공격 표면 감소 기능 이해 및 사용

적용 대상:

• Microsoft Defender XDR
• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender 바이러스 백신

플랫폼

• Windows

팁

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

공격 표면은 organization 사이버 위협 및 공격에 취약한 모든 장소입니다. 엔드포인트용 Defender에는 공격 노출 영역을 줄이는 데 도움이 되는 몇 가지 기능이 포함되어 있습니다. 공격 표면 감소에 대해 자세히 알아보려면 다음 비디오를 시청하세요.

공격 표면 감소 기능 구성

사용자 환경에서 공격 표면 감소를 구성하려면 다음 단계를 수행합니다.

1. Microsoft Edge에 하드웨어 기반 격리를 사용하도록 설정합니다.

2. 공격 표면 감소 규칙을 사용하도록 설정합니다.

3. 애플리케이션 제어를 사용하도록 설정합니다.

   1. Windows에서 기본 정책을 검토합니다. 기본 정책 예제를 참조하세요.

   2. Windows Defender 애플리케이션 제어 디자인 가이드를 참조하세요.

   3. Windows Defender WDAC(애플리케이션 제어) 정책 배포를 참조하세요.

4. 제어된 폴더 액세스를 사용하도록 설정합니다.

5. 이동식 스토리지 보호를 사용하도록 설정합니다.

6. 네트워크 보호를 켭니다.

7. 웹 보호를 사용하도록 설정합니다.

8. 익스플로잇 보호를 사용하도록 설정합니다.

9. 네트워크 방화벽을 설정합니다.

   1. 고급 보안을 사용하여 Windows 방화벽에 대한 개요를 확인하세요.

   2. Windows 방화벽 디자인 가이드를 사용하여 방화벽 정책을 디자인하는 방법을 결정합니다.

   3. Windows 방화벽 배포 가이드를 사용하여 고급 보안으로 organization 방화벽을 설정합니다.

팁

대부분의 경우 공격 표면 감소 기능을 구성할 때 다음과 같은 여러 방법 중에서 선택할 수 있습니다.

• Microsoft Intune
• Microsoft Configuration Manager
• 그룹 정책
• PowerShell cmdlets

엔드포인트용 Microsoft Defender 공격 표면 감소 테스트

organization 보안 팀의 일환으로 감사 모드에서 실행되도록 공격 표면 감소 기능을 구성하여 작동 방식을 확인할 수 있습니다. 감사 모드에서 다음 공격 표면 감소 보안 기능을 사용하도록 설정할 수 있습니다.

• 공격 노출 영역 축소 규칙
• 악용 방지
• 네트워크 보호
• 제어된 폴더 액세스
• 디바이스 제어

감사 모드를 사용하면 기능이 사용하도록 설정된 경우 발생한 일에 대한 레코드를 볼 수 있습니다.

기능의 작동 방식을 테스트할 때 감사 모드를 사용하도록 설정할 수 있습니다. 테스트에 대해서만 감사 모드를 사용하도록 설정하면 감사 모드가 기간 업무 앱에 영향을 주지 않도록 방지할 수 있습니다. 특정 기간 동안 의심스러운 파일 수정 시도 횟수를 파악할 수도 있습니다.

이 기능은 앱, 스크립트 또는 파일이 수정되는 것을 차단하거나 차단하지 않습니다. 그러나 Windows 이벤트 로그는 기능을 완전히 사용하도록 설정된 것처럼 이벤트를 기록합니다. 감사 모드를 사용하면 이벤트 로그를 검토하여 기능이 활성화된 경우 어떤 영향을 미쳤는지 확인할 수 있습니다.

감사된 항목을 찾으려면 애플리케이션 및 서비스>Microsoft>Windows>Windows Defender>옵터레이션으로 이동합니다.

엔드포인트용 Defender를 사용하여 각 이벤트에 대한 세부 정보를 가져옵니다. 이러한 세부 정보는 공격 표면 감소 규칙을 조사하는 데 특히 유용합니다. 엔드포인트용 Defender 콘솔을 사용하면 경고 타임라인 및 조사 시나리오의 일부로 문제를 조사할 수 있습니다.

