Office 365용 Microsoft Defender에서 자동화된 조사 및 응답이 작동하는 방식
팁
Office 365 플랜 2용 Microsoft Defender XDR에서 무료로 기능을 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 Office 365용 90일 Defender 평가판을 사용합니다. Office 365용 Microsoft Defender 사용해 보기에서 누가 등록하고 평가판을 사용할 수 있는지에 대해 알아봅니다.
보안 경고가 트리거되면 보안 운영팀이 해당 경고를 살펴보고 조직을 보호할 단계를 수행해야 합니다. 경우에 따라 보안 운영 팀은 트리거되는 경고의 양에 압도될 수 있습니다. Office 365용 Microsoft Defender의 AIR(자동 조사 및 대응) 기능이 도움이 될 수 있습니다.
AIR를 사용하면 보안 운영 팀이 보다 효율적이고 효과적으로 운영할 수 있습니다. AIR 기능에는 현재 존재하는 잘 알려진 위협에 대응하는 자동화된 조사 프로세스가 포함됩니다. 적절한 수정 작업은 승인을 기다리고 있으므로 보안 운영 팀이 검색된 위협에 대응할 수 있습니다.
이 문서에서는 AIR가 몇 가지 예제를 통해 작동하는 방식을 설명합니다. AIR 사용을 시작할 준비가 되면 위협 자동 조사 및 대응을 참조하세요.
- 예제 1: 사용자가 보고한 피시 메시지가 조사 플레이북을 시작합니다.
- 예제 2: 보안 관리자가 위협 탐색기에서 조사를 트리거합니다.
- 예제 3: 보안 운영 팀은 Office 365 관리 활동 API를 사용하여 AIR를 SIEM과 통합합니다.
예: 사용자가 보고한 피시 메시지가 조사 플레이북을 시작합니다.
조직의 사용자가 피싱 시도라고 생각되는 이메일을 받는다고 가정합니다. 이러한 메시지를 보고하도록 학습된 사용자는 Microsoft 보고서 메시지 또는 보고서 피싱 추가 기능을 사용하여 분석을 위해 Microsoft로 보냅니다. 제출은 시스템에도 전송되며 제출 보기(이전의 사용자 보고 보기라고 함)의 탐색기에 표시됩니다. 또한 사용자가 보고한 메시지는 이제 시스템 기반 정보 경고를 트리거하여 조사 플레이북을 자동으로 시작합니다.
루트 조사 단계에서는 이메일의 다양한 측면을 평가합니다. 이러한 측면은 다음과 같습니다.
- 위협 유형에 대한 결정입니다.
- 누가 보냈는가;
- 이메일이 전송된 위치(인프라 보내기)
- 전자 메일의 다른 인스턴스가 배달되었는지 또는 차단되었는지 여부
- 분석가의 평가
- 전자 메일이 알려진 캠페인과 연결되어 있는지 여부
- 을 선택합니다.
루트 조사가 완료되면 플레이북은 원본 전자 메일과 연결된 엔터티 (예: 파일, URL 및 받는 사람)에 대해 수행할 권장 작업 목록을 제공합니다.
다음으로, 여러 위협 조사 및 헌팅 단계가 실행됩니다.
- 이메일 클러스터 검색을 통해 유사한 전자 메일 메시지가 식별됩니다.
- 이 신호는 엔드포인트용 Microsoft Defender와 같은 다른 플랫폼과 공유됩니다.
- 사용자가 의심스러운 전자 메일 메시지의 악의적인 링크를 클릭했는지 여부를 결정합니다.
- 사용자가 보고한 다른 유사한 메시지가 있는지 확인하기 위해 EOP( Exchange Online Protection ) 및 Office 365용 Microsoft Defender 에서 검사를 수행합니다.
- 사용자가 손상되었는지 확인하기 위한 검사가 수행됩니다. 이 검사는 Office 365, 클라우드용 Microsoft Defender 앱 및 Microsoft Entra ID의 신호를 활용하여 관련 사용자 활동 이상과 상관 관계를 지정합니다.
헌팅 단계에서 위험 및 위협은 다양한 헌팅 단계에 할당됩니다.
수정은 플레이북의 마지막 단계입니다. 이 단계에서는 조사 및 헌팅 단계에 따라 수정 단계를 수행합니다.
예: 보안 관리자가 위협 탐색기에서 조사를 트리거합니다.
경고에 의해 트리거되는 자동화된 조사 외에도 조직의 보안 운영 팀은 위협 탐색기의 보기에서 자동화된 조사를 트리거할 수 있습니다. 또한 이 조사는 경고를 생성하므로 Microsoft Defender XDR 인시던트 및 외부 SIEM 도구는 이 조사가 트리거되었음을 확인할 수 있습니다.
예를 들어 탐색기에서 맬웨어 보기를 사용한다고 가정합니다. 차트 아래의 탭을 사용하여 전자 메일 탭을 선택합니다. 목록에서 하나 이상의 항목을 선택하면 + 작업 단추가 활성화됩니다.
작업 메뉴를 사용하여 조사 트리거를 선택할 수 있습니다.
경고에 의해 트리거되는 플레이북과 마찬가지로 탐색기의 보기에서 트리거되는 자동 조사에는 루트 조사, 위협을 식별하고 상호 연결하는 단계, 이러한 위협을 완화하기 위한 권장 조치가 포함됩니다.
예: 보안 운영 팀은 Office 365 관리 활동 API를 사용하여 AIR를 SIEM과 통합합니다.
Office 365용 Microsoft Defender의 AIR 기능에는 보안 운영 팀이 위협을 모니터링하고 해결하는 데 사용할 수 있는 보고서 & 세부 정보가 포함됩니다. 그러나 AIR 기능을 다른 솔루션과 통합할 수도 있습니다. 예를 들어 SIEM(보안 정보 및 이벤트 관리) 시스템, 사례 관리 시스템 또는 사용자 지정 보고 솔루션이 있습니다. 이러한 종류의 통합은 Office 365 관리 활동 API를 사용하여 수행할 수 있습니다.
예를 들어 최근에 조직은 보안 운영 팀이 AIR에서 이미 처리한 사용자 보고 피시 경고를 볼 수 있는 방법을 설정했습니다. 솔루션은 관련 경고를 조직의 SIEM 서버 및 사례 관리 시스템과 통합합니다. 이 솔루션은 보안 운영 팀이 실제 위협에 시간과 노력을 집중할 수 있도록 가양성 수를 크게 줄입니다. 이 사용자 지정 솔루션에 대한 자세한 내용은 기술 커뮤니티 블로그: Office 365용 Microsoft Defender 및 O365 관리 API를 사용하여 SOC의 효율성 향상을 참조하세요.