지표 만들기

  • 아티클

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

IoC(손상 지표) 개요

IoC(손상 지표)는 네트워크 또는 호스트에서 관찰되는 포렌식 아티팩트입니다. IoC는 높은 신뢰도로 컴퓨터 또는 네트워크 침입이 발생했음을 나타냅니다. IoC는 관찰 가능하며 이를 측정 가능한 이벤트에 직접 연결합니다. 일부 IoC 예제는 다음과 같습니다.

  • 알려진 맬웨어 해시
  • 악의적인 네트워크 트래픽의 서명
  • 알려진 맬웨어 배포자인 URL 또는 도메인

다른 손상을 중지하거나 알려진 IoC 위반을 방지하려면 성공적인 IoC 도구가 도구의 규칙 집합에 의해 열거된 모든 악성 데이터를 검색할 수 있어야 합니다. IoC 일치는 모든 엔드포인트 보호 솔루션에서 필수적인 기능입니다. 이 기능을 통해 SecOps는 탐지 및 차단(방지 및 응답)에 대한 지표 목록을 설정할 수 있습니다.

조직은 IoC 엔터티의 검색, 방지 및 제외를 정의하는 지표를 만들 수 있습니다. 수행할 작업과 작업을 적용할 기간 및 적용할 디바이스 그룹의 scope 정의할 수 있습니다.

이 비디오에서는 표시기를 만들고 추가하는 연습을 보여 줍니다.

Microsoft 표시기 정보

일반적으로 알려진 잘못된 IoC 또는 organization 명시적으로 허용되어야 하는 파일/웹 사이트에 대해서만 지표를 만들어야 합니다. 엔드포인트용 Defender가 기본적으로 차단할 수 있는 사이트 유형에 대한 자세한 내용은 Microsoft Defender SmartScreen 개요를 참조하세요.

FP(가양성)는 SmartScreen 가양성(맬웨어 또는 피싱)으로 간주되지만 실제로는 위협이 되지 않으므로 허용 정책을 만들려고 합니다.

또한 거짓 긍정을 제출하고 분석을 위해 의심스럽거나 알려진 잘못된 IoC를 제출하여 Microsoft의 보안 인텔리전스를 개선하는 데 도움을 줄 수 있습니다. 파일 또는 애플리케이션에 대한 경고 또는 블록이 잘못 표시되거나 검색되지 않은 파일이 맬웨어인 것으로 의심되는 경우 검토를 위해 Microsoft에 파일을 제출할 수 있습니다. 자세한 내용은 분석을 위한 파일 제출을 참조하세요.

IP/URL 표시기

IP/URL 표시기를 사용하여 SmartScreen FP(가양성)에서 사용자를 차단 해제하거나 WFC(웹 콘텐츠 필터링) 블록을 재정의할 수 있습니다.

URL 및 IP 표시기를 사용하여 사이트 액세스를 관리할 수 있습니다. 중간 IP 및 URL 표시기를 만들어 SmartScreen 블록에서 사용자를 일시적으로 차단 해제할 수 있습니다. 웹 콘텐츠 필터링 블록을 선택적으로 우회하기 위해 장기간 유지하는 표시기가 있을 수도 있습니다.

올바른 특정 사이트에 대한 웹 콘텐츠 필터링 분류가 있는 경우를 고려합니다. 이 예제에서는 전체 조직 목표에 맞는 모든 소셜 미디어를 차단하도록 웹 콘텐츠 필터링을 설정했습니다. 그러나 마케팅 팀은 광고 및 공지에 특정 소셜 미디어 사이트를 사용해야 합니다. 이 경우 사용할 특정 그룹(또는 그룹)에 대한 IP 또는 URL 표시기를 사용하여 특정 소셜 미디어 사이트의 차단을 해제할 수 있습니다.

웹 보호웹 콘텐츠 필터링을 참조하세요.

IP/URL 표시기: 네트워크 보호 및 TCP 3방향 핸드셰이크

네트워크 보호를 사용하면 TCP/IP를 통한 3방향 핸드셰이크가 완료된 후 사이트에 대한 액세스를 허용하거나 차단할지 여부를 결정합니다. 따라서 사이트가 네트워크 보호에 의해 차단되면 사이트가 차단된 경우에도 Microsoft Defender 포털에서 아래의 ConnectionSuccessNetworkConnectionEvents 작업 유형이 표시될 수 있습니다. NetworkConnectionEvents 는 네트워크 보호가 아니라 TCP 계층에서 보고됩니다. 3방향 핸드셰이크가 완료되면 네트워크 보호에 의해 사이트에 대한 액세스가 허용되거나 차단됩니다.

