장치 검색 개요

적용 대상:

환경을 보호하려면 네트워크에 있는 디바이스의 인벤토리를 가져와야 합니다. 그러나 네트워크의 디바이스 매핑은 비용이 많이 들고, 어렵고, 시간이 많이 걸릴 수 있습니다.

엔드포인트용 Microsoft Defender 추가 어플라이언스 또는 번거로운 프로세스 변경 없이 회사 네트워크에 연결된 관리되지 않는 디바이스를 찾는 데 도움이 되는 디바이스 검색 기능을 제공합니다. 디바이스 검색은 네트워크에서 온보딩된 엔드포인트를 사용하여 네트워크를 수집, 검색 또는 검사하여 관리되지 않는 디바이스를 검색합니다. 디바이스 검색 기능을 사용하면 다음을 검색할 수 있습니다.

  • 아직 엔드포인트용 Microsoft Defender 온보딩되지 않은 엔터프라이즈 엔드포인트(워크스테이션, 서버 및 모바일 디바이스)
  • 라우터 및 스위치와 같은 네트워크 디바이스
  • 프린터 및 카메라와 같은 IoT 디바이스

알 수 없는 디바이스와 관리되지 않는 디바이스는 패치되지 않은 프린터, 보안 구성이 약한 네트워크 디바이스 또는 보안 제어가 없는 서버 등 네트워크에 상당한 위험을 초래합니다. 디바이스가 검색되면 다음을 수행할 수 있습니다.

  • 관리되지 않는 엔드포인트를 서비스에 온보딩하여 보안 가시성을 높입니다.
  • 취약성을 식별하고 평가하고 구성 간격을 검색하여 공격 노출 영역을 줄입니다.

엔드포인트용 Microsoft Defender 검색된 관리되지 않는 디바이스를 평가하고 온보딩하는 방법에 대한 간략한 개요는 이 비디오를 시청하세요.

이 기능과 함께 엔드포인트용 Microsoft Defender 디바이스를 온보딩하는 보안 권장 사항은 기존 Microsoft Defender 취약성 관리 환경의 일부로 제공됩니다.

검색 방법

온보딩된 디바이스에서 사용할 검색 모드를 선택할 수 있습니다. 모드는 회사 네트워크에서 관리되지 않는 디바이스에 대해 얻을 수 있는 가시성 수준을 제어합니다.

다음 두 가지 검색 모드를 사용할 수 있습니다.

  • 기본 검색: 이 모드에서 엔드포인트는 네트워크에서 이벤트를 수동적으로 수집하고 디바이스 정보를 추출합니다. 기본 검색은 수동 네트워크 데이터 수집에 SenseNDR.exe 이진 파일을 사용하며 네트워크 트래픽이 시작되지 않습니다. 엔드포인트는 온보딩된 디바이스에서 볼 수 있는 모든 네트워크 트래픽에서 데이터를 추출하기만 하면 됩니다. 기본 검색을 사용하면 네트워크에서 관리되지 않는 엔드포인트에 대한 제한된 가시성만 얻을 수 있습니다.

  • 표준 검색 (권장): 이 모드를 사용하면 엔드포인트가 네트워크에서 디바이스를 적극적으로 찾아 수집된 데이터를 보강하고 더 많은 디바이스를 검색할 수 있으므로 안정적이고 일관된 디바이스 인벤토리를 빌드할 수 있습니다. 수동 메서드를 사용하여 관찰된 디바이스 외에도 표준 모드는 네트워크에서 멀티캐스트 쿼리를 사용하여 더 많은 디바이스를 찾는 일반적인 검색 프로토콜을 활용합니다. 표준 모드는 스마트하고 활성적인 검색을 사용하여 관찰된 디바이스에 대한 추가 정보를 검색하여 기존 디바이스 정보를 보강합니다. 표준 모드를 사용하도록 설정하면 검색 센서에서 생성된 최소 및 무시할 수 있는 네트워크 활동이 조직의 네트워크 모니터링 도구에서 관찰될 수 있습니다.

