macOS에 대한 네트워크 보호

적용 대상:

• 엔드포인트용 Microsoft Microsoft Defender XDR 계획 1
• 엔드포인트용 Microsoft Microsoft Defender XDR 계획 2
• Microsoft Defender XDR

개요

Microsoft 네트워크 보호는 인터넷 기반 이벤트에서 디바이스의 공격 노출 영역을 줄이는 데 도움이 됩니다. 이를 통해 직원은 다음을 호스트할 수 있는 위험한 도메인에 액세스하기 위해 애플리케이션을 사용할 수 없습니다.

• 피싱 사기
• 악용
• 인터넷의 다른 악성 콘텐츠

네트워크 보호는 Microsoft Defender XDR SmartScreen의 scope 확장하여 평판이 낮은 원본에 연결하려는 모든 아웃바운드 HTTP 트래픽을 차단합니다. 아웃바운드 HTTP 트래픽의 블록은 도메인 또는 호스트 이름을 기반으로 합니다.

상태

이제 최소 요구 사항을 충족하는 모든 엔드포인트용 Microsoft Defender 온보딩된 macOS 디바이스에 macOS용 네트워크 보호를 사용할 수 있습니다. 현재 구성된 모든 네트워크 보호 및 웹 위협 방지 정책은 네트워크 보호가 블록 모드로 구성된 macOS 디바이스에 적용됩니다.

macOS용 네트워크 보호를 롤아웃하려면 다음 작업을 수행하는 것이 좋습니다.

• 네트워크 보호를 테스트하는 데 사용할 수 있는 디바이스의 작은 집합에 대한 디바이스 그룹을 Create.
• 네트워크 보호가 차단 모드인 macOS 디바이스를 대상으로 하는 웹 위협 방지, 사용자 지정 손상 지표, 웹 콘텐츠 필터링 및 Microsoft Defender for Cloud Apps 적용 정책의 영향을 평가합니다.
• 이 디바이스 그룹에 감사 또는 차단 모드 정책을 배포하고 문제 또는 손상된 작업 스트림이 없는지 확인합니다.
• 롤아웃될 때까지 네트워크 보호를 더 큰 디바이스 집합에 점진적으로 배포합니다.

현재 기능

• 도메인 및 IP에 대한 사용자 지정 손상 지표입니다.
• 웹 콘텐츠 필터링 지원:
  • Microsoft Defender 포털에서 만든 정책을 통해 디바이스 그룹으로 범위가 지정된 웹 사이트 범주를 차단합니다.
  • 정책은 macOS용 Microsoft Edge Chromium 포함하여 브라우저에 적용됩니다.
• 고급 헌팅 - 네트워크 이벤트는 컴퓨터 타임라인에 반영되며 고급 헌팅에서 쿼리하여 보안 조사를 지원합니다.
• Microsoft Defender for Cloud Apps:
  • 섀도 IT 검색 - organization 사용 중인 앱을 식별합니다.
  • 애플리케이션 차단 - 전체 애플리케이션(예: Slack 및 Facebook)이 organization 사용되지 않도록 차단합니다.
• 네트워크 보호와 함께 또는 병렬로 회사 VPN:
  • 현재 VPN 충돌은 식별되지 않습니다.
  • 충돌이 발생하는 경우 이 페이지의 맨 아래에 나열된 피드백 채널을 통해 피드백을 제공할 수 있습니다.

알려진 문제

• Block/Warn UX는 사용자 지정할 수 없으며 다른 모양과 느낌의 변경이 필요할 수 있습니다. (추가 디자인 개선을 추진하기 위해 고객 피드백이 수집되고 있습니다.)
• VMware의 "앱별 터널" 기능과 관련된 알려진 애플리케이션 비호환성 문제가 있습니다. (이러한 비호환성으로 인해 "앱별 터널"을 통과하는 트래픽을 차단할 수 없습니다.)
• Blue Coat 프록시와 관련된 알려진 애플리케이션 비호환성 문제가 있습니다. (이 비호환성으로 인해 블루 코트 프록시와 네트워크 보호를 모두 사용하도록 설정하면 관련 없는 애플리케이션에서 네트워크 계층이 충돌할 수 있습니다.)

중요 참고 사항

• 연결 끊기 단추를 사용하여 시스템 기본 설정에서 네트워크 보호를 제어하지 않는 것이 좋습니다. 대신 mdatp 명령줄 도구 또는 JAMF/Intune 사용하여 macOS에 대한 네트워크 보호를 제어합니다.
• macOS 웹 위협 방지의 효과를 평가하려면 macOS용 Microsoft Edge 이외의 브라우저(예: Safari)에서 시도하는 것이 좋습니다. macOS용 Microsoft Edge에는 평가 중인 Mac 네트워크 보호 기능이 켜져 있는지 여부에 관계없이 사용하도록 설정된 기본 제공 웹 위협 방지 기능이 있습니다.

