평가판 사용자 가이드: Microsoft Defender 취약성 관리

  • 아티클

이 사용자 가이드는 무료 Microsoft Defender 취약성 관리 평가판을 설치하고 최대한 활용하는 데 도움이 되는 간단한 도구입니다. Microsoft 보안 팀의 이 가이드에서 제안된 단계를 사용하여 취약성 관리가 사용자 및 데이터를 보호하는 데 어떻게 도움이 되는지 알아봅니다.

참고

Microsoft Defender 취약성 관리 대한 평가판 제품은 현재 다음에서 사용할 수 없습니다.

  • GCC High 및 DoD를 사용하는 미국 정부 고객
  • 비즈니스용 Microsoft Defender 고객

Microsoft Defender 취약성 관리란?

사이버 위험을 줄이려면 가장 중요한 자산에서 중요한 취약성을 식별, 평가, 수정 및 추적하기 위한 포괄적인 위험 기반 취약성 관리 프로그램이 필요합니다.

Microsoft Defender 취약성 관리 자산 가시성, 지속적인 실시간 검색 및 취약성 평가, 컨텍스트 인식 위협 & 비즈니스 우선 순위 지정 및 기본 제공 수정 프로세스를 제공합니다. 여기에는 팀이 organization 가장 큰 위험을 지능적으로 평가, 우선 순위 지정 및 원활하게 수정할 수 있는 기능이 포함되어 있습니다.

Microsoft Defender 취약성 관리 기능의 스크린샷.

Defender 취약성 관리에 대해 자세히 알아보려면 다음 비디오를 시청하세요.

이제 시작해 보겠습니다.

1단계: 설정

참고

사용자는 평가판을 온보딩하려면 Microsoft Entra ID 정의된 전역 관리자 역할이 있어야 합니다. 자세한 내용은 평가판을 시작하는 데 필요한 역할을 참조하세요.

  1. 사용 권한 및 필수 구성 요소를 확인합니다.

  2. Microsoft Defender 취약성 관리 평가판은 여러 가지 방법으로 액세스할 수 있습니다.

    • Microsoft Defender 365 포털에 액세스할 수 있는 경우 왼쪽 탐색 창 모음의 평가판으로 이동합니다. Microsoft 365 평가판 허브에 도달하면 다음을 수행합니다.

      • 엔드포인트용 Defender 플랜 2가 있는 경우 Defender 취약성 관리 추가 기능 카드 찾아 지금 시도를 선택합니다.
      • 새 고객 또는 엔드포인트용 기존 Defender P1 또는 Microsoft 365 E3 고객인 경우 Defender 취약성 관리 카드 선택하고 지금 시도를 선택합니다.

    Microsoft Defender 취약성 관리 평가판 허브 방문 페이지의 스크린샷

참고

평가판에 등록하는 방법에 대한 자세한 옵션은 Microsoft Defender 취약성 관리 등록을 참조하세요.

  1. 평가판에 포함된 내용에 대한 정보를 검토한 다음 평가 판 시작을 선택합니다. 평가판을 활성화하면 포털에서 새 기능을 사용할 수 있는 데 최대 6시간이 걸릴 수 있습니다.

    • Defender 취약성 관리 추가 기능 평가판은 90일 동안 지속됩니다.
    • Defender 취약성 관리 독립 실행형 평가판은 90일 동안 지속됩니다.

  2. 시작할 준비가 되면 Microsoft Defender 포털을 방문하여 왼쪽 탐색 모음에서 취약성 관리를 선택하여 Defender 취약성 관리 평가판 사용을 시작합니다.

참고

클라우드 고객을 위한 Microsoft Defender 경우 서버의 취약성 관리 기능을 참조하여 organization 사용할 수 있는 Defender 취약성 관리 기능에 대해 자세히 알아보세요.

Defender 취약성 관리 사용해 보기

1단계: 단일 보기에서 보호할 항목 파악

기본 제공 및 에이전트 없는 스캐너는 디바이스가 회사 네트워크에 연결되지 않은 경우에도 위험을 지속적으로 모니터링하고 감지합니다. 확장된 자산 범위는 소프트웨어 애플리케이션, 디지털 인증서, 브라우저 확장 및 하드웨어 및 펌웨어를 단일 인벤토리 보기로 통합합니다.

  1. 디바이스 인벤토리 - 디바이스 인벤토리에 네트워크의 디바이스 목록이 표시됩니다. 기본적으로 목록에는 지난 30일 동안 표시된 디바이스가 표시됩니다. 한눈에 도메인, 위험 수준, OS 플랫폼, 관련 CVE 및 위험 수준이 가장 높은 디바이스를 쉽게 식별할 수 있는 기타 세부 정보와 같은 정보를 볼 수 있습니다.

  2. 통합된 단일 인벤토리 보기에서 organization 소프트웨어를 검색하고 평가합니다.

