디바이스 검색 질문과 대답

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

디바이스 검색에 대한 FAQ(질문과 대답)에 대한 답변을 찾습니다.

기본 검색 모드란?

이 모드를 사용하면 온보딩된 모든 엔드포인트용 Microsoft Defender 디바이스가 네트워크 데이터를 수집하고 인접한 디바이스를 검색할 수 있습니다. 온보딩된 엔드포인트는 네트워크에서 이벤트를 수동적으로 수집하고 디바이스 정보를 추출합니다. 네트워크 트래픽이 시작되지 않습니다. 온보딩된 엔드포인트는 온보딩된 디바이스에서 볼 수 있는 모든 네트워크 트래픽에서 데이터를 추출합니다. 이 데이터는 네트워크에서 관리되지 않는 디바이스를 나열하는 데 사용됩니다.

기본 검색을 사용하지 않도록 설정할 수 있나요?

고급 기능 페이지를 통해 디바이스 검색을 해제하는 옵션이 있습니다. 그러나 네트워크의 관리되지 않는 디바이스에 대한 가시성이 손실됩니다. 디바이스 검색이 꺼져 있더라도 온보딩된 디바이스에서 SenseNDR.exe 계속 실행됩니다.

표준 검색 모드란?

이 모드에서 엔드포인트용 Microsoft Defender 온보딩된 엔드포인트는 네트워크에서 관찰된 디바이스를 적극적으로 검색하여 수집된 데이터를 보강할 수 있습니다(네트워크 트래픽의 양은 무시할 수 있습니다). 기본 검색 모드에서 관찰된 디바이스만 표준 모드에서 적극적으로 검색됩니다. 이 모드는 안정적이고 일관된 디바이스 인벤토리를 빌드하는 데 권장됩니다. 이 모드를 사용하지 않도록 설정하고 기본 검색 모드를 선택하는 경우 네트워크에서 관리되지 않는 엔드포인트에 대한 제한된 표시 유형만 얻을 수 있습니다.

또한 표준 모드는 네트워크에서 멀티캐스트 쿼리를 사용하는 일반적인 검색 프로토콜을 활용하여 수동 메서드를 사용하여 관찰된 디바이스 외에도 더 많은 디바이스를 찾습니다.

표준 검색을 수행하는 디바이스를 제어할 수 있나요?

표준 검색을 수행하는 데 사용되는 디바이스 목록을 사용자 지정할 수 있습니다. 이 기능(현재 Windows 10 이상 및 Windows Server 2019 이상 디바이스만 해당)을 지원하는 온보딩된 모든 디바이스에서 표준 검색을 사용하도록 설정하거나 디바이스 태그를 지정하여 디바이스의 하위 집합 또는 하위 집합을 선택할 수 있습니다. 이 경우 다른 모든 디바이스는 기본 검색만 실행하도록 구성됩니다. 구성은 디바이스 검색 설정 페이지에서 사용할 수 있습니다.

디바이스 인벤토리 목록에서 관리되지 않는 디바이스를 제외할 수 있나요?

예, 필터를 적용하여 디바이스 인벤토리 목록에서 관리되지 않는 디바이스를 제외할 수 있습니다. API 쿼리의 온보딩 상태 열을 사용하여 관리되지 않는 장치를 필터링할 수도 있습니다.

검색을 수행할 수 있는 온보딩된 디바이스는 무엇입니까?

Windows 10 버전 1809 이상, Windows 11, Windows Server 2019 또는 Windows Server 2022에서 실행되는 온보딩된 디바이스는 검색을 수행할 수 있습니다.

온보딩된 디바이스가 내 홈 네트워크 또는 공용 액세스 지점에 연결되어 있으면 어떻게 되나요?