검색 설정을 변경하고 사용자 지정할 수 있습니다. 자세한 내용은 디바이스 검색 구성을 참조하세요.

중요

표준 검색은 2021년 7월 19일부터 모든 고객의 기본 모드입니다. 설정 페이지를 통해 이 구성을 기본으로 변경하도록 선택할 수 있습니다. 기본 모드를 선택하는 경우 네트워크에서 관리되지 않는 엔드포인트의 가시성이 제한됩니다.

참고

검색 엔진은 회사 네트워크에서 수신되는 네트워크 이벤트와 회사 네트워크 외부에서 수신되는 네트워크 이벤트를 구분합니다. 회사 네트워크에 연결되지 않은 디바이스는 디바이스 인벤토리에 검색되거나 나열되지 않습니다.

장치 인벤토리

검색되었지만 아직 엔드포인트용 Microsoft Defender 등록 및 보호되지 않은 디바이스는 컴퓨터 및 모바일 탭 내의 디바이스 인벤토리에 나열됩니다.

이러한 디바이스를 평가하려면 온보딩 상태라는 디바이스 인벤토리 목록의 필터를 사용할 수 있습니다. 이 필터에는 다음 값이 포함될 수 있습니다.

  • 온보딩됨: 엔드포인트가 엔드포인트용 Microsoft Defender 온보딩됩니다.
  • 온보딩 가능: 엔드포인트가 네트워크에서 검색되었고 운영 체제가 엔드포인트용 Microsoft Defender 지원되는 엔드포인트로 식별되었지만 현재 온보딩되지 않았습니다. 이러한 디바이스를 온보딩하는 것이 좋습니다.
  • 지원되지 않음: 엔드포인트가 네트워크에서 검색되었지만 엔드포인트용 Microsoft Defender 지원되지 않습니다.
  • 정보 부족: 시스템에서 디바이스의 지원 가능성을 확인할 수 없습니다. 네트워크의 더 많은 디바이스에서 표준 검색을 사용하도록 설정하면 검색된 특성을 보강할 수 있습니다.

디바이스 인벤토리 대시보드

항상 필터를 적용하여 디바이스 인벤토리 목록에서 관리되지 않는 디바이스를 제외할 수 있습니다. API 쿼리에서 온보딩 상태 열을 사용하여 관리되지 않는 디바이스를 필터링할 수도 있습니다.

자세한 내용은 디바이스 인벤토리를 참조하세요.

네트워크 디바이스 검색

조직에 배포된 많은 수의 관리되지 않는 네트워크 디바이스는 대규모 노출 영역의 공격을 생성하며 전체 기업에 상당한 위험을 초래합니다. 엔드포인트용 Microsoft Defender 네트워크 검색 기능을 사용하면 네트워크 디바이스가 검색되고 정확하게 분류되고 자산 인벤토리에 추가되도록 할 수 있습니다.

엔드포인트용 Defender에는 네트워크 디바이스 자체에 기본 제공되는 센서가 없기 때문에 네트워크 디바이스는 표준 엔드포인트로 관리되지 않습니다. 이러한 유형의 디바이스에는 원격 검사가 디바이스에서 필요한 정보를 가져오는 에이전트 없는 접근 방식이 필요합니다. 이를 위해 각 네트워크 세그먼트에서 지정된 엔드포인트용 Microsoft Defender 디바이스를 사용하여 미리 구성된 네트워크 디바이스에 대해 정기적으로 인증된 검사를 수행합니다. 검색된 엔드포인트용 Defender의 취약성 관리 기능은 검색된 스위치, 라우터, WLAN 컨트롤러, 방화벽 및 VPN 게이트웨이를 보호하는 통합 워크플로를 제공합니다.

자세한 내용은 네트워크 디바이스를 참조하세요.

