공격 표면 감소 규칙 개요

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

공격 표면 감소 규칙이 중요한 이유

organization 공격 화면에는 공격자가 organization 디바이스 또는 네트워크를 손상시킬 수 있는 모든 위치가 포함됩니다. 공격 노출 영역을 줄이면 organization 디바이스와 네트워크를 보호할 수 있으므로 공격자는 공격을 수행할 수 있는 방법이 줄어듭니다. 엔드포인트용 Microsoft Defender 공격 표면 감소 규칙을 구성하면 도움이 될 수 있습니다.

공격 표면 감소 규칙은 다음과 같은 특정 소프트웨어 동작을 대상으로 합니다.

• 파일을 다운로드하거나 실행하려는 실행 파일 및 스크립트 시작
• 난독 제거되거나 의심스러운 스크립트 실행
• 일반적인 일상적인 작업 중에 앱이 일반적으로 시작되지 않는 동작 수행

이러한 소프트웨어 동작은 합법적인 애플리케이션에서 종종 볼 수 있습니다. 그러나 이러한 동작은 일반적으로 맬웨어를 통해 공격자에 의해 남용되기 때문에 위험한 것으로 간주됩니다. 공격 표면 감소 규칙은 소프트웨어 기반 위험한 동작을 제한하고 organization 안전하게 유지하는 데 도움이 될 수 있습니다.

공격 표면 감소 규칙을 관리하는 방법에 대한 순차적인 엔드 투 엔드 프로세스는 다음을 참조하세요.

• 공격 표면 감소 규칙 배포 개요
• 공격 표면 감소 규칙 배포 계획
• 테스트 공격 표면 감소 규칙
• 공격 표면 감소 규칙 사용
• 공격 표면 감소 규칙 운영

배포 전 규칙 평가

Microsoft Defender 취약성 관리 해당 규칙에 대한 보안 권장 사항을 열어 공격 표면 감소 규칙이 네트워크에 미치는 영향을 평가할 수 있습니다.

권장 사항 세부 정보 창에서 사용자 영향을 검사 생산성에 부정적인 영향을 주지 않고 차단 모드에서 규칙을 사용하도록 설정하는 새 정책을 허용할 수 있는 디바이스의 비율을 결정합니다.

지원되는 운영 체제 및 기타 요구 사항 정보에 대한 자세한 내용은 "공격 표면 감소 규칙 사용" 문서의 요구 사항을 참조하세요.

평가에 대한 감사 모드

감사 모드

감사 모드를 사용하여 사용 가능한 경우 공격 표면 감소 규칙이 organization 미치는 영향을 평가합니다. 먼저 감사 모드에서 모든 규칙을 실행하여 기간 업무 애플리케이션에 미치는 영향을 이해할 수 있습니다. 많은 기간 업무 애플리케이션은 제한된 보안 문제로 작성되며 맬웨어와 유사한 방식으로 작업을 수행할 수 있습니다.

제외

감사 데이터를 모니터링하고 필요한 애플리케이션 에 대한 제외를 추가하여 생산성을 저하하지 않고 공격 표면 감소 규칙을 배포할 수 있습니다.

규칙별 제외

규칙별 제외 구성에 대한 자세한 내용은 공격 표면 감소 규칙 테스트 문서에서 규칙별 공격 표면 감소 규칙 구성 섹션을 참조 하세요.

사용자에 대한 경고 모드

(NEW!) 경고 모드 기능에 앞서 사용하도록 설정된 공격 표면 감소 규칙을 감사 모드 또는 차단 모드로 설정할 수 있습니다. 새 경고 모드를 사용하면 공격 노출 영역 감소 규칙에 의해 콘텐츠가 차단될 때마다 콘텐츠가 차단되었음을 나타내는 대화 상자가 표시됩니다. 또한 대화 상자는 사용자에게 콘텐츠 차단을 해제하는 옵션을 제공합니다. 그러면 사용자가 작업을 다시 시도하면 작업이 완료됩니다. 사용자가 콘텐츠 차단을 해제하면 콘텐츠가 24시간 동안 차단 해제된 상태로 유지된 다음 다시 시작을 차단합니다.

