엔드포인트용 Defender에서 고급 기능 구성

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

사용하는 Microsoft 보안 제품에 따라 엔드포인트용 Defender를 통합할 수 있는 몇 가지 고급 기능을 사용할 수 있습니다.

고급 기능 사용

1. 보안 관리자 또는 전역 관리자 역할이 할당된 계정을 사용하여 Microsoft Defender XDR 로그인합니다.

2. 탐색 창에서 설정>엔드포인트>고급 기능을 선택합니다.

3. 구성하려는 고급 기능을 선택하고 설정을 켜 기와 끄기 간에 전환 합니다.

4. 기본 설정 저장을 선택합니다.

다음 고급 기능을 사용하여 잠재적으로 악성 파일로부터 더 잘 보호하고 보안 조사 중에 더 나은 인사이트를 얻을 수 있습니다.

실시간 응답

적절한 권한이 있는 사용자가 디바이스에서 라이브 응답 세션을 시작할 수 있도록 이 기능을 켭니다.

역할 할당에 대한 자세한 내용은 역할 Create 및 관리를 참조하세요.

서버에 대한 라이브 응답

적절한 권한이 있는 사용자가 서버에서 라이브 응답 세션을 시작할 수 있도록 이 기능을 켭니다.

역할 할당에 대한 자세한 내용은 역할 Create 및 관리를 참조하세요.

라이브 응답 서명되지 않은 스크립트 실행

이 기능을 사용하면 라이브 응답 세션에서 서명되지 않은 스크립트를 실행할 수 있습니다.

범위가 지정된 디바이스 그룹 내에서 상관 관계 제한

이 구성은 로컬 SOC 작업에서 액세스할 수 있는 디바이스 그룹으로만 경고 상관 관계를 제한하려는 시나리오에 사용할 수 있습니다. 이 설정을 켜면 디바이스 간 그룹이 더 이상 단일 인시던트로 간주되지 않는다는 경고로 구성된 인시던트가 발생합니다. 로컬 SOC는 관련된 디바이스 그룹 중 하나에 액세스할 수 있으므로 인시던트에 대한 조치를 취할 수 있습니다. 그러나 전역 SOC는 하나의 인시던트 대신 디바이스 그룹별로 여러 다른 인시던트가 표시됩니다. 이렇게 하면 전체 organization 인시던트 상관 관계의 이점을 능가하지 않는 한 이 설정을 켜지 않는 것이 좋습니다.

참고

• 이 설정을 변경하면 향후 경고 상관 관계에만 영향을 줍니다.

• 디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.

블록 모드에서 EDR 사용

블록 모드의 EDR(엔드포인트 검색 및 응답)은 Microsoft Defender 바이러스 백신이 수동 모드에서 실행되는 경우에도 악의적인 아티팩트로부터 보호를 제공합니다. 켤 때 블록 모드의 EDR은 디바이스에서 검색되는 악의적인 아티팩트 또는 동작을 차단합니다. 블록 모드의 EDR은 백그라운드에서 작동하여 위반 후 검색된 악성 아티팩트를 수정합니다.

수정된 경고 자동 해결

Windows 10, 버전 1809 또는 그 이후에 만든 테넌트의 경우 자동화된 조사 및 수정 기능은 자동화된 분석 결과 상태 "위협 없음" 또는 "수정됨"인 경고를 resolve 위해 기본적으로 구성됩니다. 경고를 자동으로 해결하지 않으려면 기능을 수동으로 해제해야 합니다.

팁

해당 버전 이전에 만든 테넌트의 경우 고급 기능 페이지에서 이 기능을 수동으로 켜야 합니다.

참고

• 자동 resolve 작업의 결과는 디바이스에 있는 활성 경고를 기반으로 하는 디바이스 위험 수준 계산에 영향을 줄 수 있습니다.
• 보안 운영 분석가가 경고의 상태 수동으로 "진행 중" 또는 "해결됨"으로 설정하는 경우 자동 resolve 기능이 덮어쓰지 않습니다.

파일 허용 또는 차단

차단은 organization 다음 요구 사항을 충족하는 경우에만 사용할 수 있습니다.