그룹 정책, PowerShell 및 CSP(구성 서비스 공급자)를 사용하여 감사 모드를 사용하도록 설정할 수 있습니다.

감사 옵션	감사 모드를 사용하도록 설정하는 방법	이벤트를 보는 방법
감사는 모든 이벤트에 적용됩니다.	제어된 폴더 액세스 사용	제어된 폴더 액세스 이벤트
감사는 개별 규칙에 적용됩니다.	1단계: 감사 모드를 사용하여 공격 표면 감소 규칙 테스트	2단계: 공격 표면 감소 규칙 보고 페이지 이해
감사는 모든 이벤트에 적용됩니다.	네트워크 보호 사용	네트워크 보호 이벤트
감사는 개별 완화에 적용됩니다.	악용 방지 사용	Exploit Protection 이벤트

예를 들어 차단 모드에서 사용하도록 설정하기 전에 감사 모드에서 공격 표면 감소 규칙을 테스트할 수 있습니다. 공격 표면 감소 규칙은 일반적인 알려진 공격 표면을 강화하기 위해 미리 정의됩니다. 공격 표면 감소 규칙을 구현하는 데 사용할 수 있는 몇 가지 방법이 있습니다. 기본 설정 방법은 다음 공격 표면 감소 규칙 배포 문서에 설명되어 있습니다.

• 공격 표면 감소 규칙 배포 개요
• 공격 표면 감소 규칙 배포 계획
• 테스트 공격 표면 감소 규칙
• 공격 표면 감소 규칙 사용
• 공격 표면 감소 규칙 운영

공격 표면 감소 이벤트 보기

이벤트 뷰어 공격 표면 감소 이벤트를 검토하여 작동하는 규칙 또는 설정을 모니터링합니다. 설정이 너무 "시끄럽다"거나 일상적인 워크플로에 영향을 미치는지 확인할 수도 있습니다.

기능을 평가할 때 이벤트를 검토하는 것이 편리합니다. 기능 또는 설정에 대해 감사 모드를 사용하도록 설정한 다음, 기능 또는 설정이 완전히 활성화된 경우 발생한 작업을 검토할 수 있습니다.

이 섹션에서는 모든 이벤트, 관련 기능 또는 설정을 나열하고 특정 이벤트로 필터링하는 사용자 지정 보기를 만드는 방법을 설명합니다.

E5 구독이 있고 엔드포인트용 Microsoft Defender 사용하는 경우 Windows 보안 일부로 이벤트, 블록 및 경고에 대한 자세한 보고를 가져옵니다.

사용자 지정 보기를 사용하여 공격 표면 감소 기능 검토

Windows 이벤트 뷰어 사용자 지정 보기를 만들어 특정 기능 및 설정에 대한 이벤트만 확인합니다. 가장 쉬운 방법은 사용자 지정 보기를 XML 파일로 가져오는 것입니다. 이 페이지에서 직접 XML을 복사할 수 있습니다.

기능에 해당하는 이벤트 영역으로 수동으로 이동할 수도 있습니다.

기존 XML 사용자 지정 보기 가져오기

1. 빈 .txt 파일을 만들고 사용하려는 사용자 지정 보기에 대한 XML을 .txt 파일에 복사합니다. 사용하려는 각 사용자 지정 보기에 대해 이 작업을 수행합니다. 파일 이름을 다음과 같이 바꿉니다(형식을 .txt .xml 변경해야 합니다.)

   • 제어된 폴더 액세스 이벤트 사용자 지정 보기: cfa-events.xml
   • Exploit Protection 이벤트 사용자 지정 보기: ep-events.xml
   • 공격 표면 감소 이벤트 사용자 지정 보기: asr-events.xml
   • 네트워크/보호 이벤트 사용자 지정 보기: np-events.xml

2. 시작 메뉴에 이벤트 뷰어를 입력하고 이벤트 뷰어 엽니다.

3. 작업>사용자 지정 보기 가져오기...를 선택합니다.

