적용 대상:
- Microsoft Defender XDR
각 위협 분석 보고서에는 동적 섹션과 분석가 보고서라는 포괄적인 서면 섹션이 포함됩니다. 이 섹션에 액세스하려면 추적된 위협에 대한 보고서를 열고 분석가 보고서 탭을 선택합니다.
위협 분석 보고서의 분석가 보고서 섹션
다양한 분석가 보고서 유형 파악
위협 분석 보고서는 다음 범주 중 하나로 분류할 수 있습니다.
- 활동 – 위협 행위자와 관련된 특정 공격 캠페인에 대한 정보를 제공합니다. 이 보고서는 공격이 발생한 방법, 공격에 관심을 가져야 하는 이유 및 Microsoft가 고객을 보호하는 방법에 대해 설명합니다. 활동 보고서에는 이벤트 타임라인, 공격 체인, 동작 및 방법론과 같은 세부 정보도 포함될 수 있습니다.
- 행위자 – 주목할 만한 사이버 공격의 배후에 있는 특정 Microsoft 추적 위협 행위자 정보를 제공합니다. 이 보고서는 위협 행위자의 동기, 산업 및/또는 지리적 목표, TTP(전술, 기술 및 절차)에 대해 설명합니다. 행위자 보고서에는 위협 행위자의 공격 인프라, 맬웨어(사용자 지정 또는 오픈 소스) 및 사용한 익스플로잇, 주목할 만한 이벤트 또는 캠페인에 대한 정보도 포함될 수 있습니다.
- 핵심 위협 – 여러 프로필 보고서를 이러한 보고서를 사용하거나 관련된 위협에 대한 광범위한 그림을 그리는 설명으로 요약합니다. 예를 들어 위협 행위자가 다양한 기술을 사용하여 온-프레미스 자격 증명을 도용하고 온-프레미스 자격 증명 도난에 대한 위협 개요는 무차별 암호 대입 공격, Kerberos 공격 또는 정보 도용 맬웨어에 대한 기술 보고서와 연결될 수 있습니다. Microsoft Threat Intelligence는 고객 환경에 영향을 주는 주요 위협에 대한 센서를 사용하여 이 보고서 유형에 적합한 위협을 평가합니다.
- 기술 – 위협 행위자가 사용하는 특정 기술(예: PowerShell의 악의적인 사용 또는 BEC(비즈니스 전자 메일 손상)의 자격 증명 수집) 및 Microsoft가 기술과 관련된 활동을 검색하여 고객을 보호하는 방법에 대한 정보를 제공합니다.
- 도구 – 위협 행위자와 종종 연결된 특정 사용자 지정 또는 오픈 소스 도구에 대한 정보를 제공합니다. 이 보고서에서는 도구의 기능, 이를 사용하는 위협 행위자가 달성하려는 목표 및 Microsoft가 관련 활동을 검색하여 고객을 보호하는 방법에 대해 설명합니다.
- 취약성 – 제품에 영향을 주는 특정 CVE(Common Vulnerabilities and Exposures) ID 또는 유사한 CVE 그룹에 대한 정보를 제공합니다. 취약성 보고서는 일반적으로 위협 행위자 및 주목할 만한 공격 캠페인에서 사용되는 취약성과 같은 주목할 만한 취약성에 대해 설명합니다. 취약성 유형, 영향을 받은 서비스, 제로 데이 또는 인 더 와일드 악용, 심각도 점수 및 잠재적 영향, Microsoft의 적용 범위 등 하나 이상의 정보를 다룹니다.
분석가 보고서 검사
분석가 보고서의 각 섹션에서는 실행 가능한 정보를 제공합니다. 보고서는 다양하지만 대부분의 보고서에는 다음 표에 설명된 섹션이 포함됩니다.
