상태 및 디바이스의 공격 노출 영역 상태를 포함하여 Defender 취약성 관리의 평가 이벤트를 헌팅할 수 있습니다.
Microsoft Defender 포털에서 새로 도입된 자동 조사 및 응답 카드는 보류 중인 수정 작업에 대한 개요를 제공합니다.
보안 운영 팀은 승인 보류 중인 모든 작업과 카드 자체에서 해당 작업을 승인하는 지정된 시간을 볼 수 있습니다. 보안 팀은 알림 센터로 신속하게 이동하여 적절한 수정 작업을 수행할 수 있습니다. 자동 조사 및 응답 카드에는 전체 자동화 페이지에 대한 링크도 있습니다. 이를 통해 보안 운영 팀은 경고를 효과적으로 관리하고 적시에 수정 작업을 완료할 수 있습니다.
2022년 5월
- (미리 보기) Microsoft 보안 전문가라는 새로운 서비스 범주로 최근에 발표된 확장에 따라 헌팅용 Microsoft Defender Experts(헌팅용 Defender Experts) 공개 미리 보기를 사용할 수 있습니다. 헌팅용 Defender 전문가는 강력한 보안 운영 센터가 있지만 Microsoft가 엔드포인트, Office 365, 클라우드 애플리케이션 및 ID를 포함하여 Microsoft Defender 데이터에서 위협을 사전에 헌팅하도록 지원하려는 고객을 위한 것입니다.
2022년 4월
(미리 보기) 작업은 이제 헌팅 쿼리 결과에서 바로 전자 메일 메시지에 대해 수행할 수 있습니다. 전자 메일을 다른 폴더로 이동하거나 영구적으로 삭제할 수 있습니다.
(미리 보기) 고급 헌팅에 새로운
UrlClickEvents
테이블은 전자 메일 메시지, Microsoft Teams 및 Office 365 앱의 안전한 링크 클릭에서 오는 정보를 기반으로 피싱 캠페인 및 의심스러운 링크와 같은 위협을 헌팅하는 데 사용할 수 있습니다.
2022년 3월
- (미리 보기) 인시던트 큐는 조사에 도움이 되도록 설계된 몇 가지 기능으로 향상되었습니다. 향상된 기능에는 ID 또는 이름으로 인시던트를 검색하고, 사용자 지정 시간 범위를 지정하는 등의 기능이 포함됩니다.
2021년 12월
- (GA)
DeviceTvmSoftwareEvidenceBeta
테이블은 특정 소프트웨어가 디바이스에서 검색된 위치를 확인할 수 있도록 단기적인 고급 헌팅에 추가되었습니다.
2021년 11월
(미리 보기) 이제 클라우드 앱용 Defender에 대한 애플리케이션 거버넌스 추가 기능을 Microsoft Defender XDR에서 사용할 수 있습니다. 앱 거버넌스는 Microsoft Graph API를 통해 Microsoft 365 데이터에 액세스하는 OAuth 지원 앱용으로 설계된 보안 및 정책 관리 기능을 제공합니다. 애플리케이션 거버넌스는 실행 가능한 인사이트와 자동화된 정책 경고 및 작업을 통해 이러한 애플리케이션과 사용자가 Microsoft 365에 저장된 중요 데이터에 액세스, 사용 및 공유하는 방법에 대한 완벽한 가시성, 문제 해결 및 거버넌스를 제공합니다. 애플리케이션 거버넌스에 대해 자세히 알아봅니다.
(미리 보기) 이제 고급 헌팅 페이지에는 다중 탭 지원, 스마트 스크롤, 간소화된 스키마 탭, 쿼리에 대한 빠른 편집 옵션, 쿼리 리소스 사용 지표 및 기타 개선 사항이 있어 쿼리를 더 원활하고 쉽게 미세 조정할 수 있습니다.
(미리 보기) 이제 인시던트 기능에 대한 링크를 사용하여 고급 헌팅 쿼리 결과의 이벤트 또는 레코드를 조사 중인 새 인시던트 또는 기존 인시던트에 포함할 수 있습니다.
2021년 10월
- (GA) 고급 헌팅에서는 CloudAppEvents 테이블에 더 많은 열이 추가되었습니다. 이제
AccountType
,IsExternalUser
,IsImpersonated
,IPTags
,IPCategory
및UserAgentTags
을(를) 쿼리에 포함할 수 있습니다.
2021년 9월
(GA) Office 365용 Microsoft Defender 이벤트 데이터는 Microsoft Defender XDR 이벤트 스트리밍 API에서 사용할 수 있습니다. 스트리밍 API의 지원되는 Microsoft Defender XDR 이벤트 유형에서 이벤트 유형의 가용성 및 상태를 확인할 수 있습니다.
