Microsoft Defender 포털의 ASR(공격 표면 감소) 규칙 보고서

  • 적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

ASR(공격 표면 감소) 규칙 보고서는 organization 내의 디바이스에 적용되는 규칙에 대한 자세한 인사이트를 제공합니다. 예시:

  • 검색된 위협.
  • 차단된 위협.
  • 표준 보호 규칙을 사용하여 위협을 차단하도록 구성되지 않은 디바이스입니다.

이 보고서는 다음 작업을 완료할 수 있는 사용하기 쉬운 인터페이스를 제공합니다.

  • 위협 탐지를 봅니다.
  • ASR 규칙의 구성을 봅니다.
  • 제외를 추가하고 관리합니다.
  • 자세한 정보를 수집합니다.

ASR 규칙에 대한 자세한 내용은 ASR(공격 표면 감소) 규칙 개요를 참조하세요.

필수 구성 요소

지원되는 운영 체제

액세스 권한 보고

이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

  • Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어): 보안 작업 \ 보안 데이터 \ 보안 데이터 기본 사항(읽기).

  • 엔드포인트용 Defender 권한 (2025년 2월 이전에 만든 조직에서 사용 가능): 데이터>보안 작업을 봅니다.

  • Microsoft Entra 권한: 전역 관리자, 보안 관리자*, 전역 읽기 권한자 또는 보안 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 대한 필요한 권한 권한을 제공합니다.

    중요

    사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

공격 표면 감소 규칙 보고서 페이지

의 Microsoft Defender 포털에서 https://security.microsoft.com보고서>엔드포인트 탭 >공격 표면 감소 규칙으로 이동합니다. 또는 공격 표면 감소 규칙 보고서 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/asr.

다음 탭은 공격 표면 감소 규칙 보고서 페이지에서 사용할 수 있습니다.

검색 탭

검색 탭은 페이지의 기본 탭입니다. 공격 표면 감소 규칙 보고서의 검색 탭으로 직접 이동하려면 또는 https://security.microsoft.com/asr?viewid=detections를 사용합니다https://security.microsoft.com/asr.

Microsoft Defender 포털의 공격 표면 감소 규칙 보고서 페이지를 보여 주는 스크린샷

기본적으로 페이지의 ASR 규칙 정보는 다음 필터를 사용합니다.

  • 규칙: 보호 Standard 값은 기본적으로 표준 보호 규칙에 대한 데이터만 표시하도록 선택되지만 값을 모두로 변경하여 모든 ASR 규칙에 대한 데이터를 표시할 수 있습니다.

  • 날짜: 지난 30일의 날짜 범위는 기본적으로 선택되지만 시작 시간종료 시간 값을 지난 30일 이내에 범위로 변경할 수 있습니다.

  • 규칙* 선택: 값 Any 는 기본적으로 선택되지만 규칙 필터 값에 따라 값을 변경할 수 있습니다.

    • Standard 보호: 드롭다운 목록에서 하나 이상의 표준 보호 규칙을 선택합니다.
    • 모두: 드롭다운 목록에서 하나 이상의 ASR 규칙(표준 보호 규칙 포함)을 선택합니다.

필터 추가를 선택한 다음 사용 가능한 옵션 중에서 선택하여 기본적으로 구성되지 않은 다음 추가 필터를 사용할 수 있습니다. 탭 맨 위에 필터가 표시되면 선택 항목을 구성할 수 있습니다.

  • 디바이스 그룹*: 사용 가능한 디바이스 그룹을 하나 이상 선택합니다.
  • 차단됨/감사됨?: 감사됨 또는 차단됨을 선택합니다.

* 이 필터에 사용 가능한 모든 값을 선택하거나 값을 선택하지 않으면 동일한 결과가 표시됩니다.

필터를 제거하려면 지우기를 선택합니다. 모든 필터를 다시 설정하려면 모두 다시 설정을 선택합니다.

필터 아래와 그래프 위에 다음 정보가 표시됩니다.

  • 감사 검색: 지정된 필터를 사용하는 감사 모드의 ASR 규칙에 의한 위협 검색 수입니다.