| 보고서 섹션 | 설명 |
|---|---|
| 요약 | 처음 보았을 때, 동기, 주목할 만한 이벤트, 주요 목표, 고유한 도구 및 기술을 포함할 수 있는 위협의 스냅샷. 이 정보를 사용하여 업계, 지리적 위치 및 네트워크의 컨텍스트에서 위협의 우선 순위를 지정하는 방법을 평가합니다. |
| 개요 | 보고서 유형에 따라 공격에 대한 기술 분석에는 공격의 세부 정보와 공격자가 새로운 기술 또는 공격 표면을 사용하는 방법이 포함될 수 있습니다. 또한 이 섹션에는 더 많은 컨텍스트와 세부 정보를 제공하기 위해 보고서 유형에 따라 다른 제목과 추가 하위 섹션이 있습니다. 예를 들어 취약성 프로필에는 영향을 받은 기술을 나열하는 별도의 섹션이 있지만 행위자 프로필에는 도구 및 TTP 및특성 섹션이 포함될 수 있습니다. |
| 검색/헌팅 쿼리 | 위협과 관련된 활동 또는 구성 요소를 노출할 수 있는 Microsoft 보안 솔루션에서 제공하는 특정 및 일반 검색 입니다. 이 섹션에서는 가능한 위협 활동을 사전에 식별하기 위한 헌팅 쿼리 도 제공합니다. 대부분의 쿼리는 특히 악의적인 것으로 동적으로 평가할 수 없는 잠재적으로 악의적인 구성 요소 또는 동작을 찾기 위해 검색을 보완합니다. |
| MITRE ATT&CK 기술 관찰 | 관찰된 기술이 MITRE ATT&CK 공격 프레임워크에 매핑되는 방법 |
| 권장 사항 | 위협의 영향을 중지하거나 줄일 수 있는 실행 가능한 단계입니다. 이 섹션에는 위협 분석 보고서의 일부로 동적으로 추적되지 않는 완화도 포함되어 있습니다. |
| 참조 | 보고서를 만드는 동안 분석가가 참조하는 Microsoft 및 타사 발행물입니다. 위협 분석 콘텐츠는 Microsoft 연구원이 유효성을 검사한 데이터를 기반으로 합니다. 공개적으로 사용 가능한 타사 원본의 정보는 다음과 같이 명확하게 식별됩니다. |
| 로그 변경 | 보고서가 게시된 시간과 보고서에 상당한 변경이 적용된 시간입니다. |
각 위협을 검색하는 방법 이해
분석가 보고서는 위협을 감지하는 데 도움이 될 수 있는 다양한 Microsoft 솔루션의 정보도 제공합니다. 해당되는 경우 다음 섹션에 나열된 각 제품의 이 위협과 관련된 검색을 나열합니다. 이러한 위협 관련 검색의 경고는 위협 분석 페이지의 경고 상태 카드에 표시됩니다.
일부 분석가 보고서는 또한 일반적으로 의심스러운 동작에 플래그를 지정하도록 설계되었으며 추적된 위협과 연결되지 않을 수 있는 경고를 멘션. 이러한 경우 보고서는 관련 없는 위협 활동에 의해 경고를 트리거할 수 있으며 위협 분석 페이지에 제공된 상태 카드에서 모니터링되지 않는다는 것을 명확하게 명시하고 있습니다.
Microsoft Defender 바이러스 백신
바이러스 백신 검색은 Windows에서 Microsoft Defender 바이러스 백신이 켜져 있는 디바이스에서 사용할 수 있습니다. 이러한 검색은 사용 가능한 경우 Microsoft 보안 인텔리전스 해당 맬웨어 백과 사전 설명에 연결됩니다.
엔드포인트용 Microsoft Defender
엔드포인트용 Microsoft Defender 온보딩된 디바이스에 대해 EDR(엔드포인트 검색 및 응답) 경고가 발생합니다. 이러한 경고는 엔드포인트용 Defender 센서에서 수집한 보안 신호 및 강력한 신호 원본 역할을 하는 바이러스 백신, 네트워크 보호, 변조 보호와 같은 기타 엔드포인트 기능에 의존합니다.
Office 365용 Microsoft Defender
분석가 보고서에는 Office 365 대한 Defender의 검색 및 완화도 포함됩니다. defender for Office 365 Microsoft 365 구독에 원활하게 통합되고 이메일, 링크(URL), 파일 첨부 파일 및 공동 작업 도구의 위협으로부터 보호합니다.
ID용 Microsoft Defender
Defender for Identity는 organization 전체에서 ID 모니터링을 보호하는 데 도움이 되는 클라우드 기반 보안 솔루션입니다. 온-프레미스 Active Directory 및 클라우드 ID의 신호를 사용하여 organization 대상으로 하는 고급 위협을 더 잘 식별, 감지 및 조사할 수 있습니다.
