엔드포인트용 Microsoft Defender 디바이스 대상 지정은 먼저 비즈니스 컨텍스트를 사용하여 디바이스에 레이블을 지정하는 태그를 만든 다음, 역할 기반 액세스, 사용자 지정 데이터 수집, 자동화 규칙 및 공격 표면 감소 정책과 같은 대규모 보안 작업을 대상으로 하는 태그를 기반으로 디바이스 그룹을 구성합니다.
필수 구성 요소
태그 및 대상 디바이스를 만들기 전에 다음 요구 사항을 검토합니다.
권한
- 동적 태그: 자산 규칙 관리에서 적절한 권한이 필요합니다.
- 수동 태그: Defender 포털에서 디바이스 수준 권한이 필요합니다.
- 자동화 규칙: 규칙 만들기 권한이 필요합니다.
- 디바이스 그룹: 그룹을 만들고 관리하려면 보안 관리자 역할이 필요합니다.
지원되는 운영 체제
디바이스 태그 지정은 다음에서 지원됩니다.
- Windows 11, Windows 10(버전 1709 이상), Windows 8.1, Windows 7 SP1
- Windows Server(버전 1803 이상), Windows Server 2016, Windows Server 2012 R2, Windows Server 2008 R2 SP1
- macOS, Linux, iOS, Android
성능 정보
- 각 디바이스에는 여러 태그가 있을 수 있습니다.
- 동적 태그는 약 1시간마다 업데이트됩니다.
- 태그가 디바이스에 추가되는 시간과 디바이스 목록 및 디바이스 페이지의 가용성 사이에 약간의 대기 시간이 있을 수 있습니다.
- 많은 수의 태그는 성능에 큰 영향을 미치지 않습니다.
- 사용자 지정 데이터 수집 규칙은 여러 태그 조합을 대상으로 할 수 있습니다.
태그 및 그룹, 동적 태그 및 수동 태그 및 대상 지정 시나리오에 대한 배경 정보는 디바이스 대상 지정을 참조하세요.
태그 만들기
다음 방법을 사용하여 디바이스에 태그를 추가할 수 있습니다. 각 메서드는 다양한 시나리오 및 디바이스 플랫폼에 적합합니다.
| 메서드 | 플랫폼 | 단계 |
|---|---|---|
| 포털 | 지원되는 모든 플랫폼 | 개별 디바이스 또는 소규모 그룹에 태그를 수동으로 추가합니다. 포털을 사용하여 디바이스 태그 추가를 참조하세요. |
| 동적 규칙 | 지원되는 모든 플랫폼 | Defender 포털에서 디바이스 속성에 따라 태그를 자동으로 할당하고 제거하는 규칙을 만듭니다. 자산 규칙 관리 - 디바이스에 대한 동적 규칙을 참조하세요. |
| 레지스트리 키 | Windows | 태그 이름(최대 200자)을 포함하는 REG_SZ 값 Group 으로 레지스트리 키를 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging\ 설정합니다. 태그는 매일 한 번 동기화됩니다. 즉시 동기화를 위해 디바이스를 다시 시작합니다. 태그를 제거하려면 키를 삭제하는 Group 대신 값 데이터를 지웁니다. |
| 보안 설정 관리 | macOS, Linux | 엔드포인트 검색 및 응답 보안 정책을 만듭니다. MDE 온보딩된 디바이스에서 엔드포인트 보안 정책 관리 및 엔드포인트용 Defender에서 엔드포인트 보안 정책 관리를 참조하세요. |
| 구성 프로필 | macOS, Linux |
macOS: 구성 프로필을 만들고 .plist 수동으로 또는 관리 도구를 통해 배포합니다.
macOS에서 MDE 대한 기본 설정 설정 및 Intune macOS에 대한 사용자 지정 설정을 참조하세요.
Linux: 구성 프로필을 만듭니다.json.
Linux MDE 대한 기본 설정 설정을 참조하세요. |
| 사용자 지정 Intune 프로필 | Windows 10 이상 | Intune 사용자 지정 설정을 사용하여 디바이스 구성 프로필을 만듭니다. 데이터 형식 String에서 OMA-URI ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group 를 사용합니다.
Intune 사용자 지정 설정을 사용하여 프로필 만들기를 참조하세요. |
| Intune 앱 구성 정책 | iOS, Android | Intune 앱 구성 프로필을 만들어 모바일 디바이스에 대한 태그를 정의하고 적용합니다. iOS의 경우 iOS기능에서 엔드포인트용 Microsoft Defender 구성을 참조하세요. Android의 경우 Android기능에서 엔드포인트용 Defender 구성을 참조하세요. 자세한 내용은 엔드포인트용 Microsoft Defender 사용하여 모바일 디바이스 태그 지정을 참조하세요. |
참고
디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.
API를 사용하여 디바이스 태그를 추가하려면 디바이스 태그 API 추가 또는 제거를 참조하세요.
포털을 사용하여 디바이스 태그 추가
태그를 관리할 디바이스를 선택합니다. 다음 보기 중 하나에서 디바이스를 선택하거나 검색할 수 있습니다.
경고 큐 - 경고 큐에서 디바이스 아이콘 옆에 있는 디바이스 이름을 선택하세요.
디바이스 인벤토리 - 디바이스 목록에서 디바이스 이름을 선택합니다.
검색 상자 - 드롭다운 메뉴에서 디바이스를 선택하고 디바이스 이름을 입력하세요.
파일 및 IP 보기를 통해 경고 페이지로 이동할 수도 있습니다.
응답 작업 행에서 태그 관리를 선택합니다.
찾거나 만드려는 태그 입력
태그는 디바이스 보기에 추가되며 디바이스 인벤토리 보기에도 반영됩니다. 그런 다음 태그 필터를 사용하여 관련 디바이스 목록을 볼 수 있습니다.
참고
필터링은 괄호 또는 쉼표가 포함된 태그 이름에서 작동하지 않을 수 있습니다.
새 태그를 만들면 기존 태그 목록이 표시됩니다. 목록에는 포털을 통해 만든 태그만 표시됩니다. 클라이언트 디바이스에서 만든 기존 태그는 표시되지 않습니다.
이 보기에서 태그를 삭제할 수도 있습니다.
디바이스 그룹 만들기
디바이스에 태그를 지정한 후 디바이스 그룹을 사용하여 특정 디바이스 집합에 액세스하고 관리할 수 있는 보안 팀을 제어합니다. 디바이스 그룹은 종종 태그에 따라 일치하는 규칙을 사용하여 멤버 자격을 확인하고 역할 기반 액세스 제어, 자동화된 수정 수준 및 범위가 지정된 보안 정책을 사용하도록 설정합니다.
디바이스 그룹 만들기, 순위 지정 및 관리에 대한 단계별 지침은 디바이스 그룹 만들기 및 관리를 참조하세요.
보안 작업 적용
디바이스가 태그 및 그룹으로 구성되면 대규모 보안 작업을 대상으로 지정할 수 있습니다. 조사 및 위협 헌팅, 사용자 지정 데이터 수집, 자동화 규칙, 역할 기반 액세스, 공격 표면 감소 규칙 및 조건부 액세스 정책을 비롯한 디바이스 그룹 및 태그 기능.
시나리오 및 링크를 포함하여 디바이스 그룹에 대상으로 지정할 수 있는 보안 작업의 전체 목록은 대상 지정을 통해 구동되는 보안 작업을 참조하세요.