테스트 공격 표면 감소 규칙

  • 아티클

적용 대상:

엔드포인트용 Microsoft Defender 공격 표면 감소 규칙을 테스트하면 규칙을 사용하도록 설정하기 전에 규칙이 기간 업무 운영을 방해하는지 확인하는 데 도움이 됩니다. 제어되는 소규모 그룹으로 시작하여 organization 배포를 확장할 때 잠재적인 작업 중단을 제한할 수 있습니다.

공격 표면 감소 규칙 배포 가이드의 이 섹션에서는 다음 방법을 알아봅니다.

  • Microsoft Intune 사용하여 규칙 구성
  • 엔드포인트용 Microsoft Defender 공격 표면 감소 규칙 보고서 사용
  • 공격 표면 감소 규칙 제외 구성
  • PowerShell을 사용하여 공격 표면 감소 규칙 사용
  • 공격 표면 감소 규칙 이벤트에 이벤트 뷰어 사용

참고

공격 표면 감소 규칙 테스트를 시작하기 전에 먼저 이전에 감사 하거나 사용하도록 설정한 모든 규칙을 사용하지 않도록 설정하는 것이 좋습니다(해당하는 경우). 공격 표면 감소 규칙 보고서를 사용하여 공격 표면 감소 규칙을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 공격 표면 감소 규칙 보고서를 참조하세요.

링 1을 사용하여 공격 표면 감소 규칙 배포를 시작합니다.

엔드포인트용 Microsoft Defender 공격 표면 감소(ASR 규칙) 테스트 단계입니다. 공격 표면 감소 규칙을 감사하고 ASR 규칙 제외를 구성합니다. ASR 규칙 Intune 구성합니다. ASR 규칙 제외. ASR 규칙 이벤트 뷰어입니다.

1단계: 감사를 사용하여 공격 표면 감소 규칙 테스트

링 1의 챔피언 사용자 또는 디바이스부터 시작하여 감사로 설정된 규칙을 사용하여 공격 표면 감소 규칙을 켜서 테스트 단계를 시작합니다. 일반적으로 테스트 단계에서 트리거되는 규칙을 확인할 수 있도록 감사에서 모든 규칙을 사용하도록 설정하는 것이 좋습니다. 감사로 설정된 규칙은 일반적으로 규칙이 적용되는 엔터티 또는 엔터티의 기능에 영향을 주지 않지만 평가에 대해 기록된 이벤트를 생성합니다. 최종 사용자에게는 영향을 주지 않습니다.

Intune 사용하여 공격 표면 감소 규칙 구성

Microsoft Intune Endpoint Security를 사용하여 사용자 지정 공격 표면 감소 규칙을 구성할 수 있습니다.

  1. Microsoft Intune 관리 센터를 엽니다.

  2. 엔드포인트 보안>공격 표면 축소로 이동합니다.

  3. 정책 만들기를 선택합니다.

  4. 플랫폼에서Windows 10, Windows 11 및 Windows Server를 선택하고 프로필에서 공격 표면 감소 규칙을 선택합니다.

    ASR 규칙의 프로필 만들기 페이지

  5. 만들기를 선택합니다.

  6. Create 프로필 창의 기본 탭에 있는 이름에서 정책의 이름을 추가합니다. 설명에서 공격 표면 감소 규칙 정책에 대한 설명을 추가합니다.

  7. 구성 설정 탭의 공격 표면 감소 규칙에서 모든 규칙을 감사 모드로 설정합니다.

    공격 표면 감소 규칙을 감사 모드로 구성

    참고

    일부 공격 표면 감소 규칙 모드 목록에는 변형이 있습니다. 차단 및사용은 동일한 기능을 제공합니다.

  8. [선택 사항] 범위 태그 창에서 특정 디바이스에 태그 정보를 추가할 수 있습니다. 역할 기반 액세스 제어 및 scope 태그를 사용하여 올바른 관리자가 올바른 Intune 개체에 대한 올바른 액세스 및 가시성을 갖도록 할 수도 있습니다. 자세한 정보: Intune 분산 IT에 RBAC(역할 기반 액세스 제어) 및 scope 태그를 사용합니다.

  9. 할당 창에서 사용자 또는 디바이스 그룹에 프로필을 배포하거나 "할당"할 수 있습니다. 자세한 정보: Microsoft Intune 디바이스 프로필 할당

    참고

    디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.

