다음을 통해 공유


Microsoft의 통합 보안 운영 플랫폼에서 기본적으로 사례 관리

사례 관리는 Microsoft의 SecOps(통합 보안 작업) 플랫폼에 온보딩할 때 보안 작업을 관리하기 위한 새로운 기능의 첫 번째 설치입니다.

통합된 보안 중심 사례 관리 환경을 제공하기 위한 이 초기 단계는 SecOps 워크로드에서 풍부한 협업, 사용자 지정, 증거 수집 및 보고를 중앙 집중화합니다. SecOps 팀은 보안 컨텍스트를 유지하고, 더 효율적으로 작업하며, Defender 포털을 벗어나지 않고 사례 작업을 관리할 때 공격에 더 빠르게 대응합니다.

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

사례 관리(미리 보기)란?

사례 관리를 사용하면 Defender 포털에서 기본적으로 SecOps 사례를 관리할 수 있습니다. 지원되는 시나리오 및 기능의 초기 집합은 다음과 같습니다.

  • 사용자 지정 상태 값을 사용하여 사용자 고유의 사례 워크플로 정의
  • 공동 작업자에게 작업 할당 및 기한 구성
  • 여러 인시던트 를 사례에 연결하여 에스컬레이션 및 복잡한 사례 처리
  • RBAC를 사용하여 사례에 대한 액세스 관리

사례 관리의 기초를 구축하면서 이 솔루션을 발전할 때 이러한 추가적인 강력한 기능의 우선 순위를 지정하고 있습니다.

  • 자동화
  • 다중 테넌트 지원
  • 추가해야 할 추가 증거
  • 워크플로 사용자 지정
  • 추가 Defender 포털 통합

요구 사항

사례 관리는 Defender 포털에서 사용할 수 있으며 이를 사용하려면 Microsoft Sentinel 작업 영역이 연결되어 있어야 합니다. Azure Portal 사례에 액세스할 수 없습니다.

자세한 내용은 Defender 포털에 Microsoft Sentinel 연결을 참조하세요.

Defender XDR 통합 RBAC 또는 Microsoft Sentinel 역할을 사용하여 사례 관리 기능에 대한 액세스 권한을 부여합니다.

사례 기능 통합 RBAC Microsoft Defender XDR Microsoft Sentinel 역할
보기 전용
- 사례 큐
- 사례 세부 정보
- 작업
- 주석
- 사례 감사
보안 작업 > 보안 데이터 기본 사항(읽기) Microsoft Sentinel 읽기 권한자
사례 및 사례 작업
만들기 및 관리
- 할당
- 업데이트 상태
- 링크 및 연결 해제 인시던트
보안 작업 > 경고(관리) Microsoft Sentinel 응답자
사례 상태 옵션 사용자 지정 핵심 보안 설정 권한 부여 및 설정 > (관리) Microsoft Sentinel 기여자

자세한 내용은 Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)를 참조하세요.

사례 큐

사례 관리 사용을 시작하려면 Defender 포털에서 사례를 선택하여 사례 큐에 액세스합니다. 사례를 필터링, 정렬 또는 검색하여 집중해야 하는 항목을 찾습니다.

사례 큐의 스크린샷.

테넌트당 허용되는 최대 사례는 100,000건입니다.

사례 세부 정보

각 사례에는 분석가가 사례를 관리하고 중요한 세부 정보를 표시할 수 있는 페이지가 있습니다.

다음 예제에서 위협 사냥꾼은 여러 MITRE ATT&CK 기술 및 IOC로 구성된 가상의 "잠복" 공격을 조사하고 있습니다.

사례 세부 정보의 스크린샷.

다음 사례 세부 정보를 관리하여 작업을 설명, 우선 순위 지정, 할당 및 추적합니다.

