공격 표면 감소 규칙 배포 계획

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

공격 표면 감소 규칙을 테스트하거나 사용하도록 설정하기 전에 배포를 계획해야 합니다. 신중한 계획을 통해 공격 노출 영역 감소 규칙 배포를 테스트하고 규칙 예외를 앞지를 수 있습니다. 공격 표면 감소 규칙을 테스트할 계획인 경우 올바른 사업부부터 시작해야 합니다. 특정 사업부의 소규모 사용자 그룹으로 시작합니다. 구현을 조정하는 데 도움이 되는 피드백을 제공할 수 있는 특정 사업부 내에서 일부 챔피언을 식별할 수 있습니다.

중요

공격 표면 감소 규칙을 계획, 감사 및 사용하도록 설정하는 프로세스를 진행하는 동안 다음 세 가지 표준 보호 규칙을 사용하도록 설정하는 것이 좋습니다. 두 가지 유형의 공격 표면 감소 규칙에 대한 중요한 세부 정보는 유형별 공격 표면 감소 규칙을 참조하세요.

• Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단(lsass.exe)
• 악용된 취약한 서명된 드라이버의 남용 차단
• WMI(Windows Management Instrumentation) 이벤트 구독을 통한 지속성 차단

일반적으로 최종 사용자에게 눈에 띄는 영향을 최소화하면서 표준 보호 규칙을 사용하도록 설정할 수 있습니다. 표준 보호 규칙을 사용하도록 설정하는 쉬운 방법은 간소화된 표준 보호 옵션을 참조하세요.

올바른 사업부를 사용하여 ASR 규칙 배포 시작

공격 표면 감소 규칙 배포를 롤아웃할 사업부를 선택하는 방법은 다음과 같은 요인에 따라 달라집니다.

• 사업부의 크기
• 공격 표면 감소 규칙 챔피언의 가용성
• 배포 및 사용:
  • 소프트웨어
  • 공유 폴더
  • 스크립트 사용
  • Office 매크로
  • 공격 표면 감소 규칙의 영향을 받는 기타 엔터티

비즈니스 요구 사항에 따라 소프트웨어, 공유 폴더, 스크립트, 매크로 등을 광범위하게 샘플링하기 위해 여러 사업부를 포함하도록 결정할 수 있습니다. 첫 번째 공격 표면 감소 규칙 롤아웃의 scope 단일 사업부로 제한하기로 결정할 수 있습니다. 그런 다음, 전체 공격 표면 감소 규칙 롤아웃 프로세스를 한 번에 하나씩 다른 사업부에 반복합니다.

ASR 규칙 챔피언 식별

공격 표면 감소 규칙 챔피언은 예비 테스트 및 구현 단계에서 초기 공격 표면 감소 규칙 롤아웃을 도울 수 있는 organization 멤버입니다. 챔피언은 일반적으로 기술적으로 더 능숙하고 일시적인 업무 흐름 중단으로 탈선하지 않는 직원입니다. 챔피언의 참여는 organization 대한 공격 표면 감소 규칙 배포의 광범위한 확장을 통해 계속됩니다. 공격 표면 감소 규칙 챔피언은 먼저 공격 표면 감소 규칙 롤아웃의 각 수준을 경험합니다.

공격 표면 감소 규칙 챔피언에게 공격 표면 감소 규칙 관련 작업 중단을 경고하고 공격 표면 감소 규칙 롤아웃 관련 통신을 수신하도록 경고하는 피드백 및 대응 채널을 제공하는 것이 중요합니다.

기간 업무 앱의 인벤토리를 얻고 사업부 프로세스를 이해합니다.

organization 걸쳐 사용되는 애플리케이션 및 사업부별 프로세스를 완전히 이해하는 것은 성공적인 공격 표면 감소 규칙 배포에 매우 중요합니다. 또한 이러한 앱이 organization 다양한 사업부 내에서 어떻게 사용되는지 이해해야 합니다. 시작하려면 organization 전체에서 사용하도록 승인된 앱의 인벤토리를 가져와야 합니다. Microsoft 365 앱 관리 센터와 같은 도구를 사용하여 소프트웨어 애플리케이션의 인벤토리를 도울 수 있습니다. 참조: Microsoft 365 앱 관리 센터의 인벤토리 개요입니다.

보고 및 응답 ASR 규칙 팀 역할 및 책임 정의

공격 표면 감소 규칙 상태 및 활동을 모니터링하고 전달하는 담당자의 역할과 책임을 명확하게 설명하는 것은 공격 표면 감소 유지 관리의 핵심 활동입니다. 따라서 다음을 결정하는 것이 중요합니다.

• 보고서 수집을 담당하는 사람 또는 팀
• 보고서를 공유하는 방법 및 대상
• 새로 식별된 위협 또는 공격 표면 감소 규칙으로 인한 원치 않는 차단에 대해 에스컬레이션을 해결하는 방법

일반적인 역할 및 책임은 다음과 같습니다.

• IT 관리자: 공격 표면 감소 규칙을 구현하고 제외를 관리합니다. 앱 및 프로세스에서 다양한 사업부로 작업합니다. 관련자에게 보고서 어셈블 및 공유
• CSOC(인증된 보안 운영 센터) 분석가: 우선 순위가 높고 차단된 프로세스를 조사하여 위협이 유효한지 여부를 확인할 책임이 있습니다.
• CISO(최고 정보 보안 책임자): organization 전반적인 보안 상태 및 상태를 담당합니다.

ASR 규칙 링 배포

대기업의 경우 "링"에 공격 표면 감소 규칙을 배포하는 것이 좋습니다. 링은 비오버랩 트리 링처럼 바깥쪽으로 방출되는 동심원으로 시각적으로 표시되는 디바이스 그룹입니다. 가장 안쪽 링이 성공적으로 배포되면 다음 링으로 테스트 단계로 전환할 수 있습니다. 링을 정의하려면 사업부, 공격 표면 감소 규칙 챔피언, 앱 및 프로세스에 대한 철저한 평가가 필수적입니다. 대부분의 경우 organization Windows 업데이트의 단계적 롤아웃을 위한 배포 링이 있습니다. 기존 링 디자인을 사용하여 공격 표면 감소 규칙을 구현할 수 있습니다. 참조: Windows용 배포 계획 Create

이 배포 컬렉션의 다른 문서

공격 표면 감소 규칙 배포 개요

테스트 공격 표면 감소 규칙

공격 표면 감소 규칙 사용

공격 표면 감소 규칙 운영

공격 표면 감소 규칙 참조

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.