팁
이 문서의 동반자로서 보안 분석기 설정 가이드 를 참조하여 모범 사례를 검토하고 방어를 강화하고, 규정 준수를 개선하고, 자신 있게 사이버 보안 환경을 탐색하는 방법을 알아봅니다. 사용자 환경에 기반한 사용자 지정 환경의 경우 Microsoft 365 관리 센터 Security Analyzer 자동화 설치 가이드에 액세스할 수 있습니다.
organization 공격 화면에는 공격자가 액세스할 수 있는 모든 위치가 포함됩니다. 자세한 내용은 엔드포인트용 Microsoft Defender 공격 표면 감소를 참조하세요.
Microsoft Defender 바이러스 백신의 ASR(공격 표면 감소) 규칙은 공격자가 일반적으로 맬웨어를 통해 악용하는 Windows 디바이스에서 위험한 소프트웨어 동작을 대상으로 합니다. 예시:
- 파일을 다운로드하거나 실행하려는 실행 파일 및 스크립트를 시작합니다.
- 난독 처리를 실행하거나 신뢰할 수 없는 스크립트를 실행합니다.
- 잠재적으로 취약한 애플리케이션(예: Office 앱)에서 자식 프로세스를 만듭니다.
- 코드를 다른 프로세스에 삽입합니다.
합법적인 앱도 이러한 작업을 수행할 수 있지만 공격자는 일반적으로 동일한 방식으로 작동하는 맬웨어를 사용합니다.
ASR 규칙을 계획, 테스트, 구현 및 모니터링하려면 다음 일련의 문서를 참조하세요.
팁
다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.
ASR 규칙
ASR 규칙은 다음 범주로 그룹화됩니다.
Standard 보호 규칙은 상당한 보안 이점을 제공하므로 광범위한 테스트 없이 차단 모드에서 사용하도록 설정하는 것이 좋습니다. 일반적으로 이러한 규칙은 사용자에게 최소 또는 전혀 눈에 띄는 영향을 미치지 않지만 다음과 같은 예외가 있습니다.
- WMI 이벤트 구독을 통한 지속성 차단: Microsoft Configuration Manager 사용하여 디바이스를 관리하는 경우 사용 가능한 다른 배포 방법(예: 그룹 정책 또는 PowerShell)을 사용하여 감사 모드에서 광범위한 테스트 없이 디바이스에서 차단 또는 경고 모드에서 이 규칙을 활성화하지 마세요. 구성 관리자 클라이언트는 WMI에 크게 의존합니다.
- Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단: LSA(로컬 보안 기관) 보호를 사용하도록 설정한 경우( Credential Guard와 함께 권장) 이 규칙은 중복됩니다.
다른 ASR 규칙은 중요한 보호를 제공하지만 공격 표면 감소 규칙 배포 가이드에 설명된 대로 차단 또는 경고 모드에서 활성화하기 전에 감사 모드에서 테스트해야 합니다.
사용 가능한 ASR 규칙, 해당 GUID 값 및 해당 범주는 다음 표에 설명되어 있습니다.
규칙 이름의 링크는 ASR 규칙 참조 문서의 자세한 규칙 설명으로 이동합니다.
Microsoft Intune 및 Microsoft Configuration Manager 엔드포인트 보안 정책을 제외한 다른 모든 ASR 규칙 구성 메서드는 GUID 값으로 규칙을 식별합니다.
Microsoft Intune 및 Microsoft Configuration Manager 간의 ASR 규칙 이름 차이는 표에 설명되어 있습니다.
팁
Microsoft Configuration Manager 이전에 다른 이름으로 알려졌습니다.
