다음을 통해 공유


디바이스의 온보딩 및 보고 서비스를 확인하기 위한 EDR 검색 테스트

적용 대상:

시나리오 요구 사항 및 설정

  • Windows 11, Windows 10 버전 1709 빌드 16273 이상, Windows 8.1 또는 Windows 7 SP1.
  • Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2008 R2 SP1.
  • Linux
  • macOS
  • 엔드포인트용 Microsoft Defender
  • 엔드포인트용 Microsoft Defender(Linux용)
  • Microsoft Defender for Endpoint(macOS용)

엔드포인트에 대한 엔드포인트 검색 및 응답은 거의 실시간으로 실행 가능한 고급 공격 검색을 제공합니다. 보안 분석가는 알림에 효과적으로 우선 순위를 지정하고, 침해의 전체 범위에 대한 가시성을 확보하고 위협을 수정하기 위한 대응 조치를 취할 수 있습니다.

EDR 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

Windows

  1. 명령 프롬프트 창 열기

  2. 프롬프트에서 아래 명령을 복사하고 실행합니다. 명령 프롬프트 창이 자동으로 닫힙니다.

powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
  1. 성공하면 검색 테스트가 완료된 것으로 표시되고 몇 분 안에 새 경고가 표시됩니다.

Linux

  1. 온보딩된 Linux 서버에 스크립트 파일 다운로드
curl -o ~/Downloads/MDE Linux DIY.zip https://aka.ms/LinuxDIY
  1. zip 추출
unzip ~/Downloads/MDE Linux DIY.zip
  1. 다음 명령을 실행합니다.
./mde_linux_edr_diy.sh

몇 분 후에 Microsoft Defender XDR에서 검색을 발생시켜야 합니다.

  1. 경고 세부 정보, 컴퓨터 타임라인을 살펴보고 일반적인 조사 단계를 수행합니다.

macOS

  1. 브라우저에서 Mac용 Microsoft Edge 또는 Safari에서 MDATP MacOS DIY.ziphttps://aka.ms/mdatpmacosdiy 다운로드하고 추출합니다.

    다음 프롬프트가 나타납니다.

    "mdatpclientanalyzer.blob.core.windows.net"에서 다운로드를 허용하시겠습니까?
    웹 사이트 기본 설정에서 파일을 다운로드할 수 있는 웹 사이트를 변경할 수 있습니다.

  2. 허용을 클릭합니다.

  3. 다운로드를 엽니다.

  4. MDATP MacOS DIY를 볼 수 있어야 합니다.

    MDATP MacOS DIY를 두 번 클릭하면 다음 메시지가 표시됩니다.

    개발자는 검증 도구가 될 수 없으므로 "MDATP MacOS DIY"를 열 수 없습니다.
    macOS는 이 앱이 맬웨어로부터 무료인지 확인할 수 없습니다.
    [휴지통으로 이동][취소]

  5. 따라서 취소를 클릭합니다.

  6. MDATP MacOS DIY를 마우스 오른쪽 단추로 클릭한 다음 열기를 클릭합니다.

    시스템에는 다음 메시지가 표시됩니다.

    macOS는 MDATP MacOS DIY 개발자를 확인할 수 없습니다. 열고 싶으신가요?
    이 앱을 열면 컴퓨터와 개인 정보를 Mac에 해를 끼치거나 개인 정보를 손상시킬 수 있는 맬웨어에 노출할 수 있는 시스템 보안을 재정의하게 됩니다.

  7. 열기를 클릭합니다.

    시스템에 다음 메시지가 표시됩니다.

    엔드포인트용 Microsoft Defender - macOS EDR DIY 테스트 파일
    해당 경고는 MDATP 포털에서 사용할 수 있습니다.

  8. 열기를 클릭합니다.

    몇 분 안에 경고 macOS EDR 테스트 경고 가 발생합니다.

  9. Microsoft Defender 포털(https://security.microsoft.com/)로 이동합니다.

  10. 경고 큐로 이동합니다.

    심각도, 범주, 검색 원본 및 축소된 작업 메뉴를 보여 주는 macOS EDR 테스트 경고를 보여 주는 스크린샷

    macOS EDR 테스트 경고는 심각도, 범주, 검색 원본 및 축소된 작업 메뉴를 표시합니다.

    경고 세부 정보 및 디바이스 타임라인을 살펴보고 정기적인 조사 단계를 수행합니다.

수행할 수 있는 다음 단계는 애플리케이션 호환성 또는 성능에 필요한 AV 제외를 추가하는 것입니다.

엔드포인트용 Microsoft Defender 보안 운영 가이드를 참조하세요.