Microsoft Defender 바이러스 백신의 클라우드 보호 및 샘플 제출
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft Defender 바이러스 백신
플랫폼
Windows
macOS
Linux
Windows Server
Microsoft Defender 바이러스 백신은 맬웨어를 검색하기 위해 많은 지능형 메커니즘을 사용합니다. 가장 강력한 기능 중 하나는 클라우드의 기능을 적용하여 맬웨어를 감지하고 신속한 분석을 수행하는 기능입니다. 클라우드 보호 및 자동 샘플 제출은 Microsoft Defender 바이러스 백신과 함께 작동하여 새로운 위협과 새로운 위협으로부터 보호합니다.
의심스럽거나 악의적인 파일이 검색되면 분석을 위해 샘플이 클라우드 서비스로 전송되고 Microsoft Defender 바이러스 백신은 파일을 차단합니다. 빠르게 수행되는 결정이 내려지는 즉시 Microsoft Defender 바이러스 백신에 의해 파일이 해제되거나 차단됩니다.
이 문서에서는 Microsoft Defender 바이러스 백신의 클라우드 보호 및 자동 샘플 제출에 대한 개요를 제공합니다. 클라우드 보호에 대한 자세한 내용은 클라우드 보호 및 Microsoft Defender 바이러스 백신을 참조하세요.
클라우드 보호 및 샘플 제출이 함께 작동하는 방법
클라우드 보호가 샘플 제출과 함께 작동하는 방식을 이해하려면 엔드포인트용 Defender가 위협으로부터 보호하는 방법을 이해하는 것이 도움이 될 수 있습니다. Microsoft Intelligent Security Graph는 방대한 센서 네트워크의 위협 데이터를 모니터링합니다. Microsoft는 지능형 보안 그래프에서 클라이언트의 신호와 방대한 센서 및 데이터 네트워크를 기반으로 파일을 평가할 수 있는 클라우드 기반 기계 학습 모델을 계층화합니다. 이 접근 방식을 통해 엔드포인트용 Defender는 이전에는 볼 수 없었던 많은 위협을 차단할 수 있습니다.
다음 이미지는 Microsoft Defender 바이러스 백신을 사용하여 클라우드 보호 및 샘플 제출의 흐름을 보여 줍니다.
Microsoft Defender 바이러스 백신 및 클라우드 보호는 다음 방법을 사용하여 처음 볼 수 없는 새로운 위협을 자동으로 차단합니다.
새로운 맬웨어와 알 수 없는 맬웨어를 차단하는 경량 클라이언트 기반 기계 학습 모델입니다.
로컬 동작 분석, 파일 기반 및 파일 없는 공격을 중지합니다.
일반 및 추론 기술을 통해 일반적인 맬웨어를 검색하는 고밀도 바이러스 백신.
엔드포인트에서 실행되는 Microsoft Defender 바이러스 백신이 의심스러운 파일의 의도를 확인하기 위해 더 많은 인텔리전스가 필요한 경우 고급 클라우드 기반 보호가 제공됩니다.
Microsoft Defender 바이러스 백신이 명확한 결정을 내릴 수 없는 경우 파일 메타데이터가 클라우드 보호 서비스로 전송됩니다. 종종 몇 밀리초 내에 클라우드 보호 서비스는 메타데이터에 따라 파일이 악성인지 아닌지를 확인할 수 있습니다.
- 파일 메타데이터의 클라우드 쿼리는 동작, 웹 표시 또는 명확한 결과가 결정되지 않은 기타 특성의 결과일 수 있습니다.
- 맬웨어의 평결에 도달하거나 위협이 아닌 것을 목표로 작은 메타데이터 페이로드가 전송됩니다. 메타데이터에는 PII(개인 식별 정보)가 포함되지 않습니다. 파일 이름과 같은 정보는 해시됩니다.
- 동기 또는 비동기일 수 있습니다. 동기의 경우 클라우드에서 평결을 렌더링할 때까지 파일이 열리지 않습니다. 비동기에서는 클라우드 보호가 분석을 수행하는 동안 파일이 열립니다.
