공격 표면 감소 규칙 배포 개요
적용 대상:
공격 표면은 organization 사이버 위협 및 공격에 취약한 모든 장소입니다. 공격 노출 영역을 줄이면 organization 디바이스와 네트워크를 보호할 수 있으므로 공격자는 공격 방법이 줄어듭니다. 엔드포인트용 Microsoft Defender 공격 표면 감소 규칙을 구성하는 것이 도움이 될 수 있습니다.
공격 표면 감소 규칙은 다음과 같은 특정 소프트웨어 동작을 대상으로 합니다.
- 파일을 다운로드하거나 실행하려는 실행 파일 및 스크립트 시작
- 난독 제거되거나 의심스러운 스크립트 실행
- 일반적으로 일상적인 작업 중에 앱이 발생하지 않는 동작
다양한 공격 표면을 줄이면 공격이 처음부터 발생하지 않도록 방지할 수 있습니다.
이 배포 컬렉션은 공격 표면 감소 규칙의 다음 측면에 대한 정보를 제공합니다.
- 공격 표면 감소 규칙 요구 사항
- 공격 표면 감소 규칙 배포 계획
- 테스트 공격 표면 감소 규칙
- 공격 표면 감소 규칙 구성 및 사용
- 공격 표면 감소 규칙 모범 사례
- 공격 표면 감소 규칙 고급 헌팅
- 공격 표면 감소 규칙 이벤트 뷰어
공격 표면 감소 규칙 배포 단계
잠재적으로 기간 업무에 영향을 줄 수 있는 새로운 대규모 구현과 마찬가지로 계획 및 구현에서 체계적이어야 합니다. 고유한 고객 워크플로에 가장 잘 작동하도록 공격 표면 감소 규칙을 신중하게 계획하고 배포해야 합니다. 사용자 환경에서 작업하려면 공격 표면 감소 규칙을 신중하게 계획, 테스트, 구현 및 운영해야 합니다.
중요한 사전 배포 주의 사항
다음 세 가지 표준 보호 규칙을 사용하도록 설정하는 것이 좋습니다. 두 가지 유형의 공격 표면 감소 규칙에 대한 중요한 세부 정보는 유형별 공격 표면 감소 규칙을 참조하세요.
- Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe)
- 악용된 취약한 서명된 드라이버의 남용 차단
- WMI(Windows Management Instrumentation) 이벤트 구독을 통한 지속성 차단
일반적으로 최종 사용자에게 눈에 띄는 영향을 최소화하여 표준 보호 규칙을 사용하도록 설정할 수 있습니다. 표준 보호 규칙을 사용하도록 설정하는 쉬운 방법은 표준 보호 간소화 옵션을 참조하세요.
참고
타사 HIPS를 사용하고 엔드포인트용 Microsoft Defender 공격 표면 감소 규칙으로 전환하는 고객의 경우 감사 모드에서 차단 모드로 전환하는 순간까지 공격 표면 감소 규칙 배포와 함께 HIPS 솔루션을 실행하는 것이 좋습니다. 제외 권장 사항은 Microsoft가 아닌 바이러스 백신 공급자에게 문의해야 합니다.
공격 표면 감소 규칙 테스트 또는 활성화를 시작하기 전에
초기 준비 중에는 배치한 시스템의 기능을 이해하는 것이 중요합니다. 기능을 이해하면 organization 보호하는 데 가장 중요한 공격 표면 감소 규칙을 결정하는 데 도움이 됩니다. 또한 공격 표면 감소 배포를 준비하기 위해 수행해야 하는 몇 가지 필수 구성 요소가 있습니다.
중요
이 가이드에서는 공격 표면 감소 규칙을 구성하는 방법을 결정하는 데 도움이 되는 이미지와 예제를 제공합니다. 이러한 이미지와 예제는 사용자 환경에 가장 적합한 구성 옵션을 반영하지 않을 수 있습니다.