- Microsoft System Center Configuration Manager: 버전 1511~1906(2015년 11월~2019년 7월)
- Microsoft 엔드포인트 Configuration Manager: 버전 1910~2211(2019년 12월~2022년 12월)
- Microsoft Configuration Manager: 버전 2303(2023년 4월) 이상
지원 및 업데이트 정보는 구성 관리자 대한 업데이트 및 서비스를 참조하세요.
| Microsoft Intune 규칙 이름 | Microsoft Configuration Manager 규칙 이름 | GUID | 범주 |
|---|---|---|---|
| Standard 보호 규칙 | |||
| 악용된 취약한 서명된 드라이버의 남용 차단(디바이스) | 해당 없음 | 56a863a9-875e-4185-98a7-b882c64b5ce5 | 기타 |
| Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단 | 동일한 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 | 횡적 이동 & 자격 증명 도난 |
| WMI 이벤트 구독을 통한 지속성 차단 | 해당 없음 | e6db77e5-3df2-4cf1-b95a-636979351e5b | 횡적 이동 & 자격 증명 도난 |
| 기타 ASR 규칙 | |||
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | 해당 없음 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c | 생산성 앱 |
| 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 | Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 | d4f940ab-401b-4efc-aadc-ad5f3c50688a | 생산성 앱 |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | 동일한 | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 | 전자 메일 |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | 실행 파일이 보급률, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | 01443614-cd74-433a-b99e-2ecdc07bfc25 | 다형성 위협 |
| 잠재적으로 난독 처리된 스크립트의 실행 차단 | 동일한 | 5beb7efe-fd9a-4556-801d-275e5ffc04cc | 스크립트 |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | 동일한 | d3e037e1-3eb8-44c8-a917-57927947596d | 스크립트 |
| Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 | 동일한 | 3b576869-a4ec-4529-8536-b80a7769e899 | 생산성 앱 |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | 동일한 | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 | 생산성 앱 |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | 해당 없음 | 26190899-1602-49e8-8b27-eb1d0a1ce869 | Email, 생산성 앱 |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | 해당 없음 | d1e49aac-8f56-4280-b9ba-993a6d77406c | 횡적 이동 & 자격 증명 도난 |
| 안전 모드에서 컴퓨터 다시 부팅 차단 | 해당 없음 | 33ddedf1-c6e0-47cb-833e-de6133960387 | 기타 |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 동일한 | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 | 다형성 위협 |
| 복사되거나 가장된 시스템 도구의 사용 차단 | 해당 없음 | c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb | 기타 |
| 서버에 대한 Webshell 만들기 차단 | 해당 없음 | a8f5898e-1dc8-49a9-9878-85004b8a61e6 | 기타 |
| Office 매크로에서 Win32 API 호출 차단 | 동일한 | 92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b | 생산성 앱 |
| 랜섬웨어에 대한 고급 보호 사용 | 동일한 | c1db55ab-c21a-4637-bb3f-a12568109d35 | 다형성 위협 |
ASR 규칙에 대한 요구 사항
ASR 규칙에는 Windows 디바이스의 기본 바이러스 백신 앱으로 Microsoft Defender 바이러스 백신이 필요합니다.
Microsoft Defender 바이러스 백신을 활성화하고 활성 모드로 설정해야 합니다. 특히 Microsoft Defender 바이러스 백신은 다음 모드에 있을 수 없습니다.
- 수동
- 블록 모드에서 EDR(엔드포인트 검색 및 응답)이 있는 수동 모드
- 제한된 LPS(정기 검사)
- 해제
Microsoft Defender 바이러스 백신의 모드에 대한 자세한 내용은 Microsoft Defender 바이러스 백신이 엔드포인트용 Defender 기능에 미치는 영향을 참조하세요.
Microsoft Defender 바이러스 백신의 실시간 보호가 설정되어야 합니다.
클라우드 제공 보호 (Microsoft Advanced Protection Service 또는 MAPS라고도 함)는 ASR 규칙 기능에 매우 중요합니다. 클라우드 보호는 표준 실시간 보호를 향상시키며 맬웨어의 위반을 방지하는 중요한 구성 요소입니다. 일부 ASR 규칙에는 특히 엔드포인트용 Defender 및 사용자 알림 팝업의 EDR(엔드포인트 검색 및 응답) 경고에 대한 클라우드 배달 보호 요구 사항이 있습니다. 자세한 내용은 ASR 규칙 작업의 경고 및 알림을 참조하세요.
