Microsoft Defender 사례 관리는 통합된 보안 중심 사례 관리 환경을 제공하는 기능 및 기능의 모음입니다. 이 환경은 타사 도구 없이도 Microsoft Defender 포털에서 기본적으로 통합 보안 작업을 관리하도록 설계되었습니다. 보안 운영 팀은 Defender 포털을 벗어나지 않고 사례 작업을 관리할 때 보안 컨텍스트를 유지하고, 보다 효율적으로 작업하며, 공격에 더 빠르게 대응합니다.
사례 관리 롤아웃의 현재 소개 단계는 SecOps 워크로드에서 풍부한 협업, 사용자 지정, 증거 수집 및 보고를 중앙 집중화합니다.
사례 관리란?
사례 관리를 사용하면 Defender 포털에서 기본적으로 SecOps 사례를 관리할 수 있습니다. 초기 단계에서도 SecOps 팀은 사례 관리에 대해 다음과 같은 사용 사례를 보여 줍니다.
여러 인시던트에 걸쳐 있는 보안 이벤트에 응답합니다.
위협 헌팅 관리.
IoC 및 위협 행위자 추적.
튜닝이 필요한 추적 검색 논리입니다.
다음 특정 기능 및 기능은 이러한 사용 사례 및 시나리오를 지원합니다.
- 새 사례 페이지를 사용하여 SecOps 관련 사례를 한 곳에서 만들고 추적 합니다 .
- 사용자 지정 상태 값을 구성하여 고유한 사례 워크플로를 정의합니다.
- 작업 및 기한을 할당하여 공동 작업, 품질 및 책임을 개선합니다.
- 여러 인시던트 를 사례에 연결하여 에스컬레이션 및 복잡한 사례를 처리합니다.
- RBAC를 사용하여 사례에 대한 액세스를 관리합니다.
- 서식 있는 텍스트 주석을 추가하여 활동 로그에 링크, 테이블 및 서식을 제공합니다.
- 첨부 파일을 업로드하여 문서, CSV 및 맬웨어 샘플이 포함된 암호화된 zip 파일과 같은 파일을 저장합니다.
- 다중 테넌트 관리 포털을 통해 여러 테넌트의 사례를 관리합니다.
사례 관리의 기초를 구축하면서 이 솔루션을 발전할 때 이러한 추가적인 강력한 기능의 우선 순위를 지정하고 있습니다.
- 자동화
- 추가해야 할 추가 증거
- 워크플로 사용자 지정
- 추가 Defender 포털 통합
요구 사항
사례 관리는 Defender 포털에서 사용할 수 있으며 이를 사용하려면 Microsoft Sentinel 작업 영역이 연결되어 있어야 합니다. 사례는 Defender 포털에서만 액세스할 수 있습니다. Azure Portal 볼 수 없습니다.
자세한 내용은 Microsoft Sentinel을 Defender 포털에 연결을 참조하세요.
Defender XDR 통합 RBAC 또는 Microsoft Sentinel 역할을 사용하여 사례 관리 기능에 대한 액세스 권한을 부여합니다.
| 사례 기능 | 통합 RBAC Microsoft Defender | Microsoft Sentinel 역할 |
|---|---|---|
| 보기 전용 - 사례 큐 - 사례 세부 정보 - 작업 - 주석 - 사례 감사 |
보안 작업 > 보안 데이터 기본 사항(읽기) | Microsoft Sentinel 읽기 권한자 |
| 사례 및 사례 작업 만들기 및 관리 - 할당 - 업데이트 상태 - 링크 및 연결 해제 인시던트 |
보안 작업 > 경고(관리) | Microsoft Sentinel 응답기 |
| 사례 상태 옵션 사용자 지정 | 핵심 보안 설정 권한 부여 및 설정 > (관리) | Microsoft Sentinel 기여자 |
자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.
사례 큐
사례 관리 사용을 시작하려면 Defender 포털에서 사례를 선택하여 사례 큐에 액세스합니다. 사례를 필터링, 정렬 또는 검색하여 집중해야 하는 항목을 찾습니다.
사례 세부 정보
각 사례에는 분석가가 사례를 관리하고 중요한 세부 정보를 표시할 수 있는 페이지가 있습니다.
다음 예제에서 위협 사냥꾼은 여러 MITRE ATT&CK® 기술 및 IOC(손상 지표)로 구성된 가상의 "잠복" 공격을 조사하고 있습니다.
다음 사례 세부 정보를 관리하여 작업을 설명, 우선 순위 지정, 할당 및 추적합니다.
| 표시된 대/소문자 기능 | 사례 옵션 관리 | 기본값 |
|---|---|---|
| 우선 순위 |
Very low, Low, Medium, High, Critical |
없음 |
| 상태 | 분석가에 의해 설정되며 관리자가 사용자 지정할 수 있습니다. | 기본 상태는 New, Open, 기본 Closed값은 입니다. New |
| 할당 대상 | 테넌트에서 단일 사용자 | 없음 |
| 설명 | 일반 텍스트 | 없음 |
| 사례 세부 정보 | 대/소문자 ID | 사례 ID는 1000에서 시작하여 제거되지 않습니다. 사용자 지정 상태 및 필터를 사용하여 사례를 보관합니다. 사례 번호가 자동으로 설정됩니다. |
| 마지막으로 업데이트한 에 의해 마지막으로 업데이트된 날짜에 만든 이 생성됨 |
자동으로 설정 | |
| 연결된 인 시던트에 대한 기한 |
없음 |
사용자 지정된 상태 설정, 작업 할당, 인시던트 연결 및 주석 추가를 통해 사례를 추가로 관리합니다.