경고 모드는 사용자가 작업을 수행하는 데 필요한 콘텐츠에 액세스하지 못하도록 방지하지 않고 organization 공격 표면 감소 규칙을 적용하는 데 도움이 됩니다.

경고 모드가 작동하기 위한 요구 사항

경고 모드는 다음 버전의 Windows를 실행하는 디바이스에서 지원됩니다.

• Windows 10, 버전 1809 이상
• Windows 11
• Windows Server 버전 1809 이상

Microsoft Defender 바이러스 백신은 활성 모드에서 실시간 보호로 실행되어야 합니다.

또한 Microsoft Defender 바이러스 백신 및 맬웨어 방지 업데이트가 설치되어 있는지 확인합니다.

• 최소 플랫폼 릴리스 요구 사항: 4.18.2008.9
• 최소 엔진 릴리스 요구 사항: 1.1.17400.5

자세한 내용과 업데이트를 받으려면 Microsoft Defender 맬웨어 방지 플랫폼 업데이트를 참조하세요.

경고 모드가 지원되지 않는 경우

경고 모드는 Microsoft Intune 구성할 때 세 가지 공격 표면 감소 규칙에 대해 지원되지 않습니다. (그룹 정책 사용하여 공격 표면 감소 규칙을 구성하는 경우 경고 모드가 지원됩니다. 경고 모드를 Microsoft Intune 구성할 때 경고 모드를 지원하지 않는 세 가지 규칙은 다음과 같습니다.

• JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠 (GUID d3e037e1-3eb8-44c8-a917-57927947596d)를 시작하지 못하도록 차단
• WMI 이벤트 구독을 통한 지속성 차단 (GUID e6db77e5-3df2-4cf1-b95a-636979351e5b)
• 랜섬웨어에 대한 고급 보호 사용 (GUID c1db55ab-c21a-4637-bb3f-a12568109d35)

또한 이전 버전의 Windows를 실행하는 디바이스에서는 경고 모드가 지원되지 않습니다. 이러한 경우 경고 모드에서 실행되도록 구성된 공격 표면 감소 규칙은 블록 모드에서 실행됩니다.

알림 및 경고

공격 표면 감소 규칙이 트리거될 때마다 디바이스에 알림이 표시됩니다. 회사 세부 정보 및 연락처 정보로 알림을 사용자 지정할 수 있습니다.

또한 특정 공격 표면 감소 규칙이 트리거되면 경고가 생성됩니다.

알림 및 생성된 모든 경고는 Microsoft Defender 포털에서 볼 수 있습니다.

알림 및 경고 기능에 대한 자세한 내용은 공격 표면 감소 규칙 참조 문서에서 규칙별 경고 및 알림 세부 정보를 참조하세요.

고급 헌팅 및 공격 표면 감소 이벤트

고급 헌팅을 사용하여 공격 표면 감소 이벤트를 볼 수 있습니다. 들어오는 데이터의 볼륨을 간소화하기 위해 고급 헌팅을 사용하여 각 시간에 대한 고유한 프로세스만 볼 수 있습니다. 공격 표면 감소 이벤트의 시간은 해당 이벤트가 시간 내에 처음으로 표시되는 시간입니다.

예를 들어 오후 2시 동안 10개 디바이스에서 공격 표면 감소 이벤트가 발생한다고 가정합니다. 첫 번째 이벤트가 2:15에, 마지막 이벤트가 2:45에 발생했다고 가정합니다. 고급 헌팅을 사용하면 해당 이벤트의 한 instance(실제로 10개 장치에서 발생했음에도 불구하고)이 표시되고 타임스탬프는 오후 2시 15분이 됩니다.

고급 헌팅에 대한 자세한 내용은 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.

Windows 버전 간 공격 표면 감소 기능

다음 버전 및 Windows 버전을 실행하는 디바이스에 대한 공격 표면 감소 규칙을 설정할 수 있습니다.

