엔드포인트용 Microsoft Defender 파일럿 및 배포

적용 대상:

• Microsoft Defender XDR

이 문서에서는 조직에서 엔드포인트용 Microsoft Defender를 파일럿하고 배포하기 위한 워크플로를 제공합니다. 이러한 권장 사항을 사용하여 엔드포인트용 Microsoft Defender를 개별 사이버 보안 도구 또는 Microsoft Defender XDR을 사용하는 엔드 투 엔드 솔루션의 일부로 온보딩할 수 있습니다.

이 문서에서는 프로덕션 Microsoft 365 테넌트가 있으며 이 환경에서 엔드포인트용 Microsoft Defender를 파일럿 및 배포하고 있다고 가정합니다. 이 방법은 전체 배포를 위해 파일럿 중에 구성하는 모든 설정 및 사용자 지정을 유지 관리합니다.

엔드포인트용 Defender는 위반으로 인한 비즈니스 피해를 방지하거나 줄여 제로 트러스트 아키텍처에 기여합니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위반 비즈니스로 인한 비즈니스 손상 방지 또는 줄이기 시나리오를 참조하세요.

Microsoft Defender XDR용 엔드 투 엔드 배포

이 문서는 인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR의 구성 요소를 배포하는 데 도움이 되는 시리즈의 6개 중 4개 문서입니다.

이 시리즈의 문서는 엔드 투 엔드 배포의 다음 단계에 해당합니다.

단계	링크
대답. 파일럿 시작	파일럿 시작
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포	- Defender for Identity 파일럿 및 배포 - Office 365용 Defender 파일럿 및 배포 - 엔드포인트용 Defender 파일럿 및 배포 (이 문서) - 클라우드용 Microsoft Defender 앱 파일럿 및 배포
C. 위협 조사 및 대응	인시던트 조사 및 대응 연습

Defender for Identity에 대한 파일럿 및 배포 워크플로

다음 다이어그램에서는 IT 환경에 제품 또는 서비스를 배포하는 일반적인 프로세스를 보여 줍니다.

먼저 제품 또는 서비스를 평가하고 조직 내에서 어떻게 작동하는지 평가합니다. 그런 다음 테스트, 학습 및 사용자 지정을 위해 프로덕션 인프라의 작은 하위 집합으로 제품 또는 서비스를 파일럿합니다. 그런 다음 전체 인프라 또는 조직이 적용될 때까지 배포 범위를 점진적으로 늘입니다.

프로덕션 환경에서 Defender for Identity를 파일럿하고 배포하기 위한 워크플로는 다음과 같습니다.

다음 단계를 따릅니다.

1. 라이선스 상태 확인
2. 지원되는 관리 도구를 사용하여 엔드포인트 온보딩
3. 파일럿 그룹 확인
4. 기능 사용해 보기

각 배포 단계에 권장되는 단계는 다음과 같습니다.

배포 단계	설명
평가	엔드포인트용 Defender에 대한 제품 평가를 수행합니다.
파일럿	파일럿 그룹에 대해 1-4단계를 수행합니다.
배포 후	3단계에서 파일럿 그룹을 구성하거나 파일럿을 넘어 확장할 그룹을 추가하고 결국에는 모든 디바이스를 포함합니다.

해커로부터 조직 보호

Defender for Identity는 자체적으로 강력한 보호를 제공합니다. 그러나 Microsoft Defender XDR의 다른 기능과 결합된 경우 엔드포인트용 Defender는 공격을 중지하는 데 도움이 되는 공유 신호에 데이터를 제공합니다.

다음은 사이버 공격의 예와 Microsoft Defender XDR의 구성 요소가 이를 감지하고 완화하는 데 도움이 되는 방법입니다.

엔드포인트용 Defender는 조직에서 관리하는 디바이스에 악용될 수 있는 디바이스 및 네트워크 취약성을 검색합니다.

Microsoft Defender XDR은 모든 Microsoft Defender 구성 요소의 신호를 상호 연결하여 전체 공격 스토리를 제공합니다.

엔드포인트용 Defender 아키텍처

다음 다이어그램에서는 엔드포인트용 Microsoft Defender 아키텍처 및 통합을 보여 줍니다.

이 표에서는 그림에 대해 설명합니다.

