Windows 이벤트 뷰어 공격 표면 감소 이벤트

적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

이벤트 뷰어 이벤트를 검토하는 것은 공격 표면 감소 기능을 평가할 때 유용합니다. 예를 들어 기능 또는 설정에 대해 감사 모드를 사용하도록 설정한 다음, 기능 또는 설정이 완전히 활성화된 경우 어떤 일이 발생하는지 검토할 수 있습니다. 공격 표면 감소 기능이 완전히 활성화된 경우의 영향을 볼 수도 있습니다.

이 문서에서는 Windows 이벤트 뷰어 사용하여 다음을 비롯한 ASR(공격 표면 감소) 기능의 이벤트를 보는 방법을 설명합니다.

공격 표면 감소 이벤트를 보려면 이 문서의 나머지 부분에 설명된 대로 다음 옵션이 있습니다.

Windows 이벤트 뷰어 공격 표면 감소 이벤트 찾아보기: 이벤트 뷰어 공격 표면 감소 이벤트 및 각 공격 표면 감소 기능에 대한 이벤트 ID로 이동하는 방법입니다.
Windows 이벤트 뷰어 사용자 지정 보기를 사용하여 공격 표면 감소 이벤트를 봅니다. 사용자 지정 보기를 만들거나 가져와 특정 ASR 기능 및 즉시 사용할 수 있는 XML 쿼리 템플릿에 대한 이벤트 뷰어 필터링하는 방법입니다.

팁

Windows 이벤트 전달을 사용하여 여러 디바이스에서 공격 표면 감소 이벤트 컬렉션을 중앙 집중화할 수 있습니다.

Microsoft Defender 포털은 Windows 이벤트 뷰어 보다 사용하기 쉬운 공격 표면 감소 기능에 대한 보고도 제공합니다.

Windows 이벤트 뷰어 공격 표면 감소 이벤트 찾아보기

모든 공격 표면 감소 이벤트는 애플리케이션 및 서비스 로그에 있습니다. 공격 표면 감소 이벤트를 보려면 다음 단계를 수행합니다.

시작을 선택하고 이벤트 뷰어 입력한 다음 Enter 키를 눌러 이벤트 뷰어 엽니다.
이벤트 뷰어 애플리케이션 및 서비스 로그Microsoft>Windows를 확장합니다>.
다음 하위 섹션에 설명된 대로 다양한 유형의 공격 표면 감소 이벤트에 대한 경로를 계속 확장합니다.
다음 하위 섹션에서 설명한 대로 보려는 이벤트를 찾아 필터링합니다.

ASR 규칙 이벤트

ASR 규칙 이벤트는 Windows Defender>운영 로그에 있습니다.

이벤트 ID	설명
1121	블록 모드에서 규칙이 실행되는 경우 이벤트
1122	감사 모드에서 규칙이 실행되는 경우 이벤트
1129	사용자가 경고 모드에서 블록을 재정의할 때 발생하는 이벤트
5007	설정이 변경된 경우의 이벤트

제어된 폴더 액세스 이벤트

제어된 폴더 액세스 이벤트는 Windows Defender>운영에 있습니다.

이벤트 ID	설명
5007	설정이 변경된 경우의 이벤트
1124	감사된 제어된 폴더 액세스 이벤트
1123	차단된 제어된 폴더 액세스 이벤트
1127	차단된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트
1128	감사된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트

Exploit Protection 이벤트

다음 악용 보호 이벤트는 보안 완화>커널 모드 및 보안 완화사용자 모드 로그에 > 있습니다.

이벤트 ID	설명
1	ACG 감사
2	ACG 적용
3	자식 프로세스 감사 허용 안 함
4	자식 프로세스 블록 허용 안 함
5	낮은 무결성 이미지 감사 차단
6	낮은 무결성 이미지 블록 차단
7	원격 이미지 감사 차단
8	원격 이미지 블록 차단
9	win32k 시스템 호출 감사 사용 안 함
10	Win32k 시스템 호출 블록 사용 안 함
11	코드 무결성 가드 감사
12	코드 무결성 가드 블록
13	EAF 감사
14	EAF 적용
15	EAF+ 감사
16	EAF+ 적용
17	IAF 감사
18	IAF 적용
19	ROP StackPivot 감사
20	ROP StackPivot 적용
21	ROP CallerCheck 감사
22	ROP CallerCheck 적용
23	ROP SimExec 감사
24	ROP SimExec 적용

다음 Exploit Protection 이벤트는 WER-Diagnostics>운영 로그에 있습니다.

