Microsoft Defender XDR에서 자동 공격 중단 기능 구성
Microsoft Defender XDR에는 정교하고 영향력이 큰 공격으로부터 환경을 보호할 수 있는 강력한 자동화된 공격 중단 기능이 포함되어 있습니다.
이 문서에서는 다음 단계를 사용하여 Microsoft Defender XDR 에서 자동 공격 중단 기능을 구성하는 방법을 설명합니다.
그런 다음, 모든 설정이 완료되면 인시던트 및 알림 센터에서 포함 작업을 보고 관리할 수 있습니다. 필요한 경우 설정을 변경할 수 있습니다.
Microsoft Defender XDR의 자동 공격 중단을 위한 필수 구성 요소
요구 사항 | 세부 정보 |
---|---|
구독 요구 사항 | 다음 구독 중 하나:
|
배포 요구 사항 |
|
권한 | 자동 공격 중단 기능을 구성하려면 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에 할당된 다음 역할 중 하나가 있어야 합니다.
|
엔드포인트용 Microsoft Defender 필수 구성 요소
최소 센스 클라이언트 버전(MDE 클라이언트)
사용자 포함 작업이 작동하는 데 필요한 최소 센스 에이전트 버전은 v10.8470입니다. 다음 PowerShell 명령을 실행하여 디바이스에서 Sense 에이전트 버전을 식별할 수 있습니다.
Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection' -Name "InstallLocation"
조직 디바이스에 대한 자동화 설정
디바이스 그룹 정책에 대해 구성된 자동화 수준을 검토하고, wWhether 자동화된 조사를 실행하고, 수정 작업이 자동으로 수행되는지 또는 승인 후에만 수행되는지 여부는 특정 설정에 따라 달라집니다. 다음 절차를 수행하려면 전역 관리자 또는 보안 관리자여야 합니다.
Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
사용 권한 아래의 >설정>엔드포인트디바이스 그룹으로 이동합니다.
디바이스 그룹 정책을 검토합니다. Automation 수준 열을 확인합니다. 전체 - 위협을 자동으로 수정하는 것이 좋습니다. 원하는 자동화 수준을 얻으려면 디바이스 그룹을 만들거나 편집해야 할 수 있습니다. 자동화된 포함에서 디바이스 그룹을 제외하려면 자동화 수준을 자동화된 응답 없음으로 설정합니다. 이는 권장되지 않으며 제한된 수의 디바이스에 대해서만 수행해야 합니다.
디바이스 검색 구성
디바이스 검색 설정은 최소한 "표준 검색"으로 활성화되어야 합니다. 디바이스 검색 설정에서 디바이스 검색을 구성하는 방법을 알아봅니다.
참고
공격 중단은 디바이스의 Microsoft Defender 바이러스 백신 운영 상태와 무관하게 디바이스에서 작동할 수 있습니다. 작동 상태는 활성, 수동 또는 EDR 블록 모드일 수 있습니다.
Microsoft Defender for Identity 필수 구성 요소
도메인 컨트롤러에서 감사 설정
Defender for Identity 센서가 배포된 도메인 컨트롤러에서 필요한 감사 이벤트가 구성되도록 Windows 이벤트 로그에 대한 감사 정책 구성 에서 도메인 컨트롤러에서 감사를 설정하는 방법을 알아봅니다.
작업 계정 유효성 검사
Defender for Identity를 사용하면 ID가 손상된 경우 온-프레미스 Active Directory 계정을 대상으로 하는 수정 작업을 수행할 수 있습니다. 이러한 작업을 수행하려면 Defender for Identity에 필요한 권한이 있어야 합니다. 기본적으로 Defender for Identity 센서는 도메인 컨트롤러의 LocalSystem 계정을 가장하고 작업을 수행합니다. 기본값을 변경할 수 있으므로 Defender for Identity에 필요한 권한이 있거나 기본 LocalSystem 계정을 사용하는지 확인합니다.
Microsoft Defender for Identity 작업 계정 구성에서 작업 계정에 대한 자세한 정보를 찾을 수 있습니다.
Defender for Identity 센서는 Active Directory 계정을 해제할 도메인 컨트롤러에 배포해야 합니다.
참고
사용자를 활성화하거나 차단하는 자동화가 있는 경우 자동화가 중단을 방해할 수 있는지 확인합니다. 예를 들어 모든 활성 직원이 계정을 사용하도록 설정했는지 정기적으로 확인하고 적용하는 자동화가 있는 경우 공격이 감지되는 동안 공격 중단으로 인해 비활성화된 계정을 의도치 않게 활성화할 수 있습니다.
Microsoft Defender for Cloud Apps 필수 구성 요소
Microsoft Office 365 커넥터
Microsoft Defender for Cloud Apps는 커넥터를 통해 Microsoft Office 365에 연결해야 합니다. Defender for Cloud Apps를 연결하려면 Microsoft 365를 Microsoft Defender for Cloud Apps에 연결을 참조하세요.
앱 거버넌스
앱 거버넌스를 켜야 합니다. 켜려면 앱 거버넌스 설명서를 참조하세요.
Office 365용 Microsoft Defender 필수 구성 요소
사서함 위치
사서함은 Exchange Online에서 호스트되어야 합니다.
사서함 감사 로깅
다음 사서함 이벤트를 최소한으로 감사해야 합니다.
- MailItemsAccessed
- UpdateInboxRules
- MoveToDeletedItems
- SoftDelete
- HardDelete
사서함 감사 관리를 검토하여 사서함 감사 관리에 대해 알아봅니다.
Safelinks 정책이 있어야 합니다.
사용자에 대한 자동 응답 제외 검토 또는 변경
자동 공격 중단을 사용하면 자동화된 포함 작업에서 특정 사용자 계정을 제외할 수 있습니다. 제외된 사용자는 공격 중단으로 트리거되는 자동화된 작업의 영향을 받지 않습니다. 다음 절차를 수행하려면 전역 관리자 또는 보안 관리자여야 합니다.
Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.
설정>Microsoft Defender XDR>ID 자동화된 응답으로 이동합니다. 사용자 목록을 확인하여 계정을 제외합니다.
새 사용자 계정을 제외하려면 사용자 제외 추가를 선택합니다.
사용자 계정을 제외하는 것은 권장되지 않으며, 이 목록에 추가된 계정은 BEC(비즈니스 메일 손상) 및 사람이 운영하는 랜섬웨어와 같이 지원되는 모든 공격 유형에서 일시 중단되지 않습니다.
다음 단계
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.