공격 표면 감소 규칙 보고서

  • 아티클

적용 대상:

플랫폼:

  • Windows

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

공격 표면 감소 규칙 보고서는 organization 디바이스에 적용되는 공격 표면 감소 규칙에 대한 정보를 제공합니다. 이 보고서는 다음에 대한 정보도 제공합니다.

  • 검색된 위협
  • 차단된 위협
  • 표준 보호 규칙을 사용하여 위협을 차단하도록 구성되지 않은 디바이스

또한 이 보고서는 다음을 수행할 수 있는 사용하기 쉬운 인터페이스를 제공합니다.

  • 위협 탐지 보기
  • ASR 규칙의 구성 보기
  • 제외 구성(추가)
  • 단일 토글로 가장 권장되는 세 가지 ASR 규칙을 사용하도록 설정하여 기본 보호를 쉽게 활성화
  • 드릴다운하여 자세한 정보 수집

개별 공격 표면 감소 규칙에 대한 자세한 내용은 공격 표면 감소 규칙 참조를 참조하세요.

필수 구성 요소

중요

공격 표면 감소 규칙 보고서에 액세스하려면 Microsoft Defender 포털에 대한 읽기 권한이 필요합니다. Security Global 관리 또는 보안 역할과 같은 Microsoft Entra 역할에서 부여한 이 보고서에 대한 액세스는 더 이상 사용되지 않으며 2023년 4월에 제거될 예정입니다. Windows Server 2012 R2 및 Windows Server 2016 공격 표면 감소 규칙 보고서에 표시하려면 최신 통합 솔루션 패키지를 사용하여 이러한 디바이스를 온보딩해야 합니다. 자세한 내용은 Windows Server 2012 R2 및 2016용 최신 통합 솔루션의 새로운 기능을 참조하세요.

액세스 권한 보고

Microsoft 365 보안 dashboard 공격 표면 감소 규칙 보고서에 액세스하려면 다음 권한이 필요합니다.

사용 권한 유형 사용 권한 사용 권한 표시 이름
응용 프로그램 Machine.Read.All '모든 컴퓨터 프로필 읽기'
위임됨(회사 또는 학교 계정) Machine.Read '컴퓨터 정보 읽기'

이러한 권한을 할당하려면 다음을 수행합니다.

  1. 보안 관리자 또는 전역 관리자 역할이 할당된 계정을 사용하여 Microsoft Defender XDR 로그인합니다.
  2. 탐색 창에서 설정>엔드포인트>역할 (권한 아래) 선택합니다.
  3. 편집할 역할을 선택합니다.
  4. 편집을 선택합니다.
  5. 역할 편집일반 탭에 있는 역할 이름에 역할의 이름을 입력합니다.
  6. 설명에 역할에 대한 간략한 요약을 입력합니다.
  7. 사용 권한에서 데이터 보기를 선택하고 데이터보기에서 공격 표면 감소를 선택합니다.

사용자 역할 관리에 대한 자세한 내용은 역할 기반 액세스 제어에 대한 역할 Create 및 관리를 참조하세요.

공격 표면 감소 규칙 보고서의 요약 카드로 이동하려면

  1. Microsoft Defender XDR 포털을 엽니다.
  2. 왼쪽 패널에서보고서를 클릭하고 기본 섹션의 보고서에서보안 보고서를 선택합니다.
  3. 디바이스까지 아래로 스크롤하여 공격 표면 감소 규칙 요약 카드를 찾습니다.

ASR 규칙에 대한 요약 보고서 카드는 다음 그림에 나와 있습니다.

ASR 규칙 보고서 요약 카드 표시

ASR 규칙 보고서 요약 카드

ASR 규칙 보고서 요약은 두 개의 카드로 나뉩니다.

ASR 규칙 검색 요약 카드

ASR 규칙에 의해 차단된 검색된 위협 수의 요약을 표시합니다.

두 개의 '작업' 단추를 제공합니다.

  • 검색 보기 - 공격 표면 감소 규칙> 기본 검색 탭을 엽니다.
  • 제외 추가 - 공격 노출 영역 감소 규칙> 기본 제외 탭을 엽니다.