같은 이유로 환경은 Microsoft Defender 바이러스 백신 클라우드 서비스에 대한 연결을 허용해야 합니다.
Microsoft Defender 바이러스 백신 구성 요소 버전은 현재 사용 가능한 버전보다 이전 버전이 두 개 이상이어야 합니다.
- 플랫폼 업데이트 버전: 매월 업데이트됩니다.
- MEngine 버전: 매월 업데이트됩니다.
- 보안 인텔리전스: Microsoft는 최신 위협을 해결하고 검색 논리를 구체화하기 위해 보안 인텔리전스(정의 및 서명이라고도 함)를 지속적으로 업데이트합니다.
Microsoft Defender 바이러스 백신 버전을 최신 상태로 유지하면 ASR 규칙 가양성을 줄이고 Microsoft Defender 바이러스 백신 검색 기능을 개선하는 데 도움이 됩니다. 현재 버전 및 다양한 Microsoft Defender 바이러스 백신 구성 요소를 업데이트하는 방법에 대한 자세한 내용은 바이러스 백신 플랫폼 지원 Microsoft Defender 참조하세요.
ASR 규칙에는 Microsoft 365 E5 필요하지 않지만 다음과 같은 고급 관리 기능을 활용하기 위해 E5 또는 동등한 구독의 보안 기능이 권장됩니다.
- 엔드포인트용 Defender의 모니터링, 분석 및 워크플로.
- Microsoft Defender XDR 포털의 보고 및 구성 기능.
고급 관리 기능은 다른 라이선스(예: Windows Professional 또는 Microsoft 365 E3)에서 사용할 수 없습니다. 그러나 각 디바이스의 Windows 이벤트 뷰어 생성된 ASR 규칙 이벤트(예: Windows 이벤트 전달)를 기반으로 고유한 모니터링 및 보고 도구를 개발할 수 있습니다.
Windows 라이선스에 대한 자세한 내용은 Windows 라이선싱 및 Microsoft 볼륨 라이선싱 참조 가이드를 참조하세요.
ASR 규칙에 지원되는 운영 체제
ASR 규칙은 Microsoft Defender 바이러스 백신(예: Windows 11 Home)을 포함하는 모든 Windows 버전에 있는 Microsoft Defender 바이러스 백신 기능입니다. PowerShell 또는 그룹 정책 사용하여 디바이스에서 로컬로 ASR 규칙을 구성할 수 있습니다.
엔드포인트용 Microsoft Defender ASR 규칙에 대한 중앙 집중식 관리, 보고 및 경고는 다음 버전의 Windows에서 사용할 수 있습니다.
- Windows 10 이상의 Pro 및 Enterprise 버전.
- Windows Server 2012 R2 이상
- Azure 로컬 (이전의 Azure Stack HCI) 버전 23H2 이상.
더 많은 운영 체제 지원 정보는 ASR 규칙에 대한 운영 체제 지원을 참조하세요.
ASR 규칙 모드
ASR 규칙은 다음 표에 설명된 대로 다음 모드 중 하나일 수 있습니다.
| 규칙 모드 | 코드 | 설명 |
|---|---|---|
|
끄기 또는 Disabled |
0 | ASR 규칙은 명시적으로 사용하지 않도록 설정됩니다. 이 값은 동일한 디바이스가 다른 정책에 의해 다른 모드에서 동일한 ASR 규칙을 할당할 때 충돌을 일으킬 수 있습니다. |
|
차단 또는 활성화 |
1 | ASR 규칙은 블록 모드에서 사용하도록 설정됩니다. |
|
감사 또는 감사 모드 |
2 | ASR 규칙은 차단 모드에서처럼 사용하도록 설정되지만 작업을 수행하지는 않습니다. 감사 모드에서 ASR 규칙에 대한 검색은 다음 위치에서 사용할 수 있습니다.