콜아웃	설명
1	디바이스는 지원되는 관리 도구 중 하나를 통해 온보드됩니다.
2	온보드 디바이스는 엔드포인트용 Microsoft Defender 신호 데이터를 제공하고 응답합니다.
3	관리되는 디바이스는 Microsoft Entra ID에 조인 및/또는 등록됩니다.
4	도메인에 가입된 Windows 디바이스는 Microsoft Entra Connect를 사용하여 Microsoft Entra ID에 동기화됩니다.
5	엔드포인트용 Microsoft Defender 경고, 조사 및 응답은 Microsoft Defender XDR에서 관리됩니다.

팁

엔드포인트용 Microsoft Defender에는 미리 구성된 디바이스를 추가하고 시뮬레이션을 실행하여 플랫폼의 기능을 평가할 수 있는 제품 내 평가 랩도 제공됩니다. 이 랩에는 고급 헌팅 및 위협 분석과 같은 많은 기능에 대한 지침을 포함하여 엔드포인트용 Microsoft Defender의 가치를 신속하게 입증하는 데 도움이 되는 간소화된 설정 환경이 제공됩니다. 자세한 내용은 기능 평가를 참조하세요. 이 문서에서 제공하는 지침과 평가 랩의 주요 차이점은 평가 환경이 프로덕션 디바이스를 사용하는 반면 평가 랩은 비프로덕션 디바이스를 사용한다는 것입니다.

1단계: 라이선스 상태 확인

먼저 라이선스 상태를 확인하여 제대로 프로비전되었는지 확인해야 합니다. 관리 센터 또는 Microsoft Azure Portal을 통해 이 작업을 수행할 수 있습니다.

1. 라이선스를 보려면 Microsoft Azure Portal 로 이동하여 Microsoft Azure Portal 라이선스 섹션으로 이동합니다.

   

2. 또는 관리 센터에서 청구>구독으로 이동합니다.

   화면에 프로비전된 모든 라이선스와 현재 상태가 표시됩니다.

   

2단계: 지원되는 관리 도구를 사용하여 엔드포인트 온보딩

라이선스 상태가 제대로 프로비전되었는지 확인한 후 서비스에 디바이스 온보딩을 시작할 수 있습니다.

엔드포인트용 Microsoft Defender를 평가하기 위해 평가를 수행할 몇 가지 Windows 디바이스를 선택하는 것이 좋습니다.

지원되는 관리 도구를 사용하도록 선택할 수 있지만 Intune은 최적의 통합을 제공합니다. 자세한 내용은 Microsoft Intune에서 엔드포인트용 Microsoft Defender 구성을 참조하세요.

배포 계획 항목에서는 엔드포인트용 Defender를 배포하기 위해 수행해야 하는 일반적인 단계를 간략하게 설명합니다.

온보딩 프로세스에 대한 간략한 개요를 보려면 이 비디오를 시청하고 사용 가능한 도구 및 방법에 대해 알아봅니다.

온보딩 도구 옵션

다음 표에서는 온보딩해야 하는 엔드포인트를 기반으로 사용 가능한 도구를 나열합니다.

끝점	도구 옵션
Windows	- 로컬 스크립트(최대 10개 디바이스) - 그룹 정책 - Microsoft Intune/모바일 디바이스 관리자 - Microsoft Endpoint Configuration Manager - VDI 스크립트
macOS	- 로컬 스크립트 - Microsoft Intune - JAMF Pro - 모바일 디바이스 관리
iOS	앱 기반
Android	Microsoft Intune

엔드포인트용 Microsoft Defender를 파일럿하는 경우 전체 조직을 온보딩하기 전에 서비스에 몇 가지 디바이스를 온보딩하도록 선택할 수 있습니다.

그런 다음, 공격 시뮬레이션을 실행하고 엔드포인트용 Defender가 악의적인 활동을 표시하고 효율적인 대응을 수행할 수 있는 방법을 확인하는 등 사용할 수 있는 기능을 사용해 볼 수 있습니다.

3단계: 파일럿 그룹 확인

평가 사용 섹션에 설명된 온보딩 단계를 완료한 후 약 1시간 후에 디바이스 인벤토리 목록에 디바이스가 표시됩니다.

온보딩된 디바이스가 표시되면 기능을 사용해 볼 수 있습니다.

4단계: 기능 사용해 보기

이제 일부 디바이스 온보딩을 완료하고 서비스에 보고하고 있는지 확인했으므로 즉시 사용할 수 있는 강력한 기능을 시도하여 제품에 익숙해집니다.

파일럿 중에는 복잡한 구성 단계를 거치지 않고도 몇 가지 기능을 사용해 보고 작동하는 제품을 쉽게 확인할 수 있습니다.