시작하기 전에 공격 표면 감소 개요 및 공격 표면 감소 규칙 신비화 - 1부 에서 기본 정보를 검토합니다. 범위 및 잠재적 영향 영역을 이해하려면 현재 공격 표면 감소 규칙 집합에 익숙해지세요. 공격 표면 감소 규칙 참조를 참조하세요. 공격 표면 감소 규칙 집합을 숙지하는 동안 규칙별 GUID 매핑을 기록해 둡니다. GUID 매트릭스에 대한 공격 표면 감소 규칙을 참조하세요.
공격 표면 감소 규칙은 엔드포인트용 Microsoft Defender 내의 공격 표면 감소 기능 중 하나일 뿐입니다. 이 문서에서는 사람이 운영하는 랜섬웨어 및 기타 위협과 같은 고급 위협을 막기 위해 공격 표면 감소 규칙을 효과적으로 배포하는 방법을 자세히 설명합니다.
공격 노출 영역 감소 규칙 범주별 목록
다음 표에서는 범주별 공격 표면 감소 규칙을 보여 줍니다.
| 다형성 위협 | 횡적 이동 & 자격 증명 도난 | 생산성 앱 규칙 | Email 규칙 | 스크립트 규칙 | 기타 규칙 |
|---|---|---|---|---|---|
| 실행 파일이 보급(1,000대 컴퓨터), 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | Office 앱에서 실행 파일 콘텐츠를 만들지 못하도록 차단 | 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | 난독 제거된 JS/VBS/PS/매크로 코드 차단 | 악용된 취약한 서명된 운전자 의 남용 차단 [1] |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe)[2] | Office 앱에서 자식 프로세스를 만들지 못하도록 차단 | Office 통신 애플리케이션만 자식 프로세스를 만들지 못하도록 차단 | JS/VBS가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | |
| 랜섬웨어에 대한 고급 보호 사용 | WMI 이벤트 구독을 통한 지속성 차단 | Office 앱이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | Office 통신 앱이 자식 프로세스를 만들지 못하도록 차단 | ||
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 |
(1) 이제 엔드포인트 보안>공격 표면 감소에서 악용된 취약한 서명된 드라이버의 남용을 차단할 수 있습니다.
(2) 일부 공격 표면 감소 규칙은 상당한 노이즈를 생성하지만 기능을 차단하지는 않습니다. 예를 들어 Chrome을 업데이트하는 경우 Chrome은 lsass.exe에 액세스합니다. 암호는 디바이스 의 lsass 에 저장됩니다. 그러나 Chrome은lsass.exe 로컬 디바이스에 액세스해서는 안 됩니다. lsass에 대한 액세스를 차단하는 규칙을 사용하도록 설정하면 많은 이벤트가 표시됩니다. 소프트웨어 업데이트 프로세스는 lsass.exe 액세스해서는 안 되므로 이러한 이벤트는 좋은 이벤트입니다. 이 규칙을 사용하면 Chrome 업데이트가 lsass에 액세스하지 못하도록 차단하지만 Chrome의 업데이트는 차단하지 않습니다. 이는 lsass.exe불필요한 호출을 하는 다른 애플리케이션에서도 마찬가지입니다. lsass 규칙에 대한 액세스 차단은 lsass에 대한 불필요한 호출을 차단하지만 애플리케이션의 실행을 차단하지는 않습니다.
공격 표면 감소 인프라 요구 사항
공격 표면 감소 규칙을 구현하는 여러 방법이 가능하지만 이 가이드는 으로 구성된 인프라를 기반으로 합니다.
- Microsoft Entra ID
- Microsoft Intune
- 디바이스 Windows 10 및 Windows 11
- E5 또는 Windows E5 라이선스 엔드포인트용 Microsoft Defender
공격 표면 감소 규칙 및 보고를 최대한 활용하려면 Microsoft Defender XDR E5 또는 Windows E5 라이선스 및 A5를 사용하는 것이 좋습니다. 엔드포인트용 Microsoft Defender 대한 최소 요구 사항에 대해 자세히 알아보세요.
