엔드포인트용 Microsoft Defender 평가 랩

  • 아티클

중요

엔드포인트용 Microsoft Defender 평가 랩은 2024년 1월에 더 이상 사용되지 않습니다.

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

중요

Microsoft가 제공할 기능 및 서비스의 가치를 계속 평가함에 따라 Microsoft는 Defender 평가 랩을 사용 중지하기로 결정했습니다. 이 변경 내용은 2024년 1월 중순에 출시될 예정이며 2024년 1월 말까지 완료될 예정입니다.

포괄적인 보안 제품 평가를 수행하는 것은 엔드 투 엔드 공격 시뮬레이션을 실제로 수행하기 전에 번거로운 환경 및 디바이스 구성이 필요한 복잡한 프로세스일 수 있습니다. 복잡성을 더하는 것은 평가 중에 시뮬레이션 활동, 경고 및 결과가 반영되는 위치를 추적하는 과제입니다.

엔드포인트용 Microsoft Defender 평가 랩은 플랫폼의 기능을 평가하고, 시뮬레이션을 실행하고, 작동하는 방지, 검색 및 수정 기능을 확인하는 데 집중할 수 있도록 디바이스 및 환경 구성의 복잡성을 제거하도록 설계되었습니다.

간소화된 설정 환경을 사용하면 고유한 테스트 시나리오 및 미리 만들어진 시뮬레이션을 실행하는 데 집중하여 엔드포인트용 Defender의 성능을 확인할 수 있습니다.

자동화된 조사, 고급 헌팅 및 위협 분석과 같은 플랫폼의 강력한 기능에 대한 모든 권한을 갖게 되므로 엔드포인트용 Defender에서 제공하는 포괄적인 보호 스택을 테스트할 수 있습니다.

최신 OS 버전과 올바른 보안 구성 요소와 Office 2019 표준이 설치되도록 미리 구성된 Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 및 Linux(Ubuntu) 디바이스를 추가할 수 있습니다.

위협 시뮬레이터를 설치할 수도 있습니다. 엔드포인트용 Defender는 업계 최고의 위협 시뮬레이션 플랫폼과 협력하여 포털을 벗어나지 않고 엔드포인트용 Defender 기능을 테스트할 수 있도록 지원합니다.

기본 시뮬레이터를 설치하고, 평가 랩 내에서 시나리오를 실행하고, 플랫폼이 어떻게 작동하는지 즉시 확인할 수 있습니다. 모든 것이 추가 비용 없이 편리하게 사용할 수 있습니다. 또한 시뮬레이션 카탈로그에서 액세스하고 실행할 수 있는 다양한 시뮬레이션에 편리하게 액세스할 수 있습니다.

시작하기 전에

라이선스 요구 사항을 충족하거나 평가 랩에 액세스하려면 엔드포인트용 Microsoft Defender 대한 평가판 액세스 권한이 있어야 합니다.

다음을 수행하려면 보안 설정 관리 권한이 있어야 합니다.

  • 랩 Create
  • Create 디바이스
  • 암호 다시 설정
  • Create 시뮬레이션

RBAC(역할 기반 액세스 제어)를 사용하도록 설정하고 하나 이상의 컴퓨터 그룹을 만든 경우 사용자는 모든 컴퓨터 그룹에 액세스할 수 있어야 합니다.

자세한 내용은 역할 Create 및 관리를 참조하세요.

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

랩 시작

메뉴에서 랩에 액세스할 수 있습니다. 탐색 메뉴에서 평가 및 자습서 평가 랩을 >선택합니다.

참고

  • 선택한 환경 구조의 유형에 따라 디바이스는 활성화 날짜부터 지정된 시간 동안 사용할 수 있습니다.
  • 각 환경은 제한된 테스트 디바이스 집합으로 프로비전됩니다. 프로비전된 디바이스를 사용하고 삭제한 경우 더 많은 디바이스를 요청할 수 있습니다.
  • 한 달에 한 번 랩 리소스를 요청할 수 있습니다.

