적용 대상:
- XDR용 Microsoft Defender 전문가
- 서버 전문가 Microsoft Defender
XDR용 Defender 전문가 보고서 지침은 이 짧은 비디오를 검사.
XDR용 Microsoft Defender 전문가 전문 분석가가 사용자를 대신하여 수행하는 작업에 대한 명확한 요약, 인시던트 환경에 대한 집계 정보 및 특정 인시던트에 대한 세부 정보를 제공하는 대화형 주문형 보고서가 포함되어 있습니다. 또한 SDM(서비스 배달 관리자)은 보고서를 사용하여 월별 비즈니스 검토 중에 서비스에 대한 더 많은 컨텍스트를 제공합니다.
이 보고서는 전문가가 실시간으로 또는 특정 기간 동안 사용자 환경에서 조사하고 해결한 인시던트에 대한 더 많은 인사이트를 제공하도록 설계되었습니다. Microsoft Defender 포털에서 보고서를 보려면 보고서로 이동하여 Defender 전문가>XDR 보고서를 선택합니다. 다음 두 섹션으로 나뉩니다.
보고서 개요: 조사된 인시던트 빠르게 이해
보고서 개요 탭에서는 지난 30일 동안 사용자 환경에서 해결한 인시던트 유형을 파악하여 운영의 투명성을 제공합니다. 특정 기간 동안 인시던트에 대한 자세한 정보를 얻으려면 에 대한 결과 표시 에서 사용자 지정 날짜 범위를 선택할 수도 있습니다.
해결된 인시던트
보고서 개요의 위쪽 섹션에서는 해결된 인시던트 비율을 보여 줍니다. 보고서에는 다음 수치도 표시됩니다.
- 조사된 인시던트 - scope 내에서 심사, 조사 또는 현재 조사 중인 인시던트 큐의 활성 위협 및 기타 인시던트 수입니다.
- 해결된 인시던트 - 닫힌 조사된 총 인시던트 수입니다.
- 직접 해결 됨 - 사용자를 대신하여 직접 닫은 조사된 인시던트 수입니다.
- 도움말로 해결 됨 - 하나 이상의 관리되는 응답 작업에 대한 작업으로 인해 해결된 조사된 인시던트 수입니다.
- 타사 보강 - 타사 네트워크 신호로 보강된 인시던트 수입니다. 이 데이터는 타사 네트워크 보강에 등록된 경우에 사용할 수 있습니다.
인시던트 resolve 평균 시간
인시던트 resolve 평균 시간 섹션에는 사용자 환경에서 인시던트 조사 및 종결에 소요된 평균 시간(분)과 필요한 관리형 대응 작업을 수행하는 데 소요된 평균 시간의 가로 막대형 차트가 표시됩니다.
심각도, 범주 및 서비스 원본별 인시던트
심각도별 인시던트, 범주별 인시던트 및 서비스 원본별 인시던트 섹션은 심각도, 공격 기술 및 Microsoft 보안 서비스 원본별로 해결된 인시던트별로 각각 분류됩니다. 이 섹션에서는 사용자 환경에서 검색된 잠재적인 공격 진입점 및 위협 유형을 식별하고, 영향을 평가하고, 이를 완화하고 방지하기 위한 전략을 개발할 수 있습니다. 선택한 인시던트 보기를 선택하여 각 섹션에서 선택한 항목에 따라 인시던트 큐의 필터링된 보기를 가져옵니다.
대부분의 영향을 받은 자산
가장 큰 영향을 받은 자산 섹션에는 선택한 날짜 범위 동안 가장 많은 인시던트에 관련된 사용자 및 디바이스가 표시됩니다. 각 자산이 관련된 인시던트 수를 볼 수 있습니다. 자산을 선택하여 해당 자산이 포함된 인시던트를 기반으로 인시던트 큐의 필터링된 보기를 가져옵니다.