• Microsoft Defender 바이러스 백신을 활성 맬웨어 방지 솔루션으로 사용하고,
• 클라우드 기반 보호 기능이 사용하도록 설정됨

이 기능을 사용하면 네트워크에서 잠재적으로 악성 파일을 차단할 수 있습니다. 파일을 차단하면 organization 디바이스에서 파일을 읽거나 쓰거나 실행할 수 없습니다.

파일 허용 또는 차단을 켜려면 다음을 수행합니다.

1. 탐색 창에서 설정>엔드포인트>일반>고급 기능>허용 또는 차단 파일을 선택합니다.

2. 켜기와 끄기 간에 설정을 전환합니다.

   

3. 페이지 아래쪽에서 기본 설정 저장 을 선택합니다.

이 기능을 켜면 파일의 프로필 페이지에서 표시기 추가 탭을 통해 파일을 차단할 수 있습니다.

잠재적인 중복 디바이스 레코드 숨기기

이 기능을 사용하도록 설정하면 잠재적인 중복 디바이스 레코드를 숨김으로써 디바이스에 대한 가장 정확한 정보를 볼 수 있습니다. 중복된 디바이스 레코드가 발생할 수 있는 여러 가지 이유가 있습니다. 예를 들어 엔드포인트용 Microsoft Defender 디바이스 검색 기능은 네트워크를 검색하고 이미 온보딩되었거나 최근에 오프보딩된 디바이스를 검색할 수 있습니다.

이 기능은 호스트 이름과 마지막으로 본 시간을 기반으로 잠재적인 중복 디바이스를 식별합니다. 중복 디바이스는 컴퓨터 데이터에 대한 디바이스 인벤토리, Microsoft Defender 취약성 관리 페이지 및 공용 API와 같은 포털의 여러 환경에서 숨겨지고 가장 정확한 디바이스 레코드가 표시됩니다. 그러나 중복 항목은 전역 검색, 고급 헌팅, 경고 및 인시던트 페이지에 계속 표시됩니다.

이 설정은 기본적으로 켜져 있으며 테넌트 전체에 적용됩니다. 잠재적인 중복 디바이스 레코드를 숨기지 않으려면 기능을 수동으로 해제해야 합니다.

사용자 지정 네트워크 표시기

이 기능을 켜면 IP 주소, 도메인 또는 URL에 대한 표시기를 만들 수 있습니다. 이 지표는 사용자 지정 표시기 목록에 따라 허용 또는 차단되는지 여부를 결정합니다.

이 기능을 사용하려면 디바이스가 Windows 10 버전 1709 이상 또는 Windows 11 실행 중이어야 합니다. 또한 맬웨어 방지 플랫폼의 블록 모드 및 버전 4.18.1906.3 이상에서는 KB 4052623 참조하세요.

자세한 내용은 표시기 관리를 참조하세요.

참고

네트워크 보호는 엔드포인트용 Defender 데이터에 대해 선택한 위치 외부에 있을 수 있는 위치에서 요청을 처리하는 평판 서비스를 활용합니다.

변조 방지

일부 종류의 사이버 공격 중에 악의적인 행위자가 컴퓨터에서 바이러스 백신 보호와 같은 보안 기능을 사용하지 않도록 설정하려고 합니다. 악의적인 행위자는 데이터에 더 쉽게 액세스하거나, 맬웨어를 설치하거나, 데이터, ID 및 디바이스를 악용하기 위해 보안 기능을 사용하지 않도록 설정하는 것을 좋아합니다. 변조 방지는 기본적으로 바이러스 백신에 Microsoft Defender 잠그고 앱 및 방법을 통해 보안 설정이 변경되지 않도록 방지합니다.

변조 방지를 구성하는 방법을 비롯한 자세한 내용은 변조 방지를 사용하여 보안 설정 보호를 참조하세요.

사용자 세부 정보 표시

Microsoft Entra ID 저장된 사용자 세부 정보를 볼 수 있도록 이 기능을 켭니다. 세부 정보에는 사용자 계정 엔터티를 조사할 때 사용자의 사진, 이름, 제목 및 부서 정보가 포함됩니다. 다음 보기에서 사용자 계정 정보를 찾을 수 있습니다.

• 경고 큐
• 디바이스 세부 정보 페이지

자세한 내용은 사용자 계정 조사를 참조하세요.