랩이 이미 있나요? 새 위협 시뮬레이터를 사용하도록 설정하고 활성 디바이스가 있는지 확인합니다.

평가 랩 설정

  1. 탐색 창에서 평가 & 자습서평가 랩을 > 선택한 다음, 랩 설정을 선택합니다.

    평가 랩 시작 페이지

  2. 평가 요구 사항에 따라 더 긴 기간 동안 더 적은 수의 디바이스 또는 더 짧은 기간 동안 더 많은 디바이스로 환경을 설정하도록 선택할 수 있습니다. 원하는 랩 구성을 선택한 다음 , 다음을 선택합니다.

    랩 구성 옵션

  3. (선택 사항) 랩에서 위협 시뮬레이터를 설치하도록 선택할 수 있습니다.

    시뮬레이터 에이전트 설치 페이지

    중요

    먼저 약관 및 정보 공유 설명에 동의하고 동의해야 합니다.

  4. 사용하려는 위협 시뮬레이션 에이전트를 선택하고 세부 정보를 입력합니다. 나중에 위협 시뮬레이터를 설치하도록 선택할 수도 있습니다. 랩 설치 중에 위협 시뮬레이션 에이전트를 설치하도록 선택하면 추가한 디바이스에 위협 시뮬레이션 에이전트를 편리하게 설치할 수 있습니다.

    요약 페이지

  5. 요약을 검토하고 설치 랩을 선택합니다.

랩 설정 프로세스가 완료되면 디바이스를 추가하고 시뮬레이션을 실행할 수 있습니다.

디바이스 추가

환경에 디바이스를 추가할 때 엔드포인트용 Defender는 연결 세부 정보가 포함된 잘 구성된 디바이스를 설정합니다. Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 및 Linux(Ubuntu)를 추가할 수 있습니다.

디바이스는 최신 버전의 OS 및 Office 2019 표준뿐만 아니라 Java, Python 및 SysIntenals와 같은 다른 앱으로 구성됩니다.

랩 설정 중에 위협 시뮬레이터를 추가하도록 선택한 경우 모든 디바이스에 추가하는 디바이스에 위협 시뮬레이터 에이전트가 설치됩니다.

디바이스는 권장 Windows 보안 구성 요소가 켜져 있고 감사 모드에서 사용자 측의 노력 없이 테넌트에게 자동으로 온보딩됩니다.

다음 보안 구성 요소는 테스트 디바이스에서 미리 구성됩니다.

참고

Microsoft Defender 바이러스 백신이 켜집니다(감사 모드가 아님). Microsoft Defender 바이러스 백신으로 시뮬레이션 실행이 차단되면 Windows 보안 통해 디바이스에서 실시간 보호를 해제할 수 있습니다. 자세한 내용은 Always-On 보호 구성을 참조하세요.

자동 조사 설정은 테넌트 설정에 따라 달라집니다. 기본적으로 반자동화되도록 구성됩니다. 자세한 내용은 자동화된 조사 개요를 참조하세요.

참고

테스트 디바이스에 대한 연결은 RDP를 사용하여 수행됩니다. 방화벽 설정에서 RDP 연결을 허용하는지 확인합니다.

  1. dashboard 디바이스 추가를 선택합니다.

  2. 추가할 디바이스 유형을 선택합니다. Windows 10, Windows 11, Windows Server 2019, Windows Server 2016 및 Linux(Ubuntu)를 추가하도록 선택할 수 있습니다.

    디바이스 옵션이 있는 랩 설정

    참고

    디바이스 만들기 프로세스에 문제가 발생하면 알림이 표시되고 새 요청을 제출해야 합니다. 디바이스 만들기에 실패하면 허용되는 전체 할당량에 대해 계산되지 않습니다.

  3. 연결 세부 정보가 표시됩니다. 복사를 선택하여 디바이스의 암호를 저장합니다.

    참고

    암호는 한 번만 표시됩니다. 나중에 사용할 수 있도록 저장해야 합니다.

    연결 세부 정보로 추가된 디바이스

  4. 디바이스 설정이 시작됩니다. 이 작업은 약 30분 정도 걸릴 수 있습니다.