검색 엔진은 기업 네트워크에서 수신된 네트워크 이벤트와 기업 네트워크 외부에서 수신된 네트워크 이벤트를 구분합니다. 모든 테넌트의 클라이언트에서 네트워크 식별자를 상호 연결하면 프라이빗 네트워크와 회사 네트워크에서 수신된 이벤트 간에 이벤트가 구분됩니다. 예를 들어 organization 대부분의 디바이스가 동일한 기본 게이트웨이 및 DHCP 서버 주소를 사용하여 동일한 네트워크 이름에 연결되어 있다고 보고하는 경우 이 네트워크가 회사 네트워크일 가능성이 높다고 가정할 수 있습니다. 프라이빗 네트워크 디바이스는 인벤토리에 나열되지 않으며 적극적으로 조사되지 않습니다.

캡처하고 분석하는 프로토콜은 무엇인가요?

기본적으로 온보딩된 모든 디바이스는 Windows 10 버전 1809 이상에서 실행됩니다. Windows 11, Windows Server 2019 또는 Windows Server 2022는 ARP, CDP, DHCP, DHCPv6, IP(헤더), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP(SYN 헤더), UDP(헤더), WSD 프로토콜을 캡처하고 분석합니다.

표준 검색에서 활성 검색에 어떤 프로토콜을 사용합니까?

디바이스가 표준 검색을 실행하도록 구성된 경우 ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, 텔넷, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP

또한 디바이스 검색은 일반적으로 사용되는 다른 포트를 검사하여 분류 정확도 & 검사를 개선할 수도 있습니다.

표준 검색을 사용하여 대상을 검색하지 않도록 제외할 수 있는 방법은 무엇입니까?

네트워크에 적극적으로 검색해서는 안 되는 디바이스가 있는 경우 제외 목록을 정의하여 검사하지 못하도록 할 수도 있습니다. 구성은 디바이스 검색 설정 페이지에서 사용할 수 있습니다.

참고

디바이스는 여전히 네트워크의 멀티캐스트 검색 시도에 회신할 수 있습니다. 이러한 디바이스는 검색되지만 적극적으로 조사되지는 않습니다.

디바이스가 검색되지 않도록 제외할 수 있나요?

디바이스 검색은 수동 메서드를 사용하여 네트워크에서 디바이스를 검색하므로 회사 네트워크에서 온보딩된 디바이스와 통신하는 모든 디바이스를 검색하여 인벤토리에 나열할 수 있습니다. 활성 검색에서만 디바이스를 제외할 수 있습니다.

활성 검색은 얼마나 자주 합니까?

디바이스 특성의 변경 내용이 관찰되면 디바이스가 적극적으로 조사되어 기존 정보가 최신 상태인지 확인합니다(일반적으로 디바이스는 3주 동안 두 번 이상 검색되지 않음).

보안 도구에서 시작된 UnicastScanner.ps1/PSScript_{GUID}.ps1 또는 포트 검사 활동에 대한 경고를 발생시켰습니다. 어떻게 해야 하나요?

활성 검색 스크립트는 Microsoft에서 서명하고 안전합니다. 제외 목록에 다음 경로를 추가할 수 있습니다. C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

표준 검색 활성 프로브에서 생성되는 트래픽의 양은 무엇인가요?

활성 검색은 온보딩된 디바이스와 프로브된 디바이스 간에 최대 50Kb의 트래픽을 생성할 수 있으며, 모든 검색 시도

디바이스 인벤토리의 "온보딩 가능" 디바이스와 dashboard 타일의 "온보딩할 디바이스" 수 간에 불일치가 발생하는 이유는 무엇인가요?

디바이스 인벤토리에서 "온보딩할 수 있음", "온보딩하여 엔드포인트용 Microsoft Defender" 보안 권장 사항 및 위젯을 dashboard "온보딩할 디바이스"에 나열된 디바이스 수 간에 차이가 있을 수 있습니다.

보안 권장 사항 및 dashboard 위젯은 임시 디바이스, 게스트 디바이스 등을 제외하고 네트워크에서 안정적인 디바이스를 위한 것입니다. 이 아이디어는 organization 전체 보안 점수를 암시하는 영구 디바이스에 권장하는 것입니다.

발견된 관리되지 않는 디바이스를 온보딩할 수 있나요?