  10. 검토 + 만들기 창에서 설정을 검토합니다. Create 클릭하여 규칙을 적용합니다.

    Create 프로필 페이지

공격 표면 감소 규칙에 대한 새로운 공격 표면 감소 정책이 엔드포인트 보안 | 공격 표면 감소.

공격 표면 감소 페이지

2단계: Microsoft Defender 포털의 공격 표면 감소 규칙 보고 페이지 이해

공격 표면 감소 규칙 보고 페이지는 Microsoft Defender 포털>보고서>공격 표면 감소 규칙에 있습니다. 이 페이지에는 다음 세 개의 탭이 있습니다.

  • 감지 보기
  • 구성
  • 제외 추가

검색 탭

검색된 감사 및 차단된 이벤트의 30일 타임라인 제공합니다.

공격 표면 감소 규칙을 보여 주는 그래프는 카드 요약 검색을 보고합니다.

공격 표면 감소 규칙 창은 규칙별로 검색된 이벤트에 대한 개요를 제공합니다.

참고

공격 표면 감소 규칙 보고서에는 몇 가지 변형이 있습니다. Microsoft는 일관된 환경을 제공하기 위해 공격 표면 감소 규칙 보고서의 동작을 업데이트하는 중입니다.

공격 표면 감소 규칙을 보여 주는 그래프는 요약 구성 카드 보고합니다.

검색 보기를 선택하여 검색 엽니다.

공격 표면 감소 규칙 보고서 검색 기능을 보여 주는 스크린샷

GroupBy필터 창은 다음 옵션을 제공합니다.

GroupBy는 다음 그룹으로 설정된 결과를 반환합니다.

  • 그룹화 없음
  • 검색된 파일
  • 감사 또는 차단
  • 규칙
  • 원본 앱
  • 디바이스
  • 사용자
  • Publisher

참고

규칙을 기준으로 필터링할 때 보고서의 하위 절반에 나열 된 검색된 개별 항목의 수는 현재 200개 규칙으로 제한됩니다. 내보내기를 사용하여 검색의 전체 목록을 Excel에 저장할 수 있습니다.

구성 탭의 ASR 규칙 보고서 검색 기능을 보여 주는 스크린샷

필터는 선택한 공격 표면 감소 규칙에만 결과를 scope 수 있도록 하는 규칙 필터 페이지를 엽니다.

공격 표면 감소 규칙 검색은 규칙을 필터링합니다.

참고

Microsoft Microsoft 365 보안 E5 또는 A5, Windows E5 또는 A5 라이선스가 있는 경우 다음 링크에서 Microsoft Defender 365 보고서 >공격 노출 영역 축소> 검색 탭을 엽니다.

구성 탭

Lists(컴퓨터별로) 공격 표면 감소 규칙의 집계 상태인 끄기, 감사, 차단입니다.

공격 표면 감소 규칙 보고서 기본 구성 탭을 보여 주는 스크린샷

구성 탭에서 공격 표면 감소 규칙을 검토할 디바이스를 선택하여 디바이스별로 어떤 공격 표면 감소 규칙을 사용하도록 설정하고 어떤 모드에서 공격 표면 감소 규칙을 검토할지 검사 수 있습니다.

디바이스에 ASR 규칙을 추가하는 ASR 규칙 플라이아웃을 보여 주는 스크린샷

시작 링크는 Microsoft Intune 관리 센터를 엽니다. 여기서 공격 노출 영역 감소에 대한 엔드포인트 보호 정책을 만들거나 수정할 수 있습니다.

개요 페이지의 *엔드포인트 보안 메뉴 항목

엔드포인트 보안 | 개요에서 공격 표면 축소를 선택합니다.

Intune 공격 표면 감소

엔드포인트 보안 | 공격 표면 감소 창이 열립니다.

엔드포인트 보안 공격 표면 감소 창

참고

Microsoft Defender 365 E5(또는 Windows E5?) 라이선스가 있는 경우 이 링크는 Microsoft Defender 365 보고서 > 공격 표면 감소 >구성 탭을 엽니다.