디바이스 검색 통합

전체 OT/IOT 자산 인벤토리를 찾고, 식별하고, 보호할 수 있는 충분한 가시성을 확보하는 문제를 해결하기 위해 엔드포인트용 Microsoft Defender 이제 다음 통합을 지원합니다.

  • Corelight: Microsoft는 Corelight 네트워크 어플라이언스에서 데이터를 수신하기 위해 Corelight와 제휴했습니다. 이렇게 하면 관리되지 않는 다른 디바이스 또는 외부 네트워크와의 통신을 포함하여 관리되지 않는 디바이스의 네트워크 활동에 대한 가시성이 향상되는 Microsoft 365 Defender 제공합니다. 자세한 내용은 Corelight 데이터 통합 사용을 참조하세요.

  • IoT용 Microsoft Defender: 이 통합은 엔드포인트용 Microsoft Defender 디바이스 검색 기능을 에이전트 없는 모니터링 기능과 결합합니다Microsoft Defender IoT의 경우 IT 네트워크에 연결된 엔터프라이즈 IoT 디바이스(예: VoIP(음성 인터넷 프로토콜), 프린터 및 스마트 TV)를 보호합니다. 자세한 내용은 엔드포인트용 Defender를 사용하여 Enterprise IoT 보안 사용을 참조하세요.

검색된 디바이스에 대한 취약성 평가

디바이스의 취약성 및 위험뿐만 아니라 네트워크에서 검색된 기타 관리되지 않는 디바이스는 "보안 권장 사항"에 있는 현재 Defender 취약성 관리 흐름의 일부이며 포털의 엔터티 페이지에 표시됩니다. "SSH" 관련 보안 권장 사항을 검색하여 관리되지 않는 및 관리되는 디바이스와 관련된 SSH 취약성을 찾습니다.

보안 권장 사항 대시보드

검색된 디바이스에서 고급 헌팅 사용

고급 헌팅 쿼리를 사용하여 검색된 디바이스에 대한 가시성을 얻을 수 있습니다. DeviceNetworkInfo 테이블에서 DeviceInfo 테이블에서 검색된 디바이스에 대한 세부 정보 또는 해당 디바이스에 대한 네트워크 관련 정보를 찾습니다.

쿼리를 사용할 수 있는 고급 헌팅 페이지

검색된 디바이스 세부 정보 쿼리

DeviceInfo 테이블에서 이 쿼리를 실행하여 검색된 모든 디바이스와 각 디바이스에 대한 최신 세부 정보를 반환합니다.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

SeenBy 함수를 호출하면 고급 헌팅 쿼리에서 검색된 디바이스가 표시된 온보딩된 디바이스에 대한 세부 정보를 얻을 수 있습니다. 이 정보는 검색된 각 디바이스의 네트워크 위치를 확인하는 데 도움이 될 수 있으며, 이후 네트워크에서 이를 식별하는 데 도움이 될 수 있습니다.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

자세한 내용은 SeenBy() 함수를 참조하세요.

디바이스 검색은 온보딩된 엔드포인트용 Microsoft Defender 디바이스를 네트워크 데이터 원본으로 활용하여 온보딩되지 않은 디바이스에 대한 특성을 지정합니다. 엔드포인트용 Microsoft Defender 온보딩된 디바이스의 네트워크 센서는 두 가지 새로운 연결 유형을 식별합니다.

  • ConnectionAttempt - TCP 연결 설정 시도(syn)
  • ConnectionAcknowledged - TCP 연결이 수락되었음을 인정하는 경우(syn\ack)

즉, 온보딩되지 않은 디바이스가 온보딩된 엔드포인트용 Microsoft Defender 디바이스와 통신하려고 하면 DeviceNetworkEvent가 생성되고 온보딩되지 않은 디바이스 활동이 온보딩된 디바이스 타임라인 및 고급 헌팅 DeviceNetworkEvents 테이블을 통해 볼 수 있습니다.

다음 예제 쿼리를 사용해 볼 수 있습니다.

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

다음 단계