   

4. 원하는 사용자 지정 보기에 대한 XML 파일을 추출한 위치로 이동하여 선택합니다.

5. 열기를 선택합니다.

6. 해당 기능과 관련된 이벤트만 표시하도록 필터링하는 사용자 지정 보기를 만듭니다.

XML을 직접 복사합니다.

1. 시작 메뉴에 이벤트 뷰어를 입력하고 Windows 이벤트 뷰어 엽니다.

2. 왼쪽 패널의 작업에서 사용자 지정 보기 만들기...를 선택합니다.

   

3. XML 탭으로 이동하여 수동으로 쿼리 편집을 선택합니다. XML 옵션을 사용하는 경우 필터 탭을 사용하여 쿼리를 편집할 수 없다는 경고가 표시됩니다. 예를 선택합니다.

4. 이벤트를 필터링하려는 기능에 대한 XML 코드를 XML 섹션에 붙여넣습니다.

5. 확인을 선택합니다. 필터의 이름을 지정합니다. 이 작업은 해당 기능과 관련된 이벤트만 표시하도록 필터링하는 사용자 지정 보기를 만듭니다.

공격 표면 감소 규칙 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

제어된 폴더 액세스 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

익스플로잇 보호 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

네트워크 보호 이벤트에 대한 XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

공격 표면 감소 이벤트 목록

모든 공격 표면 감소 이벤트는 애플리케이션 및 서비스 로그 > Microsoft > Windows 아래에 있으며 다음 표에 나열된 폴더 또는 공급자 아래에 있습니다.

Windows 이벤트 뷰어에서 다음 이벤트에 액세스할 수 있습니다.

1. 시작 메뉴를 열고 이벤트 뷰어를 입력한 다음 이벤트 뷰어 결과를 선택합니다.

2. 애플리케이션 및 서비스 로그 > Microsoft > Windows를 확장한 다음 아래 표의 공급자/원본 아래에 나열된 폴더로 이동합니다.

3. 하위 항목을 두 번 클릭하여 이벤트를 확인합니다. 이벤트를 스크롤하여 원하는 이벤트를 찾습니다.

   

기능	공급자/원본	이벤트 ID	설명
악용 방지	보안 완화(커널 모드/사용자 모드)	1	ACG 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	2	ACG 적용
악용 방지	보안 완화(커널 모드/사용자 모드)	3	자식 프로세스 감사 허용 안 함
악용 방지	보안 완화(커널 모드/사용자 모드)	4	자식 프로세스 블록 허용 안 함
악용 방지	보안 완화(커널 모드/사용자 모드)	5	낮은 무결성 이미지 감사 차단
악용 방지	보안 완화(커널 모드/사용자 모드)	6	낮은 무결성 이미지 블록 차단
악용 방지	보안 완화(커널 모드/사용자 모드)	7	원격 이미지 감사 차단
악용 방지	보안 완화(커널 모드/사용자 모드)	8	원격 이미지 블록 차단
악용 방지	보안 완화(커널 모드/사용자 모드)	9	win32k 시스템 호출 감사 사용 안 함
악용 방지	보안 완화(커널 모드/사용자 모드)	10	Win32k 시스템 호출 블록 사용 안 함
악용 방지	보안 완화(커널 모드/사용자 모드)	11	코드 무결성 가드 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	12	코드 무결성 가드 블록
악용 방지	보안 완화(커널 모드/사용자 모드)	13	EAF 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	14	EAF 적용
악용 방지	보안 완화(커널 모드/사용자 모드)	15	EAF+ 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	16	EAF+ 적용
악용 방지	보안 완화(커널 모드/사용자 모드)	17	IAF 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	18	IAF 적용
악용 방지	보안 완화(커널 모드/사용자 모드)	19	ROP StackPivot 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	20	ROP StackPivot 적용
악용 방지	보안 완화(커널 모드/사용자 모드)	21	ROP CallerCheck 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	22	ROP CallerCheck 적용
악용 방지	보안 완화(커널 모드/사용자 모드)	23	ROP SimExec 감사
악용 방지	보안 완화(커널 모드/사용자 모드)	24	ROP SimExec 적용
악용 방지	WER-진단	5	CFG 블록
악용 방지	Win32K(운영)	260	신뢰할 수 없는 글꼴
네트워크 보호	Windows Defender(운영)	5007	설정이 변경된 경우의 이벤트
네트워크 보호	Windows Defender(운영)	1125	감사 모드에서 네트워크 보호가 실행되는 경우 이벤트
네트워크 보호	Windows Defender(운영)	1126	차단 모드에서 네트워크 보호가 실행되는 경우 이벤트
제어된 폴더 액세스	Windows Defender(운영)	5007	설정이 변경된 경우의 이벤트
제어된 폴더 액세스	Windows Defender(운영)	1124	감사된 제어된 폴더 액세스 이벤트
제어된 폴더 액세스	Windows Defender(운영)	1123	차단된 제어된 폴더 액세스 이벤트
제어된 폴더 액세스	Windows Defender(운영)	1127	차단된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트
제어된 폴더 액세스	Windows Defender(운영)	1128	감사된 제어된 폴더 액세스 섹터 쓰기 블록 이벤트
공격 표면 감소	Windows Defender(운영)	5007	설정이 변경된 경우의 이벤트
공격 표면 감소	Windows Defender(운영)	1122	감사 모드에서 규칙이 실행되는 경우 이벤트
공격 표면 감소	Windows Defender(운영)	1121	블록 모드에서 규칙이 실행되는 경우 이벤트