|
| 구성되지 않음 | 5 | ASR 규칙은 명시적으로 사용하도록 설정되지 않습니다. 이 값은 기능적으로 사용 안 함 또는 해제와 동일하지만 규칙 충돌 가능성이 없습니다. |
|
경고 또는 경고 |
6 | ASR 규칙은 차단 모드에서처럼 사용하도록 설정되지만 경고 알림 팝업에서 차단 해제 를 선택하여 24시간 동안 블록을 무시할 수 있습니다. 24시간이 지나면 사용자가 블록을 다시 무시해야 합니다. 경고 모드는 Windows 10 버전 1809(2018년 11월) 이상에서 지원됩니다. 지원되지 않는 버전의 Windows에서 경고 모드의 ASR 규칙은 블록 모드에서 효과적으로 적용됩니다(바이패스는 사용할 수 없음). 경고 모드는 Microsoft Configuration Manager 사용할 수 없습니다. 경고 모드에는 다음과 같은 Microsoft Defender 바이러스 백신 버전 요구 사항이 있습니다.
다음 ASR 규칙은 경고 모드를 지원하지 않습니다. |
Microsoft는 표준 보호 규칙에 대해 차단 모드를 권장하고, 차단 또는 경고 모드에서 활성화하기 전에 다른 ASR 규칙에 대한 감사 모드의 초기 테스트를 권장합니다.
많은 기간 업무 애플리케이션은 제한된 보안 문제로 작성되며 맬웨어와 유사한 방식으로 작동할 수 있습니다. 감사 모드에서 ASR 규칙의 데이터를 모니터링하고 필요한 앱에 대한 제외를 추가하면 생산성을 저하하지 않고 ASR 규칙을 배포할 수 있습니다.
차단 모드에서 ASR 규칙을 사용하도록 설정하기 전에 감사 모드 및 보안 권장 사항에서 해당 효과를 평가합니다. 자세한 내용은 ASR 규칙 테스트를 참조하세요.
ASR 규칙에 대한 배포 및 구성 방법
엔드포인트용 Microsoft Defender ASR 규칙을 지원하지만 디바이스에 ASR 규칙 설정을 배포하는 기본 제공 메서드는 포함하지 않습니다. 대신 별도의 배포 또는 관리 도구를 사용하여 ASR 규칙 정책을 만들고 디바이스에 배포합니다. 모든 배포 메서드가 모든 ASR 규칙을 지원하는 것은 아닙니다. 규칙별 세부 정보는 ASR 규칙에 대한 배포 방법 지원을 참조하세요.
다음 표에서는 사용 가능한 메서드를 요약합니다. 자세한 구성 지침은 ASR(공격 표면 감소) 규칙 및 제외 구성을 참조하세요.
| 방법 | 설명 |
|---|---|
| 엔드포인트 보안 정책 Microsoft Intune | ASR 규칙 정책을 구성하고 디바이스에 배포하는 데 권장되는 방법입니다. Microsoft Intune 계획 1 필요합니다(Microsoft 365 E3 같은 구독에 포함되거나 독립 실행형 추가 기능으로 사용 가능). |
| OMA-URI를 사용하여 사용자 지정 프로필 Microsoft Intune | Open Mobile Alliance – OMA-URI(Uniform Resource) 프로필을 사용하여 Intune ASR 규칙을 구성하는 대체 방법입니다. |
| 정책 CSP를 사용하는 모든 MDM 솔루션 | MDM 솔루션과 함께 CSP(Windows Policy 구성 서비스 공급자) 를 사용합니다. |
| Microsoft Configuration Manager | 자산 및 규정 준수 작업 영역에서 Microsoft Defender 바이러스 백신 정책을 사용합니다. |
| 그룹 정책 | 중앙 집중식 그룹 정책 사용하여 ASR 규칙을 구성하고 도메인에 가입된 디바이스에 배포합니다. 또는 개별 디바이스에서 로컬로 그룹 정책 구성할 수 있습니다. |
| PowerShell | 개별 디바이스에서 로컬로 ASR 규칙을 구성합니다. PowerShell은 모든 ASR 규칙을 지원합니다. |
ASR 규칙에 대한 파일 및 폴더 제외
중요
파일 또는 폴더를 제외하면 ASR 규칙 보호가 심각하게 감소할 수 있습니다. 제외된 파일은 실행할 수 있으며 파일에 대한 보고서나 이벤트는 기록되지 않습니다. ASR 규칙이 검색되지 않아야 하는 파일을 검색하는 경우 감사 모드를 사용하여 규칙을 테스트합니다.
