WIPI

프로그래밍과 기술 이슈를 빠르게 정리하는 개발 블로그

목록으로

Programming Notes

사례 관리: 인시던트, 사례, 그리고 사용 시점

3월에 사례 관리가 고객을 위한 통합 포털 내에서 GA(General Availability) 상태로 전환되었습니다. 이로 인해 다음과 같은 새로운 기능과 경험이 도입되었습니다. 새로운 사례 큐 사용자 지정 상태 새로운 사례 작업 경험 인시던트와 사례 연결 이는...

작성자

3월에 사례 관리가 고객을 위한 통합 포털 내에서 GA(General Availability) 상태로 전환되었습니다. 이로 인해 다음과 같은 새로운 기능과 경험이 도입되었습니다.

  • 새로운 사례 큐
  • 사용자 지정 상태
  • 새로운 사례 작업 경험
  • 인시던트와 사례 연결

이는 Microsoft Defender 또는 Sentinel의 인시던트 및 인시던트 경험에 익숙한 기존 사용자에게는 약간 혼란스러울 수 있습니다. 좀 더 자세히 살펴보겠습니다.


인시던트란 무엇인가?

인시던트는 하나 이상의 악성 활동과 관련된 주목할 만한 이벤트가 발생했음을 알리는 경고의 컨테이너 역할을 하는 아티팩트입니다. 이는 경고, 활동, 엔터티 등에 대한 단일 랜딩 페이지 역할을 합니다.


인시던트는 언제 사용해야 하는가?

인시던트는 분석가가 인시던트 조사 및 대응을 수행할 때 기본적으로 사용하는 경험입니다. 인시던트에서는 SOC 분석가의 기본 작업을 수행하는 동안 경고 및 엔터티에 사용할 수 있는 모든 세부 정보를 찾을 수 있습니다. 환경 내에서 악성 활동을 조사하고 대응할 때 인시던트를 사용해야 합니다. 현재 인시던트 경험은 다음과 같은 기능을 제공합니다.

  • 경고 타임라인
  • 엔터티 매핑 및 추적
  • 엔터티 조사 그래프
  • Copilot for Security
  • 사전 수행된 조사 및 대응

사례란 무엇인가?

사례는 인시던트 조사, 위협 헌팅 가설 검증, 위협 인텔리전스 검토, 엔드포인트 취약성 관리 등과 같은 실행 가능하거나 추적 가능한 항목을 나타내는 아티팩트입니다. 경고 또는 인시던트 없이도 존재할 수 있습니다.


사례는 언제 사용해야 하는가? (사례 vs. 인시던트)

사례는 SOC 내에서 중요한 활동을 추적하기 위해 생성할 수 있는 항목 역할을 하며, 인시던트 대응만을 위한 것일 필요는 없습니다. 사례는 위에서 언급한 바와 같이 SOC가 수행하는 모든 주목할 만한 활동에 대해 생성할 수 있습니다. 사례는 SOC 팀 내에서 협업 도구로 사용할 수 있습니다. 사례가 인시던트와 중복되는 것처럼 보일 수도 있지만, 전혀 그렇지 않습니다. 다음은 몇 가지 차별화되는 사항입니다.

  1. 인시던트가 경고의 컨테이너인 것처럼, 사례는 인시던트의 컨테이너가 될 수 있으며, 위협 행위자, 영향받는 엔터티 등에 의해 관련되어 있는 경우 여러 인시던트를 동시에 작업할 수 있습니다.
  2. 사례는 Azure의 Microsoft Sentinel 내의 경험과 유사한 기본 작업 경험을 제공합니다.
  3. 사례는 첨부 파일 지원을 제공하여 분석가에게 인시던트가 제공하지 않는 보다 전통적인 사례 관리 경험을 제공합니다.
  4. 사례는 각 사례 내에서 풍부한 텍스트 주석 및 커뮤니케이션을 제공하여 더욱 강력한 협업 경험을 제공합니다.
  5. 사례는 사용자 지정 상태와 같은 더 많은 사용자 지정 기능을 제공합니다. 인시던트는 사용자 지정 상태를 제공하지 않습니다.

다음은 두 가지 예제 시나리오입니다.

인시던트가 포함된 사례

저는 인시던트 큐를 검토하는 SOC 분석가입니다. 여러 위협 유형과 스크립트가 포함된 인시던트를 발견했습니다. 조사에서 찾은 주목할 만한 아티팩트를 추적하면서 동료와 함께 이 인시던트를 작업하고 싶습니다. 예를 들어:

통합 인시던트 큐를 방문하여 여러 자산에 대한 여러 경고가 포함된 다단계 인시던트가 있음을 확인합니다. 초기 분류를 수행하고 해결해야 할 진정한 양성임을 확인합니다. 그런 다음 사례를 생성하고 협업을 위해 이 인시던트를 첨부합니다.

사례 내에서 Advanced Hunting 내에서 수행한 모든 쿼리를 나열하는 코드 블록을 추가하고 쿼리 결과를 사례에 직접 붙여 넣어 추적할 수 있습니다. Copilot for Security를 사용하는 경우 사례를 종료하지 않고도 동료가 인시던트 요약을 볼 수 있도록 Copilot 인시던트 요약을 사례에 복사하여 붙여 넣을 수 있습니다.


인시던트가 없는 사례

저는 장치 취약점을 수정하는 담당 SOC 분석가입니다. Exposure Management 내에서 현재 CVE를 확인하고 Microsoft Edge Chromium 취약점인 CVE-2025-5419에 취약한 장치가 여러 대 있음을 확인합니다. 사례에 첨부할 수 있도록 장치 목록을 CSV 파일에 저장합니다. 또한 CVE에 대한 설명을 복사하여 사례 노트에 추가하여 동료가 사례에 더 편리하게 참여하고 종료할 필요가 없도록 합니다.

그런 다음 Advanced Hunting으로 피벗하여 이러한 취약한 장치의 활동을 검토합니다. 일치하는 항목이 있으며 해당 결과를 사례에 연결하고 싶기 때문에 Export > Copy to Clipboard를 사용하여 사례에 붙여 넣을 수 있습니다.

사례 내에서 노출된 장치의 CSV를 증거로 업로드하기 시작하고, 결과에 주의를 기울이도록 서식이 지정된 메시지를 남기고, 쿼리를 기반으로 한 결과를 붙여 넣습니다. 결과를 기반으로 각 장치 소유자에 대한 새로운 작업을 생성하고 CVE 수정 지침을 붙여 넣기 시작합니다.

이는 Defender 포털 내에서 사례를 사용할 수 있는 여러 가지 예 중 일부일 뿐입니다. 이로써 오늘날 사례 관리의 다양성과 인시던트가 포함된 경우와 그렇지 않은 경우 모두에서 어떻게 작동할 수 있는지를 강조할 수 있기를 바랍니다. 사례 관리가 발전함에 따라 더 많은 개선 사항을 계속 지켜봐 주십시오. 사례 관리에 대해 자세히 알아보려면 아래 리소스를 확인하십시오.