ASR 규칙 보고서 요약 검색 카드 보여 주는 스크린샷

카드 맨 위에 있는 ASR 규칙 검색 링크를 클릭하면 기본 공격 표면 감소 규칙 검색 탭도 열립니다.

ASR 규칙 구성 요약 카드

상위 섹션에서는 일반적인 공격 기술로부터 보호하는 세 가지 권장 규칙을 중점적으로 설명합니다. 이 카드 차단 모드, 감사 모드 또는 짐(구성되지 않음)에서 설정된 ASR(Three) 표준 보호 규칙이 있는 organization 컴퓨터에 대한 현재 상태 정보를 보여 줍니다. 디바이스 보호 단추에는 세 가지 규칙에 대한 전체 구성 세부 정보만 표시됩니다. 고객은 이러한 규칙을 사용하도록 설정하는 작업을 신속하게 수행할 수 있습니다.

아래쪽 섹션은 규칙당 보호되지 않는 디바이스 수에 따라 6개의 규칙을 표시합니다. "구성 보기" 단추는 모든 ASR 규칙에 대한 모든 구성 세부 정보를 표시합니다. "제외 추가" 단추는 SOC(Security Operation Center)를 평가할 수 있도록 검색된 모든 파일/프로세스 이름이 나열된 제외 추가 페이지를 보여 줍니다. 제외 추가 페이지는 Microsoft Intune 연결됩니다.

두 개의 '작업' 단추를 제공합니다.

  • 구성 보기 - 공격 표면 감소 규칙> 기본 검색 탭을 엽니다.
  • 제외 추가 - 공격 노출 영역 감소 규칙> 기본 제외 탭을 엽니다.

ASR 규칙 보고서 요약 구성 카드 표시합니다.

카드 맨 위에 있는 ASR 규칙 구성 링크를 클릭하면 기본 공격 표면 감소 규칙 구성 탭도 열립니다.

간소화된 표준 보호 옵션

구성 요약 카드 세 가지 표준 보호 규칙을 사용하여 디바이스 보호 단추를 제공합니다. 최소한 다음 세 가지 공격 표면 감소 표준 보호 규칙을 사용하도록 설정하는 것이 좋습니다.

세 가지 표준 보호 규칙을 사용하도록 설정하려면 다음을 수행합니다.

  1. 디바이스 보호를 선택합니다. 기본 구성 탭이 열립니다.
  2. 구성 탭에서 기본 규칙은자동으로 모든 규칙에서 표준 보호 규칙을 사용하도록 설정됨으로 전환합니다.
  3. 디바이스 목록에서 표준 보호 규칙을 적용할 디바이스를 선택한 다음 저장을 선택합니다.

이 카드 두 개의 다른 탐색 단추가 있습니다.

  • 구성 보기 - 구성 탭에 기본 공격 표면 감소 규칙을> 엽니다.
  • 제외 추가 - 공격 노출 영역 축소 규칙> 기본 제외 탭을 엽니다.

카드 맨 위에 있는 ASR 규칙 구성 링크를 클릭하면 기본 공격 표면 감소 규칙 구성 탭도 열립니다.

공격 표면 감소 규칙 기본 탭

ASR 규칙 보고서 요약 카드는 상태 ASR 규칙의 빠른 요약을 가져오는 데 유용하지만 기본 탭은 필터링 및 구성 기능을 사용하여 보다 심층적인 정보를 제공합니다.

검색 기능

Search 기능은 검색, 구성제외 기본 탭 추가에 추가됩니다. 이 기능을 사용하면 디바이스 ID, 파일 이름 또는 프로세스 이름을 사용하여 검색할 수 있습니다.

ASR 규칙 보고서 검색 기능을 표시합니다.

필터링

필터링은 반환되는 결과를 지정할 수 있는 방법을 제공합니다.

  • Date 를 사용하면 데이터 결과의 날짜 범위를 지정할 수 있습니다.
  • 필터

참고

규칙을 기준으로 필터링할 때 보고서의 하위 절반에 나열 된 검색된 개별 항목의 수는 현재 200개 규칙으로 제한됩니다. 내보내기를 사용하여 검색의 전체 목록을 Excel에 저장할 수 있습니다.