특정 파일 및 폴더는 ASR 규칙에 의해 평가되지 않도록 제외할 수 있습니다. ASR 규칙이 파일 또는 폴더에 악의적인 동작이 포함되어 있다고 판단하더라도 제외된 파일이 실행되지 않도록 차단하지는 않습니다.
다음 메서드를 사용하여 ASR 규칙에서 파일 및 폴더를 제외할 수 있습니다.
Microsoft Defender 바이러스 백신 제외: 모든 ASR 규칙이 이러한 제외를 존중하는 것은 아닙니다. Microsoft Defender 바이러스 백신 제외에 대한 자세한 내용은 Microsoft Defender 바이러스 백신에 대한 사용자 지정 제외 구성을 참조하세요.
팁
모든 ASR 규칙은 Microsoft Defender 바이러스 백신의 프로세스 제외를 적용합니다.
전역 ASR 규칙 제외: 이러한 제외는 모든 ASR 규칙에 적용됩니다. 모든 ASR 규칙 구성 메서드는 전역 ASR 규칙 제외 구성도 지원합니다.
ASR 규칙별 제외: 다른 ASR 규칙에 선택적으로 다른 제외를 할당합니다. 다음 ASR 규칙 구성 메서드만 ASR별 규칙 제외 구성을 지원합니다.
- 그룹 정책(및 해당 레지스트리 설정)
- Microsoft Intune 엔드포인트 보안 정책
IoC(손상 지표) : 대부분의 ASR 규칙은 차단된 파일 및 차단된 인증서에 대해 IoC를 적용합니다. IoC에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 지표 개요를 참조하세요.
ASR 규칙에 대한 다양한 유형의 제외 적용은 다음 표에 요약되어 있습니다.
| 규칙 이름 | MDAV 파일 및 폴더 제외 |
글로벌 ASR을 존중합니다. 제외 |
ASR별 규칙 적용 제외 |
에 대한 IoC를 존중합니다. 파일 |
에 대한 IoC를 존중합니다. 인증서 |
|---|---|---|---|---|---|
| Standard 보호 규칙 | |||||
| 악용된 취약한 서명된 드라이버의 남용 차단(디바이스) | Y | Y | Y | Y | Y |
| Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단 | N | Y | Y | N | N |
| WMI 이벤트 구독을 통한 지속성 차단 | N | Y | Y | N | N |
| 기타 ASR 규칙 | |||||
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | N | Y | Y | Y | Y |
| 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단 | Y | Y | Y | Y | Y |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | Y | Y | Y | Y | Y |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | Y | Y | Y | Y | Y |
| 잠재적으로 난독 처리된 스크립트의 실행 차단 | Y | Y | Y | Y | Y |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | Y | Y | Y | Y | Y |
| Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단 | N | Y | Y | Y | Y |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | N | Y | Y | N | N |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | N | Y | Y | Y | Y |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | N | Y | Y | Y | Y |
| 안전 모드에서 컴퓨터 다시 부팅 차단 | Y | Y | Y | Y | Y |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | Y | Y | Y | Y | Y |
| 복사되거나 가장된 시스템 도구의 사용 차단 | Y | Y | Y | Y | Y |
| 서버에 대한 Webshell 만들기 차단 | Y | Y | Y | Y | Y |
| Office 매크로에서 Win32 API 호출 차단 | Y | Y | Y | Y | N |
| 랜섬웨어에 대한 고급 보호 사용 | Y | Y | Y | Y | Y |
제외를 추가할 때 다음 사항에 유의하세요.