    • 소프트웨어 애플리케이션 인벤토리 - Defender 취약성 관리의 소프트웨어 인벤토리는 organization 알려진 애플리케이션 목록입니다. 이 보기에는 OS 플랫폼, 공급업체, 약점 수, 위협 및 노출된 디바이스의 엔터티 수준 보기와 같은 우선 순위가 지정된 영향 점수와 세부 정보가 있는 설치된 소프트웨어의 취약성 및 잘못된 구성 인사이트가 포함됩니다.
    • 브라우저 확장 평가 - 브라우저 확장 페이지에는 organization 여러 브라우저에 설치된 확장 목록이 표시됩니다. 확장은 일반적으로 제대로 실행하려면 다른 권한이 필요합니다. Defender 취약성 관리는 각 확장에서 요청한 권한에 대한 자세한 정보를 제공하고 가장 높은 관련 위험 수준, 확장이 켜져 있는 디바이스, 설치된 버전 등을 식별합니다.
    • 인증서 인벤토리 - 인증서 인벤토리를 사용하면 단일 보기에서 organization 설치된 디지털 인증서를 검색, 평가 및 관리할 수 있습니다. 이렇게 하면 다음을 수행할 수 있습니다.
      • 만료되는 인증서를 식별하여 업데이트하고 서비스 중단을 방지할 수 있습니다.
      • 약한 서명 알고리즘(예: SHA-1-RSA), 짧은 키 크기(예: RSA 512비트) 또는 약한 서명 해시 알고리즘(예: MD5)의 사용으로 인한 잠재적 취약성을 검색합니다.
      • 규정 지침 및 조직 정책을 준수하는지 확인합니다.
    • 하드웨어 및 펌웨어 - 하드웨어 및 펌웨어 인벤토리는 organization 알려진 하드웨어 및 펌웨어 목록을 제공합니다. 시스템 모델, 프로세서 및 BIOS에 대한 개별 인벤토리를 제공합니다. 각 보기에는 공급업체 이름, 약점 수, 위협 인사이트 및 노출된 디바이스 수와 같은 세부 정보가 포함됩니다.

  3. Windows에 대한 인증된 검사 - Windows에 대한 인증된 검사를 사용하면 IP 범위 또는 호스트 이름으로 원격으로 대상으로 지정하고 Defender 취약성 관리에 원격으로 디바이스에 액세스할 수 있는 자격 증명을 제공하여 Windows 서비스를 검색할 수 있습니다. 구성된 후에는 대상 비관리형 디바이스가 소프트웨어 취약성에 대해 정기적으로 검사됩니다.

  4. 디바이스 값 할당 - 디바이스 값을 정의하면 자산 우선 순위를 구분하는 데 도움이 됩니다. 디바이스 값은 개별 자산의 위험 욕구를 Defender 취약성 관리 노출 점수 계산에 통합하는 데 사용됩니다. "높은 값"으로 할당된 디바이스는 더 많은 가중치를 받습니다. 디바이스 값 옵션:

    • 낮음
    • 보통(기본값)
    • 높음

    디바이스 값 API 설정을 사용할 수도 있습니다.

2단계: 수정 활동 추적 및 완화

  1. 요청 수정 - 취약성 관리 기능은 수정 요청 워크플로를 통해 보안 관리자와 IT 관리자 간의 격차를 해소합니다. 사용자와 같은 보안 관리자는 IT 관리자에게 권장 사항 페이지에서 Intune 취약성을 수정하도록 요청할 수 있습니다.

  2. 수정 활동 보기 - 보안 권장 사항 페이지에서 수정 요청을 제출하면 수정 작업이 시작됩니다. 수정 페이지에서 추적할 수 있는 보안 작업이 만들어지고 수정 티켓이 Microsoft Intune 만들어집니다.

  3. 취약한 애플리케이션 차단 - 취약성 수정에는 시간이 걸리며 IT 팀의 책임과 리소스에 따라 달라질 수 있습니다. 보안 관리자는 수정 요청이 완료될 때까지 취약한 앱 버전을 열기 전에 현재 알려진 모든 취약한 버전의 애플리케이션을 차단하거나 사용자 지정 가능한 메시지로 사용자에게 경고하는 즉각적인 조치를 취하여 취약성의 위험을 일시적으로 줄일 수 있습니다. 블록 옵션을 사용하면 보안 관리자가 그 동안 취약성이 악용될 것을 걱정하지 않고 IT 팀이 애플리케이션을 패치할 수 있습니다.

참고

평가판이 종료되면 차단된 애플리케이션은 즉시 차단 해제되는 반면 기준 프로필은 삭제되기 전에 짧은 추가 시간 동안 저장될 수 있습니다.