제외 추가

이 탭에서는 제외를 위해 검색된 엔터티(예: 가양성)를 선택하는 메서드를 제공합니다. 제외가 추가되면 보고서는 예상된 영향에 대한 요약을 제공합니다.

참고

Microsoft Defender 바이러스 백신 AV 제외는 공격 표면 감소 규칙에 의해 적용됩니다. 확장, 이름 또는 위치에 따라 제외 구성 및 유효성 검사를 참조하세요.

검색된 파일을 제외하기 위한 창

참고

Microsoft Defender 365 E5(또는 Windows E5?) 라이선스가 있는 경우 이 링크는 Microsoft Defender 365 보고서 > 공격 노출 영역 축소 >제외 탭을 엽니다.

공격 표면 감소 규칙 보고서를 사용하는 방법에 대한 자세한 내용은 공격 표면 감소 규칙 보고서를 참조하세요.

규칙별 공격 노출 영역 감소 제외 구성

공격 표면 감소 규칙은 이제 "규칙별 제외"라고 하는 규칙별 제외를 구성하는 기능을 제공합니다.

참고

현재 PowerShell 또는 그룹 정책 사용하여 규칙별 제외를 구성할 수 없습니다.

특정 규칙 제외를 구성하려면 다음을 수행합니다.

  1. Microsoft Intune 관리 센터를 열고 >엔드포인트 보안>공격 노출 영역 축소로 이동합니다.

  2. 아직 구성되지 않은 경우 제외를 구성하려는 규칙을 감사 또는 차단으로 설정합니다.

  3. ASR 전용 규칙 제외에서 토글을 클릭하여 구성되지 않음에서 구성됨으로 변경합니다.

  4. 제외할 파일 또는 애플리케이션의 이름을 입력합니다.

  5. Create 프로필 마법사의 맨 아래에서 다음을 선택하고 마법사 지침을 따릅니다.

규칙별 ASR 제외를 추가하기 위한 구성 설정을 보여 주는 스크린샷

제외 항목 목록 옆에 있는 확인란을 사용하여 삭제, 정렬, 가져오기 또는 내보내기 항목을 선택합니다.

PowerShell을 대체 방법으로 사용하여 공격 표면 감소 규칙을 사용하도록 설정

Intune 대신 PowerShell을 사용하여 감사 모드에서 공격 표면 감소 규칙을 사용하도록 설정하여 기능이 완전히 사용하도록 설정된 경우 차단된 앱의 레코드를 볼 수 있습니다. 일반적인 사용 중에 규칙이 발생하는 빈도에 대한 아이디어를 얻을 수도 있습니다.

감사 모드에서 공격 표면 감소 규칙을 사용하도록 설정하려면 다음 PowerShell cmdlet을 사용합니다.

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

여기서 <rule ID>공격 표면 감소 규칙의 GUID 값입니다.

감사 모드에서 추가된 모든 공격 표면 감소 규칙을 사용하도록 설정하려면 다음 PowerShell cmdlet을 사용합니다.

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

organization 공격 표면 감소 규칙이 작동하는 방식을 완전히 감사하려면 관리 도구를 사용하여 네트워크의 디바이스에 이 설정을 배포해야 합니다.

그룹 정책, Intune 또는 MDM(모바일 디바이스 관리) CSP(구성 서비스 공급자)를 사용하여 설정을 구성하고 배포할 수도 있습니다. 기본 공격 표면 감소 규칙 문서에서 자세히 알아보세요.

Microsoft Defender 포털의 공격 표면 감소 규칙 보고 페이지 대신 Windows 이벤트 뷰어 검토 사용

차단된 앱을 검토하려면 Microsoft-Windows-Windows Defender/운영 로그에서 이벤트 뷰어 열고 이벤트 ID 1121을 필터링합니다. 다음 표에서는 모든 네트워크 보호 이벤트를 나열합니다.

이벤트 ID 설명
5007 설정이 변경된 경우의 이벤트
1121 블록 모드에서 공격 표면 감소 규칙이 실행되는 경우의 이벤트
1122 감사 모드에서 공격 표면 감소 규칙이 실행되는 경우의 이벤트

공격 표면 감소 규칙 배포 개요

공격 표면 감소 규칙 배포 계획

공격 표면 감소 규칙 사용

공격 표면 감소 규칙 운영

공격 표면 감소 규칙 참조

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.