참고

macOS용 Microsoft Edge는 현재 웹 콘텐츠 필터링, 사용자 지정 표시기 또는 기타 엔터프라이즈 기능을 지원하지 않습니다. 그러나 네트워크 보호는 네트워크 보호를 사용하는 경우 macOS용 Microsoft Edge에 이 보호를 제공합니다.

필수 구성 요소

• 라이선스: 엔드포인트 플랜 1용 Microsoft Defender XDR 또는 엔드포인트 플랜 2의 Microsoft Defender XDR(평가판일 수 있음)
• 온보딩된 컴퓨터:
  • 최소 macOS 버전: 11
  • 제품 버전 101.94.13 이상

배포 지침

엔드포인트에 대한 Microsoft Defender XDR

Microsoft 자동 업데이트를 통해 최신 제품 버전을 설치합니다. Microsoft AutoUpdate를 열려면 터미널에서 다음 명령을 실행합니다.

open /Library/Application\ Support/Microsoft/MAU2.0/Microsoft\ AutoUpdate.app

공개 설명서의 지침을 사용하여 organization 정보를 사용하여 제품을 구성합니다.

네트워크 보호는 기본적으로 사용하지 않도록 설정되지만 다음 모드(적용 수준이라고도 함) 중 하나로 실행되도록 구성할 수 있습니다.

• 감사: 기간 업무 앱에 영향을 주지 않도록 하거나 블록이 발생하는 빈도를 파악하는 데 유용합니다.
• 차단: 네트워크 보호는 악성 웹 사이트에 대한 연결을 방지합니다.
• 사용 안 함: 네트워크 보호와 연결된 모든 구성 요소가 사용하지 않도록 설정됨

수동으로, JAMF를 통해 또는 Intune 통해 다음 방법 중 하나로 이 기능을 배포할 수 있습니다. 다음 섹션에서는 이러한 각 메서드에 대해 자세히 설명합니다.

수동 배포

적용 수준을 구성하려면 터미널에서 다음 명령을 실행합니다.

mdatp config network-protection enforcement-level --value [enforcement-level]

예를 들어 차단 모드에서 실행되도록 네트워크 보호를 구성하려면 다음 명령을 실행합니다.

mdatp config network-protection enforcement-level --value block

네트워크 보호가 성공적으로 시작되었는지 확인하려면 터미널에서 다음 명령을 실행하고 "started"가 인쇄되는지 확인합니다.

mdatp health --field network_protection_status

JAMF 배포

JAMF 배포가 성공하려면 구성 프로필이 네트워크 보호의 적용 수준을 설정해야 합니다. 이 구성 프로필을 만든 후 네트워크 보호를 사용하도록 설정하려는 디바이스에 할당합니다.

적용 수준 구성

참고: 여기에 나열된 지침을 사용하여 Mac의 엔드포인트에 대한 Microsoft Defender XDR 이미 구성한 경우 아래에 나열된 콘텐츠로 이전에 배포한 plist 파일을 업데이트하고 JAMF에서 다시 배포합니다.

1. 컴퓨터>구성 프로필에서 옵션>애플리케이션 & 사용자 지정 설정을 선택합니다.
2. 파일 업로드(PLIST 파일) 선택
3. 기본 설정 도메인을 com.microsoft.wdav로 설정
4. 다음 plist 파일 업로드

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>networkProtection</key>
    <dict>
        <key>enforcementLevel</key>
        <string>block</string>
    </dict>
</dict>
</plist>

Intune 배포

성공적인 Intune 배포하려면 네트워크 보호의 적용 수준을 설정하려면 구성 프로필이 필요합니다. 이 구성 프로필을 만든 후 네트워크 보호를 사용하도록 설정하려는 디바이스에 할당합니다.

Intune 사용하여 적용 수준 구성

참고

이전 지침(XML 파일 사용)을 사용하여 Mac에서 엔드포인트용 Microsoft Defender 이미 구성한 경우 이전 사용자 지정 구성 정책을 제거하고 아래 지침으로 바꿉니다.

1. 디바이스 관리>구성을 엽니다. 프로필>관리>Create 프로필을 선택합니다.
2. 플랫폼을macOS로 변경하고 프로필 유형을설정 카탈로그로 변경합니다. 만들기를 선택합니다.
3. 프로필의 이름을 지정합니다.
4. 구성 설정 화면에서 설정 추가를 선택합니다. Microsoft Defender>네트워크 보호를 선택하고 적용 수준 확인란을 선택합니다.
5. 적용 수준을 차단하도록 설정합니다. 다음 선택
6. 구성 프로필을 열고 com.microsoft.wdav.xml 파일을 업로드합니다. (이 파일은 3단계에서 만들어졌습니다.)
7. 확인을 선택합니다.
8. 할당관리를> 선택합니다. 포함 탭에서 네트워크 보호를 사용하도록 설정할 디바이스를 선택합니다.