이벤트 ID	설명
5	CFG 블록

다음 Exploit Protection 이벤트는 Win32k>운영 로그에 있습니다.

이벤트 ID	설명
260	신뢰할 수 없는 글꼴

네트워크 보호 이벤트

네트워크 보호 이벤트는 Windows Defender>운영에 있습니다.

이벤트 ID	설명
5007	설정이 변경된 경우의 이벤트
1125	감사 모드에서 네트워크 보호가 실행되는 경우 이벤트
1126	블록 모드에서 네트워크 보호가 실행되는 경우 이벤트

Windows 이벤트 뷰어 사용자 지정 보기를 사용하여 공격 표면 감소 이벤트 보기

Windows 이벤트 뷰어 사용자 지정 보기를 만들어 특정 공격 표면 감소 기능에 대한 이벤트만 볼 수 있습니다. 가장 쉬운 방법은 사용자 지정 보기를 XML 파일로 가져오는 것입니다. XML을 이벤트 뷰어 직접 복사할 수도 있습니다.

즉시 사용할 수 있는 XML 템플릿은 공격 표면 감소 이벤트에 대한 사용자 지정 XML 템플릿 섹션을 참조하세요.

기존 XML 사용자 지정 보기 가져오기

빈 .txt 파일을 만들고 사용하려는 사용자 지정 보기에 대한 XML을 .txt 파일에 복사합니다. 사용하려는 각 사용자 지정 보기에 대해 이 단계를 수행합니다. 파일 이름을 다음과 같이 바꿉니다(형식을 .txt .xml 변경해야 합니다.)
- 제어된 폴더 액세스 이벤트 사용자 지정 보기: cfa-events.xml
- Exploit Protection 이벤트 사용자 지정 보기: ep-events.xml
- 공격 표면 감소 이벤트 사용자 지정 보기: asr-events.xml
- 네트워크 보호 이벤트 사용자 지정 보기: np-events.xml
시작을 선택하고 이벤트 뷰어 입력한 다음 Enter 키를 눌러 이벤트 뷰어 엽니다.
작업>사용자 지정 보기 가져오기...를 선택합니다.
원하는 사용자 지정 보기에 대한 XML 파일로 이동하여 선택합니다.
열기를 선택합니다.

사용자 지정 보기는 해당 기능과 관련된 이벤트만 표시하도록 필터링합니다.

XML을 직접 복사합니다.

시작을 선택하고 이벤트 뷰어 입력한 다음 Enter 키를 눌러 이벤트 뷰어 엽니다.
작업 창에서 사용자 지정 보기 만들기...를 선택합니다.
XML 탭으로 이동하여 수동으로 쿼리 편집을 선택합니다. 경고는 XML 옵션을 사용할 때 필터 탭을 사용하여 쿼리를 편집할 수 없다는 것을 나타냅니다. 예를 선택합니다.
이벤트를 필터링하려는 기능에 대한 XML 코드를 XML 섹션에 붙여넣습니다.
확인을 선택합니다. 필터의 이름을 지정합니다. 사용자 지정 보기는 해당 기능과 관련된 이벤트만 표시하도록 필터링합니다.

공격 표면 감소 이벤트에 대한 사용자 지정 XML 템플릿

공격 표면 감소 규칙 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=1129 or EventID=5007)]]</Select>
  </Query>
</QueryList>

제어된 폴더 액세스 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=1127 or EventID=1128 or EventID=5007)]]</Select>
  </Query>
</QueryList>

익스플로잇 보호 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

네트워크 보호 이벤트에 대한 XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

피드백

이 페이지가 도움이 되었나요?

Last updated on 2026-05-23