  1. 네트워크 공유 분석과 같은 향상된 평가 기능을 사용하여 취약한 네트워크 공유를 보호합니다. 네트워크 사용자가 네트워크 공유에 쉽게 액세스할 수 있으므로 일반적인 약점이 적어 취약해질 수 있습니다. 이러한 유형의 잘못된 구성은 일반적으로 공격자가 횡적 이동, 정찰, 데이터 반출 등에 대해 야생에서 사용됩니다. 따라서 엔드포인트가 Windows 네트워크 공유의 공격 벡터에 노출되는 일반적인 약점을 식별하는 새로운 구성 평가 범주를 Defender 취약성 관리에 빌드했습니다. 이렇게 하면 다음을 수행할 수 있습니다.

    • 공유에 대한 오프라인 액세스 허용
    • 루트 폴더에서 공유 제거
    • '모든 사람'으로 설정된 공유 쓰기 권한 제거
    • 공유에 대한 폴더 열거형 설정

  2. 취약한 디바이스 추세 및 현재 통계가 있는 그래프 및 가로 막대형 차트를 보여 주는 취약한 디바이스 보고서를 사용하여 organization 디바이스를 보고 모니터링합니다. 목표는 디바이스 노출의 호흡과 scope 이해하는 것입니다.

3단계: 보안 기준 평가 설정

특정 시점 규정 준수 검사를 실행하는 대신 보안 기준 평가를 통해 업계 보안 벤치마크에 대한 organization 규정 준수를 실시간으로 지속적으로 사전에 모니터링할 수 있습니다. 보안 기준 프로필은 업계 보안 벤치마크(CIS, NIST, MS)에 대해 organization 엔드포인트를 평가하고 모니터링하기 위해 만들 수 있는 사용자 지정된 프로필입니다. 보안 기준 프로필을 만들 때 여러 디바이스 구성 설정과 비교할 기본 벤치마크로 구성된 템플릿을 만듭니다.

보안 기준은 Windows 10, Windows 11 및 Windows Server 2008 R2 이상에 대한 CIS(Center for Internet Security) 벤치마크와 Windows 10 및 Windows Server 2019용 STIG(보안 기술 구현 가이드) 벤치마크를 지원합니다.

  1. 보안 기준 평가 시작
  2. 보안 기준 프로필 평가 결과 검토
  3. 고급 헌팅 사용

참고

평가판이 종료되는 경우 보안 기준 프로필은 삭제되기 전에 짧은 추가 시간 동안 저장될 수 있습니다.

4단계: API 및 고급 헌팅을 사용하여 심층 인사이트를 얻기 위해 의미 있는 보고서 Create

Defender 취약성 관리 API는 보안 상태 및 취약성 관리 워크플로 자동화에 대한 사용자 지정 보기를 사용하여 organization 명확성을 높이는 데 도움이 될 수 있습니다. 데이터 수집, 위험 점수 분석 및 다른 조직 프로세스 및 솔루션과의 통합을 통해 보안 팀의 워크로드를 완화합니다. 자세한 내용은 다음 항목을 참조하세요.

고급 헌팅을 사용하면 Defender 취약성 관리 원시 데이터에 유연하게 액세스할 수 있으므로 엔터티에서 알려진 위협과 잠재적 위협을 사전에 검사할 수 있습니다. 자세한 내용은 노출된 디바이스 사냥을 참조하세요.

라이선스 및 평가판 정보

평가판 설정의 일부로 새 Defender 취약성 관리 평가판 라이선스가 사용자에게 자동으로 적용됩니다. 따라서 할당이 필요하지 않습니다(평가판은 최대 1,000,000개의 라이선스를 자동으로 적용할 수 있음). 라이선스는 평가판 기간 동안 활성 상태입니다.

평가판 시작

Microsoft Defender 포털에 표시되는 즉시 Defender 취약성 관리 기능을 사용할 수 있습니다. 아무 것도 자동으로 만들어지지 않으며 사용자는 영향을 받지 않습니다. 각 솔루션으로 이동하면 기능 사용을 시작하기 위해 추가 설정 구성을 지정하라는 지침이 표시될 수 있습니다.

평가판 연장

평가판 기간의 마지막 15일 이내에 평가판을 연장할 수 있습니다. 최대 2개의 평가판 기간으로 제한됩니다. 평가 기간이 종료되는 시간까지 연장하지 않는 경우 두 번째 평가판에 등록하기 전에 30일 이상 기다려야 합니다.

평가판 종료

관리자는 왼쪽 탐색에서 평가판을 선택하고, Defender 취약성 관리 평가판 카드 이동하여 평가판 종료를 선택하여 언제든지 평가판을 사용하지 않도록 설정할 수 있습니다.

솔루션에 대해 달리 명시되지 않는 한 평가판 데이터는 영구적으로 삭제되기 전에 일반적으로 180일 동안 유지 관리됩니다. 평가판 중에 수집된 데이터에 계속 액세스할 수 있습니다.

추가 리소스