  • 차단된 검색: 지정된 필터를 사용하는 차단 모드의 ASR 규칙에 의한 위협 검색 수입니다.

    감사 모드 및 차단 모드에 대한 자세한 내용은 ASR 규칙 모드를 참조하세요.

그래프는 선택한 날짜 범위에 대한 일일 감사 및 차단된 검색을 보여 줍니다. 특정 날짜의 데이터를 마우스로 가리키면 현재 필터에 따라 감사 또는 블록 개수가 표시됩니다.

그래프 아래의 세부 정보 테이블에는 다음 정보가 포함되어 있습니다.

  • 검색된 파일: 가능한 위협 또는 알려진 위협을 포함하는 것으로 확인된 파일입니다.
  • 검색된 날짜: 위협이 검색된 날짜입니다.
  • 차단됨/감사됨?: 특정 이벤트에 대한 검색 규칙이 차단 또는 감사 모드인지 여부입니다.
  • 규칙: 위협을 감지한 규칙입니다.
  • 원본 앱: 검색된 파일을 호출한 애플리케이션입니다.
  • 디바이스: Audit 또는 Block 이벤트가 발생한 디바이스의 이름입니다.
  • 디바이스 그룹: 디바이스가 속한 디바이스 그룹입니다.
  • 사용자: 검색된 파일(예SYSTEM: NT AUTHORITY\SYSTEM 계정)을 여는 원본 앱을 담당하는 계정입니다.
  • 게시자: 앱을 게시한 회사입니다.

해당 값을 기준으로 정렬할 열 머리글을 선택합니다.

검색 상자는 디바이스 ID, 파일 이름 또는 프로세스 이름으로 세부 정보 테이블의 항목을 검색하는 데 사용할 수 있습니다.

GroupBy 는 세부 정보 테이블의 정보를 다음 옵션으로 그룹화할 수 있습니다.

  • 그룹화 없음 (기본값)
  • 검색된 파일
  • 감사 또는 차단
  • 규칙
  • 원본 앱
  • 장치
  • 디바이스 그룹
  • 사용자
  • 게시자

현재 GroupBy를 사용하려면 목록의 마지막 검색 항목으로 스크롤하여 전체 데이터 집합을 로드해야 합니다. 그런 다음 GroupBy를 사용할 수 있습니다. 그렇지 않으면 나열된 검색의 보기 가능한 페이지가 두 개 이상 있는 결과에 대한 결과가 올바르지 않습니다.

현재 세부 정보 테이블에 나열된 검색 개별 항목의 수는 200개 규칙으로 제한됩니다. 내보내기를 사용하여 검색의 전체 목록을 CSV 파일에 저장합니다.

엔드포인트용 Defender 플랜 2에서 트리거된 모든 ASR 규칙을 보려면 고급 헌팅에서 DeviceEvents 테이블을 사용합니다.

검색된 파일 세부 정보

검색된 파일 값 옆에 있는 검사 상자가 아닌 행의 아무 곳이나 클릭하여 공격 표면 감소 규칙 보고서 페이지의 검색 탭에 있는 세부 정보 테이블에서 검색 이벤트를 선택하면 다음 정보와 함께 파일 정보 세부 정보 플라이아웃이 열립니다.

  • 검색 섹션:

    이 섹션에서는 파일에 대한 ASR 규칙 검색으로 필터링된 기본 페이지에서 더 작은 버전의 그래프를 보여줍니다.

    이 섹션에서는 다음 작업을 사용할 수 있습니다.

    • Go hunt: 엔드포인트용 Defender 계획 2에서 이 작업은 검색된 파일 이름이 쿼리에 지정된 고급 헌팅 쿼리 페이지를 엽니다. 예를 들어 파일 conhost.exe의 경우 쿼리는 다음과 같습니다.

      DeviceEvents
    | where Timestamp >= ago(1d)
    | where FileName == 'conhost.exe'
    | where ActionType startswith 'Asr'
    | extend ParsedFields=parse_json(AdditionalFields)
    | distinct ActionType, Audit=tostring(ParsedFields.IsAudit), InitiatingProcessParentFileName, InitiatingProcessFolderPath, InitiatingProcessFileName, InitiatingProcessCommandLine, FolderPath, FileName, ProcessCommandLine, ASRRuleId=tostring(ParsedFields.RuleId)
    | take 1000

      고급 헌팅에 대한 자세한 내용은 Microsoft Defender XDR 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.