필터는 현재 이 릴리스에서 작동하므로 "그룹화"하려면 먼저 목록에서 마지막 검색까지 아래로 스크롤하여 전체 데이터 집합을 로드해야 합니다. 전체 데이터 집합을 로드한 후 "정렬 기준" 필터링을 시작할 수 있습니다. 모든 용도에 나열된 마지막 검색까지 아래로 스크롤하지 않거나 필터링 옵션을 변경할 때(예: 현재 필터 실행에 적용된 ASR 규칙) 나열된 검색의 보기 가능한 페이지가 두 개 이상 있는 결과에 대한 결과가 올바르지 않습니다.

구성 탭의 ASR 규칙 보고서 검색 기능을 보여 주는 스크린샷

규칙에 대한 공격 표면 감소 규칙 검색 필터를 보여 주는 스크린샷

공격 표면 감소 규칙 기본 검색 탭

  • 감사 검색감사 모드에서 설정된 규칙에 의해 캡처된 위협 검색 수를 보여 줍니다.
  • 차단된 검색차단 모드에서 설정된 규칙에 의해 차단된 위협 검색 수를 보여 줍니다.
  • 대규모 통합 그래프 차단 및 감사된 검색을 표시합니다.

_Audit detections_ 및 _Blocked detections_ 설명된 ASR 규칙 보고서 기본 검색 탭을 표시합니다.

그래프는 표시된 날짜 범위에 대한 검색 데이터를 제공하며, 특정 위치를 마우스로 가리키고 날짜별 정보를 수집하는 기능을 제공합니다.

보고서의 아래쪽 섹션에는 다음 필드와 함께 디바이스별로 검색된 위협이 나열됩니다.

필드 이름 정의
검색된 파일 가능한 위협 또는 알려진 위협을 포함하도록 결정된 파일
에서 검색됨 위협이 검색된 날짜
차단/감사되었나요? 특정 이벤트에 대한 검색 규칙이 차단 또는 감사 모드인지 여부
규칙 위협을 감지한 규칙
원본 앱 잘못된 "검색된 파일"을 호출한 애플리케이션
디바이스 Audit 또는 Block 이벤트가 발생한 디바이스의 이름입니다.
디바이스 그룹 디바이스가 속한 Active Directory 그룹
사용자 통화를 담당하는 컴퓨터 계정
Publisher 특정 .exe 또는 애플리케이션을 릴리스한 회사

ASR 규칙 감사 및 블록 모드에 대한 자세한 내용은 공격 표면 감소 규칙 모드를 참조하세요.

실행 가능한 플라이아웃

"검색" 기본 페이지에는 지난 30일 동안의 모든 검색(파일/프로세스) 목록이 있습니다. 드릴다운 기능을 사용하여 열 검색 중에서 선택합니다.

검색 탭 플라이아웃을 기본 ASR 규칙 보고서 표시

가능한 제외 및 영향 섹션은 선택한 파일 또는 프로세스의 영향을 제공합니다. 다음을 수행할 수 있습니다.

  • 고급 헌팅 쿼리 페이지를 여는 Go Hunt 선택
  • 파일 열기 페이지에서 엔드포인트용 Microsoft Defender 검색 열기
  • 제외 추가 단추는 제외 추가 기본 페이지와 연결됩니다.

다음 이미지는 실행 가능한 플라이아웃의 링크에서 고급 헌팅 쿼리 페이지가 열리는 방법을 보여 줍니다.

고급 헌팅을 여는 공격 표면 감소 규칙 보고서 기본 검색 탭 플라이아웃 링크 표시

고급 헌팅에 대한 자세한 내용은 Microsoft Defender XDR 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.

공격 표면 감소 규칙 기본 구성 탭

구성 탭에 기본 ASR 규칙은 요약 및 디바이스별 ASR 규칙 구성 세부 정보를 제공합니다. 구성 탭에는 세 가지 기본 측면이 있습니다.

기본 규칙기본 규칙 과 모든 규칙 간에 결과를 토글하는 메서드 제공합니다. 기본적으로 기본 규칙이 선택됩니다.