- 메타데이터에는 PE 특성, 정적 파일 특성, 동적 및 컨텍스트 특성 등이 포함될 수 있습니다( 클라우드 보호 서비스로 전송된 메타데이터 예제 참조).
메타데이터를 검사한 후 Microsoft Defender 바이러스 백신 클라우드 보호가 결정적인 판결에 도달할 수 없는 경우 추가 검사를 위해 파일 샘플을 요청할 수 있습니다. 이 요청은 샘플 제출에 대한 설정 구성을 적용합니다.
안전한 샘플 자동 보내기
- 안전한 샘플은 일반적으로 .bat, .scr, .dll, .exe 같은 PII 데이터를 포함하지 않는 것으로 간주되는 샘플입니다.
- 파일에 PII가 포함될 가능성이 있는 경우 사용자는 파일 샘플 제출을 허용하라는 요청을 받습니다.
- 이 옵션은 Windows, macOS 및 Linux의 기본값입니다.
항상 프롬프트
- 구성된 경우 파일 제출 전에 항상 동의하라는 메시지가 사용자에게 표시됩니다.
- 이 설정은 macOS 및 Linux 클라우드 보호에서 사용할 수 없습니다.
모든 샘플 자동 보내기
- 구성된 경우 모든 샘플이 자동으로 전송됩니다.
- Word 문서에 포함된 매크로를 포함하도록 샘플 제출을 원하는 경우 "모든 샘플 자동 보내기"를 선택해야 합니다.
- 이 설정은 macOS 클라우드 보호에서 사용할 수 없습니다.
전송 안 함
- 파일 샘플 분석을 기반으로 "즉각적 차단"을 방지합니다.
- "보내지 않음"은 macOS 정책의 "사용 안 함" 설정 및 Linux 정책의 "없음" 설정과 동일합니다.
- 샘플 제출을 사용하지 않도록 설정한 경우에도 검색을 위해 메타데이터가 전송됩니다.
파일을 클라우드 보호에 제출한 후에는 빅 데이터 분석기계 학습 모델을 통해 제출된 파일을 검사, 폭발 및 처리하여 평결에 도달할 수 있습니다. 클라우드 제공 보호 제한을 해제하면 클라이언트가 로컬 기계 학습 모델 및 유사한 기능을 통해 제공할 수 있는 것만 분석할 수 있습니다.
중요
BAFS(즉각적 차단) 는 파일 또는 프로세스가 안전한지 여부를 확인하기 위한 폭발 및 분석을 제공합니다. BAFS는 판결에 도달할 때까지 파일 열기를 잠시 지연할 수 있습니다. 샘플 제출을 사용하지 않도록 설정하면 BAFS도 사용하지 않도록 설정되고 파일 분석은 메타데이터로만 제한됩니다. 샘플 제출 및 BAFS를 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 "즉각적 차단"을 참조하세요.
클라우드 보호 수준
클라우드 보호는 기본적으로 Microsoft Defender 바이러스 백신에서 사용하도록 설정됩니다. 조직에 대한 보호 수준을 구성할 수 있지만 클라우드 보호를 사용하도록 설정하는 것이 좋습니다. Microsoft Defender 바이러스 백신에 대한 클라우드 제공 보호 수준 지정을 참조하세요.
샘플 제출 설정
클라우드 보호 수준을 구성하는 것 외에도 샘플 제출 설정을 구성할 수 있습니다. 다음 몇 가지 옵션 중에서 선택할 수 있습니다.
- 안전한 샘플 자동 보내기 (기본 동작)
- 모든 샘플 자동 보내기
- 샘플을 보내지 마세요.
팁
Send all samples automatically
피싱 공격은 많은 양의 초기 액세스 공격에 사용되므로 옵션을 사용하면 보안이 향상됩니다.
Intune, Configuration Manager, 그룹 정책 또는 PowerShell을 사용하는 구성 옵션에 대한 자세한 내용은 Microsoft Defender 바이러스 백신에서 클라우드 보호 설정을 참조하세요.
