공격 표면 감소는 디바이스 및 네트워크에서 위험하거나 불필요한 동작을 제거하여 공격자가 organization 손상시킬 기회를 줄이는 엔드포인트용 Microsoft Defender 기능 집합입니다. 공격 표면은 organization 사이버 위협에 취약한 모든 장소입니다. 이러한 표면을 강화하면 공격이 처음부터 발생하지 않도록 방지할 수 있습니다.
이러한 기능은 위험한 소프트웨어 동작을 차단하고, 악성 사이트에 대한 연결을 방지하며, 무단 액세스 또는 반출로부터 데이터를 보호합니다. 함께 엔드포인트용 Defender의 검색 및 응답 기능을 보완하는 계층화된 방어를 형성합니다.
공격 표면 감소 기능
엔드포인트용 Defender의 공격 표면 감소에는 다음 기능이 포함됩니다.
ASR(공격 표면 감소) 규칙은 파일을 다운로드하는 실행 파일을 시작하거나, 난독 처리된 스크립트를 실행하거나, 앱이 일상적인 작업 중에 일반적으로 시작하지 않는 작업을 수행하는 등 공격자가 악용하는 위험한 소프트웨어 동작을 제한합니다. 자세한 내용은 ASR(공격 표면 감소) 규칙 개요를 참조하세요.
제어된 폴더 액세스는 악성 앱 및 랜섬웨어와 같은 위협으로부터 중요한 데이터를 보호합니다. 신뢰할 수 있는 알려진 앱 목록에 대해 앱을 확인하고 신뢰할 수 없는 앱이 보호된 폴더의 파일을 수정하지 못하도록 방지합니다. 자세한 내용은 제어된 폴더 액세스를 사용하여 중요한 폴더 보호를 참조하세요.
익스플로잇 보호 는 운영 체제 프로세스 및 앱에 익스플로잇 완화 기술을 자동으로 적용합니다. EMET(고급 완화 환경 도구 키트)에서 사용할 수 있는 보호를 기반으로 하며 보고 및 경고를 위해 엔드포인트용 Defender와 통합됩니다. 자세한 내용은 악용으로부터 디바이스 보호를 참조하세요.
네트워크 보호 는 악의적이거나 의심스러운 도메인 및 IP 주소에 대한 연결을 방지합니다. 평판이 낮은 원본에 연결하려는 모든 아웃바운드 HTTP(S) 트래픽을 차단하도록 Microsoft Defender SmartScreen 보호를 확장합니다. 자세한 내용은 네트워크 보호를 참조하세요.
웹 보호 는 웹 위협으로부터 디바이스를 보호하고 원치 않는 콘텐츠를 규제하는 데 도움이 됩니다. 웹 보호에는 웹 위협 방지, 웹 콘텐츠 필터링 및 사용자 지정 표시기가 포함됩니다. 자세한 내용은 웹 보호를 참조하세요.
웹 콘텐츠 필터링은 콘텐츠 범주에 따라 웹 사이트에 대한 액세스를 추적하고 규제하므로 규정 준수 규정 또는 조직 정책을 위반하는 범주를 차단할 수 있습니다. 자세한 내용은 웹 콘텐츠 필터링을 참조하세요.
디바이스 제어 는 사용자가 컴퓨터에 USB 드라이브, 프린터 및 Bluetooth 디바이스와 같은 주변 장치를 설치하고 사용할 수 있는지 여부를 결정합니다. 디바이스 제어는 이동식 미디어에서 데이터 손실 및 맬웨어를 방지하는 데 도움이 됩니다. 자세한 내용은 엔드포인트용 Microsoft Defender 디바이스 제어를 참조하세요.
네트워크 방화벽 보고는 Windows 방화벽과 통합되어 Microsoft Defender 포털에서 방화벽 이벤트에 대한 중앙 집중식 가시성을 제공합니다. 자세한 내용은 호스트 방화벽 보고를 참조하세요.
