개별 또는 여러 옵저버블을 선택하고 수동 Microsoft Defender for Endpoint 사이팅 검색을 수행하여 시간 경과에 따른 위협의 확산을 확인합니다.
프로시저
-
보안 인시던트로 이동합니다.
-
기존 SIR을 열거나 새 SIR을 만듭니다.
-
관련 링크에서 IoC 표시를 클릭합니다.
-
연결된 옵저버블 관련 목록을 클릭합니다.
-
옵저버블을 선택합니다.
-
Actions(작업) 목록에서 Run Observable Enrichment(옵저버블 보강 실행)를 클릭합니다.
-
선택한 행에 대한 작업 에서 옵저버블을 선택하고 사이팅 검색 실행을 클릭합니다.
주: 사이팅 검색은 각각 도메인 이름, IP 주소(V4), IP 주소(V6), MD5 해시, SHA1 해시 및 SHA256 해시 옵저버블 유형에 대해 지원됩니다.
-
검색 시간 프레임을 지정하고 검색을 클릭합니다.
주: 엔드포인트용 Microsoft Defender 지난 30일 동안만 사이팅 검색을 지원합니다. 범위 쿼리가 지난 30일 이전인 경우 사이팅 검색은 데이터를 검색하지 않습니다. 범위 쿼리가 지난 30일과 겹치면 지난 30일의 사이팅만 검색되고, 범위 쿼리가 지난 30일 이내인 경우 정의된 시작 시간부터 현재 시간까지의 사이팅이 검색됩니다.
-
검색이 완료되면 관련 목록에서 결과와 상세 정보를 확인합니다.
-
사이팅 검색 상세 정보를 보려면 사이팅 검색 상세 정보를 클릭하십시오.
-
상세 정보를 보려면 사이팅 탭을 클릭하고, 검색 결과를 보려면 사이팅 검색 결과 탭을 클릭합니다.
요약 필드에서 특정 사이팅과 관련된 추가 정보를 볼 수 있습니다.