    • 파일 페이지 열기: 엔드포인트용 Defender에서 검색된 파일의 파일 엔터티 페이지에서 파일을 엽니다.

  • 가능한 제외 및 영향 섹션: 지난 30일 동안 ASR 규칙에 따라 파일 검색에 대한 세부 정보를 표시합니다(총 검색 수 및 백분율).

  • 플라이아웃 아래쪽에 제외를 추가하면 Microsoft Intune 관리 센터가 열립니다. ASR 규칙에 대한 제외 구성에 대한 자세한 내용은 ASR(공격 표면 감소) 규칙 및 제외 구성을 참조하세요.

공격 표면 감소 규칙 보고서의 검색 탭에 있는 세부 정보 테이블에서 항목을 선택한 후 파일 정보 세부 정보 플라이아웃을 보여 주는 스크린샷.

구성 탭

공격 표면 감소 규칙 보고서 페이지의 구성 탭으로 직접 이동하려면 를 사용합니다https://security.microsoft.com/asr?viewid=configuration.

Microsoft Defender 포털의 공격 표면 감소 규칙 보고서 페이지의 구성 탭 스크린샷

구성 탭은 요약 및 디바이스별 ASR 규칙 구성 세부 정보를 제공합니다.

규칙을 사용하면 디바이스 구성 개요 섹션에서 결과를 필터링할 수 있습니다. 기본적으로 Standard 보호표준 보호 규칙에 대한 데이터만 표시하도록 선택되지만 모두로 전환하여 모든 ASR 규칙에 대한 데이터를 표시할 수 있습니다.

디바이스 구성 개요 섹션에는 Standard 보호 또는 모든 필터를 기반으로 하는 ASR 규칙 상태의 합계가 표시됩니다.

  • 노출된 모든 디바이스: 구성되지 않은 ASR 규칙이 있는 디바이스 수입니다.
  • 규칙이 구성되지 않은 디바이스
  • 감사 모드에서 규칙이 있는 디바이스
  • 블록 모드에서 규칙이 있는 디바이스

세부 정보 표에는 영향을 받는 각 디바이스에 대한 다음 정보가 표시됩니다.

  • 디바이스: 디바이스의 이름입니다.

  • 전체 구성: 디바이스의 모든 ASR 규칙 조건을 요약합니다. 예시:

    • 블록 모드의 규칙: 디바이스의 일부 규칙은 차단 모드에 있습니다.
    • 규칙 해제: 디바이스의 일부 규칙이 꺼져 있습니다.

  • 블록 모드의 규칙

  • 감사 모드의 규칙

  • 경고 모드의 규칙

    다양한 ASR 규칙 모드에 대한 자세한 내용은 ASR 규칙 모드를 참조하세요.

  • 규칙이 꺼져 있습니다.

  • 적용할 수 없는 규칙: 예를 들어 클라이언트 워크스테이션에서 서버용 웹셸 만들기 차단 규칙이 적용됩니다.

  • 알 수 없음

  • 디바이스 ID: 엔드포인트용 Microsoft Defender 디바이스에 대한 고유한 SHA-1 해시 값 식별자입니다. 자세한 내용은 컴퓨터 리소스 유형을 참조하세요.

해당 값을 기준으로 정렬할 열 머리글을 선택합니다.

검색 상자를 사용하여 세부 정보 테이블에서 디바이스 또는 디바이스 ID 값으로 특정 디바이스를 찾습니다. 부분 일치 항목이 지원됩니다.

디바이스 세부 정보

행의 아무 곳이나 클릭하여 공격 표면 감소 규칙 보고서 페이지의 구성 탭에 있는 세부 정보 테이블에서 디바이스 항목을 선택하면 다음 정보와 함께 디바이스 세부 정보 플라이아웃이 열립니다.

