비즈니스용 Microsoft Defender에서 공격 표면 감소 규칙 사용

공격 표면은 조직의 네트워크와 디바이스가 사이버 위협 및 공격에 취약한 모든 장소와 방법입니다. 보안되지 않은 디바이스, 회사 디바이스의 모든 URL에 대한 무제한 액세스 및 회사 디바이스에서 모든 유형의 앱 또는 스크립트를 실행할 수 있도록 허용하는 것은 모두 공격 표면의 예입니다. 그들은 사이버 공격에 취약 회사를 떠난다.

네트워크 및 디바이스를 보호하기 위해 비즈니스용 Microsoft Defender에는 공격 표면 감소 규칙을 비롯한 여러 공격 표면 감소 기능이 포함되어 있습니다. 이 문서에서는 공격 표면 감소 규칙을 설정하는 방법을 설명하고 공격 표면 감소 기능을 설명합니다.

표준 보호 ASR 규칙

사용 가능한 공격 표면 감소 규칙이 많이 있습니다. 한 번에 모두 설정할 필요는 없습니다. 또한 감사 모드에서 일부 규칙을 설정하여 조직에서 작동하는 방식을 확인하고 나중에 블록 모드에서 작동하도록 변경할 수 있습니다. 즉, 가능한 한 빨리 다음 표준 보호 규칙을 사용하도록 설정하는 것이 좋습니다.

• Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단
• 악용된 취약한 서명된 드라이버의 남용 차단
• WMI 이벤트 구독을 통한 지속성 차단

이러한 규칙은 네트워크 및 디바이스를 보호하는 데 도움이 되지만 사용자에게 중단을 초래해서는 안 됩니다. Intune을 사용하여 공격 표면 감소 규칙을 설정합니다.

Intune을 사용하여 ASR 규칙 설정

1. Microsoft Intune 관리 센터에서엔드포인트 보안>공격 노출 영역 축소로 이동합니다.

2. 정책 만들기를 선택하여 새 정책을 만듭니다.

   • 플랫폼의 경우 Windows 10, Windows 11 및 Windows Server를 선택합니다.
   • 프로필에서 공격 표면 감소 규칙을 선택한 다음 만들기를 선택합니다.

3. 다음과 같이 정책을 설정합니다.

   1. 이름 및 설명을 지정한 다음, 다음을 선택합니다.

   2. 적어도 다음 세 가지 규칙의 경우 각 규칙을 차단으로 설정합니다.

      • Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단
      • WMI 이벤트 구독을 통한 지속성 차단
      • 악용된 취약한 서명된 드라이버의 남용 차단

      그런 후 다음을 선택합니다.

   3. 범위 태그 단계에서 다음을 선택합니다.

   4. 할당 단계에서 규칙을 받을 사용자 또는 디바이스를 선택한 다음, 다음을 선택합니다. ( 모든 디바이스 추가를 선택하는 것이 좋습니다.)

   5. 검토 + 만들기 단계에서 정보를 검토한 다음 만들기를 선택합니다.

팁

원하는 경우 먼저 감사 모드에서 공격 표면 감소 규칙을 설정하여 파일 또는 프로세스가 실제로 차단되기 전에 검색을 확인할 수 있습니다. 공격 표면 감소 규칙에 대한 자세한 내용은 공격 표면 감소 규칙 배포 개요를 참조하세요.

공격 표면 감소 보고서 보기

비즈니스용 Defender에는 공격 표면 감소 규칙이 작동하는 방식을 보여 주는 공격 표면 감소 보고서가 포함되어 있습니다.

1. Microsoft Defender 포털의 탐색 창에서 보고서를 선택합니다.

2. 엔드포인트에서 공격 표면 감소 규칙을 선택합니다. 보고서가 열리고 다음 세 개의 탭이 포함됩니다.

   • 검색- 공격 표면 감소 규칙의 결과로 발생한 검색을 볼 수 있습니다.
   • 표준 보호 규칙 또는 기타 공격 표면 감소 규칙에 대한 데이터를 볼 수 있는 구성
   • 공격 노출 영역 감소 규칙에서 제외할 항목을 추가할 수 있는 제외 추가(제외를 아끼지 않고 사용, 모든 제외는 보안 보호 수준을 줄임)

공격 표면 감소 규칙에 대한 자세한 내용은 다음 문서를 참조하세요.

• 공격 표면 감소 규칙 개요
• 공격 표면 감소 규칙 보고서
• 공격 표면 감소 규칙 참조
• 공격 표면 감소 규칙 배포 개요

비즈니스용 Defender의 공격 표면 감소 기능

공격 표면 감소 규칙은 비즈니스용 Defender에서 사용할 수 있습니다. 다음 표에는 비즈니스용 Defender의 공격 표면 감소 기능이 요약되어 있습니다. 차세대 보호 및 웹 콘텐츠 필터링과 같은 다른 기능이 공격 표면 감소 기능과 함께 작동하는 방식을 확인합니다.

기능	설정하는 방법
공격 표면 감소 규칙 Windows 디바이스에서 실행하기 위해 악의적인 활동과 일반적으로 연결된 특정 작업을 방지합니다.	표준 보호 공격 표면 감소 규칙을 사용하도록 설정합니다 (이 문서의 섹션).
제어된 폴더 액세스 제어된 폴더 액세스를 사용하면 신뢰할 수 있는 앱만 Windows 디바이스의 보호된 폴더에 액세스할 수 있습니다. 이 기능을 랜섬웨어 완화라고 생각하세요.	비즈니스용 Microsoft Defender에서 제어된 폴더 액세스 정책을 설정합니다.
네트워크 보호 네트워크 보호는 사용자가 Windows 및 Mac 디바이스의 애플리케이션을 통해 위험한 도메인에 액세스하는 것을 방지합니다. 네트워크 보호는 비즈니스용 Microsoft Defender에서 웹 콘텐츠 필터링의 핵심 구성 요소이기도 합니다.	디바이스가 비즈니스용 Defender에 온보딩되고 비즈니스용 Defender의 차세대 보호 정책이 적용되는 경우 네트워크 보호는 기본적으로 이미 활성화되어 있습니다. 기본 정책은 권장 보안 설정을 사용하도록 구성됩니다.
웹 보호 웹 보호는 웹 브라우저와 통합되며 네트워크 보호와 함께 작동하여 웹 위협 및 원치 않는 콘텐츠로부터 보호합니다. 웹 보호에는 웹 콘텐츠 필터링 및 웹 위협 보고서가 포함됩니다.	비즈니스용 Microsoft Defender에서 웹 콘텐츠 필터링을 설정합니다.
방화벽 보호 방화벽 보호는 조직의 디바이스를 오가는 데 허용되는 네트워크 트래픽을 결정합니다.	디바이스가 비즈니스용 Defender에 온보딩되고 비즈니스용 Defender의 방화벽 정책이 적용되는 경우 방화벽 보호는 기본적으로 이미 활성화되어 있습니다.

다음 단계

• 고급 기능 및 Microsoft Defender 포털에 대한 설정을 검토합니다.
• 취약성 관리 대시보드 사용
• 인시던트 보기 및 관리
• 보고서 보기