Microsoft Defender XDR 자동 공격 중단이 트리거되면 프로세스 도중 및 이후에 손상된 자산의 위험 및 포함 상태 대한 세부 정보를 볼 수 있습니다. 인시던트 페이지에서 세부 정보를 볼 수 있습니다. 이 페이지에서는 공격에 대한 전체 세부 정보 및 관련 자산의 최신 상태 제공합니다.
인시던트 그래프 검토
Microsoft Defender XDR 자동 공격 중단은 인시던트 보기에 기본 제공되어 있습니다. 인시던트 그래프를 검토하여 전체 공격 스토리를 얻고 공격 중단 영향 및 상태 평가합니다.
인시던트 페이지에는 다음 정보가 포함됩니다.
- 중단된 인시던트에는 '공격 중단'에 대한 태그와 식별된 특정 위협 유형(예: 랜섬웨어)이 포함됩니다. 인시던트 메일 알림 구독하는 경우 이러한 태그도 이메일에 표시됩니다.
- 인시던트가 중단되었음을 나타내는 인시던트 제목 아래에 강조 표시된 알림입니다.
- 일시 중단된 사용자 및 포함된 디바이스는 상태 나타내는 레이블과 함께 표시됩니다.
사용자 계정 또는 디바이스를 포함에서 해제하려면 포함된 자산을 선택하고 디바이스에 대한 포함에서 릴리스 를 선택하거나 사용자 계정에 대해 사용자를 사용하도록 설정합니다 .
알림 센터에서 작업 추적
알림 센터(https://security.microsoft.com/action-center)는 디바이스, 전자 메일 & 공동 작업 콘텐츠 및 ID에 대한 수정 및 응답 작업을 함께 제공합니다. 나열된 작업에는 자동으로 또는 수동으로 수행된 수정 작업이 포함됩니다. 알림 센터에서 자동 공격 중단 작업을 볼 수 있습니다.
포함된 자산을 해제할 수 있습니다(예: 차단된 사용자 계정을 사용하도록 설정하거나 작업 세부 정보 창에서 디바이스를 포함에서 해제). 위험을 완화하고 인시던트 조사를 완료한 후 포함된 자산을 해제할 수 있습니다. 알림 센터에 대한 자세한 내용은 알림 센터를 참조하세요.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.
작업 탭에서 작업 상태 추적(미리 보기)
인시던트 페이지의 활동 탭을 사용하면 활동이 시작된 날짜 및 시간, 트리거 경고 등을 포함하여 특정 인시던트와 관련된 세부 정보를 볼 수 있습니다.
활동 목록의 정책 상태 열(미리 보기)은 인시던트 내에서 수행되는 상태 저장 작업 및 정책 목록을 제공하므로 사용자 환경에서 모든 관련 작업 및 정책의 현재 상태 볼 수 있습니다. 이는 특히 인시던트가 많은 대규모 환경에서 진행 중인 작업과 만료된 작업을 추적하는 문제를 해결합니다.
인시던트 일부로 수행된 모든 자동 공격 중단 및 예측 차폐 작업을 보려면 다음을 수행합니다.
인시던트의 활동 탭에서 다음 필터를 추가합니다.
- 30일>사용자 지정 범위를 선택하고 조사하려는 작업에 대한 관련 기간을 선택합니다.
- 수행 대상을 선택하고 공격배포를 선택합니다. 이 필터에는 예측 차폐 작업도 포함됩니다.
- 활동 상태 선택하고 완료를 선택합니다. 이는 완료된 작업에 대한 현재 정책 상태 보여 줍니다. 부분 또는 진행 중인 작업을 필터링합니다.
- 정책 상태: 활성, 비활성 및 상태 없음을 선택합니다(해당 없음을 제외한 모든 옵션).
나열된 활동을 검토합니다. 정책 상태 열에는 각 활동에 대한 정책의 현재 상태 표시됩니다. 예를 들어 사용자가 지정된 기간 내에 포함되어 있지만 정책은 현재 비활성 상태입니다. 즉, 사용자가 더 이상 포함되지 않습니다.
다음 정책 상태를 사용할 수 있습니다.
- 활성: 정책이 현재 활성화되어 적용됩니다.
- 비활성: 정책이 이전에 적용되었지만 더 이상 활성화되지 않았습니다. 예를 들어 사용자가 포함되어 있었지만 이후 릴리스되었습니다.
- 해당 없음: 정책 상태 작업에 적용되지 않습니다. 예를 들어 uncontain actions는 정책이 아니라 이전 작업의 반전이므로 정책 상태 연결되지 않은 작업에는 적용되지 않습니다.
- 상태 없음: 여러 가지 이유로 정책 상태 검색할 수 없습니다. 예를 들어 작업이 아직 진행 중이며 최종 상태 아직 결정되지 않았습니다.
이 보기는 선택한 기간의 활동 및 정책 상태 대한 고유한 데이터를 제공합니다. 이 데이터는 수행된 작업의 기록 로그를 제공하지만 해당 작업의 현재 상태 반영하지 않는 알림 센터 뷰를 넘어갑니다.
고급 헌팅에서 작업 추적
고급 헌팅에서 특정 쿼리를 사용하여 디바이스 또는 사용자 포함을 추적하고 사용자 계정 작업을 사용하지 않도록 설정할 수 있습니다.
고급 헌팅의 포함 관련 이벤트
엔드포인트용 Microsoft Defender 포함하면 포함된 엔터티의 통신을 차단하여 추가 위협 행위자 활동을 방지할 수 있습니다. 고급 헌팅에서 DeviceEvents 테이블 은 초기 포함 작업 자체가 아니라 포함으로 인한 작업을 차단합니다.
디바이스 파생 블록 작업 - 이러한 이벤트는 디바이스가 포함되어 있기 때문에 차단된 활동(예: 네트워크 통신)을 나타냅니다.
DeviceEvents | where ActionType contains "ContainedDevice"사용자 파생 블록 작업 - 이러한 이벤트는 사용자가 포함되었기 때문에 차단된 활동(예: 로그인 또는 리소스 액세스 시도)을 나타냅니다.
DeviceEvents | where ActionType contains "ContainedUser"
사용자 계정 작업 사용 안 함 헌팅
공격 중단은 Microsoft Defender for Identity 수정 작업 기능을 사용하여 계정을 사용하지 않도록 설정합니다. 기본적으로 Microsoft Defender for Identity 모든 수정 작업에 도메인 컨트롤러의 LocalSystem 계정을 사용합니다.
다음 쿼리는 도메인 컨트롤러가 사용자 계정을 사용하지 않도록 설정한 이벤트를 찾습니다. 또한 이 쿼리는 Microsoft Defender XDR 수동으로 계정 사용 안 함을 트리거하여 자동 공격 중단으로 비활성화된 사용자 계정을 반환합니다.
let AllDomainControllers =
DeviceNetworkEvents
| where TimeGenerated > ago(7d)
| where LocalPort == 88
| where LocalIPType == "FourToSixMapping"
| extend DCDevicename = tostring(split(DeviceName,".")[0])
| distinct DCDevicename;
IdentityDirectoryEvents
| where TimeGenerated > ago(90d)
| where ActionType == "Account disabled"
| where Application == "Active Directory"
| extend ACTOR_DEVICE = tolower(tostring(AdditionalFields.["ACTOR.DEVICE"]))
| where isnotempty( ACTOR_DEVICE)
| where ACTOR_DEVICE in (AllDomainControllers)
| project TimeGenerated, TargetAccountUpn, ACTOR_DEVICE
이전 쿼리는 Microsoft Defender for Identity - 공격 중단 쿼리에서 조정되었습니다.