보안 기준 평가
적용 대상:
참고
이 기능을 사용하려면 Microsoft Defender 취약성 관리 독립 실행형이 필요하거나 이미 엔드포인트용 Microsoft Defender 플랜 2 고객인 경우 Defender 취약성 관리 추가 기능이 필요합니다.
보안 기준 평가는 끝없는 규정 준수 검사를 실행하는 대신 조직의 보안 기준 준수를 지속적으로 손쉽게 모니터링하고 실시간으로 변경 내용을 식별하는 데 도움이 됩니다.
보안 기준 프로필은 업계 보안 벤치마크에 대해 조직의 엔드포인트를 평가하고 모니터링하기 위해 만들 수 있는 사용자 지정된 프로필입니다. 보안 기준 프로필을 만들 때 여러 디바이스 구성 설정과 비교할 기본 벤치마크로 구성된 템플릿을 만듭니다.
보안 기준은 Windows 10, Windows 11 및 Windows Server 2008 R2 이상에 대한 CIS (Center for Internet Security) 벤치마크와 Windows 10 및 Windows Server 2019용 STIG (보안 기술 구현 가이드) 벤치마크를 지원합니다.
참고
벤치마크는 현재 GPO(그룹 정책 개체) 구성만 지원하며 Intune(Microsoft Configuration Manager)은 지원하지 않습니다.
팁
Microsoft Defender 취약성 관리의 모든 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? 무료 평가판에 등록하는 방법을 알아보세요.
참고
WINDOWS Server 2012 R2에서 DFSS(Dynamic Fair Share Scheduling)를 사용하도록 설정한 경우 보안 기준 평가가 지원되지 않습니다.
보안 기준 평가 시작
Microsoft Defender 포털에서 취약성 관리>기준 평가로 이동합니다.
위쪽의 프로필 탭을 선택한 다음 프로필 만들기 단추를 선택합니다.
보안 기준 프로필의 이름과 설명을 입력하고 다음을 선택합니다.
기준 프로필 범위 페이지에서 소프트웨어, 기본 벤치마크(CIS 또는 STIG) 및 규정 준수 수준과 같은 프로필 설정을 설정하고 다음을 선택합니다.
프로필에 포함할 구성을 선택합니다.
조직의 임계값 구성 값을 변경하려면 사용자 지정 을 선택합니다.
다음을 선택하여 기준 프로필에 포함할 디바이스 그룹 및 디바이스 태그를 선택합니다. 프로필은 나중에 이러한 그룹에 추가된 디바이스에 자동으로 적용됩니다.
다음을 선택하여 프로필을 검토합니다.
제출을 선택하여 프로필을 만듭니다.
마지막 페이지에서 프로필 페이지 보기를 선택하여 평가 결과를 확인합니다.
참고
다양한 사용자 지정을 사용하여 동일한 운영 체제에 대해 여러 프로필을 만들 수 있습니다.
구성을 사용자 지정하면 아이콘이 사용자 지정되었으며 더 이상 권장 값을 사용하지 않음을 나타내기 위해 아이콘이 옆에 표시됩니다. 다시 설정 단추를 선택하여 권장 값으로 되돌립니다.
알아야 할 유용한 아이콘:
- 이 구성은 이전에 사용자 지정되었습니다. 사용자 지정을 선택하면 새 프로필을 만들 때 선택할 수 있는 변형이 표시됩니다.
- 이 구성은 사용자 지정되었으며 기본값을 사용하지 않습니다.
보안 기준 평가 개요
보안 기준 평가 개요 페이지에서 디바이스 준수, 프로필 준수, 상위 실패 디바이스 및 잘못 구성된 상위 디바이스를 볼 수 있습니다.
보안 기준 프로필 평가 결과 검토
프로필 페이지에서 프로필을 선택하여 추가 정보가 포함된 플라이아웃을 엽니다.
프로필 페이지 열기를 선택합니다. 프로필 페이지에는 두 개의 탭 구성 및 디바이스 가 포함되어 있습니다.