이러한 기능의 가용성은 다음 표에 요약되어 있습니다.
| 기능 | Windows | macOS | Linux |
|---|---|---|---|
| ASR 규칙 | Y | N | N |
| 제어된 폴더 액세스 | Y | N | N |
| 악용 방지 | Y | N | N |
| 네트워크 보호 | Y | Y | Y* |
| 웹 보호 | Y | Y | Y* |
| 웹 컨텐츠 필터링 | Y | Y | Y |
| 디바이스 제어 | Y | Y | N |
| 방화벽 보고 | Y | N | N |
* 현재 미리 보기 상태입니다.
관련 Windows 보안 기능
다음 Windows 보안 기능은 엔드포인트용 Defender의 공격 표면 감소를 보완하지만 별도로 구성되고 관리됩니다.
- Microsoft Defender Application Guard Microsoft Edge에 대한 하드웨어 기반 격리를 제공하여 컨테이너에 신뢰할 수 없는 사이트를 열어 organization 보호합니다. 자세한 내용은 Microsoft Defender Application Guard 개요를 참조하세요.
- WDAC(Windows Defender Application Control) 는 신뢰할 수 있는 애플리케이션만 디바이스에서 실행되도록 합니다. 자세한 내용은 Windows용 애플리케이션 제어를 참조하세요.
- Windows 방화벽 은 디바이스에서 인바운드 및 아웃바운드 네트워크 트래픽을 제어합니다. 자세한 내용은 고급 보안이 포함된 Windows 방화벽을 참조하세요.
엔드포인트용 Defender에 공격 표면 감소가 적합한 방법
공격 표면 감소는 발생 후 위협을 감지하고 대응하는 다른 엔드포인트용 Defender 기능을 보완합니다. 차세대 보호 및 엔드포인트 검색 및 대응은 활성 위협을 식별하고 수정하는 데 중점을 두지만 공격 표면 감소는 위협이 발판을 마련하는 것을 방지합니다.
각 기능은 공격 표면의 다른 부분을 해결합니다.
- 위험한 소프트웨어 동작: ASR 규칙은 애플리케이션 및 스크립트가 작동하는 방식을 제한하여 공격자가 맬웨어를 제공하거나 자격 증명을 도용하는 데 사용하는 일반적인 기술을 차단합니다.
- 네트워크 연결: 네트워크 보호 및 웹 보호는 콘텐츠가 디바이스에 도달하기 전에 알려진 악의적이거나 부적절한 사이트에 대한 액세스를 차단합니다.
- 데이터 및 파일 액세스: 제어된 폴더 액세스 및 중요한 파일에 액세스하거나 수정할 수 있는 애플리케이션 및 하드웨어의 디바이스 제어 제한입니다.
- 애플리케이션 취약성: Exploit Protection은 공격자가 운영 체제 프로세스 및 애플리케이션의 취약성을 악용하기 어렵게 만드는 완화를 적용합니다.
감사 모드
감사 모드를 사용하면 생산성에 영향을 주지 않고도 공격 표면 감소 기능이 환경에 미치는 영향을 평가할 수 있습니다. 다음 기능은 감사 모드를 지원합니다.
감사 모드에서는 기능이 앱, 스크립트 또는 연결을 차단하지 않습니다. 대신 Windows 이벤트 로그는 기능이 활성 상태인 것처럼 이벤트를 기록합니다. 이벤트 로그를 검토하고 Microsoft Defender 포털에서 고급 헌팅을 사용하여 각 기능이 기간 업무 애플리케이션에 어떤 영향을 미치는지 이해할 수 있습니다. Windows 이벤트 뷰어 데이터에 대한 자세한 내용은 Windows 이벤트 뷰어 공격 표면 감소 이벤트 보기를 참조하세요.
관리 도구
여러 관리 도구를 사용하여 공격 표면 감소 기능을 구성할 수 있습니다. 일반적으로 사용되는 도구는 다음과 같습니다.
- Microsoft Intune
- Microsoft Configuration Manager
- 그룹 정책
- PowerShell cmdlets
올바른 도구는 organization 인프라 및 관리 기본 설정에 따라 달라집니다. 자세한 구성 지침은 공격 표면 감소 기능 섹션에 연결된 개별 기능 문서를 참조하세요.