MITRE 전술로 해결된 인시던트
MITRE 전술로 해결된 인시던트 섹션은 조사된 총 인시던트 수와 관련된 위협 전술로 분류된 진정한 긍정적인 인시던트 해결을 보여 줍니다. 이러한 위협 전술은 MITRE ATT&CK 공격 프레임워크를 기반으로 하며, 해당 완화 작업을 계획할 수 있도록 각 공격 단계에서 인시던트가 달성하려는 작업을 시각화하는 데 도움이 될 수 있습니다.
기본적으로 이 섹션은 관련된 인시던트가 있는지 여부와 관계없이 모든 전술 범주를 표시합니다. 관련 인시던트가 있는 전술만 표시하려면 모든 전술 표시 단추를 끕니다.
심각도 및 범주로 해결된 인시던트
심각도 및 범주로 해결된 인시던트 섹션에는 해결된 총 인시던트가 해당 심각도 및 위협 범주로 구분된 가로 막대형 차트가 표시됩니다.
기본적으로 이 섹션에서는 확인된 모든 인시던트 유형(참 긍정, 가양성 및 정보)의 데이터를 표시합니다. 인시던트 유형 선택 드롭다운 상자에서 해당 옵션을 선택하여 이러한 다양한 인시던트 유형 별로 결과를 필터링할 수 있습니다.
작업이 필요한 인시던트
작업이 필요한 인시던트 섹션에는 전문가가 조사했지만 하나 이상의 관리형 대응 작업을 통해 팀의 추가 작업이 필요한 인시던트 수가 표시됩니다. 완료, 보류 중, 건너뛰기 또는 수행되었지만 실패한 것으로 표시된 작업 수를 요약합니다. 또한 심각도에 따라 이러한 인시던트의 가로 막대형 차트를 표시합니다.
또한 이 섹션에는 인시던트 제목 목록과 해당 심각도, 필요한 작업 수 및 이러한 작업의 상태 테이블이 표시됩니다. 심각도 및 작업 상태 따라 인시던트 정렬 및 필터링을 통해 더 효율적으로 관리할 수 있습니다. 인시던트 제목을 선택하면 해당 인시던트 페이지가 열립니다. 그러면 필요한 관리형 대응 작업을 수행할 수 있습니다.
추세: 인시던트 패턴 및 대응 효율성을 참조하여 정보에 입각한 의사 결정을 내립니다.
보고서의 추세 탭은 인시던트의 심각도, MITRE 전술 및 위협 유형에 따라 시각화된 지난 6개월 동안의 월별 조사 및 해결된 인시던트 볼륨을 제공합니다. 추세 섹션에서는 한 달 단위로 중요한 운영 메트릭을 표시하여 Defender 전문가가 보안 작업을 눈에 띄게 개선하는 방법에 대한 인사이트를 제공합니다.
시각화는 각각 심각도별 인시던트, MITRE 전술별 인시던트 및 분류별 인시던트 섹션에 표시됩니다. 각 섹션에 대해 인시던트 유형 선택 드롭다운 상자에서 해당 옵션을 선택하여 다양한 인시던트 유형(참 긍정, 가양성 및 정보)에 따라 데이터를 필터링할 수 있습니다. 심각도별 인시던트 및 MITRE의 인시던트별 인시던트 전술 섹션에는 선택한 인시던트 보기 단추도 있습니다. 이 단추는 이러한 각 섹션에서 선택한 항목에 따라 인시던트 큐의 필터링된 보기를 가져오기 위해 선택할 수 있습니다.
추세 탭에는 관리되는 응답 작업 완료 및 효율성 위젯도 있습니다. 이 위젯은 팀이 매달 완료한 관리되는 응답 작업의 월별 볼륨과 팀이 이러한 작업을 완료하는 데 걸린 평균 시간을 보여 줍니다. 이 위젯은 공격자가 초기 액세스와 측면 이동 사이의 시간을 계속 줄이면서 점점 더 중요해지는 팀의 응답 효율성과 효율성의 급증을 식별하는 데 도움이 됩니다.
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.