클라이언트 행동적 차단
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft Defender XDR
- Microsoft Defender 바이러스 백신
플랫폼
- Windows
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
개요
클라이언트 동작 차단은 엔드포인트용 Defender의 동작 차단 및 포함 기능 의 구성 요소입니다. 디바이스(클라이언트 또는 엔드포인트라고도 함)에서 의심스러운 동작이 검색되면 아티팩트(예: 파일 또는 애플리케이션)가 자동으로 차단, 검사 및 수정됩니다.
바이러스 백신 보호는 클라우드 보호와 페어링할 때 가장 잘 작동합니다.
클라이언트 동작 차단 작동 방식
Microsoft Defender 바이러스 백신은 디바이스에서 의심스러운 동작, 악성 코드, 파일리스 및 메모리 내 공격 등을 검색할 수 있습니다. 의심스러운 동작이 감지되면 Microsoft Defender 바이러스 백신이 해당 의심스러운 동작과 해당 프로세스 트리를 모니터링하고 클라우드 보호 서비스로 보냅니다. 기계 학습은 악의적인 애플리케이션과 좋은 동작을 밀리초 내에 구분하고 각 아티팩트별로 분류합니다. 아티팩트가 악의적인 것으로 확인되면 거의 실시간으로 디바이스에서 차단됩니다.
의심스러운 동작이 감지될 때마다 경고가 생성되고 공격이 감지되고 중지되는 동안 표시됩니다. "초기 액세스 경고"와 같은 경고가 트리거되고 Microsoft Defender 포털에 표시됩니다.
클라이언트 동작 차단은 공격이 시작되는 것을 방지하는 데 도움이 될 뿐만 아니라 실행을 시작한 공격을 중지하는 데 도움이 될 수 있기 때문에 효과적입니다. 또한 피드백 루프 차단(동작 차단 및 봉쇄의 또 다른 기능)을 사용하면 organization 다른 디바이스에서 공격을 방지할 수 있습니다.
동작 기반 검색
동작 기반 검색은 MITRE ATT&CK Matrix for Enterprise에 따라 명명됩니다. 명명 규칙은 악의적인 동작이 관찰된 공격 단계를 식별하는 데 도움이 됩니다.
전술 | 검색 위협 이름 |
---|---|
초기 액세스 | Behavior:Win32/InitialAccess.*!ml |
실행 | Behavior:Win32/Execution.*!ml |
지속성 | Behavior:Win32/Persistence.*!ml |
권한 상승 | Behavior:Win32/PrivilegeEscalation.*!ml |
방어 회피 | Behavior:Win32/DefenseEvasion.*!ml |
자격 증명 액세스 | Behavior:Win32/CredentialAccess.*!ml |
검색 | Behavior:Win32/Discovery.*!ml |
수평 이동 | Behavior:Win32/LateralMovement.*!ml |
컬렉션 | Behavior:Win32/Collection.*!ml |
명령 및 제어 | Behavior:Win32/CommandAndControl.*!ml |
유출 | Behavior:Win32/Exfiltration.*!ml |
영향 | Behavior:Win32/Impact.*!ml |
분류 되지 않은 | Behavior:Win32/Generic.*!ml |
팁
특정 위협에 대한 자세한 내용은 최근 글로벌 위협 활동을 참조하세요.
클라이언트 동작 차단 구성
organization 엔드포인트용 Defender를 사용하는 경우 클라이언트 동작 차단은 기본적으로 사용하도록 설정됩니다. 그러나 동작 차단 및 포함을 비롯한 엔드포인트용 Defender 기능을 모두 활용하려면 엔드포인트용 Defender의 다음 기능과 기능을 사용하도록 설정하고 구성해야 합니다.
- 엔드포인트용 Defender 기준
- 엔드포인트용 Defender에 온보딩된 디바이스
- 차단 모드의 EDR
- 공격 표면 감소
- 차세대 보호 (바이러스 백신, 맬웨어 방지 및 기타 위협 방지 기능)
팁
다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.