엔드포인트용 Microsoft Defender 경고 페이지는 선택한 경고와 관련된 공격 신호와 경고를 결합하여 경고에 대한 전체 컨텍스트를 제공하여 자세한 경고 스토리를 생성합니다.
organization 영향을 주는 경고에 대해 신속하게 심사, 조사 및 효과적인 조치를 취합니다. 트리거된 이유와 한 위치에서의 영향을 이해합니다. 이 개요에서 자세히 알아보세요.
경고 시작
엔드포인트용 Defender에서 경고 이름을 선택하면 경고 페이지에 표시됩니다. 경고 페이지에서 모든 정보는 선택한 경고의 컨텍스트에 표시됩니다. 각 경고 페이지는 다음 4개 섹션으로 구성됩니다.
- 경고 제목은 경고의 이름을 표시하며, 페이지에서 선택한 내용에 관계없이 현재 조사를 시작한 경고를 알려 줍니다.
- 영향을 받는 자산에는 추가 정보 및 작업을 위해 클릭할 수 있는 이 경고의 영향을 받는 디바이스 및 사용자의 카드가 나열됩니다.
- 경고 스토리는 트리 뷰와 상호 연결된 경고와 관련된 모든 엔터티를 표시합니다. 선택한 경고의 페이지에 처음 도착하면 타이틀의 경고가 포커스가 됩니다. 경고 스토리의 엔터티는 확장 가능하고 클릭할 수 있으며, 경고 페이지의 컨텍스트에서 바로 작업을 수행할 수 있도록 하여 추가 정보를 제공하고 신속한 응답을 제공합니다. 경고 스토리를 사용하여 조사를 시작합니다. 엔드포인트용 Microsoft Defender 경고 조사에서 방법을 알아봅니다.
- 세부 정보 창에는 처음에 선택한 경고의 세부 정보와 이 경고와 관련된 세부 정보 및 작업이 표시됩니다. 경고 스토리에서 영향을 받는 자산 또는 엔터티를 선택하는 경우 세부 정보 창이 변경되어 선택한 개체에 대한 컨텍스트 정보와 작업을 제공합니다.
경고에 대한 검색 상태 확인합니다.
방지됨: 의심스러운 작업이 시도되지 않았습니다. 예를 들어 파일이 디스크에 쓰여지지 않았거나 실행되었습니다.
차단됨: 의심스러운 동작이 실행된 후 차단되었습니다. 예를 들어 프로세스가 실행되었지만 나중에 의심스러운 동작이 표시되어 프로세스가 종료되었습니다.
검색됨: 공격이 감지되었으며 여전히 활성 상태일 수 있습니다.
그런 다음 경고 세부 정보 창에서 자동화된 조사 세부 정보를 검토하여 이미 수행된 작업을 확인하고 권장 작업에 대한 경고 설명을 읽을 수도 있습니다.
경고가 열릴 때 세부 정보 창에서 사용할 수 있는 기타 정보에는 MITRE 기술, 원본 및 추가 컨텍스트 세부 정보가 포함됩니다.
참고
지원되지 않는 경고 유형 경고 상태 표시되는 경우 자동화된 조사 기능이 해당 경고를 선택하여 자동화된 조사를 실행할 수 없음을 의미합니다. 그러나 이러한 경고를 수동으로 조사할 수 있습니다.
영향을 받는 자산 검토
영향을 받는 자산 섹션에서 디바이스 또는 사용자 카드 선택하면 세부 정보 창에서 디바이스 또는 사용자의 세부 정보로 전환됩니다.
디바이스의 경우 세부 정보 창에 도메인, 운영 체제 및 IP와 같은 디바이스 자체에 대한 정보가 표시됩니다. 활성 경고 및 해당 디바이스에서 로그온한 사용자도 사용할 수 있습니다. 디바이스를 격리하거나, 앱 실행을 제한하거나, 바이러스 백신 검사를 실행하여 즉각적인 조치를 취할 수 있습니다. 또는 조사 패키지를 수집하거나, 자동화된 조사를 시작하거나, 디바이스 페이지로 이동하여 디바이스의 관점에서 조사할 수 있습니다.
사용자의 경우 세부 정보 창에는 사용자의 SAM 이름 및 SID와 같은 자세한 사용자 정보와 이 사용자가 수행한 로그온 유형 및 관련 경고 및 인시던트가 표시됩니다. 사용자 페이지 열기를 선택하여 해당 사용자의 관점에서 조사를 계속할 수 있습니다.
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.