(GA) 고급 헌팅에서 사용할 수 있는 Office 365용 Microsoft Defender 데이터가 이제 일반 공급됩니다.
(GA) 사용자 계정에 인시던트 및 경고 할당
인시던트의 인시던트 관리 창 또는 알림의 알림 관리 창에 있는 할당 대상:에서 인시던트 및 이와 관련된 모든 알림을 사용자 계정에 할당할 수 있습니다.
2021년 8월
(미리 보기) 고급 헌팅에서 사용할 수 있는 Office 365용 Microsoft Defender 데이터
전자 메일 테이블의 새 열은 고급 헌팅을 사용하여 보다 철저한 조사를 위해 전자 메일 기반 위협에 대한 더 많은 인사이트를 제공할 수 있습니다. 이제 EmailEvents, EmailAttachmentInfo의
FileSize
및 EmailPostDeliveryEvents 테이블의ThreatTypes
및DetectionMethods
테이블에AuthenticationDetails
열을 포함할 수 있습니다.(미리 보기) 인시던트 그래프
인시던트 요약 탭의 새 그래프 탭에는 공격의 전체 범위, 시간이 지남에 따라 공격이 네트워크를 통해 확산되는 방식, 시작된 위치 및 공격자가 얼마나 멀리 갔는지가 표시됩니다.
2021년 7월
-
지원되는 파트너 연결을 통해 플랫폼의 탐지, 조사 및 위협 인텔리전스 기능을 강화하세요.
2021년 6월
(미리 보기) 위협 태그별 보고서 보기
위협 태그는 특정 위협 범주에 집중하고 가장 관련성이 높은 보고서를 검토하는 데 도움이 됩니다.
(미리 보기) 스트리밍 API
Microsoft Defender XDR은 고급 헌팅을 통해 사용할 수 있는 모든 이벤트를 Event Hubs 및/또는 Azure Storage 계정으로 스트리밍할 수 있도록 지원합니다.
(미리 보기) 고급 헌팅에서 조치 취하기
고급 헌팅에서 찾은 위협혹은 주소가 손상된 자산을 신속하게 포함합니다.
(미리 보기) 포털 내 스키마 참조
고급 헌팅 스키마 테이블에 대한 정보를 보안 센터에서 직접 확인하세요. 테이블 및 열 설명 외에도 이 참조에는 지원되는 이벤트 유형(
ActionType
값) 및 샘플 쿼리가 포함됩니다.(미리 보기) DeviceFromIP() 함수
지정된 시간 범위에서 특정 IP 주소 또는 주소가 할당된 디바이스에 대한 정보를 가져옵니다.
2021년 5월
Microsoft Defender 포털의 새 경고 페이지
공격의 컨텍스트에 대한 향상된 정보를 제공합니다. 현재 경고를 발생시킨 다른 트리거된 경고와 파일, 사용자 및 사서함을 포함하여 공격에 관련된 모든 영향을 받는 엔터티 및 활동을 확인할 수 있습니다. 자세한 내용은 경고 조사를 참조하세요.
Microsoft Defender 포털의 인시던트 및 경고에 대한 추세 그래프
단일 인시던트에 대한 경고가 여러 개 있는지 또는 조직에서 여러 인시던트의 공격을 받고 있는지 확인합니다. 자세한 내용은 인시던트 우선 순위 지정을 참조하세요.
2021년 4월
Microsoft Defender XDR
이제 개선된 Microsoft Defender XDR 포털을 사용할 수 있습니다. 이 새로운 환경은 엔드포인트용 Defender, Office 365용 Defender, Identity용 Defender 등을 단일 포털에 통합합니다. 보안 제어를 관리하는 새로운 홈입니다. 새로운 기능에 대해 알아보세요.
Microsoft Defender XDR 위협 분석 보고서
위협 분석을 사용하면 활성 공격에 대응하고 영향을 최소화할 수 있습니다. 또한 Microsoft Defender XDR 솔루션에 의해 차단된 공격 시도에 대해 알아보고 추가 노출 위험을 완화하고 복원력을 높이는 예방 조치를 취할 수 있습니다. 통합 보안 환경의 일부로 이제 엔드포인트용 Microsoft Defender 및 Office E5용 Microsoft Defender 라이선스 소유자가 위협 분석을 사용할 수 있습니다.
2021년 3월
-
클라우드 앱용 Microsoft Defender에서 다루는 다양한 클라우드 앱 및 서비스의 이벤트에 대한 정보를 찾습니다. 이 테이블에는 이전에
AppFileEvents
테이블에서 사용할 수 있었던 정보도 포함되어 있습니다.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.