공격 표면 감소 규칙 보고서
적용 대상:
플랫폼:
- Windows
공격 표면 감소 규칙 보고서는 조직의 디바이스에 적용되는 공격 표면 감소 규칙에 대한 정보를 제공합니다. 이 보고서는 다음에 대한 정보도 제공합니다.
- 검색된 위협
- 차단된 위협
- 표준 보호 규칙을 사용하여 위협을 차단하도록 구성되지 않은 디바이스
또한 이 보고서는 다음을 수행할 수 있는 사용하기 쉬운 인터페이스를 제공합니다.
- 위협 탐지 보기
- ASR 규칙의 구성 보기
- 제외 구성(추가)
- 드릴다운하여 자세한 정보 수집
개별 공격 표면 감소 규칙에 대한 자세한 내용은 공격 표면 감소 규칙 참조를 참조하세요.
필수 구성 요소
중요
공격 표면 감소 규칙 보고서에 액세스하려면 Microsoft Defender 포털에 대한 읽기 권한이 필요합니다. Windows Server 2012 R2 및 Windows Server 2016이 공격 표면 감소 규칙 보고서에 표시되려면 최신 통합 솔루션 패키지를 사용하여 이러한 디바이스를 온보딩해야 합니다. 자세한 내용은 Windows Server 2012 R2 및 2016용 최신 통합 솔루션의 새로운 기능을 참조하세요.
액세스 권한 보고
Microsoft Defender 포털에서 공격 표면 감소 규칙 보고서에 액세스하려면 다음 권한이 필요합니다.
사용 권한 유형 | 사용 권한 | 사용 권한 표시 이름 |
---|---|---|
응용 프로그램 | Machine.Read.All |
Read all machine profiles |
위임됨(회사 또는 학교 계정) | Machine.Read |
Read machine information |
Microsoft Entra ID 또는 Microsoft Defender 포털을 사용하여 권한을 할당할 수 있습니다.
- Microsoft Entra ID를 사용하려면 사용자에게 Microsoft Entra 역할 할당을 참조하세요.
- Microsoft Defender 포털을 사용하려면 사용자 액세스 할당을 참조하세요.
공격 표면 감소 규칙 보고서로 이동합니다.
공격 표면 감소 규칙 보고서의 요약 카드로 이동하려면
- Microsoft Defender XDR 포털을 엽니다.
- 왼쪽 패널에서보고서를 클릭하고 기본 섹션의 보고서에서보안 보고서를 선택합니다.
- 디바이스까지 아래로 스크롤하여 공격 표면 감소 규칙 요약 카드를 찾습니다.
ASR 규칙에 대한 요약 보고서 카드는 다음 그림에 나와 있습니다.
ASR 규칙 보고서 요약 카드
ASR 규칙 보고서 요약은 두 개의 카드로 나뉩니다.
ASR 규칙 검색 요약 카드
ASR 규칙에 의해 차단된 검색된 위협 수의 요약을 표시합니다.
두 개의 '작업' 단추를 제공합니다.
- 검색 보기 - 공격 표면 감소 규칙> 기본 검색 탭을 엽니다.
- 제외 추가 - 공격 표면 감소 규칙> 주 제외 탭을 엽니다.
카드 맨 위에 있는 ASR 규칙 검색 링크를 클릭하면 기본 공격 표면 감소 규칙 검색 탭도 열립니다.
ASR 규칙 구성 요약 카드
상위 섹션에서는 일반적인 공격 기술로부터 보호하는 세 가지 권장 규칙을 중점적으로 설명합니다. 이 카드는 차단 모드, 감사 모드 또는 꺼짐(구성되지 않음)에서 다음 ASR(세 가지) 표준 보호 규칙이 설정된 조직의 컴퓨터에 대한 현재 상태 정보를 보여 줍니다. 디바이스 보호 단추에는 세 가지 규칙에 대한 전체 구성 세부 정보만 표시됩니다. 고객은 이러한 규칙을 사용하도록 설정하는 작업을 신속하게 수행할 수 있습니다.
아래쪽 섹션은 규칙당 보호되지 않는 디바이스 수에 따라 6개의 규칙을 표시합니다. "구성 보기" 단추는 모든 ASR 규칙에 대한 모든 구성 세부 정보를 표시합니다. "제외 추가" 단추는 SOC(Security Operation Center)를 평가할 수 있도록 검색된 모든 파일/프로세스 이름이 나열된 제외 추가 페이지를 보여 줍니다. 제외 추가 페이지는 Microsoft Intune에 연결됩니다.
두 개의 '작업' 단추를 제공합니다.
- 구성 보기 - 공격 표면 감소 규칙> 주 검색 탭을 엽니다.
- 제외 추가 - 공격 표면 감소 규칙> 주 제외 탭을 엽니다.
카드 맨 위에 있는 ASR 규칙 구성 링크를 클릭하면 기본 공격 표면 감소 규칙 구성 탭도 열립니다.