비즈니스용 Skype 통합

비즈니스용 Skype 통합을 사용하도록 설정하면 비즈니스용 Skype, 전자 메일 또는 전화를 사용하여 사용자와 통신할 수 있습니다. 이 활성화는 사용자와 통신하고 위험을 완화해야 하는 경우에 유용할 수 있습니다.

참고

디바이스가 네트워크에서 격리되는 경우 Outlook 및 Skype 통신을 사용하도록 선택할 수 있는 팝업이 있습니다. 그러면 네트워크에서 연결이 끊어지는 동안 사용자에게 통신할 수 있습니다. 이 설정은 디바이스가 격리 모드인 경우 Skype 및 Outlook 통신에 적용됩니다.

위협 인텔리전스 연결 Office 365

중요

이 설정은 Office 365용 Microsoft Defender 및 엔드포인트용 Microsoft Defender 이전에 다른 포털에 있을 때 사용되었습니다. 이제 Microsoft Defender XDR 호출되는 통합 포털에 보안 환경이 수렴되면 이러한 설정은 관련이 없으며 연결된 기능이 없습니다. 포털에서 제거될 때까지 컨트롤의 상태 무시해도 됩니다.

이 기능은 Office 365 E5 또는 위협 인텔리전스 추가 기능에 대한 활성 구독이 있는 경우에만 사용할 수 있습니다. 자세한 내용은 Office 365 E5 제품 페이지를 참조하세요.

이 기능을 사용하면 Office 365용 Microsoft Defender 데이터를 Microsoft Defender XDR 통합하여 Office 365 사서함 및 Windows 디바이스에서 포괄적인 보안 조사를 수행할 수 있습니다.

참고

이 기능을 사용하려면 적절한 라이선스가 있어야 합니다.

Office 365 위협 인텔리전스에서 컨텍스트 디바이스 통합을 받으려면 보안 & 규정 준수 dashboard 엔드포인트용 Defender 설정을 사용하도록 설정해야 합니다. 자세한 내용은 위협 조사 및 대응을 참조하세요.

엔드포인트 공격 알림

엔드포인트 공격 알림을 사용하면 Microsoft가 엔드포인트 데이터에 대한 긴급성과 영향에 따라 우선 순위를 지정하는 중요한 위협을 적극적으로 헌팅할 수 있습니다.

전자 메일, 공동 작업, ID, 클라우드 애플리케이션 및 엔드포인트에 걸친 위협을 포함하여 Microsoft Defender XDR 전체 scope 사전 헌팅을 위해 Microsoft Defender 전문가에 대해 자세히 알아보세요.

Microsoft Defender for Cloud Apps

이 설정을 사용하도록 설정하면 엔드포인트용 Defender 신호를 Microsoft Defender for Cloud Apps 전달하여 클라우드 애플리케이션 사용에 대한 심층적인 가시성을 제공합니다. 전달된 데이터는 Defender for Cloud Apps 데이터와 동일한 위치에 저장되고 처리됩니다.

참고

이 기능은 Windows 10, 버전 1709(OS 빌드 16299.1085 및 KB4493441), Windows 10, 버전 1803(OS 빌드 17134.704 및 KB4493464)을 실행하는 디바이스에서 Enterprise Mobility + Security E5 라이선스와 함께 사용할 수 Windows 10, 버전 1809 (os Build 17763.379 with KB4489899), 이후 버전 Windows 10 또는 Windows 11.

Microsoft Defender for Identity 포털에서 엔드포인트용 Microsoft Defender 통합 사용

Microsoft Defender for Identity 컨텍스트 디바이스 통합을 받으려면 Microsoft Defender for Identity 포털에서도 이 기능을 사용하도록 설정해야 합니다.

1. 전역 관리자 또는 보안 관리자 역할을 사용하여 Microsoft Defender for Identity 포털에 로그인합니다.

2. instance Create 선택합니다.

3. 통합 설정을 켜기로 전환 하고 저장을 선택합니다.

두 포털에서 통합 단계를 완료하면 디바이스 세부 정보 또는 사용자 세부 정보 페이지에서 관련 경고를 볼 수 있습니다.

웹 컨텐츠 필터링

원치 않는 콘텐츠가 포함된 웹 사이트에 대한 액세스를 차단하고 모든 도메인에서 웹 활동을 추적합니다. 차단하려는 웹 콘텐츠 범주를 지정하려면 웹 콘텐츠 필터링 정책을 만듭니다. 엔드포인트용 Microsoft Defender 보안 기준을 배포할 때 블록 모드에서 네트워크 보호를 수행했는지 확인합니다.