  5. 디바이스 탭을 선택하여 테스트 디바이스의 상태, 위험 및 노출 수준 및 시뮬레이터 설치 상태 확인합니다.

    디바이스 탭

    시뮬레이터 상태 열에서 정보 아이콘을 마우스로 가리키면 에이전트의 설치 상태 알 수 있습니다.

도메인 컨트롤러 추가

도메인 컨트롤러를 추가하여 여러 디바이스에서 횡적 이동 및 다단계 공격과 같은 복잡한 시나리오를 실행합니다.

참고

도메인 지원은 Microsoft Defender 포털(security.microsoft.com)에서만 사용할 수 있습니다.

  1. dashboard 디바이스 추가를 선택합니다.

  2. Windows Server 2019를 선택한 다음 도메인 컨트롤러로 설정을 선택합니다.

  3. 도메인 컨트롤러가 프로비전되면 디바이스 추가를 클릭하여 도메인에 가입된 디바이스를 만들 수 있습니다. 그런 다음, Windows 10/Windows 11 선택하고 도메인에 가입을 선택합니다.

참고

한 번에 하나의 도메인 컨트롤러만 사용할 수 있습니다. 도메인 컨트롤러 디바이스는 연결된 라이브 디바이스가 있는 한 라이브 상태로 유지됩니다.

더 많은 디바이스에 대한 요청

모든 기존 디바이스가 사용되고 삭제되면 더 많은 디바이스를 요청할 수 있습니다. 한 달에 한 번 랩 리소스를 요청할 수 있습니다.

  1. 평가 랩 dashboard 추가 디바이스에 대한 요청을 선택합니다.

    더 많은 디바이스에 대한 요청 옵션

  2. 구성을 선택합니다.

  3. 요청을 제출합니다.

요청이 성공적으로 제출되면 녹색 확인 배너와 마지막 제출 날짜가 표시됩니다.

사용자 작업 탭에서 요청의 상태 찾을 수 있습니다. 이 탭은 몇 시간 만에 승인됩니다.

승인되면 요청된 디바이스가 랩 설정에 추가되고 더 많은 디바이스를 만들 수 있습니다.

랩에서 더 많은 것을 얻으려면 시뮬레이션 라이브러리를 검사 것을 잊지 마세요.

공격 시나리오 시뮬레이션

테스트 디바이스를 사용하여 해당 디바이스에 연결하여 고유한 공격 시뮬레이션을 실행합니다.

다음을 사용하여 공격 시나리오를 시뮬레이션할 수 있습니다.

고급 헌팅을 사용하여 데이터를 쿼리하고 위협 분석을 사용하여 새로운 위협에 대한 보고서를 볼 수도 있습니다.

직접 수행 공격 시나리오

미리 만들어진 시뮬레이션을 찾는 경우 "직접 수행" 공격 시나리오를 사용할 수 있습니다. 이러한 스크립트는 안전하고 문서화되며 사용하기 쉽습니다. 이러한 시나리오는 엔드포인트용 Defender 기능을 반영하고 조사 환경을 안내합니다.

참고

테스트 디바이스에 대한 연결은 RDP를 사용하여 수행됩니다. 방화벽 설정에서 RDP 연결을 허용하는지 확인합니다.

  1. 디바이스에 연결하고 연결을 선택하여 공격 시뮬레이션을 실행합니다.

    테스트 디바이스에 대한 연결 단추

    원격 데스크톱 연결 화면

    Linux 디바이스의 경우: 로컬 SSH 클라이언트와 제공된 명령을 사용해야 합니다.

    참고

    초기 설정 중에 저장된 암호 복사본이 없는 경우 메뉴에서 암호 재설정을 선택하여 암호를 다시 설정할 수 있습니다.

    암호 재설정 옵션

    디바이스가 상태를 "암호 재설정 실행"으로 변경하면 몇 분 안에 새 암호가 표시됩니다.

  2. 디바이스 만들기 단계에서 표시된 암호를 입력합니다.

