Microsoft Defender XDR에서 기만 기능 관리
적용 대상:
- Microsoft Defender XDR
- 엔드포인트용 Microsoft Defender
중요
이 문서의 일부 정보는 상업적으로 릴리스되기 전에 실질적으로 수정될 수 있는 사전 출시된 제품/서비스와 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
Microsoft Defender XDR은 기본 제공 기만 기능을 통해 사람이 운영하는 횡적 이동에 대한 높은 신뢰도 감지를 제공하여 공격이 조직의 중요한 자산에 도달하지 못하도록 방지합니다. BEC(비즈니스 메일 손상),랜섬웨어, 조직 위반 및 국가 국가 공격과 같은 다양한 공격은 종종 횡적 이동을 사용하며 초기 단계에서 높은 신뢰도로 감지하기 어려울 수 있습니다. Defender XDR의 기만 기술은 엔드포인트용 Microsoft Defender 신호와 상관 관계가 있는 기만 신호를 기반으로 높은 신뢰도 감지를 제공합니다.
기만 기능은 본격적인 미끼 계정, 호스트 및 미끼를 자동으로 생성합니다. 생성된 가짜 자산은 특정 클라이언트에 자동으로 배포됩니다. 공격자가 미끼 또는 미끼와 상호 작용할 때 기만 기능은 높은 신뢰도 경고를 발생시켜 보안 팀의 조사에 도움을 주고 공격자의 방법과 전략을 관찰할 수 있도록 합니다. 기만 기능에 의해 발생하는 모든 경고는 인시던트와 자동으로 상호 연결되며 Microsoft Defender XDR에 완전히 통합됩니다. 또한 디셉션 기술은 엔드포인트용 Defender에 통합되어 배포 요구 사항을 최소화합니다.
기만 기능에 대한 개요는 다음 비디오를 시청하세요.
필수 구성 요소
다음 표에는 Microsoft Defender XDR에서 기만 기능을 사용하도록 설정하기 위한 요구 사항이 나와 있습니다.
요구 사항 | 세부 정보 |
---|---|
구독 요구 사항 | 다음 구독 중 하나: - Microsoft 365 E5 - Microsoft 보안 E5 - 엔드포인트용 Microsoft Defender 플랜 2 |
배포 요구 사항 | 요구 사항: - 엔드포인트용 Defender는 엔드포인트용 Defender의 기본 EDR 솔루션 - 자동 조사 및 응답 기능이 구성 됨 - 디바이스가 Microsoft Entra 에 조인되거나 하이브리드로 조인됨 - 디바이스 에서 PowerShell이 사용하도록 설정됨 - 기만 기능은 Windows 10 RS5 이상에서 작동하는 클라이언트를 미리 보기로 다룹니다. |
권한 | 기만 기능을 구성하려면 Microsoft Entra 관리 센터 또는 Microsoft 365 관리 센터에서 할당된 다음 역할 중 하나가 있어야 합니다. - 전역 관리자 - 보안 관리자 - 포털 시스템 설정 관리 |
참고
보안을 강화하려면 권한이 적은 역할을 사용하는 것이 좋습니다. 권한이 많은 전역 관리자 역할은 다른 역할이 적합하지 않은 경우에만 비상 상황에서만 사용해야 합니다.
기만 기술이란?
기만 기술은 보안 팀에 잠재적인 공격에 대한 즉각적인 경고를 제공하여 실시간으로 대응할 수 있도록 하는 보안 조치입니다. 기만 기술은 네트워크에 속하는 것처럼 보이는 디바이스, 사용자 및 호스트와 같은 가짜 자산을 만듭니다.
기만 기능으로 설정된 가짜 네트워크 자산과 상호 작용하는 공격자는 보안 팀이 잠재적인 공격이 조직을 손상시키는 것을 방지하고 공격자의 행동을 모니터링하여 수비수가 환경의 보안을 더욱 개선할 수 있도록 도울 수 있습니다.
Microsoft Defender XDR 기만 기능은 어떻게 작동하나요?
Microsoft Defender 포털의 기본 제공 기만 기능은 규칙을 사용하여 환경과 일치하는 미끼와 미끼를 만듭니다. 이 기능은 기계 학습을 적용하여 네트워크에 맞게 조정된 미끼와 미끼를 제안합니다. 또한 기만 기능을 사용하여 수동으로 미끼와 미끼를 만들 수 있습니다. 그런 다음 이러한 미끼와 미끼는 네트워크에 자동으로 배포되고 PowerShell을 사용하여 지정하는 디바이스에 심습니다.
그림 1. 기만 기술은 인간이 운영하는 횡적 이동에 대한 높은 신뢰도 감지를 통해 공격자가 가짜 호스트 또는 미끼와 상호 작용할 때 보안 팀에 경고합니다.
디코이는 네트워크에 속하는 것처럼 보이는 가짜 디바이스 및 계정입니다. 미끼는 특정 장치 또는 계정에 심어진 가짜 콘텐츠이며 공격자를 유치하는 데 사용됩니다. 콘텐츠는 문서, 구성 파일, 캐시된 자격 증명 또는 공격자가 읽거나 훔치거나 상호 작용할 수 있는 모든 콘텐츠일 수 있습니다. 미끼는 중요한 회사 정보, 설정 또는 자격 증명을 모방합니다.
속임수 기능에서 사용할 수있는 미끼의 두 가지 유형이 있습니다 :
- 기본 미끼 – 심은 문서, 링크 파일 등 고객 환경과의 상호 작용이 없거나 최소화됩니다.
- 고급 미끼 – 고객 환경에 응답하거나 상호 작용하는 캐시된 자격 증명 및 가로채기와 같은 심어진 콘텐츠입니다. 예를 들어 공격자는 로그인에 사용할 수 있는 Active Directory 쿼리에 대한 응답을 삽입한 디코이 자격 증명과 상호 작용할 수 있습니다.
참고
미끼는 기만 규칙의 범위에 정의된 Windows 클라이언트에만 심어져 있습니다. 그러나 엔드포인트 온보딩 클라이언트용 Defender에서 디코이 호스트 또는 계정을 사용하려고 시도하면 기만 경고가 발생합니다. 엔드포인트용 Microsoft Defender에 온보딩에서 클라이언트를 온보딩하는 방법을 알아봅니다. Windows Server 2016 이상에 미끼를 심는 것은 향후 개발을 위해 계획되어 있습니다.
디코이, 미끼 및 범위를 기만 규칙에서 지정할 수 있습니다. 기만 규칙을 만들고 수정하는 방법에 대한 자세한 내용은 기만 기능 구성 을 참조하세요.
공격자가 엔드포인트 온보딩 클라이언트용 Defender에서 디코이 또는 루어를 사용하는 경우, 기만 기능은 클라이언트에 디셉션이 배포되었는지 여부에 관계없이 가능한 공격자 활동을 나타내는 경고를 트리거합니다.
기만으로 활성화된 인시던트 및 경고 식별
기만 검색을 기반으로 하는 경고는 타이틀에 기만을 포함합니다. 경고 타이틀의 몇 가지 예는 다음과 같습니다.
- 기만적인 사용자 계정으로 로그인 시도
- 기만적인 호스트에 대한 연결 시도
경고 세부 정보에는 다음이 포함됩니다.
- 디셉션 태그
- 경고가 시작된 디코이 디바이스 또는 사용자 계정
- 로그인 시도 또는 횡적 이동 시도와 같은 공격 유형
그림 2. 기만 관련 경고의 세부 정보
다음 단계
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.