Microsoft Defender for Endpoint에서 표시기 만들기

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 를 사용하여 Microsoft Defender for Endpoint보안 인시던트의 관련 옵저버블에서 표시기를 생성합니다.

    시작하기 전에

    필요한 역할: sn_si.admin, sn_si.analyst

    이 태스크 정보

    통합을 Microsoft Defender for Endpoint 통해 옵저버블-표시기 매핑 모듈에 매핑되는 모든 옵저버블 유형에 옵저버블을 보강할 수 있습니다.

    지표 만들기는 탐지, 차단 예방 및 대응을 위한 지표 목록을 설정하는 기능을 제공합니다. 보안 인시던트의 연결된 옵저버블에서 표시기를 만들 수 있습니다.

    프로시저

    1. 다음으로 이동 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 엔드포인트용 Microsoft Defender 표시기를 만들려는 옵저버블이 포함된 보안 인시던트를 선택합니다.
    3. 연결된 옵저버블 관련 목록을 클릭합니다.
    4. 기존 옵저버블을 추가하거나 새 옵저버블을 생성합니다.
    5. 옵저버블을 선택합니다.
    6. 선택한 행에 대한 작업 에서 Microsoft Defender에서 지표 만들기를 클릭합니다.
      그림 1. 표시기 생성
      엔드포인트용 Microsoft Defender 표시기 만들기
    7. 양식의 필드에 내용을 입력합니다.
      필드 설명
      선택한 옵저버블 영향을 받는 옵저버블입니다. 이 작업은 여러 옵저버블에 대한 표시기를 작성하는 데 사용할 수 있습니다. 옵저버블의 선택을 취소하려면 목록에서 옵저버블을 선택 취소하면 됩니다.
      주:
      지원되는 옵저버블 유형이 매핑되지 않은 경우 해당 옵저버블에 대한 Microsoft Defender 표시기가 생성되지 않습니다.
      제목 표시기의 제목입니다.
      설명 표시기에 대한 설명입니다.
      만료 시간 표시기의 만료 시간입니다.
      Recommended Actions 표시기에 대해 수행해야 하는 권장 작업입니다.
      소스 표시기를 생성하는 통합 구성입니다.
      동작 조직에서 표시기가 검색될 경우 수행할 작업입니다. 가능한 값은 다음과 같습니다.
      • 경고
      • 블록
      • 감사
      • '차단 및 정정
      • 허용됨
      애플리케이션 표시기와 연결된 엔드포인트용 Microsoft Defender 애플리케이션입니다. 이 필드는 새 표시기에만 적용되며 기존 표시기에는 사용할 수 없습니다.
      심각도 표시기의 심각도입니다. 가능한 값은 다음과 같습니다.
      • 낮음
      • 보통
      • 높음
      RBAC 그룹 이름 표시기가 적용될 RBAC 그룹 이름입니다. 이름은 쉼표로 구분된 목록에 있습니다.
    8. Create Indicator(표시기 생성)를 클릭합니다.
    9. 활동 및 UI 메시지의 유효성을 검사합니다.
    10. Microsoft Defender 표시기 탭을 클릭하여 결과를 봅니다.