  • 디바이스에서 사용 가능한 모든 ASR 규칙 및 해당 상태 목록:

  • 해제

  • 감사

  • 차단

  • 경고

  • 해당 사항 없음

  • 플라이아웃 아래쪽의 정책에 를 추가하면 Microsoft Intune 관리 센터가 열립니다. ASR 규칙을 구성하는 다양한 방법에 대한 자세한 내용은 ASR 규칙에 대한 배포 및 구성 방법을 참조하세요.

공격 표면 감소 규칙 보고서 페이지의 구성 탭에서 디바이스에 대한 디바이스 세부 정보 플라이아웃의 스크린샷

제외 추가 탭

중요

파일 또는 폴더를 제외하면 ASR 규칙에서 제공하는 보호를 심각하게 줄일 수 있습니다. 제외된 파일은 실행할 수 있으며 보고서나 이벤트는 기록되지 않습니다.

ASR 규칙이 검색해서는 안 된다고 생각되는 파일을 검색하는 경우 조사를 위해 규칙을 감사 모드 로 전환해야 합니다.

공격 표면 감소 규칙 보고서 페이지의 제외 추가 탭으로 직접 이동하려면 를 사용합니다https://security.microsoft.com/asr?viewid=exclusions.

Microsoft Defender 포털의 공격 표면 감소 규칙 보고서 페이지의 제외 추가 탭 스크린샷.

제외 추가 탭에는 모든 디바이스에서 ASR 규칙에 의한 파일 검색이 나열됩니다.

필터 > 규칙 또는 필터 를 사용하면 페이지에서 결과를 필터링할 수 있습니다. 기본적으로 Standard 보호표준 보호 규칙에 대한 데이터만 표시하도록 선택되지만 모두로 전환하여 모든 ASR 규칙에 대한 데이터를 표시할 수 있습니다.

세부 정보 표에는 다음 정보가 표시됩니다.

  • 파일 이름: ASR 규칙 이벤트를 트리거한 파일의 이름입니다.
  • 검색: 파일에 대해 검색된 총 이벤트 수입니다. 개별 디바이스는 여러 ASR 규칙 이벤트를 트리거할 수 있습니다.
  • 디바이스: 검색이 발생한 디바이스 수입니다.

해당 값을 기준으로 정렬할 열 머리글을 선택합니다.

검색 상자를 사용하여 파일 이름으로 항목을 찾습니다.

예상 영향 창에 & 요약

파일 이름 열 옆에 있는 검사 상자를 선택하여 공격 표면 감소 규칙 보고서의 제외 추가 탭에 있는 세부 정보 테이블에서 하나 이상의 파일 항목을 선택하면 요약 & 예상 영향 창이 선택한 파일에 대한 정보 및 작업으로 채워집니다.

  • 요약 섹션: 선택한 파일 수입니다.

  • <n> 검색 섹션: ASR 규칙에서 제외하는 경우 선택한 파일에 대한 ASR 규칙 검색은 어떻게 될까요?

    • 제외될 규칙 검색 수(<제외 후 n> 개 검색 감소)
    • 제외 후실제 검색 및 검색 수를 보여 주는 그래프입니다.

  • <영향을 받는 디바이스 섹션>: 선택한 파일을 ASR 규칙에서 제외하는 경우 디바이스에서 ASR 규칙 검색은 어떻게 될까요?

    • <영향을 받는 디바이스 수>: 영향을 받는 디바이스 수(<>제외 후 디바이스 수 감소)
    • 검색을 계속하며 더 이상 검색이 없는 디바이스 수를 보여 주는 그래프입니다.

  • 다음 작업은 요약 & 예상 영향 창의 맨 아래에서 사용할 수 있습니다.

    • 제외 추가: Microsoft Intune 관리 센터를 엽니다. ASR 규칙에서 파일 및 폴더를 제외하는 다양한 방법에 대한 자세한 내용은 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.

    • 선택한 제외 경로 가져오기: 다운로드할 영향을 받는 파일에 대한 전체 경로가 있는 파일을 생성 AsrExclusionPaths.csv 합니다.

파일 항목이 선택된 공격 표면 감소 규칙 보고서 페이지의 제외 추가 탭을 보여 주는 스크린샷

관련 콘텐츠

  • Last updated on