Microsoft Purview 규정 준수 포털 엔드포인트 경고 공유

엔드포인트 보안 경고 및 심사 상태 Microsoft Purview 규정 준수 포털 전달하여 경고를 사용하여 내부 위험 관리 정책을 개선하고 피해를 입기 전에 내부 위험을 수정할 수 있습니다. 전달된 데이터는 처리되고 Office 365 데이터와 동일한 위치에 저장됩니다.

내부 위험 관리 설정에서 보안 정책 위반 지표를 구성한 후 엔드포인트용 Defender 경고는 해당 사용자에 대한 내부 위험 관리와 공유됩니다.

인증된 원격 분석

인증된 원격 분석을 켜서 원격 분석을 dashboard 스푸핑하지 않도록 할 수 있습니다.

Microsoft Intune 연결

엔드포인트용 Defender를 Microsoft Intune 통합하여 디바이스 위험 기반 조건부 액세스를 사용하도록 설정할 수 있습니다. 이 기능을 켜면 엔드포인트용 Defender 디바이스 정보를 Intune 공유하여 정책 적용을 강화할 수 있습니다.

중요

이 기능을 사용하려면 Intune 및 엔드포인트용 Defender 모두에서 통합을 사용하도록 설정해야 합니다. 특정 단계에 대한 자세한 내용은 엔드포인트용 Defender에서 조건부 액세스 구성을 참조하세요.

이 기능은 다음 필수 구성 요소가 있는 경우에만 사용할 수 있습니다.

• Enterprise Mobility + Security E3 라이선스가 부여된 테넌트 및 Windows E5(또는 Microsoft 365 Enterprise E5)
• Intune 관리형 Windows 디바이스가 조인될 Microsoft Entra 있는 활성 Microsoft Intune 환경입니다.

조건부 액세스 정책

Intune 통합을 사용하도록 설정하면 Intune 클래식 CA(조건부 액세스) 정책을 자동으로 만듭니다. 이 클래식 CA 정책은 Intune 상태 보고서를 설정하기 위한 필수 구성 요소입니다. 삭제하면 안 됩니다.

참고

Intune 만든 클래식 CA 정책은 엔드포인트를 구성하는 데 사용되는 최신 조건부 액세스 정책과 다릅니다.

장치 검색

추가 어플라이언스 또는 번거로운 프로세스 변경 없이 회사 네트워크에 연결된 관리되지 않는 디바이스를 찾을 수 있습니다. 온보딩된 디바이스를 사용하여 네트워크에서 관리되지 않는 디바이스를 찾고 취약성 및 위험을 평가할 수 있습니다. 자세한 내용은 디바이스 검색을 참조하세요.

참고

항상 필터를 적용하여 장치 인벤토리 목록에서 관리되지 않는 장치를 제외할 수 있습니다. API 쿼리의 온보딩 상태 열을 사용하여 관리되지 않는 장치를 필터링할 수도 있습니다.

미리 보기 기능

엔드포인트용 Defender 미리 보기 릴리스의 새로운 기능에 대해 알아봅니다. 미리 보기 환경을 켜서 예정된 기능을 사용해 보세요.

기능을 일반 공급하기 전에 전반적인 환경을 개선하는 데 도움이 되는 피드백을 제공할 수 있는 예정된 기능에 액세스할 수 있습니다.

격리된 파일 다운로드

격리된 파일을 격리에서 직접 다운로드할 수 있도록 안전하고 호환되는 위치에 백업합니다. 파일 다운로드 단추는 항상 파일 페이지에서 사용할 수 있습니다. 이 설정은 기본적으로 켜져 있습니다. 요구 사항에 대해 자세히 알아보기

디바이스 온보딩 중 연결 간소화(미리 보기)

이 설정은 해당 운영 체제에 대해 기본 온보딩 패키지를 '간소화됨'으로 설정합니다.

여전히 온보딩 페이지 내에서 표준 온보딩 패키지를 사용할 수 있지만 드롭다운에서 특별히 선택해야 합니다.

관련 항목

• 데이터 보존 설정 업데이트
• 경고 알림 구성

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.