디바이스 구성 개요 다음 상태 중 하나에서 디바이스의 현재 스냅샷 제공합니다.

  • 노출된 모든 디바이스(필수 구성 요소가 누락된 디바이스, 감사 모드의 규칙, 잘못 구성된 규칙 또는 구성되지 않은 규칙)
  • 규칙이 구성되지 않은 디바이스
  • 감사 모드에서 규칙이 있는 디바이스
  • 블록 모드에서 규칙이 있는 디바이스

구성 탭의 명명되지 않은 아래 섹션에서는 디바이스별로 디바이스의 현재 상태 목록을 제공합니다.

  • 디바이스(이름)
  • 전체 구성(규칙이 켜지거나 모두 꺼져 있는지 여부)
  • 블록 모드의 규칙(차단하도록 설정된 디바이스당 규칙 수)
  • 감사 모드의 규칙(감사 모드의 규칙 수)
  • 규칙 해제(꺼져 있거나 사용하도록 설정되지 않은 규칙)
  • 디바이스 ID(디바이스 GUID)

이러한 요소는 다음 그림에 나와 있습니다.

ASR 규칙 보고서 기본 구성 탭 표시

ASR 규칙을 사용하도록 설정하려면 다음을 수행합니다.

  1. 디바이스에서 ASR 규칙을 적용할 디바이스 또는 디바이스를 선택합니다.
  2. 플라이아웃 창에서 선택 항목을 확인한 다음 정책에 추가를 선택합니다.

구성 탭 및 규칙 추가 플라이아웃이 다음 이미지에 표시됩니다.

[참고!] 다른 ASR 규칙을 적용해야 하는 디바이스가 있는 경우 해당 디바이스를 개별적으로 구성해야 합니다.

디바이스에 ASR 규칙을 추가하는 ASR 규칙 플라이아웃 표시

공격 표면 감소 규칙 제외 추가 탭

제외 추가 탭은 파일 이름별로 순위가 지정된 검색 목록을 표시하고 제외를 구성하는 메서드를 제공합니다. 기본적으로 제외 추가 정보는 다음 세 가지 필드에 대해 나열됩니다.

  • 파일 이름 ASR 규칙 이벤트를 트리거한 파일의 이름입니다.
  • 탐지 명명된 파일에 대해 검색된 총 이벤트 수입니다. 개별 디바이스는 여러 ASR 규칙 이벤트를 트리거할 수 있습니다.
  • 장치 검색이 발생한 디바이스 수입니다.

ASR 규칙 보고서 제외 추가 탭 표시

중요

파일 또는 폴더를 제외하면 ASR 규칙에서 제공하는 보호를 심각하게 줄일 수 있습니다. 제외된 파일은 실행할 수 있으며 보고서 또는 이벤트는 기록되지 않습니다. ASR 규칙이 검색해서는 안 된다고 생각되는 파일을 검색하는 경우 먼저 감사 모드를 사용하여 규칙을 테스트해야 합니다.

파일을 선택하면 예상되는 영향 & 요약 이 열리고 다음과 같은 유형의 정보가 표시됩니다.

  • 선택한 파일 제외를 위해 선택한 파일 수
  • (개수) 검색 선택한 제외를 추가한 후 검색이 예상되는 감소를 나타냅니다. 검색 감소는 제외 후실제 검색 및 검색에 대해 그래픽으로 표시됩니다.
  • 영향을 받는 디바이스 선택한 제외에 대한 검색을 보고하는 디바이스의 예상 감소를 명시합니다.

제외 추가 페이지에는 검색된 파일(선택 후)에서 사용할 수 있는 작업에 대한 두 개의 단추가 있습니다. 다음을 수행할 수 있습니다.

  • MICROSOFT INTUNE ASR 정책 페이지가 열리는 제외를 추가합니다. 자세한 내용은 "ASR 규칙 대체 구성 방법 사용"의 Intune 참조하세요.
  • csv 형식으로 파일 경로를 다운로드할 제외 경로 가져오기

ASR 규칙 보고서 제외 추가 탭 플라이아웃 영향 요약 표시

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.