작동 방식의 예는 다음과 같습니다.

  1. 사용자가 디바이스의 웹 사이트에 액세스하려고 시도한다고 가정합니다. 사이트는 위험한 도메인에서 호스트되며 네트워크 보호에 의해 차단되어야 합니다.

  2. TCP/IP를 통한 3방향 핸드셰이크가 시작됩니다. 작업이 완료 NetworkConnectionEvents 되기 전에 작업이 기록되고 작업이 ActionTypeConnectionSuccess나열됩니다. 그러나 3방향 핸드셰이크 프로세스가 완료되는 즉시 네트워크 보호는 사이트에 대한 액세스를 차단합니다. 이 모든 작업은 빠르게 수행됩니다. Microsoft Defender SmartScreen과 비슷한 프로세스가 발생합니다. 3방향 핸드셰이크가 완료되고 사이트에 대한 액세스가 차단되거나 허용됩니다.

  3. Microsoft Defender 포털에서 경고 큐에 경고가 나열됩니다. 해당 경고의 세부 정보에는 및 AlertEvents가 모두 NetworkConnectionEvents 포함됩니다. ActionTypeConnectionSuccess이 인 항목도 있 NetworkConnectionEvents 더라도 사이트가 차단된 것을 볼 수 있습니다.

파일 해시 표시기

경우에 따라 즉시 중지 간격 측정값으로 새로 식별된 파일 IoC에 대한 새 표시기를 만드는 것이 파일 또는 애플리케이션을 차단하는 데 적절할 수 있습니다. 그러나 애플리케이션이 일반적으로 다양한 파일로 구성되기 때문에 지표를 사용하여 애플리케이션을 차단하려고 시도해도 예상 결과가 제공되지 않을 수 있습니다. 애플리케이션을 차단하는 기본 방법은 Windows Defender WDAC(애플리케이션 제어) 또는 AppLocker를 사용하는 것입니다.

애플리케이션의 각 버전에는 다른 파일 해시가 있으므로 표시기를 사용하여 해시를 차단하는 것은 권장되지 않습니다.

Windows Defender WDAC(애플리케이션 제어)

인증서 표시기

경우에 따라 organization 허용하거나 차단하도록 설정된 파일 또는 애플리케이션에 서명하는 데 사용되는 특정 인증서입니다. 인증서 표시기가 를 사용하는 경우 엔드포인트용 Defender에서 지원됩니다. CER 또는 입니다. PEM 파일 형식입니다. 자세한 내용은 인증서 기반 Create 표시기를 참조하세요.

IoC 검색 엔진

현재 IoC에 대해 지원되는 Microsoft 원본은 다음과 같습니다.

클라우드 검색 엔진

엔드포인트용 Defender의 클라우드 검색 엔진은 정기적으로 수집된 데이터를 검색하고 설정한 지표와 일치시키려고 시도합니다. 일치하는 항목이 있으면 IoC에 대해 지정한 설정에 따라 작업이 수행됩니다.

엔드포인트 방지 엔진

동일한 지표 목록은 방지 에이전트가 적용합니다. 즉, Microsoft Defender 바이러스 백신이 구성된 기본 바이러스 백신인 경우 일치하는 표시기는 설정에 따라 처리됩니다. 예를 들어 작업이 "경고 및 차단"인 경우 Microsoft Defender 바이러스 백신은 파일 실행(차단 및 수정)을 방지하고 해당 경고가 나타납니다. 반면에 작업이 "허용"으로 설정된 경우 Microsoft Defender 바이러스 백신은 파일을 검색하거나 차단하지 않습니다.

자동 조사 및 수정 엔진

자동화된 조사 및 수정은 엔드포인트 방지 엔진과 유사하게 작동합니다. 표시기가 "허용"으로 설정된 경우 자동화된 조사 및 수정은 "잘못된" 판결을 무시합니다. "차단"으로 설정된 경우 자동화된 조사 및 수정은 이를 "불량"으로 처리합니다.

설정은 EnableFileHashComputation 파일 검사 중에 인증서 및 파일 IoC에 대한 파일 해시를 계산합니다. 해시 및 인증서가 신뢰할 수 있는 애플리케이션에 속하는 IoC 적용을 지원합니다. 허용 또는 차단 파일 설정을 사용하여 동시에 사용하도록 설정됩니다. EnableFileHashComputation는 그룹 정책 통해 수동으로 사용하도록 설정되며 기본적으로 사용하지 않도록 설정됩니다.