• Windows 10 Pro, 버전 1709 이상

• Windows 10 Enterprise 버전 1709 이상

• Windows Server 버전 1803(반기 채널) 이상

• Windows Server 2022

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2

  참고

  Windows Server 2016 및 Windows Server 2012 R2는 이 기능이 작동하려면 Windows 서버 온보딩의 지침을 사용하여 온보딩해야 합니다.

공격 표면 감소 규칙에 는 Windows E5 라이선스가 필요하지 않지만 Windows E5가 있는 경우 고급 관리 기능이 제공됩니다. Windows E5에서만 사용할 수 있는 고급 기능은 다음과 같습니다.

• 엔드포인트용 Defender에서 사용할 수 있는 모니터링, 분석 및 워크플로
• Microsoft Defender XDR 보고 및 구성 기능입니다.

이러한 고급 기능은 Windows Professional 또는 Windows E3 라이선스에서 사용할 수 없습니다. 그러나 이러한 라이선스가 있는 경우 이벤트 뷰어 및 Microsoft Defender 바이러스 백신 로그를 사용하여 공격 표면 감소 규칙 이벤트를 검토할 수 있습니다.

Microsoft Defender 포털에서 공격 표면 감소 이벤트 검토

엔드포인트용 Defender는 경고 조사 시나리오의 일부로 이벤트 및 블록에 대한 자세한 보고를 제공합니다.

고급 헌팅을 사용하여 Microsoft Defender XDR 엔드포인트용 Defender 데이터를 쿼리할 수 있습니다.

다음은 쿼리의 예입니다.

DeviceEvents
| where ActionType startswith 'Asr'

Windows 이벤트 뷰어 공격 표면 감소 이벤트 검토

Windows 이벤트 로그를 검토하여 공격 표면 감소 규칙에 의해 생성된 이벤트를 볼 수 있습니다.

1. 평가 패키지를 다운로드하고 파일 cfa-events.xml 디바이스에서 쉽게 액세스할 수 있는 위치로 추출합니다.

2. 시작 메뉴에 단어 이벤트 뷰어 입력하여 Windows 이벤트 뷰어 엽니다.

3. 작업에서 사용자 지정 보기 가져오기...를 선택합니다.

4. 파일이 추출된 위치에서 cfa-events.xml 파일을 선택합니다. 또는 XML을 직접 복사합니다.

5. 확인을 선택합니다.

제어된 폴더 액세스와 관련된 다음 이벤트만 표시하도록 이벤트를 필터링하는 사용자 지정 보기를 만들 수 있습니다.

이벤트 ID	설명
5007	설정이 변경된 경우의 이벤트
1121	블록 모드에서 규칙이 실행되는 경우 이벤트
1122	감사 모드에서 규칙이 실행되는 경우 이벤트

이벤트 로그의 공격 표면 감소 이벤트에 대해 나열된 "엔진 버전"은 운영 체제가 아닌 엔드포인트용 Defender에서 생성됩니다. 엔드포인트용 Defender는 Windows 10 및 Windows 11 통합되므로 이 기능은 Windows 10 또는 Windows 11 설치된 모든 디바이스에서 작동합니다.

참고 항목

• 공격 표면 감소 규칙 배포 개요
• 공격 표면 감소 규칙 배포 계획
• 테스트 공격 표면 감소 규칙
• 공격 표면 감소 규칙 사용
• 공격 표면 감소 규칙 운영
• 공격 표면 감소 규칙 보고서
• 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외

팁

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

• macOS의 엔드포인트용 Microsoft Defender 기본 설정
• 엔드포인트용 Microsoft Defender(Mac용)
• Intune용 Microsoft Defender 바이러스 백신의 macOS 바이러스 백신 정책 설정
• Linux의 엔드포인트용 Microsoft Defender 기본 설정
• Microsoft Defender for Endpoint(Linux용)
• 엔드포인트용 Microsoft Defender(Android용) 기능 구성
• 엔드포인트용 Microsoft Defender(iOS용) 기능 구성

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.