프로파일을 생성하고 프로파일을 실행할 기능을 선택합니다 Microsoft Defender for Endpoint . 정의된 조건에서만 프로파일이 트리거될 수 있도록 설정을 구성해야 합니다.
시작하기 전에
필요한 역할: sn_si.admin, sn_si.analyst(읽기 전용)
이 태스크 정보
지정한 조건이 충족될 때만 프로파일이 실행되도록 프로파일을 구성합니다. 필요한 경우 CI(구성 항목) 필드에 대한 대체 입력 필드를 선택하고 트리거 조건을 충족하는 보안 인시던트가 생성될 때 프로파일이 자동으로 트리거될 수 있도록 필터링 조건을 설정할 수 있습니다.
주: 프로파일 상세 페이지에 들어간 후에만 프로파일 구성 페이지로 이동할 수 있습니다.
프로시저
-
다음으로 이동 .
-
프로필 세부 정보 섹션을 완료한 후 다음을 클릭합니다. .
섹션을 검토하고 구성합니다.
-
인시던트 기준 정의(자동화) 섹션에서 인시던트 기준 정의 옵션을 선택하여 프로파일의 기능을 자동으로 트리거 Microsoft Defender for Endpoint 합니다.
인시던트 기준 정의(자동화): 프로파일에 대한 엔드포인트용 Microsoft Defender 역량을 자동으로 트리거하는 보안 인시던트 조건을 정의합니다.
인시던트 기준 정의 옵션을 선택하지 않으면 프로파일과 기본 기능을 보안 인시던트에서 수동으로 호출할 수 있습니다.
주: 호스트 격리 및 호스트 격리 제거 기능은 자동으로 트리거할 수 없습니다.
-
필터 조건에서 필수 필드를 선택합니다.
-
새 기준을 추가하고 OR 또는 AND 조건도 정의합니다.
-
승인 섹션에서 승인 필요 확인란을 선택하여 추가 제어 수준을 제공합니다.
이 옵션을 선택하면 엔드포인트용 Microsoft Defender 기능을 사용하여 호스트 머신을 격리하고, 네트워크에 복원하고, 파일을 가져올 때 더 많이 제어할 수 있습니다.
프로파일 구성의 승인 옵션은 각각 호스트 격리 및 호스트 격리 제거 기능에 대해서만 나타납니다.
-
추가 구성 섹션에서 대체 필드 정의 옵션을 선택하여 대체 입력 필드를 정의합니다.
추가 구성: 보안 인시던트의 CI(구성 항목) 필드가 호스트 이름 또는 데이터베이스와 일치하는 IP 주소로 채워지지 않은 경우 보안 인시던트에서 대체 필드를 선택하여 엔드포인트용 Microsoft Defender API를 쿼리할 수 있습니다.
-
대체 필드 정의 옵션을 선택합니다.
-
다음에서 입력 필드를 선택합니다. .
-
태그 섹션에서 태그 표시 확인란을 선택하여 보안 인시던트에 태그 지정을 활성화합니다. 태그를 활성화하면 프로파일 이름이 프리픽스로 지정됩니다.
필요에 따라 프로파일 시작됨, 프로파일 완료됨 및 프로파일 실패 태그에 대한 태그를 사용하여 보안 인시던트에 태그를 지정할 수 있습니다. 기본적으로 이 옵션은 모든 프로파일에 대해 꺼져 있습니다.
-
Click .