간소화된 표준 보호 옵션
구성 요약 카드는 세 가지 표준 보호 규칙을 사용하여 디바이스를 보호하는 단추를 제공합니다. 최소한 다음 세 가지 공격 표면 감소 표준 보호 규칙을 사용하도록 설정하는 것이 좋습니다.
- Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe)
- 악용된 취약한 서명된 드라이버의 남용 차단
- WMI(Windows Management Instrumentation) 이벤트 구독을 통한 지속성 차단
세 가지 표준 보호 규칙을 사용하도록 설정하려면 다음을 수행합니다.
- 디바이스 보호를 선택합니다. 기본 구성 탭이 열립니다.
- 구성 탭에서 기본 규칙은자동으로 모든 규칙에서 표준 보호 규칙을 사용하도록 설정됨으로 전환합니다.
- 디바이스 목록에서 표준 보호 규칙을 적용할 디바이스를 선택한 다음 저장을 선택합니다.
이 카드에는 두 개의 다른 탐색 단추가 있습니다.
- 구성 보기 - 공격 표면 감소 규칙> 주 구성 탭을 엽니다.
- 제외 추가 - 공격 표면 감소 규칙> 주 제외 탭을 엽니다.
카드 맨 위에 있는 ASR 규칙 구성 링크를 클릭하면 기본 공격 표면 감소 규칙 구성 탭도 열립니다.
공격 표면 감소 규칙 주 탭
ASR 규칙 보고서 요약 카드는 ASR 규칙 상태를 빠르게 요약하는 데 유용하지만 기본 탭은 필터링 및 구성 기능을 사용하여 보다 심층적인 정보를 제공합니다.
검색 기능
검색 기능이 검색, 구성 및 제외 주 탭 추가에 추가 됩니다. 이 기능을 사용하면 디바이스 ID, 파일 이름 또는 프로세스 이름을 사용하여 검색할 수 있습니다.
필터링
필터링은 반환되는 결과를 지정할 수 있는 방법을 제공합니다.
- Date 를 사용하면 데이터 결과의 날짜 범위를 지정할 수 있습니다.
- 필터
참고
규칙을 기준으로 필터링할 때 보고서의 하위 절반에 나열 된 검색된 개별 항목의 수는 현재 200개 규칙으로 제한됩니다. 내보내기를 사용하여 검색의 전체 목록을 Excel에 저장할 수 있습니다.
팁
필터는 현재 이 릴리스에서 작동하므로 "그룹화"하려면 먼저 목록에서 마지막 검색까지 아래로 스크롤하여 전체 데이터 집합을 로드해야 합니다. 전체 데이터 집합을 로드한 후 "정렬 기준" 필터링을 시작할 수 있습니다. 모든 용도에 나열된 마지막 검색까지 아래로 스크롤하지 않거나 필터링 옵션을 변경할 때(예: 현재 필터 실행에 적용된 ASR 규칙) 나열된 검색의 보기 가능한 페이지가 두 개 이상 있는 결과에 대한 결과가 올바르지 않습니다.
공격 표면 감소 규칙 기본 검색 탭
- 감사 검색감사 모드에서 설정된 규칙에 의해 캡처된 위협 검색 수를 보여 줍니다.
- 차단된 검색차단 모드에서 설정된 규칙에 의해 차단된 위협 검색 수를 보여 줍니다.
- 대규모 통합 그래프 차단 및 감사된 검색을 표시합니다.
그래프는 표시된 날짜 범위에 대한 검색 데이터를 제공하며, 특정 위치를 마우스로 가리키고 날짜별 정보를 수집하는 기능을 제공합니다.
보고서의 아래쪽 섹션에는 다음 필드와 함께 디바이스별로 검색된 위협이 나열됩니다.
필드 이름 | 정의 |
---|---|
검색된 파일 | 가능한 위협 또는 알려진 위협을 포함하도록 결정된 파일 |
에서 검색됨 | 위협이 검색된 날짜 |
차단/감사되었나요? | 특정 이벤트에 대한 검색 규칙이 차단 또는 감사 모드인지 여부 |
규칙 | 위협을 감지한 규칙 |
원본 앱 | 잘못된 "검색된 파일"을 호출한 애플리케이션 |
디바이스 | Audit 또는 Block 이벤트가 발생한 디바이스의 이름입니다. |
디바이스 그룹 | 디바이스가 속한 Active Directory 그룹 |
사용자 | 통화를 담당하는 컴퓨터 계정 |
Publisher | 특정 .exe 또는 애플리케이션을 릴리스한 회사 |
ASR 규칙 감사 및 블록 모드에 대한 자세한 내용은 공격 표면 감소 규칙 모드를 참조하세요.
실행 가능한 플라이아웃
"검색" 기본 페이지에는 지난 30일 동안의 모든 검색(파일/프로세스) 목록이 있습니다. 드릴다운 기능을 사용하여 열 검색 중에서 선택합니다.
가능한 제외 및 영향 섹션은 선택한 파일 또는 프로세스의 영향을 제공합니다. 다음을 수행할 수 있습니다.