참고
공격 표면 감소 규칙을 구성하는 방법에는 여러 가지가 있습니다. 공격 표면 감소 규칙은 Microsoft Intune, PowerShell, 그룹 정책, ConfigMgr(Microsoft Configuration Manager), Intune OMA-URI를 사용하여 구성할 수 있습니다. 인프라 요구 사항에 대해 나열된 것과 다른 인프라 구성을 사용하는 경우 공격 표면 감소 규칙 사용에서 다른 구성을 사용하여 공격 표면 감소 규칙을 배포하는 방법에 대해 자세히 알아볼 수 있습니다.
공격 표면 감소 규칙 종속성
Microsoft Defender 바이러스 백신은 기본 바이러스 백신 솔루션으로 사용하도록 설정하고 구성해야 하며 다음 모드에 있어야 합니다.
- 기본 바이러스 백신/맬웨어 방지 솔루션
- 상태: 활성 모드
Microsoft Defender 바이러스 백신은 다음 모드에 있으면 안 됩니다.
- 수동
- 블록 모드에서 EDR(엔드포인트 검색 및 응답)이 있는 수동 모드
- 제한된 LPS(정기 검사)
- 해제
자세한 내용은 클라우드 제공 보호 및 Microsoft Defender 바이러스 백신을 참조하세요.
공격 표면 감소 규칙을 사용하려면 MAPS(클라우드 보호)를 사용하도록 설정해야 합니다.
Microsoft Defender 바이러스 백신은 Microsoft 클라우드 서비스와 원활하게 작동합니다. MAPS(Microsoft Advanced Protection Service)라고도 하는 이러한 클라우드 보호 서비스는 표준 실시간 보호를 향상시켜 최고의 바이러스 백신 방어를 제공합니다. 클라우드 보호는 맬웨어의 위반을 방지하는 데 중요하며 공격 표면 감소 규칙의 중요한 구성 요소입니다. Microsoft Defender 바이러스 백신에서 클라우드 제공 보호를 켭니다.
Microsoft Defender 바이러스 백신 구성 요소는 공격 표면 감소 규칙의 현재 버전이어야 합니다.
다음 Microsoft Defender 바이러스 백신 구성 요소 버전은 현재 사용 가능한 버전보다 이전 버전이 두 개 이상이어야 합니다.
- Microsoft Defender 바이러스 백신 플랫폼 업데이트 버전 - Microsoft Defender 바이러스 백신 플랫폼은 매월 업데이트됩니다.
- 바이러스 백신 엔진 버전 Microsoft Defender - Microsoft Defender 바이러스 백신 엔진은 매월 업데이트됩니다.
- 바이러스 백신 보안 인텔리전스 Microsoft Defender - Microsoft는 최신 위협을 해결하고 검색 논리를 구체화하기 위해 Microsoft Defender 보안 인텔리전스(정의 및 서명이라고도 함)를 지속적으로 업데이트합니다.
Microsoft Defender 바이러스 백신 버전을 최신 상태로 유지하면 공격 표면 감소 규칙 가양성 결과를 줄이고 Microsoft Defender 바이러스 백신 검색 기능을 개선하는 데 도움이 됩니다. 현재 버전 및 다양한 Microsoft Defender 바이러스 백신 구성 요소를 업데이트하는 방법에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 플랫폼 지원을 참조하세요.
경고
부호 없는 내부적으로 개발된 애플리케이션 및 스크립트 사용량이 많은 경우 일부 규칙이 제대로 작동하지 않습니다. 코드 서명이 적용되지 않으면 공격 표면 감소 규칙을 배포하기가 더 어렵습니다.
이 배포 컬렉션의 다른 문서
참조
블로그
공격 표면 감소 규칙 수집
Microsoft Defender
Endpoint용 Microsoft Defender에서 가양성/가음성 처리
클라우드 제공 보호 및 Microsoft Defender 바이러스 백신
Microsoft Defender 바이러스 백신에서 클라우드 제공 보호 켜기
확장, 이름 또는 위치에 따라 제외 구성 및 유효성 검사
Microsoft Defender 바이러스 백신 플랫폼 지원
Microsoft 365 앱 관리 센터의 인벤토리 개요
Intune 분산 IT에 RBAC(역할 기반 액세스 제어) 및 scope 태그 사용
관리 사이트
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기