예. 관리되지 않는 디바이스를 수동으로 온보딩할 수 있습니다. 네트워크의 관리되지 않는 엔드포인트는 네트워크에 취약성과 위험을 초래합니다. 서비스에 온보딩하면 보안 가시성이 높아질 수 있습니다.

관리되지 않는 디바이스 상태가 항상 "활성"인 것을 발견했습니다. 왜 그런가요?

비관리형 디바이스 상태는 디바이스 인벤토리의 표준 보존 기간 동안 실제 상태에 관계없이 일시적으로 "활성"입니다.

표준 검색은 악의적인 네트워크 활동처럼 보이나요?

표준 검색을 고려할 때 검색의 의미와 특히 보안 도구가 이러한 활동을 악의적으로 의심할 수 있는지 궁금할 수 있습니다. 다음 하위 섹션에서는 거의 모든 경우에 조직이 표준 검색을 사용하도록 설정하는 데 아무런 문제가 없어야 하는 이유를 설명합니다.

검색은 네트워크의 모든 Windows 디바이스에 분산됩니다.

일반적으로 일부 손상된 디바이스에서 전체 네트워크를 검사하는 악의적인 활동과는 달리, 엔드포인트용 Microsoft Defender 표준 검색 검색은 온보딩된 모든 Windows 디바이스에서 시작되어 활동이 무해하고 비정상입니다. 검색은 클라우드에서 중앙에서 관리되어 네트워크에서 지원되는 모든 온보딩 디바이스 간에 검색 시도의 균형을 조정합니다.

활성 검색은 무시할 수 있는 양의 추가 트래픽을 생성합니다.

관리되지 않는 디바이스는 일반적으로 3주 동안 두 번 이상 검색되지 않으며 50KB 미만의 트래픽을 생성합니다. 악의적인 활동에는 일반적으로 반복적인 검색 시도가 많으며 경우에 따라 네트워크 모니터링 도구에서 변칙으로 식별할 수 있는 상당한 양의 네트워크 트래픽을 생성하는 데이터 반출이 포함됩니다.

Windows 디바이스가 이미 활성 검색을 실행합니다.

활성 검색 기능은 항상 Windows 운영 체제에 포함되어 있으며, 네트워크의 엔드포인트 간에 쉽게 "플러그 앤 플레이" 환경과 파일 공유를 위해 가까운 디바이스, 엔드포인트 및 프린터를 찾을 수 있습니다. 모바일 디바이스, 네트워크 장비 및 인벤토리 애플리케이션에서 몇 가지 이름을 지정하기 위해 유사한 기능이 구현됩니다.

표준 검색은 동일한 검색 방법을 사용하여 디바이스를 식별하고 Microsoft Defender XDR 디바이스 인벤토리의 네트워크의 모든 디바이스에 대한 통합 가시성을 갖습니다. 예를 들어 표준 검색은 Windows가 네트워크에서 사용 가능한 프린터를 나열하는 것과 동일한 방식으로 네트워크의 주변 엔드포인트를 식별합니다.

네트워크 보안 및 모니터링 도구는 네트워크의 디바이스에서 수행하는 이러한 활동에 무관심합니다.

관리되지 않는 디바이스만 검색되고 있습니다.

디바이스 검색 기능은 네트워크에서 관리되지 않는 디바이스만 검색하고 식별하도록 빌드되었습니다. 즉, 엔드포인트용 Microsoft Defender 이미 온보딩된 이전에 검색된 디바이스는 검색되지 않습니다.

활성 검색에서 네트워크 미끼를 제외할 수 있습니다.

표준 검색은 활성 검색에서 디바이스 또는 범위(서브넷)를 제외하는 것을 지원합니다. 네트워크 루어가 배포된 경우 디바이스 검색 설정을 사용하여 IP 주소 또는 서브넷(IP 주소 범위)에 따라 제외를 정의할 수 있습니다. 이러한 제외를 정의하면 해당 디바이스가 적극적으로 검색되지 않고 경고가 표시되지 않습니다. 이러한 디바이스는 수동 메서드만 사용하여 검색됩니다(기본 검색 모드와 유사).

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.