표시된 대/소문자 기능 사례 옵션 관리 기본값
우선 순위 Very low, Low, Medium, High, Critical 없음
상태 분석가에 의해 설정되며 관리자가 사용자 지정할 수 있습니다. 기본 상태는 New, Open, 기본 Closed
값은 입니다. New
할당 대상 테넌트에서 단일 사용자 없음
설명 일반 텍스트 없음
사례 세부 정보 대/소문자 ID 사례 ID는 1000에서 시작하여 제거되지 않습니다. 사용자 지정 상태 및 필터를 사용하여 사례를 보관합니다. 사례 번호가 자동으로 설정됩니다.
마지막으로 업데이트한 에 의해
마지막으로 업데이트된
날짜에
만든 이 생성됨
자동으로 설정
연결된 인
시던트에 대한 기한
없음

사용자 지정된 상태 설정, 작업 할당, 인시던트 연결 및 주석 추가를 통해 사례를 추가로 관리합니다.

상태 사용자 지정

SOC(보안 운영 센터)의 요구에 맞게 사례 관리를 설계합니다. SecOps 팀에서 사용할 수 있는 상태 옵션을 사용자 지정하여 현재 위치에 있는 프로세스에 맞도록 합니다.

잠복 공격 사례 만들기 예제에 따라 SOC 관리자는 상태를 구성하여 위협 사냥꾼이 매주 심사를 위해 위협 백로그를 유지할 수 있도록 했습니다. 연구 단계가설 생성과 같은 사용자 지정 상태는 이 위협 헌팅 팀의 설정된 프로세스와 일치합니다.

기본 상태 옵션 및 사용자 지정된 상태를 보여 주는 스크린샷

작업

사례의 세분화된 구성 요소를 관리하는 작업을 추가합니다. 각 작업에는 고유한 이름, 상태, 우선 순위, 소유자 및 기한이 함께 제공됩니다. 이 정보를 사용하면 언제 어떤 작업을 완료할 책임이 있는지 항상 알 수 있습니다. 작업 설명에는 수행할 작업과 진행 상황을 설명하기 위한 공간이 요약되어 있습니다. 닫는 노트는 완료된 작업의 결과에 대한 더 많은 컨텍스트를 제공합니다.

사용 가능한 사례 및 상태에 대한 태스크가 채워진 작업창을 보여 주는 스크린샷
새 작업 상태, 진행 중, 실패, 부분적으로 완료됨, 건너뛰기, 완료됨

사례와 인시던트를 연결하면 SecOps 팀이 가장 적합한 방법으로 공동 작업하는 데 도움이 됩니다. 예를 들어 악의적인 활동을 발견한 위협 사냥꾼은 IR(인시던트 대응) 팀에 인시던트를 만듭니다. 그 위협 사냥꾼은 사건을 사건에 연결하므로 관련이 있음을 분명히 알 수 있습니다. 이제 IR 팀은 활동을 발견한 사냥의 맥락을 이해합니다.

가상의 잠복 공격 사례에 대한 연결된 인시던트를 보여 주는 스크린샷

또는 IR 팀이 하나 이상의 인시던트 를 헌팅 팀에 에스컬레이션해야 하는 경우 사례를 만들고 조사 & 대응 인시던트 세부 정보 페이지에서 인시던트 연결이 가능합니다.

인시던트 보기의 타원 메뉴에서 인시던트 연결 옵션을 보여 주는 스크린샷

각 사례의 임계값은 100개의 연결된 인시던트입니다.

활동 로그

노트를 적어 두거나 해당 키 검색 논리를 따라 전달해야 합니까? 일반 텍스트 주석을 만들고 활동 로그에서 감사 이벤트를 검토합니다. 댓글은 사례에 정보를 빠르게 추가할 수 있는 좋은 장소입니다.

분석가 간의 비공식적인 의견을 보여 주는 스크린샷.

감사 이벤트는 사례의 활동 로그에 자동으로 추가되고 최신 이벤트가 맨 위에 표시됩니다. 메모 또는 감사 기록에 집중해야 하는 경우 필터를 변경합니다.