다음을 통해 공유


자산 조사

Microsoft Defender for Identity Microsoft Defender XDR 사용자에게 사용자, 컴퓨터 및 디바이스가 의심스러운 활동을 수행했거나 손상의 징후를 보이는 경우의 증거를 제공합니다.

이 문서에서는 organization 대한 위험을 확인하고, 수정 방법을 결정하고, 향후 유사한 공격을 방지하는 가장 좋은 방법을 결정하는 방법에 대한 권장 사항을 제공합니다.

의심스러운 사용자에 대한 조사 단계

참고

Microsoft Defender XDR 사용자 프로필을 보는 방법에 대한 자세한 내용은 Microsoft Defender XDR 설명서를 참조하세요.

경고 또는 인시던트가 사용자가 의심스럽거나 손상되었을 수 있음을 나타내는 경우 다음 세부 정보 및 활동에 대해 사용자 프로필을 검사 조사합니다.

  • 사용자 ID

    • 사용자가 중요한 사용자 (예: 관리자 또는 관심 목록 등)인가요?
    • organization 내에서 그들의 역할은 무엇인가요?
    • 조직 트리에서 중요한가요?
  • 다음과 같은 의심스러운 활동을 조사합니다.

    • 사용자가 Defender for Identity 또는 엔드포인트용 Microsoft Defender, 클라우드용 Microsoft Defender 및/또는 Microsoft Defender for Cloud Apps 같은 다른 보안 도구에서 열린 다른 경고가 있나요?
    • 사용자가 로그인에 실패했나요?
    • 사용자가 액세스한 리소스는 무엇입니까?
    • 사용자가 높은 가치의 리소스에 액세스했나요?
    • 사용자가 액세스한 리소스에 액세스해야 하나요?
    • 사용자가 로그인한 디바이스는 무엇입니까?
    • 사용자가 해당 디바이스에 로그인해야 합니까?
    • 사용자와 중요한 사용자 간에 횡적 이동 경로 (LMP)가 있나요?

이러한 질문에 대한 답변을 사용하여 계정이 손상된 것으로 표시되는지 또는 의심스러운 활동이 악의적인 작업을 암시하는지 여부를 확인합니다.

다음 Microsoft Defender XDR 영역에서 ID 정보를 찾습니다.

  • 개별 ID 세부 정보 페이지
  • 개별 경고 또는 인시던트 세부 정보 페이지
  • 디바이스 세부 정보 페이지
  • 고급 헌팅 쿼리
  • 알림 센터 페이지

예를 들어 다음 이미지는 ID 세부 정보 페이지의 세부 정보를 보여줍니다.

Microsoft Defender 포털의 특정 사용자 페이지 스크린샷

ID 세부 정보

특정 ID를 조사할 때 ID 세부 정보 페이지에 다음 세부 정보가 표시됩니다.

ID 세부 정보 페이지 영역 설명
개요 탭 Microsoft Entra ID 위험 수준, 사용자가 로그인한 디바이스 수, 사용자가 처음 및 마지막으로 본 경우, 사용자의 계정 및 더 중요한 정보와 같은 일반 ID 데이터입니다.

개요 탭을 사용하여 인시던트 및 경고에 대한 그래프, 조사 우선 순위 점수, 조직 트리, 엔터티 태그 및 채점된 활동 타임라인 볼 수도 있습니다.
인시던트 및 경고 경고 심각도 및 경고 생성 시간과 같은 세부 정보를 포함하여 지난 180일 동안의 사용자와 관련된 활성 인시던트 및 경고를 Lists.
organization 관찰됨 다음 하위 영역을 포함합니다.
- 디바이스: 지난 180일 동안 가장 적게 사용된 것을 포함하여 ID가 로그인한 디바이스입니다.
- 위치: 지난 30일 동안 ID의 관찰된 위치입니다.
- 그룹: ID에 대해 관찰된 모든 온-프레미스 그룹입니다.
- 횡적 이동 경로 - 온-프레미스 환경에서 프로파일된 모든 횡적 이동 경로입니다.
ID 타임라인 타임라인 지난 180일 동안 사용자 ID에서 관찰된 활동 및 경고를 나타내며, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps 및 간에 ID 항목을 통합합니다. 엔드포인트용 Microsoft Defender.