먼저 대시보드를 확인해 보겠습니다.

디바이스 인벤토리 보기

디바이스 인벤토리에는 네트워크의 엔드포인트, 네트워크 디바이스 및 IoT 디바이스 목록이 표시됩니다. 네트워크의 디바이스 보기를 제공할 뿐만 아니라 도메인, 위험 수준, OS 플랫폼 및 위험에 가장 위험한 디바이스를 쉽게 식별하기 위한 기타 세부 정보와 같은 해당 디바이스에 대한 자세한 정보도 제공합니다.

Microsoft Defender 취약성 관리 대시보드 보기

Defender 취약성 관리를 사용하면 조직에 가장 긴급하고 가장 높은 위험을 초래하는 약점에 집중할 수 있습니다. 대시보드에서 조직 노출 점수, 디바이스용 Microsoft 보안 점수, 디바이스 노출 분포, 최고 보안 권장 사항, 상위 취약한 소프트웨어, 상위 수정 활동 및 노출된 상위 디바이스 데이터의 개략적인 보기를 가져옵니다.

시뮬레이션 실행

엔드포인트용 Microsoft Defender는 파일럿 디바이스에서 실행할 수 있는 "Do It Yourself" 공격 시나리오 와 함께 제공됩니다. 각 문서에는 OS 및 애플리케이션 요구 사항과 공격 시나리오와 관련된 자세한 지침이 포함되어 있습니다. 이러한 스크립트는 안전하고 문서화되며 사용하기 쉽습니다. 이러한 시나리오는 엔드포인트용 Defender 기능을 반영하고 조사 환경을 안내합니다.

제공된 시뮬레이션을 실행하려면 하나 이상의 온보딩된 디바이스가 필요합니다.

1. 도움말>시뮬레이션 & 자습서에서 시뮬레이트하려는 사용 가능한 공격 시나리오를 선택합니다.

   • 시나리오 1: 문서 드롭 백도어 - 사회적으로 엔지니어링된 루어 문서 배달을 시뮬레이션합니다. 이 문서는 공격자가 제어할 수 있도록 특별히 제작된 백도어를 시작합니다.

   • 시나리오 2: 파일리스 공격의 PowerShell 스크립트 - PowerShell 을 사용하는 파일리스 공격을 시뮬레이션하여 악의적인 메모리 활동의 공격 표면 감소 및 디바이스 학습 검색을 보여 줍니다.

   • 시나리오 3: 자동화된 인시던트 대응 - 자동 조사를 트리거하여 위반 아티팩트를 자동으로 헌팅하고 수정하여 인시던트 대응 용량을 확장합니다.

2. 선택한 시나리오와 함께 제공되는 해당 연습 문서를 다운로드하고 읽습니다.

3. 시뮬레이션 파일을 다운로드하거나 도움말> 시뮬레이션& 자습서로 이동하여 시뮬레이션 스크립트를 복사합니다. 테스트 디바이스에서 파일 또는 스크립트를 다운로드하도록 선택할 수 있지만 필수는 아닙니다.

4. 연습 문서에 설명된 대로 테스트 디바이스에서 시뮬레이션 파일 또는 스크립트를 실행합니다.

참고

시뮬레이션 파일 또는 스크립트는 공격 활동을 모방하지만 실제로는 무해하며 테스트 디바이스에 해를 끼치거나 손상시키지 않습니다.

SIEM 통합

엔드포인트용 Defender를 Microsoft Sentinel 또는 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel을 사용하면 조직 전체에서 보안 이벤트를 보다 포괄적으로 분석하고 효과적이고 즉각적인 대응을 위해 플레이북을 빌드할 수 있습니다.

Microsoft Sentinel에는 엔드포인트용 Defender 커넥터가 포함되어 있습니다. 자세한 내용은 Microsoft Sentinel용 엔드포인트용 Microsoft Defender 커넥터를 참조하세요.

일반 SIEM 시스템과의 통합에 대한 자세한 내용은 엔드포인트용 Microsoft Defender에서 SIEM 통합 사용을 참조하세요.

다음 단계

엔드포인트용 Defender 보안 운영 가이드의 정보를 SecOps 프로세스에 통합합니다.

Microsoft Defender XDR의 엔드 투 엔드 배포를 위한 다음 단계

파일럿을 사용하여 Microsoft Defender XDR의 엔드 투 엔드 배포를 계속하고 클라우드용 Microsoft Defender 앱을 배포합니다.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.