구성별 보기
구성 탭에서 구성 목록을 검토하고 보고된 준수 상태를 평가할 수 있습니다.
목록에서 구성을 선택하면 권장 값(규정을 준수하는 것으로 간주될 디바이스의 예상 값 범위) 및 현재 디바이스 설정을 확인하는 데 사용되는 원본을 포함하여 정책 설정에 대한 세부 정보가 포함된 플라이아웃이 표시됩니다.
디바이스 탭에는 해당되는 모든 디바이스의 목록과 이 특정 구성에 대한 준수 상태가 표시됩니다. 각 디바이스에 대해 검색된 현재 값을 사용하여 호환되거나 비준수인 이유를 확인할 수 있습니다.
디바이스별 보기
기본 디바이스 탭에서 디바이스 목록을 검토하고 보고된 준수 상태를 평가할 수 있습니다.
목록에서 디바이스를 선택하면 추가 세부 정보가 포함된 플라이아웃이 표시됩니다.
구성 탭을 선택하여 모든 프로필 구성 에 대해 이 특정 디바이스의 준수를 확인합니다.
디바이스 쪽 패널 맨 위에서 디바이스 페이지 열기 를 선택하여 디바이스 인벤토리의 디바이스 페이지로 이동합니다. 디바이스 페이지에는 디바이스 준수에 대한 세부적인 가시성을 제공하는 기준 준수 탭이 표시됩니다.
목록에서 구성을 선택하면 이 디바이스의 정책 설정에 대한 규정 준수 세부 정보가 포함된 플라이아웃이 표시됩니다.
예외 만들기 및 관리
특정 디바이스에서 특정 구성을 평가하지 않으려는 경우가 있을 수 있습니다. 예를 들어 디바이스가 타사 제어 하에 있거나 대체 완화가 이미 있을 수 있습니다. 이러한 상황에서는 예외를 추가하여 디바이스의 특정 구성 평가를 제외할 수 있습니다.
예외에 포함된 디바이스는 기준 프로필에서 지정된 구성에 대해 평가되지 않습니다. 즉, 조직의 메트릭 및 점수에 영향을 주지 않으며 조직에 규정 준수에 대한 명확한 보기를 제공하는 데 도움이 될 수 있습니다.
예외를 보려면 다음을 수행합니다.
- Microsoft Defender 포털에서 취약성 관리>기준 평가로 이동합니다.
- 맨 위에 있는 예외 탭 선택
새 예외를 추가하려면 다음을 수행합니다.
예외 탭에서 만들기 단추를 선택합니다.
근거 및 기간을 포함하여 요청된 세부 정보를 입력합니다.
다음을 선택합니다.
구성 범위 페이지에서 소프트웨어, 기본 벤치마크 및 규정 준수 수준을 선택하고 다음을 선택합니다.
예외에 추가할 구성을 선택합니다.
다음을 선택하여 예외에 포함할 디바이스를 선택합니다. 예외는 디바이스에 자동으로 적용됩니다.
다음을 선택하여 예외를 검토합니다.
제출을 선택하여 예외를 만듭니다.
마지막 페이지에서 모든 예외 보기를 선택하여 예외 페이지로 돌아갑니다.
예외 페이지에서 예외를 선택하여 상태를 확인하거나 예외를 편집하거나 삭제할 수 있는 플라이아웃 창을 엽니다.
고급 헌팅 사용
다음 표에서 고급 헌팅 쿼리를 실행하여 조직의 보안 기준에 대한 가시성을 얻을 수 있습니다.
- DeviceBaselineComplianceProfiles: 만든 프로필에 대한 세부 정보를 제공합니다.
- DeviceBaselineComplianceAssessment: 디바이스 준수 관련 정보입니다.
- DeviceBaselineComplianceAssessmentKB: CIS 및 STIG 벤치마크에 대한 일반 설정(디바이스와 관련이 없음).