타임라인 사용하여 사용자가 특정 기간 동안 수행했거나 수행한 활동에 집중합니다. 기본 30일 을 선택하여 시간 범위를 다른 기본 제공 값 또는 사용자 지정 범위로 변경합니다.
수정 작업 계정을 사용하지 않도록 설정하거나 암호를 다시 설정하여 손상된 사용자에게 응답합니다. 사용자에 대한 작업을 수행한 후 Microsoft Defender XDR **알림 센터의 활동 세부 정보를 검사 수 있습니다.

참고

조사 우선 순위 점수 는 2025년 12월 3일에 더 이상 사용되지 않습니다. 결과적으로 조사 우선 순위 점수 분석과 점수가 매기된 활동 타임라인 카드가 모두 UI에서 제거되었습니다.

자세한 내용은 Microsoft Defender XDR 설명서에서 사용자 조사를 참조하세요.

의심스러운 그룹에 대한 조사 단계

경고 또는 인시던트 조사가 Active Directory 그룹과 관련된 경우 다음 세부 정보 및 활동에 대해 그룹 엔터티를 검사.

  • 그룹 엔터티

    • 그룹이 도메인 관리자와 같은 중요한 그룹인가요?
    • 그룹에 중요한 사용자가 포함됩니까?
  • 다음과 같은 의심스러운 활동을 조사합니다.

    • 그룹이 Defender for Identity 또는 엔드포인트용 Microsoft Defender, 클라우드용 Microsoft Defender 및/또는 Microsoft Defender for Cloud Apps 같은 다른 보안 도구에서 다른 관련 경고를 열었나요?
    • 최근에 그룹에 추가되거나 그룹에서 제거된 사용자는 무엇인가요?
    • 이 그룹은 최근에 쿼리되었고 누구에 의해 쿼리되었습니까?

이러한 질문에 대한 답변을 사용하여 조사에 도움을 줍니다.

그룹 엔터티 세부 정보 창에서 Go hunt 또는 Open 타임라인 선택하여 조사합니다. 다음 Microsoft Defender XDR 영역에서 그룹 정보를 찾을 수도 있습니다.

  • 개별 경고 또는 인시던트 세부 정보 페이지
  • 디바이스 또는 사용자 세부 정보 페이지
  • 고급 헌팅 쿼리

예를 들어 다음 이미지는 지난 180일 동안의 관련 경고 및 활동을 포함하여 서버 운영자 작업 타임라인 보여 줍니다.

그룹 타임라인 탭의 스크린샷.

의심스러운 디바이스에 대한 조사 단계

Microsoft Defender XDR 경고는 각 의심스러운 활동에 연결된 모든 디바이스 및 사용자를 나열합니다. 디바이스 세부 정보 페이지를 볼 디바이스를 선택한 다음, 다음 세부 정보 및 활동을 조사합니다.

  • 의심스러운 활동이 발생했을 때 어떤 일이 일어났는가?

    • 디바이스에 로그인한 사용자는 무엇입니까?
    • 해당 사용자가 일반적으로 원본 또는 대상 디바이스에 로그인하거나 액세스하나요?
    • 어떤 리소스에 액세스되었나요? 어떤 사용자인가요? 리소스에 액세스한 경우 값이 높은 리소스인가요?
    • 사용자가 해당 리소스에 액세스해야 합니까?
    • 디바이스에 액세스한 사용자가 다른 의심스러운 활동을 수행했나요?
  • 조사할 의심스러운 활동:

    • Defender for Identity 또는 클라우드용 Microsoft Defender 및/또는 Microsoft Defender for Cloud Apps 엔드포인트용 Microsoft Defender 같은 다른 보안 도구에서 이 경고와 비슷한 시기에 다른 경고가 열렸나요?
    • 실패한 로그인이 있었나요?
    • 새 프로그램이 배포되었거나 설치되었나요?

이러한 질문에 대한 답변을 사용하여 디바이스가 손상된 것으로 보이는지 또는 의심스러운 활동이 악의적인 작업을 암시하는지 여부를 확인합니다.

예를 들어 다음 이미지는 디바이스 세부 정보 페이지를 보여줍니다.

디바이스 세부 정보 페이지의 스크린샷.

자세한 내용은 Microsoft Defender XDR 설명서의 디바이스 조사를 참조하세요.

다음 단계