공격 표면 감소 규칙 운영

아티클
04/27/2024

적용 대상:

공격 표면 감소 규칙을 완전히 배포한 후에는 ASR 관련 활동을 모니터링하고 대응하는 프로세스가 있어야 합니다. 활동에는 다음이 포함됩니다.

ASR 규칙 가양성 관리

가양성/부정은 위협 방지 솔루션에서 발생할 수 있습니다. 가양성 은 엔터티가 실제로 위협이 아니지만 엔터티(예: 파일 또는 프로세스)가 검색되고 악의적인 것으로 식별되는 경우입니다. 반면, 거짓 부정은 위협으로 검색되지 않았지만 악의적인 엔터티입니다. 가양성 및 거짓 부정에 대한 자세한 내용은 다음을 참조하세요. 엔드포인트용 Microsoft Defender

ASR 규칙 보고서 유지

보고서에 대한 일관되고 정기적인 검토는 공격 표면 감소 규칙 배포를 유지하고 새로 떠오르는 위협을 지속적으로 유지하는 데 필수적인 측면입니다. organization 공격 표면 감소 규칙 보고 이벤트를 최신 상태로 유지하는 주기에 대한 공격 표면 감소 규칙 이벤트에 대한 예약된 검토가 있어야 합니다. organization 크기에 따라 리뷰는 매일, 매시간 또는 지속적인 모니터링일 수 있습니다.

ASR 규칙 고급 헌팅

Microsoft Defender XDR 가장 강력한 기능 중 하나는 고급 헌팅입니다. 고급 헌팅에 익숙하지 않은 경우 고급 헌팅 을 사용하여 위협을 사전에 헌팅을 참조하세요.

고급 헌팅은 캡처된 데이터를 최대 30일 동안 탐색할 수 있는 쿼리 기반(Kusto 쿼리 언어) 위협 헌팅 도구입니다. 고급 헌팅을 통해 흥미로운 지표 및 엔터티를 찾기 위해 이벤트를 사전에 검사할 수 있습니다. 데이터에 대한 유연한 액세스는 알려진 위협과 잠재적 위협 모두에 대한 제한없는 헌팅을 용이하게 합니다.

고급 헌팅을 통해 공격 표면 감소 규칙 정보를 추출하고, 보고서를 만들고, 지정된 공격 표면 감소 규칙 감사 또는 차단 이벤트의 컨텍스트에 대한 심층 정보를 얻을 수 있습니다.

Microsoft Defender 포털의 고급 헌팅 섹션에 있는 DeviceEvents 테이블에서 공격 표면 감소 규칙 이벤트를 쿼리할 수 있습니다. 예를 들어 다음 쿼리는 지난 30일 동안 공격 표면 감소 규칙이 있는 모든 이벤트를 데이터 원본으로 보고하는 방법을 보여 줍니다. 그런 다음, 쿼리는 ActionType 개수별로 공격 표면 감소 규칙의 이름으로 요약됩니다.

진행 중인 헌팅 포털에 표시되는 공격 표면 감소 이벤트는 매시간 표시되는 고유한 프로세스로 제한됩니다. 공격 표면 감소 이벤트의 시간은 해당 시간 내에 이벤트가 처음으로 표시되는 시간입니다.

DeviceEvents
| where Timestamp > ago(30d)
| where ActionType startswith "Asr"
| summarize EventCount=count() by ActionType

위의 내용은 AsrLsassCredentialTheft에 대해 187개의 이벤트가 등록되었음을 보여 줍니다.

차단된 경우 102
감사 대상 85
AsrOfficeChildProcess에 대한 두 개의 이벤트(감사됨의 경우 1개, 블록의 경우 1개)
AsrPsexecWmiChildProcessAudited에 대한 8개 이벤트

AsrOfficeChildProcess 규칙에 집중하고 관련된 실제 파일 및 프로세스에 대한 세부 정보를 얻으려면 ActionType에 대한 필터를 변경하고 요약 줄을 원하는 필드의 프로젝션으로 바꿉니다(이 경우 DeviceName, FileName, FolderPath 등).

DeviceEvents
| where (Actiontype startswith "AsrOfficechild")
| extend RuleId=extractjson("$Ruleid", AdditionalFields, typeof(string))
| project DeviceName, FileName, FolderPath, ProcessCommandLine, InitiatingProcessFileName, InitiatingProcessCommandLine