표시기 적용 유형

보안 팀이 IoC(새 지표)를 만들 때 다음 작업을 사용할 수 있습니다.

  • 허용 – 디바이스에서 IoC를 실행할 수 있습니다.
  • 감사 – IoC가 실행될 때 경고가 트리거됩니다.
  • 경고 – IoC는 사용자가 우회할 수 있다는 경고를 표시합니다.
  • 실행 차단 - IoC를 실행할 수 없습니다.
  • 차단 및 수정 - IoC를 실행할 수 없으며 수정 작업이 IoC에 적용됩니다.

참고

경고 모드를 사용하면 위험한 앱 또는 웹 사이트를 여는 경우 사용자에게 경고 메시지가 표시됩니다. 프롬프트는 애플리케이션 또는 웹 사이트 실행을 허용하지 않지만 앱의 적절한 사용을 설명하는 회사 페이지에 대한 사용자 지정 메시지 및 링크를 제공할 수 있습니다. 사용자는 여전히 경고를 무시하고 필요한 경우 앱을 계속 사용할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 검색된 앱 관리를 참조하세요.

다음을 위한 표시기를 만들 수 있습니다.

아래 표에서는 IoC(표시기) 유형별로 사용할 수 있는 작업을 정확히 보여 줍니다.

IoC 형식 사용 가능한 작업
파일 허용
감사
경고
실행 차단
차단 및 수정
IP 주소 허용
감사
경고
실행 차단
URL 및 도메인 허용
감사
경고
실행 차단
인증서 허용
차단 및 수정

기존 IoC의 기능은 변경되지 않습니다. 그러나 표시기 이름이 현재 지원되는 응답 작업과 일치하도록 이름이 바뀌었습니다.

  • 생성된 경고 설정을 사용하도록 설정하여 "경고 전용" 응답 작업의 이름이 "감사"로 바뀌었습니다.
  • "경고 및 차단" 응답의 이름이 선택적 경고 생성 설정을 사용하여 "차단 및 수정"으로 바뀌었습니다.

IoC API 스키마 및 사전 헌팅의 위협 ID는 IoC 응답 작업의 이름 바꾸기에 맞게 업데이트됩니다. API 체계 변경 내용은 모든 IoC 형식에 적용됩니다.

참고

테넌트당 15,000개의 지표로 제한됩니다. 파일 및 인증서 지표는 Microsoft Defender 바이러스 백신에 대해 정의된 제외를 차단하지 않습니다. 표시기는 수동 모드인 경우 Microsoft Defender 바이러스 백신에서 지원되지 않습니다.

새 IoC(표시기)를 가져오는 형식이 업데이트된 새 작업 및 경고 설정에 따라 변경되었습니다. 가져오기 패널의 맨 아래에서 찾을 수 있는 새 CSV 형식을 다운로드하는 것이 좋습니다.

알려진 문제점 및 제한

고객은 손상 지표에 대한 경고와 관련된 문제가 발생할 수 있습니다. 다음 시나리오는 경고가 생성되지 않거나 부정확한 정보로 만들어지는 상황입니다. 각 문제는 엔지니어링 팀에서 조사합니다.

  • 차단 표시기 – 정보 심각도가 있는 일반 경고만 발생합니다. 사용자 지정 경고(즉, 사용자 지정 제목 및 심각도)는 이러한 경우에 발생하지 않습니다.
  • 경고 표시기 – 이 시나리오에서는 일반 경고 및 사용자 지정 경고가 가능할 수 있지만 경고 검색 논리의 문제로 인해 결과가 결정적이지 않습니다. 경우에 따라 고객에게 일반 경고가 표시될 수 있지만 사용자 지정 경고는 다른 경우에 표시될 수 있습니다.
  • 허용 – (의도적으로) 경고가 생성되지 않습니다.
  • 감사 - 경고는 고객이 제공하는 심각도에 따라 생성됩니다.
  • 경우에 따라 EDR 검색에서 발생하는 경고가 바이러스 백신 블록에서 비롯된 경고보다 우선적으로 나타날 수 있으며, 이 경우 정보 경고가 생성됩니다.

Microsoft Store 앱은 Microsoft에서 서명했기 때문에 Defender에서 차단할 수 없습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.