에서 자동 옵저버블 보강 수행 Microsoft Defender for Endpoint

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 에서 자동 옵저버블 보강을 Microsoft Defender for Endpoint 수행하여 다양한 소스의 추가 정보로 옵저버블을 보강합니다.

    시작하기 전에

    보안 인시던트 응답 시스템 속성을 사용하도록 설정했는지 확인합니다. 이 옵션은 옵저버블이 보안 인시던트에 연결될 때마다 SIR에서 옵저버블 보강 기능을 트리거합니다.

    필요한 역할: sn_si.admin, sn_si.analyst

    이 태스크 정보

    인시던트 응답 조사 중에 이 기능을 사용하여 식별된 위협을 포함할 수 있습니다. 새 옵저버블이 보안 인시던트와 연결되면 엔드포인트용 Microsoft Defender 옵저버블 보강 기능을 자동으로 실행하도록 설정할 수 있습니다.

    프로시저

    1. 다음으로 이동 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 엔드포인트용 Microsoft Defender 정보로 검토하려는 보안 인시던트를 선택합니다.
    3. 새 옵저버블이 보안 인시던트에 연결되면 자동화 활동을 확인합니다.
    4. 보안 인시던트의 표시기 관련 목록에서 보강 결과를 봅니다.
      다음 표에서 옵저버블 보강에 대한 자세한 내용을 확인할 수 있습니다.
      표 1. Microsoft Defender 표시기
      필드 설명
      표시기 ID 표시기 엔터티의 ID입니다. 열기를 클릭하여 인스턴스의 기록을 자세히 봅니다.Now Platform
      옵저버블 결과와 연결된 옵저버블입니다.
      제목 표시기의 제목입니다.
      표시기 유형 표시기 유형입니다.
      동작 표시기가 수행하는 작업입니다.
      권장 작업 표시기에 대한 권장 작업입니다.
      통합 벤더 데이터가 검색되는 Defender 소스 통합입니다.
      만료 날짜 표시기의 만료 시간입니다.
      검색 날짜 보강 기록이 생성된 날짜입니다.