Microsoft Defender for Cloud Apps
Defender for Cloud Apps SaaS 애플리케이션에 대한 완전한 보호를 제공합니다. 기본 CASB(클라우드 액세스 보안 브로커) 기능, SSPM(SaaS 보안 태세 관리) 기능, 고급 위협 방지 및 앱 간 보호를 사용하여 클라우드 앱 데이터를 모니터링하고 보호할 수 있습니다.
Microsoft Defender for Cloud
클라우드용 Defender 는 다양한 위협 및 취약성으로부터 클라우드 기반 애플리케이션을 보호하도록 설계된 보안 조치 및 사례로 구성된 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼)입니다.
고급 헌팅을 사용하여 미묘한 위협 아티팩트 찾기
검색을 통해 추적된 위협을 자동으로 식별하고 중지할 수 있지만, 많은 공격 활동은 더 많은 검사가 필요한 미묘한 추적을 남깁니다. 일부 공격 활동은 정상일 수도 있는 동작을 나타내므로 동적으로 감지하면 작동 노이즈 또는 가양성이 발생할 수 있습니다. 헌팅 쿼리를 사용하면 잠재적으로 악의적인 구성 요소 또는 동작을 사전에 찾을 수 있습니다.
고급 헌팅 쿼리 Microsoft Defender XDR
고급 헌팅은 위협 활동의 미묘한 지표를 찾는 것을 간소화하는 Kusto 쿼리 언어 기반으로 하는 쿼리 인터페이스를 제공합니다. 또한 컨텍스트 정보를 표시하고 지표가 위협에 연결되어 있는지 여부를 확인할 수 있습니다.
Microsoft 분석가는 분석가 보고서에서 고급 헌팅 쿼리를 검사하고 고급 헌팅 쿼리 편집기에서 실행할 수 있습니다. 쿼리를 사용하여 향후 일치 항목에 대한 경고를 트리거하는 사용자 지정 검색 규칙을 만들 수도 있습니다.
쿼리 Microsoft Sentinel
분석가 보고서에는 Microsoft Sentinel 고객에 대한 적용 가능한 헌팅 쿼리도 포함될 수 있습니다.
Microsoft Sentinel organization 데이터 원본에서 보안 위협을 헌팅하는 강력한 헌팅 검색 및 쿼리 도구가 있습니다. 보안 앱이나 예약된 분석 규칙에서 검색되지 않는 새로운 변칙을 사전에 검색할 수 있도록 헌팅 쿼리를 Sentinel 헌팅 쿼리를 통해 네트워크에 이미 있는 데이터에서 문제를 찾을 수 있는 올바른 질문을 할 수 있습니다.
추가 완화 적용
위협 분석은 특정 보안 업데이트 및 보안 구성의 상태 동적으로 추적합니다. 이러한 유형의 정보는 엔드포인트 노출 및 권장 작업 탭에서 차트 및 테이블로 사용할 수 있습니다. 이러한 권장 사항은 반복 가능하며 이 위협에 적용되며 다른 위협에도 적용될 수 있습니다.
분석가 보고서는 이러한 추적된 권장 사항 외에도 보고서에서 논의되는 위협 또는 상황과 관련이 있기 때문에 동적으로 모니터링되지 않는 완화에 대해서도 논의할 수 있습니다. 다음은 동적으로 추적되지 않는 중요한 완화의 몇 가지 예입니다.
- .lnk 첨부 파일 또는 기타 의심스러운 파일 형식으로 전자 메일 차단
- 로컬 관리자 암호 임의화
- 피싱 메일 및 기타 위협 벡터에 대한 최종 사용자 교육
- 특정 공격 표면 감소 규칙 켜기
엔드포인트 노출 및 권장 작업 탭을 사용하여 위협에 대한 보안 상태를 평가할 수 있지만 이러한 권장 사항을 통해 보안 상태를 개선하기 위한 다른 단계를 수행할 수 있습니다. 분석가 보고서의 모든 완화 지침을 주의 깊게 읽고 가능하면 적용합니다.
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.