디바이스의 온보딩 및 보고 서비스를 확인하기 위한 EDR 검색 테스트

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender

시나리오 요구 사항 및 설정

• Windows 11, Windows 10 버전 1709 빌드 16273 이상, Windows 8.1 또는 Windows 7 SP1.
• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2008 R2 SP1.
• Linux
• macOS
• 엔드포인트용 Microsoft Defender
• 엔드포인트용 Microsoft Defender(Linux용)
• Microsoft Defender for Endpoint(macOS용)

엔드포인트에 대한 엔드포인트 검색 및 응답은 거의 실시간으로 실행 가능한 고급 공격 검색을 제공합니다. 보안 분석가는 알림에 효과적으로 우선 순위를 지정하고, 침해의 전체 범위에 대한 가시성을 확보하고 위협을 수정하기 위한 대응 조치를 취할 수 있습니다.

EDR 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

Windows

1. 명령 프롬프트 창 열기

2. 프롬프트에서 아래 명령을 복사하고 실행합니다. 명령 프롬프트 창이 자동으로 닫힙니다.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'

3. 성공하면 검색 테스트가 완료된 것으로 표시되고 몇 분 안에 새 경고가 표시됩니다.

Linux

1. 온보딩된 Linux 서버에 스크립트 파일 다운로드

curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY

1. zip 추출

unzip ~/Downloads/MDE Linux DIY.zip

1. 다음 명령을 실행합니다.

./mde_linux_edr_diy.sh

몇 분 후에 Microsoft Defender XDR에서 검색을 발생시켜야 합니다.

3. 경고 세부 정보, 컴퓨터 타임라인을 살펴보고 일반적인 조사 단계를 수행합니다.

macOS

1. 브라우저에서 Mac용 Microsoft Edge 또는 Safari에서 MDATP MacOS DIY.ziphttps://aka.ms/mdatpmacosdiy 다운로드하고 추출합니다.

   다음 프롬프트가 나타납니다.

   "mdatpclientanalyzer.blob.core.windows.net"에서 다운로드를 허용하시겠습니까?
   웹 사이트 기본 설정에서 파일을 다운로드할 수 있는 웹 사이트를 변경할 수 있습니다.

2. 허용을 클릭합니다.

3. 다운로드를 엽니다.

4. MDATP MacOS DIY를 볼 수 있어야 합니다.

   팁

   MDATP MacOS DIY를 두 번 클릭하면 다음 메시지가 표시됩니다.

   개발자는 검증 도구가 될 수 없으므로 "MDATP MacOS DIY"를 열 수 없습니다.
   macOS는 이 앱이 맬웨어로부터 무료인지 확인할 수 없습니다.
   [휴지통으로 이동][취소]

5. 따라서 취소를 클릭합니다.

6. MDATP MacOS DIY를 마우스 오른쪽 단추로 클릭한 다음 열기를 클릭합니다.

   시스템에는 다음 메시지가 표시됩니다.

   macOS는 MDATP MacOS DIY 개발자를 확인할 수 없습니다. 열고 싶으신가요?
   이 앱을 열면 컴퓨터와 개인 정보를 Mac에 해를 끼치거나 개인 정보를 손상시킬 수 있는 맬웨어에 노출할 수 있는 시스템 보안을 재정의하게 됩니다.

7. 열기를 클릭합니다.

   시스템에 다음 메시지가 표시됩니다.

   엔드포인트용 Microsoft Defender - macOS EDR DIY 테스트 파일
   해당 경고는 MDATP 포털에서 사용할 수 있습니다.

8. 열기를 클릭합니다.

   몇 분 안에 경고 macOS EDR 테스트 경고 가 발생합니다.

9. Microsoft Defender 포털(https://security.microsoft.com/)로 이동합니다.

10. 경고 큐로 이동합니다.

    

    macOS EDR 테스트 경고는 심각도, 범주, 검색 원본 및 축소된 작업 메뉴를 표시합니다.

    경고 세부 정보 및 디바이스 타임라인을 살펴보고 정기적인 조사 단계를 수행합니다.

수행할 수 있는 다음 단계는 애플리케이션 호환성 또는 성능에 필요한 AV 제외를 추가하는 것입니다.

• macOS에서 엔드포인트용 Microsoft Defender에 대한 제외 구성 및 유효성 검사
• Endpoint용 Microsoft Defender에서 가양성/가음성 처리
• 제거 규칙 관리
• IoC(손상 지표) 만들기
• 사용자 지정 검색 규칙 만들기 및 관리

엔드포인트용 Microsoft Defender 보안 운영 가이드를 참조하세요.