제외 경로는 환경 변수 및 와일드카드를 사용할 수 있습니다. 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 와일드카드 사용을 참조하세요.
팁
사용자 환경 변수를 폴더 및 프로세스 제외에서 와일드카드로 사용하지 마세요. 다음 유형의 환경 변수만 와일드카드로 사용합니다.
- 시스템 환경 변수.
- NT AUTHORITY\SYSTEM 계정으로 실행되는 프로세스에 적용되는 환경 변수입니다.
시스템 환경 변수 목록은 시스템 환경 변수를 참조하세요.
- 와일드카드는 드라이브 문자를 정의할 수 없습니다.
- 경로에서 둘 이상의 폴더를 제외하려면 의 여러 인스턴스를 사용하여 여러 개의
\*\중첩된 폴더를 나타냅니다. 예를 들면c:\Folder\*\*\Test와 같습니다. - Microsoft Configuration Manager 와일드카드(
*또는?)를 지원합니다. - 임의의 문자가 포함된 파일(예: 자동화된 파일 생성에서)을 제외하려면 기호를 사용합니다
?. 예를 들면C:\Folder\fileversion?.docx와 같습니다.
제외는 애플리케이션 또는 서비스가 시작될 때만 적용됩니다. 예를 들어 이미 실행 중인 업데이트 서비스에 대한 제외를 추가하는 경우 서비스를 다시 시작할 때까지 업데이트 서비스는 ASR 규칙 검색을 계속 트리거합니다.
ASR 규칙의 정책 충돌
동일한 디바이스에 두 개의 서로 다른 ASR 규칙 정책이 할당된 경우 다음 요소에 따라 잠재적 충돌이 발생할 수 있습니다.
- 동일한 ASR 규칙이 다른 모드로 할당되는지 여부입니다.
- 충돌 관리가 있는지 여부입니다.
- 결과가 오류인지 여부입니다.
ASR 규칙을 충돌하지 않으면 오류가 발생하지 않습니다. 첫 번째 규칙이 적용되고 후속 비연합 규칙이 정책에 병합됩니다.
MDM(모바일 디바이스 관리) 솔루션과 그룹 정책 동일한 디바이스에 다른 ASR 규칙 설정을 적용하는 경우 그룹 정책 설정이 우선합니다.
Microsoft Intune 사용 가능한 배포 방법에 대해 ASR 규칙 설정 충돌을 처리하는 방법에 대한 자세한 내용은 Intune 의해 관리되는 디바이스를 참조하세요.
ASR 규칙에 대한 알림 및 경고
디바이스에서 차단 또는 경고 모드의 ASR 규칙이 트리거되면 디바이스에 알림이 표시됩니다. 알림에서 정보를 사용자 지정할 수 있습니다. 자세한 내용은 Windows 보안 연락처 정보 사용자 지정을 참조하세요.
엔드포인트용 Defender의 EDR(엔드포인트 검색 및 응답) 경고는 지원되는 ASR 규칙이 트리거될 때 생성됩니다.
알림 및 경고 기능에 대한 자세한 내용은 ASR 규칙 작업의 경고 및 알림을 참조하세요.
Microsoft Defender 포털 및 Windows 이벤트 뷰어 디바이스에서 ASR 경고 활동을 보려면 ASR(공격 표면 감소) 규칙 활동 모니터링을 참조하세요.
ASR 규칙 작업 모니터링
자세한 내용은 ASR(공격 표면 감소) 규칙 활동 모니터링을 참조하세요.