자동 조사 개요

적용 대상:

• Microsoft Defender XDR
• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender

플랫폼

• Windows

작동 방식을 확인하고 싶으신가요? 다음 비디오를 시청하세요.

자동 조사 기술은 다양한 검사 알고리즘을 사용하며 보안 분석가가 사용하는 프로세스를 기반으로 합니다. AIR 기능은 경고를 조사하고 침해를 해결하기 위해 즉각적인 조치를 취하도록 설계되었습니다. AIR 기능은 경보 볼륨을 크게 줄여 보안 운영이 보다 정교한 위협 및 기타 고가치 이니셔티브에 집중할 수 있도록 합니다. 대기 중이거나 완료된 모든 수정 작업은 알림 센터에서 추적됩니다. 작업 센터에서 보류 중인 작업이 승인(또는 거부)되고 필요한 경우 완료된 작업을 실행 취소할 수 있습니다.

이 문서에서는 AIR에 대한 개요를 제공하고 다음 단계 및 추가 리소스에 대한 링크를 포함합니다.

자동화된 조사가 시작되는 방법

자동화된 조사는 경고가 트리거되거나 보안 운영자가 조사를 시작할 때 시작될 수 있습니다.

자동화된 조사가 scope 확장하는 방법

조사가 실행되는 동안 디바이스에서 생성된 다른 경고는 조사가 완료될 때까지 진행 중인 자동화된 조사에 추가됩니다. 또한 다른 디바이스에서 동일한 위협이 표시되면 해당 디바이스가 조사에 추가됩니다.

다른 디바이스에서 인증된 엔터티가 표시되는 경우 자동화된 조사 프로세스는 해당 디바이스를 포함하도록 scope 확장하고 해당 디바이스에서 일반 보안 플레이북이 시작됩니다. 동일한 엔터티에서 이 확장 프로세스 중에 10개 이상의 디바이스가 발견되면 해당 확장 작업에 승인이 필요하며 보류 중인 작업 탭에 표시됩니다.

위협 해결 방법

경고가 트리거되고 자동화된 조사가 실행되면 조사된 각 증거에 대한 판결이 생성됩니다. 평가 결과는 다음과 같이 표시됩니다.

• 악의적인;
• 의심스러운; 또는
• 위협을 찾을 수 없습니다.

판결에 도달하면 자동화된 조사로 인해 하나 이상의 수정 작업이 발생할 수 있습니다. 수정 작업의 예로는 격리할 파일 보내기, 서비스 중지, 예약된 작업 제거 등이 있습니다. 자세한 내용은 수정 작업을 참조하세요.

organization 대해 설정된 자동화 수준 및 기타 보안 설정에 따라 수정 작업은 자동으로 또는 보안 운영 팀의 승인에 따라 발생할 수 있습니다. 자동 수정에 영향을 줄 수 있는 추가 보안 설정에는 잠재적으로 원치 않는 애플리케이션(PUA)으로부터의 보호가 포함됩니다 .

대기 중이거나 완료된 모든 수정 작업은 알림 센터에서 추적됩니다. 필요한 경우 보안 운영 팀이 수정 작업을 실행 취소할 수 있습니다. 자세한 내용은 자동화된 조사 후 수정 작업 검토 및 승인을 참조하세요.

AIR 요구 사항

구독에는 엔드포인트용 Defender 또는 비즈니스용 Defender가 포함되어야 합니다.

현재 AIR는 다음 OS 버전만 지원합니다.

• Windows Server 2012 R2(미리 보기)
• Windows Server 2016(미리 보기)
• Windows Server 2019
• Windows Server 2022
• Windows 10 버전 1709(OS 빌드 16299.1085(KB4493441 포함) 이상
• Windows 10 버전 1803(OS 빌드 17134.704 및 KB4493464) 이상
• Windows 10 버전 1803 이상
• Windows 11

다음 단계

• 자동화 수준에 대해 자세히 알아보기
• 대화형 가이드: 엔드포인트용 Microsoft Defender 사용하여 위협 조사 및 수정을 참조하세요.
• 엔드포인트용 Microsoft Defender 자동화된 조사 및 수정 기능 구성

참고 항목

• PUA 보호
• Office 365용 Microsoft Defender 자동 조사 및 대응
• Microsoft Defender XDR 자동 조사 및 대응