디바이스의 온보딩 및 보고 서비스를 확인하기 위한 EDR 검색 테스트

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender

시나리오 요구 사항 및 설정

• Windows 11 버전 1709 빌드 16273 이상, Windows 8.1 또는 Windows 7 SP1을 Windows 10.
• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2008 R2 SP1.
• Linux
• macOS
• 엔드포인트용 Microsoft Defender
• 엔드포인트용 Microsoft Defender(Linux용)

엔드포인트에 대한 엔드포인트 검색 및 응답은 거의 실시간으로 실행 가능한 고급 공격 검색을 제공합니다. 보안 분석가는 알림에 효과적으로 우선 순위를 지정하고, 침해의 전체 범위에 대한 가시성을 확보하고 위협을 수정하기 위한 대응 조치를 취할 수 있습니다.

EDR 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다. 새로 온보딩된 디바이스에서 다음 단계를 수행합니다.

Windows

1. 명령 프롬프트 창 열기

2. 프롬프트에서 다음 명령을 복사하고 실행합니다. 명령 프롬프트 창이 자동으로 닫힙니다.

   powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-WDATP-test\\invoice.exe');Start-Process 'C:\\test-WDATP-test\\invoice.exe'
   

3. 성공하면 검색 테스트가 완료된 것으로 표시되고 몇 분 내에 새 경고가 나타납니다.

Linux

1. 온보딩된 Linux 서버에 스크립트 파일 다운로드

curl -o ~/Downloads/MDE-Linux-EDR-DIY.zip -L https://aka.ms/MDE-Linux-EDR-DIY

2. zip 추출

unzip ~/Downloads/MDE-Linux-EDR-DIY.zip

3. 그리고 다음 명령을 실행하여 스크립트 실행 가능 권한을 부여합니다.

chmod +x ./mde_linux_edr_diy.sh

4. 다음 명령을 실행하여 스크립트를 실행합니다.

 ./mde_linux_edr_diy.sh

5. 몇 분 후 Microsoft Defender XDR 검색을 발생시켜야 합니다. 경고 세부 정보, 컴퓨터 타임라인 살펴보고 일반적인 조사 단계를 수행합니다.

macOS

1. 브라우저에서 Mac용 Microsoft Edge 또는 Safari에서 MDATP MacOS DIY.ziphttps://aka.ms/mdatpmacosdiy 다운로드하고 추출합니다.

   다음 프롬프트가 나타납니다.

   "mdatpclientanalyzer.blob.core.windows.net"에서 다운로드를 허용하시겠습니까?
   웹 사이트 기본 설정에서 파일을 다운로드할 수 있는 웹 사이트를 변경할 수 있습니다.

2. 허용을 클릭합니다.

3. 다운로드를 엽니다.

4. MDATP MacOS DIY를 볼 수 있어야 합니다.

   팁

   MDATP MacOS DIY를 두 번 클릭하면 다음 메시지가 표시됩니다.

   개발자는 검증 도구가 될 수 없으므로 "MDATP MacOS DIY"를 열 수 없습니다.
   macOS는 이 앱이 맬웨어로부터 무료인지 확인할 수 없습니다.
   [휴지통으로 이동][취소]

5. 따라서 취소를 클릭합니다.

6. MDATP MacOS DIY를 마우스 오른쪽 단추로 클릭한 다음 열기를 클릭합니다.

   시스템에는 다음 메시지가 표시됩니다.

   macOS는 MDATP MacOS DIY 개발자를 확인할 수 없습니다. 열고 싶으신가요?
   이 앱을 열면 컴퓨터와 개인 정보를 Mac에 해를 끼치거나 개인 정보를 손상시킬 수 있는 맬웨어에 노출할 수 있는 시스템 보안을 재정의하게 됩니다.

7. 열기를 클릭합니다.

   시스템에 다음 메시지가 표시됩니다.

   엔드포인트용 Microsoft Defender - macOS EDR DIY 테스트 파일
   해당 경고는 MDATP 포털에서 사용할 수 있습니다.

8. 열기를 클릭합니다.

   몇 분 안에 경고 macOS EDR 테스트 경고 가 발생합니다.

9. Microsoft Defender 포털()로https://security.microsoft.com/ 이동합니다.

10. 경고 큐로 이동합니다.

    

    macOS EDR 테스트 경고는 심각도, 범주, 검색 원본 및 축소된 작업 메뉴를 표시합니다.

    경고 세부 정보 및 디바이스 타임라인 살펴보고 정기적인 조사 단계를 수행합니다.

다음 단계

애플리케이션 호환성 또는 성능에 문제가 있는 경우 제외를 추가하는 것이 좋습니다. 자세한 내용은 다음 문서를 참조하세요.

• macOS에서 엔드포인트용 Microsoft Defender 대한 제외 구성 및 유효성 검사
• Endpoint용 Microsoft Defender에서 가양성/가음성 처리
• 제거 규칙 관리
• IoC(손상 지표) 만들기
• 사용자 지정 검색 규칙 만들기 및 관리

또한 엔드포인트용 Microsoft Defender 보안 운영 가이드를 참조하세요.