상태 사용자 지정
SOC(보안 운영 센터)의 요구에 맞게 사례 관리를 설계합니다. SecOps 팀에서 사용할 수 있는 상태 옵션을 사용자 지정하여 현재 위치에 있는 프로세스에 맞도록 합니다.
잠복 공격 사례 만들기 예제에 따라 SOC 관리자는 상태를 구성하여 위협 사냥꾼이 매주 심사를 위해 위협 백로그를 유지할 수 있도록 했습니다. 연구 단계 및 가설 생성과 같은 사용자 지정 상태는 이 위협 헌팅 팀의 설정된 프로세스와 일치합니다.
작업
사례의 세분화된 구성 요소를 관리하는 작업을 추가합니다. 각 작업에는 고유한 이름, 상태, 우선 순위, 소유자 및 기한이 함께 제공됩니다. 이 정보를 사용하면 언제 어떤 작업을 완료할 책임이 있는지 항상 알 수 있습니다. 작업 설명에는 수행할 작업과 진행 상황을 설명하기 위한 공간이 요약되어 있습니다. 닫는 노트는 완료된 작업의 결과에 대한 더 많은 컨텍스트를 제공합니다.
새 작업 상태, 진행 중, 실패, 부분적으로 완료됨, 건너뛰기, 완료됨
개체 연결
사용자 환경의 다른 개체에 사례를 연결하면 SecOps 팀이 위협의 광범위한 컨텍스트를 이해하는 데 도움이 됩니다. 사례를 인시던트 또는 손상 지표(IoC)에 연결할 수 있습니다.
인시던트 연결
사례와 인시던트를 연결하면 SecOps 팀이 가장 적합한 방법으로 공동 작업하는 데 도움이 됩니다. 예를 들어 악의적인 활동을 발견한 위협 사냥꾼은 IR(인시던트 대응) 팀에 인시던트를 만듭니다. 그 위협 사냥꾼은 사건을 사건에 연결하므로 관련이 있음을 분명히 알 수 있습니다. 이제 IR 팀은 활동을 발견한 사냥의 맥락을 이해합니다.
또는 IR 팀이 하나 이상의 인시던트 를 헌팅 팀에 에스컬레이션해야 하는 경우 사례를 만들고 조사 & 대응 인시던트 세부 정보 페이지에서 인시던트 연결이 가능합니다.
링크 표시기(미리 보기)
사례를 관련 IOC(손상 지표)에 연결하면 SecOps 팀이 위협의 광범위한 컨텍스트를 이해하는 데 도움이 됩니다.
사례를 IOC에 연결하려면 사례 페이지의 연결된 개체 탭으로 이동하여 표시기를 선택합니다. 그런 다음 , 추가 단추와 TI 표시기가 있는 작업 영역을 선택합니다. 원하는 TI 표시기를 선택하고 링크를 클릭합니다.
또는 사례를 만들고 Intel 관리 지표 세부 정보 페이지에서 표시기를 연결할 수 있습니다. TI 표시기를 선택한 다음 링크 사례에서 선택합니다.
활동 로그
노트를 적어 두거나 해당 키 검색 논리를 따라 전달해야 합니까? 서식 있는 텍스트 주석을 만들고 활동 로그에서 감사 이벤트를 검토합니다. 주석은 쿼리, 테이블, 링크 및 구조화된 콘텐츠와 같은 정보를 사례에 빠르게 추가할 수 있는 좋은 장소입니다.
감사 이벤트는 사례의 활동 로그에 자동으로 추가되고 최신 이벤트가 맨 위에 표시됩니다. 메모 또는 감사 기록에 집중해야 하는 경우 필터를 변경합니다.
첨부
사례의 첨부 파일 탭에서 모든 중앙 집중식 보고서, 이메일, 스크린샷, 로그 파일 등을 공유합니다. 보안 조사에서 빠르고 정확한 결정을 내리는 데 필요한 모든 정보가 있는지 확인합니다.
주석당 최대 10 파일까지 연결할 수 있습니다.
케이스에 첨부 파일 추가
케이스에 첨부 파일을 추가하려면 사례 세부 정보 페이지로 이동하여 첨부 파일 탭을 선택하고 업로드를 선택하고 파일을 선택한 다음 업로드가 완료되기를 기다립니다. 업로드되면 파일이 백그라운드에서 맬웨어를 검색합니다. 검사가 완료되면 케이스에 액세스할 수 있는 모든 사용자가 파일을 다운로드할 수 있습니다. 업로드하려는 파일이 실제로 맬웨어 샘플인 경우 암호로 보호된 ZIP 파일로 래핑할 수 있습니다.
메모에 첨부 파일 추가(미리 보기)
주석에 첨부 파일을 추가하려면 다음을 수행합니다.
사례 페이지의 주석 영역으로 이동합니다.
화면 아래쪽의 텍스트 편집기로 이동하여 클립 아이콘을 선택하여 파일을 첨부합니다.
컴퓨터에서 첨부할 파일을 선택합니다.
보내기를 선택하여 메모를 저장합니다.
- 메모에 스크린샷을 첨부하려면 텍스트 편집기에 붙여넣습니다.
- 메모에서 첨부된 파일을 삭제하려면 커서를 가져가면서 bin 아이콘을 선택합니다.
대/소문자 삭제(미리 보기)
케이스를 삭제하려면
사례 화면을 열고 제거할 사례를 선택한 다음 삭제를 선택합니다.
팝업 창에서 delete 를 입력한 다음 확인을 선택합니다.