참고

사용자의 관점에서 공격 표면 감소 경고 모드 알림은 공격 표면 감소 규칙에 대한 Windows 알림 메시지로 만들어집니다.

공격 표면 감소에서 네트워크 보호는 감사 및 차단 모드만 제공합니다.

공격 표면 감소에 대해 자세히 알아볼 수 있는 리소스

비디오에서 설명한 것처럼 엔드포인트용 Defender에는 여러 공격 표면 감소 기능이 포함되어 있습니다. 자세한 내용은 다음 리소스를 사용합니다.

문서	설명
응용 프로그램 제어	애플리케이션을 실행하려면 애플리케이션이 신뢰를 얻어야 하므로 애플리케이션 제어를 사용합니다.
공격 표면 감소 규칙 참조	각 공격 표면 감소 규칙에 대한 세부 정보를 제공합니다.
공격 표면 감소 규칙 배포 가이드	공격 표면 감소 규칙을 배포하기 위한 개요 정보 및 필수 구성 요소와 테스트(감사 모드), 사용(블록 모드) 및 모니터링에 대한 단계별 지침을 제공합니다.
제어된 폴더 액세스	악성 또는 의심스러운 앱(파일 암호화 랜섬웨어 맬웨어 포함)이 키 시스템 폴더의 파일을 변경하지 못하도록 방지합니다(Microsoft Defender 바이러스 백신 필요).
장치 제어	organization 이동식 스토리지 및 USB 드라이브와 같은 디바이스에서 사용되는 미디어를 모니터링하고 제어하여 데이터 손실로부터 보호합니다.
악용 방지	organization 사용하는 운영 체제 및 앱이 악용되지 않도록 보호합니다. Exploit Protection은 타사 바이러스 백신 솔루션에서도 작동합니다.
하드웨어 기반 격리	시스템이 시작되고 실행되는 동안 시스템의 무결성을 보호하고 유지합니다. 로컬 및 원격 증명을 통해 시스템 무결성을 검증합니다. Microsoft Edge용 컨테이너 격리를 사용하여 악성 웹 사이트로부터 보호합니다.
네트워크 보호	조직의 장치에서 네트워크 트래픽 및 연결에 대한 보호를 확장하세요. (Microsoft Defender 바이러스 백신 필요).
테스트 공격 표면 감소 규칙	감사 모드를 사용하여 공격 표면 감소 규칙을 테스트하는 단계를 제공합니다.
웹 보호	웹 보호를 사용하면 웹 위협으로부터 디바이스를 보호하고 원치 않는 콘텐츠를 규제할 수 있습니다.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.