자동 조사 및 수정 기능의 자동화 수준

적용 대상:

• Microsoft Defender XDR
• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender

비즈니스용 Microsoft Defender 자동 조사 및 수정(AIR) 기능은 미리 구성되어 있으며 구성할 수 없습니다. 엔드포인트용 Microsoft Defender 여러 수준의 자동화 중 하나로 AIR를 구성할 수 있습니다. 자동화 수준은 AIR 조사 이후의 수정 작업이 자동으로 수행되는지 아니면 승인 시만 수행되는지에 영향을 줍니다.

• 전체 자동화 (권장)는 악성으로 확인된 아티팩트에서 수정 작업이 자동으로 수행됨을 의미합니다. (전체 자동화는 기본적으로 비즈니스용 Defender에서 설정됩니다.)
• 반자동화 는 일부 수정 작업이 자동으로 수행되지만 다른 수정 작업은 수행되기 전에 승인을 기다리고 있음을 의미합니다. ( 자동화 수준의 표를 참조하세요.)
• 보류 중이든 완료되었는지 여부에 관계없이 모든 수정 작업은 알림 센터(https://security.microsoft.com)에서 추적됩니다.

팁

최상의 결과를 위해 AIR를 구성할 때 전체 자동화를 사용하는 것이 좋습니다. 지난 1년 동안 수집 및 분석된 데이터에 따르면 전체 자동화를 사용하는 고객은 낮은 수준의 자동화를 사용하는 고객보다 40% 더 높은 신뢰도의 맬웨어 샘플이 제거된 것으로 나타났습니다. 전체 자동화를 통해 보안 운영 리소스를 확보하여 전략적 이니셔티브에 더 집중할 수 있습니다.

참고

디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.

자동화 수준

자동화 수준	설명
전체 - 자동으로 위협 수정 ( 전체 자동화라고도 함)	전체 자동화를 사용하면 악의적인 것으로 간주되는 엔터티에서 수정 작업이 자동으로 수행됩니다. 수행되는 모든 수정 작업은 기록 탭의 알림 센터에서 볼 수 있습니다. 필요한 경우 수정 작업을 실행 취소할 수 있습니다. 전체 자동화가 권장 되며 아직 정의된 디바이스 그룹이 없는 2020년 8월 16일 또는 그 이후에 생성된 엔드포인트용 Defender를 사용하는 테넌트에서 기본적으로 선택됩니다. 전체 자동화는 기본적으로 비즈니스용 Defender에서 설정됩니다.
세미 - 모든 폴더에 대한 승인 필요 ( 반자동화라고도 함)	이 수준의 반자동화에서는 모든 파일의 수정 작업에 대한 승인이 필요합니다. 이러한 보류 중인 작업은 보류 중 탭의 알림 센터에서 보고 승인할 수 있습니다. 보류 중인 작업 시간이 7일 후에 초과됩니다. 작업이 시간 초과되면 동작이 거부되는 경우와 동작이 동일합니다. 이 수준의 반자동화는 디바이스 그룹이 정의되지 않은 엔드포인트용 Microsoft Defender 2020년 8월 16일 이전에 만든 테넌트에서 기본적으로 선택됩니다.
세미 - 핵심 폴더 수정에 대한 승인 필요 ( 반자동화 형식이기도 함)	이 수준의 반자동화에서는 핵심 폴더에 있는 파일 또는 실행 파일에 필요한 모든 수정 작업에 대한 승인이 필요합니다. 핵심 폴더에는 Windows ()와 같은 운영 체제 디렉터리도\windows\* 포함됩니다. 수정 작업은 다른(코어가 아닌) 폴더에 있는 파일 또는 실행 파일에서 자동으로 수행할 수 있습니다. 핵심 폴더의 파일 또는 실행 파일에 대한 보류 중인 작업은 보류 중 탭의 알림 센터에서 보고 승인할 수 있습니다. 다른 폴더의 파일 또는 실행 파일에 대해 수행된 작업은 작업 센터의기록 탭에서 볼 수 있습니다.
세미 - 비 임시 폴더 수정에 대한 승인 필요 ( 반자동화 형식이기도 함)	이 수준의 반자동화에서는 임시 폴더에 *가 아닌 파일 또는 실행 파일에 필요한 모든 수정 작업에 대한 승인이 필요합니다. 임시 폴더에는 다음 예제가 포함될 수 있습니다. \users\*\appdata\local\temp\* \documents and settings\*\local settings\temp\* \documents and settings\*\local settings\temporary\* \windows\temp\* \users\*\downloads\* \program files\ \program files (x86)\* \documents and settings\*\users\* 임시 폴더에 있는 파일 또는 실행 파일에서 수정 작업을 자동으로 수행할 수 있습니다. 임시 폴더에 없는 파일 또는 실행 파일에 대한 보류 중인 작업은 보류 중 탭의 알림 센터에서 보고 승인할 수 있습니다. 임시 폴더의 파일 또는 실행 파일에 대해 수행된 작업은 작업 센터의기록 탭에서 보고 승인할 수 있습니다.
자동화된 응답 없음 ( 자동화 없음이라고도 함)	자동화가 없으면 자동화된 조사가 organization 디바이스에서 실행되지 않습니다. 따라서 자동화된 조사로 인해 수정 작업이 수행되거나 보류 중이 아닙니다. 그러나 바이러스 백신 및 차세대 보호 기능을 구성하는 방법에 따라 잠재적으로 원치 않는 애플리케이션으로부터의 보호와 같은 기타 위협 방지 기능이 적용될 수 있습니다. *organization 디바이스의 보안 태세를 줄이기 때문에 자동화 없음 옵션을 사용하지 않는 것이 좋습니다. 자동화 수준을 전체 자동화(또는 적어도 반자동화)로 설정하는 것이 좋습니다.

자동화 수준에 대한 중요 사항

• 전체 자동화는 안정적이고 효율적이며 안전한 것으로 입증되었으며 모든 고객에게 권장됩니다. 전체 자동화를 통해 중요한 보안 리소스를 확보하여 전략적 이니셔티브에 더 집중할 수 있습니다.

• 엔드포인트용 Defender를 사용하는 새 테넌트(2020년 8월 16일 또는 그 이후에 만들어진 테넌트가 포함됨)는 기본적으로 전체 자동화로 설정됩니다.

• 비즈니스용 Defender 는 기본적으로 전체 자동화를 사용합니다. 비즈니스용 Defender는 엔드포인트용 Defender와 동일한 방식으로 디바이스 그룹을 사용하지 않습니다. 따라서 전체 자동화가 켜지고 비즈니스용 Defender의 모든 디바이스에 적용됩니다.

• 보안 팀이 자동화 수준으로 디바이스 그룹을 정의한 경우 이러한 설정은 롤아웃되는 새 기본 설정에 의해 변경되지 않습니다.

• 기본 자동화 설정을 유지하거나 조직의 요구에 따라 변경할 수 있습니다. 설정을 변경하려면 자동화 수준을 설정합니다.

참고

비즈니스용 Defender 는 자동 조사를 위한 실시간 보호에 의존합니다. 자동 조사를 사용하려면 실시간 보호를 사용하도록 설정하고 활성 모드로 설정해야 합니다.

다음 단계

• 엔드포인트용 Defender에서 자동화된 조사 및 수정 기능 구성
• 알림 센터 방문

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.