클라우드 보호 서비스로 전송된 메타데이터의 예
다음 표에는 클라우드 보호를 통해 분석을 위해 전송된 메타데이터의 예가 나와 있습니다.
유형 | 특성 |
---|---|
컴퓨터 특성 | OS version Processor Security settings |
동적 및 컨텍스트 특성 |
프로세스 및 설치 ProcessName ParentProcess TriggeringSignature TriggeringFile Download IP and url HashedFullPath Vpath RealPath Parent/child relationships 행동 Connection IPs System changes API calls Process injection Locale Locale setting Geographical location |
정적 파일 특성 |
부분 및 전체 해시 ClusterHash Crc16 Ctph ExtendedKcrcs ImpHash Kcrc3n Lshash LsHashs PartialCrc1 PartialCrc2 PartialCrc3 Sha1 Sha256 파일 속성 FileName FileSize 서명자 정보 AuthentiCodeHash Issuer IssuerHash Publisher Signer SignerHash |
샘플은 고객 데이터로 처리됩니다.
샘플 제출 시 어떤 일이 발생하는지 궁금할 경우 엔드포인트용 Defender는 모든 파일 샘플을 고객 데이터로 처리합니다. Microsoft는 엔드포인트용 Defender에 온보딩할 때 조직이 선택한 지리적 및 데이터 보존 선택 사항을 모두 적용합니다.
또한 엔드포인트용 Defender는 여러 규정 준수 인증을 받았으며, 정교한 규정 준수 제어 집합을 지속적으로 준수하고 있음을 보여 줍니다.
- ISO 27001
- ISO 27018
- SOC I, II, III
- PCI
자세한 내용은 다음 리소스를 참조하세요.
기타 파일 샘플 제출 시나리오
엔드포인트용 Defender가 Microsoft Defender 바이러스 백신의 클라우드 보호와 관련이 없는 파일 샘플을 요청할 수 있는 두 가지 시나리오가 더 있습니다. 이러한 시나리오는 다음 표에 설명되어 있습니다.
시나리오 | 설명 |
---|---|
Microsoft Defender 포털의 수동 파일 샘플 컬렉션 | 엔드포인트용 Defender에 디바이스를 온보딩할 때 EDR(엔드포인트 검색 및 응답)에 대한 설정을 구성할 수 있습니다. 예를 들어 디바이스에서 샘플 컬렉션을 사용하도록 설정하는 설정이 있습니다. 이 설정은 이 문서에 설명된 샘플 제출 설정과 쉽게 혼동될 수 있습니다. EDR 설정은 Microsoft Defender 포털을 통해 요청될 때 디바이스의 파일 샘플 컬렉션을 제어하며 이미 설정된 역할 및 권한이 적용됩니다. 이 설정은 Microsoft Defender 포털의 심층 분석과 같은 기능에 대해 엔드포인트에서 파일 수집을 허용하거나 차단할 수 있습니다. 이 설정이 구성되지 않은 경우 기본값은 샘플 컬렉션을 사용하도록 설정하는 것입니다. 엔드포인트용 Defender 구성 설정에 대한 자세한 내용은 엔드포인트용 Defender의 Windows 10 디바이스용 온보딩 도구 및 메서드를 참조하세요. |
자동 조사 및 응답 콘텐츠 분석 |
디바이스에서 자동 조사가 실행되는 경우(경고에 대한 응답으로 자동으로 실행되거나 수동으로 실행되도록 구성된 경우) 의심스러운 것으로 식별되는 파일을 엔드포인트에서 수집하여 추가 검사를 수행할 수 있습니다. 필요한 경우 Microsoft Defender 포털에서 자동 조사를 위한 파일 콘텐츠 분석 기능을 사용하지 않도록 설정할 수 있습니다. 자동 조사 중에 자동으로 제출되는 다른 파일 형식의 확장명을 추가하거나 제거하도록 파일 확장명 이름을 수정할 수도 있습니다. 자세한 내용은 자동화 파일 업로드 관리를 참조하세요. |
팁
다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.
참고 항목
Microsoft Defender 바이러스 백신 검색에 대한 수정을 구성합니다.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.