- 고급 헌팅 쿼리 페이지를 여는 Go Hunt 선택
- 파일 열기 페이지에서 엔드포인트용 Microsoft Defender 검색이 열립니다.
- 제외 추가 단추는 제외 추가 기본 페이지와 연결됩니다.
다음 이미지는 실행 가능한 플라이아웃의 링크에서 고급 헌팅 쿼리 페이지가 열리는 방법을 보여 줍니다.
고급 헌팅에 대한 자세한 내용은 Microsoft Defender XDR에서 고급 헌팅을 사용하여 위협 사전에 헌팅을 참조하세요.
공격 표면 감소 규칙 기본 구성 탭
ASR 규칙 기본 구성 탭은 요약 및 디바이스별 ASR 규칙 구성 세부 정보를 제공합니다. 구성 탭에는 다음과 같은 세 가지 주요 측면이 있습니다.
기본 규칙기본 규칙 과 모든 규칙 간에 결과를 토글하는 메서드 를 제공합니다. 기본적으로 기본 규칙이 선택됩니다.
디바이스 구성 개요 다음 상태 중 하나로 디바이스의 현재 스냅샷을 제공합니다.
- 노출된 모든 디바이스(필수 구성 요소가 누락된 디바이스, 감사 모드의 규칙, 잘못 구성된 규칙 또는 구성되지 않은 규칙)
- 규칙이 구성되지 않은 디바이스
- 감사 모드에서 규칙이 있는 디바이스
- 블록 모드에서 규칙이 있는 디바이스
구성 탭의 명명되지 않은 아래 섹션에서는 디바이스별로 디바이스의 현재 상태 목록을 제공합니다.
- 디바이스(이름)
- 전체 구성(규칙이 켜지거나 모두 꺼져 있는지 여부)
- 블록 모드의 규칙(차단하도록 설정된 디바이스당 규칙 수)
- 감사 모드의 규칙(감사 모드의 규칙 수)
- 규칙 해제(꺼져 있거나 사용하도록 설정되지 않은 규칙)
- 디바이스 ID(디바이스 GUID)
이러한 요소는 다음 그림에 나와 있습니다.
ASR 규칙을 사용하도록 설정하려면 다음을 수행합니다.
- 디바이스에서 ASR 규칙을 적용할 디바이스 또는 디바이스를 선택합니다.
- 플라이아웃 창에서 선택 항목을 확인한 다음 정책에 추가를 선택합니다.
구성 탭 및 규칙 추가 플라이아웃이 다음 이미지에 표시됩니다.
[참고!] 다른 ASR 규칙을 적용해야 하는 디바이스가 있는 경우 해당 디바이스를 개별적으로 구성해야 합니다.
공격 표면 감소 규칙 제외 추가 탭
제외 추가 탭은 파일 이름별로 순위가 지정된 검색 목록을 표시하고 제외를 구성하는 메서드를 제공합니다. 기본적으로 제외 추가 정보는 다음 세 가지 필드에 대해 나열됩니다.
- 파일 이름 ASR 규칙 이벤트를 트리거한 파일의 이름입니다.
- 탐지 명명된 파일에 대해 검색된 총 이벤트 수입니다. 개별 디바이스는 여러 ASR 규칙 이벤트를 트리거할 수 있습니다.
- 장치 검색이 발생한 디바이스 수입니다.
중요
파일 또는 폴더를 제외하면 ASR 규칙에서 제공하는 보호를 심각하게 줄일 수 있습니다. 제외된 파일은 실행할 수 있으며 보고서 또는 이벤트는 기록되지 않습니다. ASR 규칙이 검색해서는 안 된다고 생각되는 파일을 검색하는 경우 먼저 감사 모드를 사용하여 규칙을 테스트해야 합니다.
파일을 선택하면 예상되는 영향 & 요약 이 열리고 다음과 같은 유형의 정보가 표시됩니다.
- 선택한 파일 제외를 위해 선택한 파일 수
- (개수) 검색 선택한 제외를 추가한 후 검색이 예상되는 감소를 나타냅니다. 검색 감소는 제외 후실제 검색 및 검색에 대해 그래픽으로 표시됩니다.
- 영향을 받는 디바이스 수 선택한 제외에 대한 검색을 보고하는 디바이스의 예상 감소를 명시합니다.
제외 추가 페이지에는 검색된 파일(선택 후)에서 사용할 수 있는 작업에 대한 두 개의 단추가 있습니다. 다음을 수행할 수 있습니다.
- Microsoft Intune ASR 정책 페이지를 여는 제외를 추가합니다. 자세한 내용은 "ASR 규칙 대체 구성 메서드 사용"의 Intune 을 참조하세요.
- csv 형식으로 파일 경로를 다운로드할 제외 경로 가져오기
참고 항목
- 공격 표면 감소 규칙 배포 개요
- 공격 표면 감소 규칙 배포 계획
- 테스트 공격 표면 감소 규칙
- 공격 표면 감소 규칙 사용
- 공격 표면 감소 규칙 운영
- ASR(공격 표면 감소) 규칙 보고서
- 공격 표면 감소 규칙 참조
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.