Microsoft Defender 포털의 작업을 사용하여 운영 팀에서 공동으로 인시던트 조사 및 resolve. 인시던트가 실행 가능한 작업으로 나누면 운영 효율성이 향상되고 프로세스 전반에 걸쳐 책임이 강화됩니다.
이 문서에서는 작업이 작동하는 방식과 작업을 사용하여 Microsoft Defender 포털에서 인시던트 관리 방법을 설명합니다.
작업 작동 방식
조사를 명확하고 실행 가능한 단계로 세분화하고 팀 전체에 할당합니다.
작업을 사용하는 것은 다음 작업에 특히 유용합니다.
- 주니어 분석가 온보딩
- 관리형 보안 서비스 공급자(MSSP) 작업
- 규정 준수 지향 조직에서 작업 추적
작업 패널은 Security Copilot 요약, 단계별 응답 및 보고서와 함께 작업을 제공하여 인시던트 종료에 필요한 진행 상황 및 나머지 작업에 대한 포괄적인 보기를 제공합니다.
일관성, 공동 작업 및 책임을 보장하기 위해 각 작업을 분류, 우선 순위 지정, 할당 및 추적합니다. 작업을 닫으면 닫기 노트를 추가하여 결과를 문서화합니다. 이러한 노트는 철저한 사후 분석을 지원하고 팀이 각 조사에서 학습하는 데 도움이 됩니다.
필요한 권한
| 작업 | 필요한 권한 |
|---|---|
| 작업 보기 | Defender 포털의 보안 작업 권한 그룹에 있는 읽기 전용 권한 또는 보안데이터 기본 사항(읽기)입니다. |
| 작업 만들기 | Defender 포털의 보안 작업 권한 그룹에 있는 모든 읽기 및 관리 권한 또는 응답(관리) |
Defender 포털의 통합 RBAC에 대한 자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.
작업 보기 및 관리
작업을 보고 관리하려면 다음을 수행합니다.
Defender 포털 메뉴에서 인시던트 & 경고>인시던 트 를 선택하여 인시던트 큐를 엽니다.
큐에서 인시던트를 선택합니다.
작업을 선택하여 인시던트와 관련된 모든 작업 및 Security Copilot 인사이트를 나열하는 작업 쪽 패널을 엽니다.
새 작업을 만들려면 작업 추가를 선택합니다.
작업 세부 정보를 입력하고 저장을 선택합니다.
작업의 상태 업데이트하려면 작업 미리 보기 카드 상태 드롭다운에서 상태 선택합니다.
작업을 편집하거나 삭제하려면 줄임표(...) > 를 선택합니다.편집 또는 삭제.
Azure Portal 사용하여 Microsoft Sentinel 만든 작업 자동화 및 동기화
defender 포털에 Microsoft Sentinel 온보딩하면 Defender 포털은 Azure Portal 사용하여 Sentinel 만든 작업을 자동으로 동기화합니다.
중요
동기화는 단방향입니다. Defender 포털에서 만드는 작업은 Microsoft Sentinel 다시 동기화되지 않습니다.
Defender 포털은 아직 자동 작업 생성을 지원하지 않지만, Azure 작업 자동화 규칙, 논리 앱 플레이북 또는 인시던트 작업 REST API를 계속 사용하여 Defender 포털에 동기화되는 작업을 만들 수 있습니다.