    자격 증명을 입력하는 화면

  3. 디바이스에서 직접 실행 공격 시뮬레이션을 실행합니다.

위협 시뮬레이터 시나리오

랩 설정 중에 지원되는 위협 시뮬레이터를 설치하도록 선택한 경우 평가 랩 디바이스에서 기본 제공 시뮬레이션을 실행할 수 있습니다.

타사 플랫폼을 사용하여 위협 시뮬레이션을 실행하는 것은 랩 환경의 범위 내에서 엔드포인트용 Microsoft Defender 기능을 평가하는 좋은 방법입니다.

참고

시뮬레이션을 실행하기 전에 다음 요구 사항이 충족되는지 확인합니다.

  • 디바이스를 평가 랩에 추가해야 합니다.
  • 평가 랩에 위협 시뮬레이터를 설치해야 합니다.

  1. 포털에서 Create 시뮬레이션을 선택합니다.

  2. 위협 시뮬레이터를 선택합니다.

    위협 시뮬레이터 선택

  3. 시뮬레이션을 선택하거나 시뮬레이션 갤러리를 확인하여 사용 가능한 시뮬레이션을 탐색합니다.

    시뮬레이션 갤러리는 다음에서 확인할 수 있습니다.

    • 시뮬레이션 개요 타일 또는 의 기본 평가 dashboard
    • 탐색 창 평가 및 자습서>시뮬레이션 & 자습서에서 탐색한 다음, 시뮬레이션 카탈로그를 선택합니다.

  4. 시뮬레이션을 실행할 디바이스를 선택합니다.

  5. Create 시뮬레이션을 선택합니다.

  6. 시뮬레이션 탭을 선택하여 시뮬레이션 진행률을 확인합니다 . 시뮬레이션 상태, 활성 경고 및 기타 세부 정보를 봅니다.

    시뮬레이션 탭

시뮬레이션을 실행한 후 랩 진행률 표시줄을 살펴보고 자동화된 조사 및 수정을 트리거한 엔드포인트용 Microsoft Defender 살펴보는 것이 좋습니다. 이 기능을 통해 수집 및 분석된 증거를 확인하세요.

풍부한 쿼리 언어와 원시 원격 분석을 사용하여 고급 헌팅을 통해 공격 증거를 헌팅하고 위협 분석에 설명된 전 세계 위협을 검사.

엔드포인트용 Microsoft Defender 다양한 위협 시뮬레이션 플랫폼과 협력하여 포털 내에서 바로 플랫폼의 기능을 테스트할 수 있는 편리한 액세스를 제공합니다.

메뉴에서 시뮬레이션 및 자습서> 시뮬레이션 카탈로그로 이동하여 사용 가능한 모든시뮬레이션을 봅니다.

지원되는 타사 위협 시뮬레이션 에이전트 목록이 나열되고 카탈로그에 자세한 설명과 함께 특정 유형의 시뮬레이션이 제공됩니다.

카탈로그에서 바로 사용 가능한 시뮬레이션을 편리하게 실행할 수 있습니다.

시뮬레이션 카탈로그

각 시뮬레이션에는 사용되는 MITRE 공격 기술 및 실행하는 샘플 고급 헌팅 쿼리와 같은 공격 시나리오 및 참조에 대한 자세한 설명이 제공됩니다.

예제:

지속성 메서드에 대한 시뮬레이션 설명 세부 정보 창 예제

APT29에 대한 시뮬레이션 설명 세부 정보

평가 보고서

랩 보고서는 디바이스에서 수행된 시뮬레이션의 결과를 요약합니다.

평가 보고서

한 눈에 다음을 빠르게 볼 수 있습니다.

  • 트리거된 인시던트
  • 생성된 경고
  • 노출 수준에 대한 평가
  • 관찰된 위협 범주
  • 탐지 소스
  • 자동 조사

피드백 제공

피드백은 고급 공격으로부터 환경을 보호하는 데 도움이 됩니다. 제품 기능 및 평가 결과에서 경험과 인상을 공유합니다.

피드백 제공을 선택하여 의견을 알려주세요.

피드백 페이지

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.