프로필을 만들고 프로필에서 실행할 기능을 선택합니다 Microsoft Defender for Endpoint . 정의된 조건에서만 프로필을 트리거할 수 있도록 설정을 구성해야 합니다.
시작하기 전에
필요한 역할: sn_si.admin, sn_si.analyst(읽기 전용)
이 태스크 정보
지정한 조건이 충족되는 경우에만 실행되도록 프로필을 구성합니다. 필요한 경우 CI(구성 항목) 필드에 대한 대체 입력 필드를 선택하고 트리거 조건을 충족하는 보안 인시던트가 생성될 때 프로필이 자동으로 트리거될 수 있도록 필터링 조건을 설정할 수 있습니다.
주: 프로필 세부 정보 페이지에 들어간 후에만 프로필 구성 페이지로 이동할 수 있습니다.
프로시저
-
다음으로 이동 레이블이 표시됩니다.
-
프로필 세부 정보 섹션을 완료한 후 다음을 클릭합니다. 레이블이 표시됩니다.
섹션을 검토하고 구성합니다.
-
인시던트 기준 정의(자동화) 섹션에서 프로필의 기능을 자동으로 트리거 Microsoft Defender for Endpoint 하는 인시던트 기준 정의 옵션을 선택합니다.
인시던트 기준 정의(자동화): 프로필에 대한 엔드포인트용 Microsoft Defender 기능을 자동으로 트리거하는 보안 인시던트 조건을 정의합니다.
인시던트 기준 정의 옵션을 선택하지 않으면 보안 인시던트에서 프로필과 기본 기능을 수동으로 호출할 수 있습니다.
주: 호스트 격리 및 호스트 분리 격리 기능은 자동으로 트리거될 수 없습니다.
-
필터 조건에서 필수 필드를 선택합니다.
-
새 기준을 추가하고 OR 또는 AND 조건도 정의합니다.
-
Approvals(승인) 섹션에서 Require Approval(승인 필요 ) 확인란을 선택하여 추가 제어 수준을 제공합니다.
이 옵션을 선택하면 엔드포인트용 Microsoft Defender 기능을 사용하여 호스트 컴퓨터를 격리하고, 네트워크에 복원하고, 파일을 가져올 때 더 많은 제어가 가능합니다.
프로파일 구성의 승인 옵션은 각각 호스트 격리 및 호스트 분리 제거 기능에 대해서만 나타납니다.
-
추가 구성 섹션에서 대체 필드 정의 옵션을 선택하여 대체 입력 필드를 정의합니다.
추가 구성: 보안 인시던트의 CI(구성 항목) 필드가 호스트 이름 또는 데이터베이스와 일치하는 IP 주소로 채워지지 않은 경우 보안 인시던트에서 대체 필드를 선택하여 엔드포인트용 Microsoft Defender API를 쿼리할 수 있습니다.
-
대체 필드 정의 옵션을 선택합니다.
-
다음에서 입력 필드를 선택합니다. 레이블이 표시됩니다.
-
태그 섹션에서 태그 표시 확인란을 선택하여 보안 인시던트 태그 지정을 활성화합니다. 프로파일 이름은 태그를 활성화할 때 앞에 붙습니다.
선택적으로 프로파일 시작, 프로파일 완료 및 프로파일 실패 태그로 보안 인시던트에 태그를 지정할 수 있습니다. 기본적으로 이 옵션은 모든 프로필에서 꺼져 있습니다.
-
먼저 레이블이 표시됩니다.