Mobileconfig 배포

비 Microsoft MDM 솔루션과 함께 사용하거나 디바이스에 직접 배포할 수 있는 .mobileconfig 파일을 통해 구성을 배포하려면 다음을 수행합니다.

1. 다음 페이로드를 com.microsoft.wdav.xml.mobileconfig로 저장합니다.

   <?xml version="1.0" encoding="utf-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>com.microsoft.wdav</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender ATP settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender ATP configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender ATP configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>networkProtection</key>
                   <dict>
                       <key>enforcementLevel</key>
                       <string>block</string>
                   </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. 위의 파일이 올바르게 복사되었는지 확인합니다. 터미널에서 다음 명령을 실행하고 확인을 출력했는지 확인합니다.

   plutil -lint com.microsoft.wdav.xml
   

기능을 탐색하는 방법

1. 웹 위협 방지를 사용하여 웹 위협으로부터 organization 보호하는 방법을 알아봅니다.

   • 웹 위협 방지는 엔드포인트용 Microsoft Defender 웹 보호의 일부입니다. 네트워크 보호를 사용하여 웹 위협 방지 디바이스를 보호합니다.

2. 사용자 지정 표시기 흐름의 사용자 지정 표시기를 실행하여 사용자 지정 표시기 형식에서 블록을 가져옵니다.

3. 웹 콘텐츠 필터링을 탐색합니다.

   참고

   정책을 제거하거나 동시에 디바이스 그룹을 변경하는 경우 정책 배포가 지연될 수 있습니다. 전문가 팁: 디바이스 그룹에서 범주를 선택하지 않고 정책을 배포할 수 있습니다. 이 작업은 차단 정책을 만들기 전에 사용자 동작을 이해하는 데 도움이 되는 감사 전용 정책을 만듭니다.

   디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1 및 플랜 2에서 지원됩니다.

4. 엔드포인트용 Microsoft Defender Defender for Cloud Apps와 통합하면 네트워크 보호가 지원되는 macOS 디바이스에는 엔드포인트 정책 적용 기능이 있습니다.

   참고

   검색 및 기타 기능은 현재 이러한 플랫폼에서 지원되지 않습니다.

시나리오

다음 시나리오가 지원됩니다.

웹 위협 방지

웹 위협 방지는 엔드포인트용 Microsoft Defender XDR 웹 보호의 일부입니다. 네트워크 보호를 사용하여 웹 위협 방지 디바이스를 보호합니다. macOS용 Microsoft Edge 및 Chrome 및 Firefox와 같은 인기 있는 비 Microsoft 브라우저와 통합하면 웹 위협 방지는 웹 프록시 없이 웹 위협을 중지합니다. 웹 위협 방지는 온-프레미스 또는 멀리 있는 동안 디바이스를 보호할 수 있습니다. 웹 위협 방지는 다음 유형의 사이트에 대한 액세스를 중지합니다.

• 피싱 사이트
• 맬웨어 벡터
• 익스플로잇 사이트
• 신뢰할 수 없거나 평판이 낮은 사이트
• 사용자 지정 표시기 목록에서 차단된 사이트

자세한 내용은 웹 위협으로부터 organization 보호를 참조하세요.

사용자 지정 손상 지표

IoC(손상 표시기) 일치는 모든 엔드포인트 보호 솔루션에서 필수적인 기능입니다. 이 기능을 통해 SecOps는 탐지 및 차단(방지 및 응답)에 대한 지표 목록을 설정할 수 있습니다.

엔터티의 검색, 방지 및 제외를 정의하는 지표를 Create. 수행할 작업과 작업을 적용할 기간 및 적용할 디바이스 그룹의 scope 정의할 수 있습니다.

현재 지원되는 원본은 엔드포인트용 Defender의 클라우드 검색 엔진, 자동화된 조사 및 수정 엔진 및 엔드포인트 방지 엔진(Microsoft Defender 바이러스 백신)입니다.

자세한 내용은 IP 및 URL/도메인에 대한 Create 표시기를 참조하세요.

웹 컨텐츠 필터링

웹 콘텐츠 필터링은 엔드포인트용 Microsoft Defender 및 비즈니스용 Microsoft Defender 웹 보호 기능의 일부입니다. 웹 콘텐츠 필터링을 사용하면 organization 콘텐츠 범주에 따라 웹 사이트에 대한 액세스를 추적하고 규제할 수 있습니다. 이러한 웹 사이트의 대부분(악의적이지 않더라도)은 규정 준수 규정, 대역폭 사용 또는 기타 문제로 인해 문제가 될 수 있습니다.

특정 범주를 차단하도록 디바이스 그룹 전체에서 정책을 구성합니다. 범주를 차단하면 지정된 디바이스 그룹 내의 사용자가 범주와 연결된 URL에 액세스할 수 없습니다. 차단되지 않은 범주의 경우 URL이 자동으로 감사됩니다. 사용자는 중단 없이 URL에 액세스할 수 있으며 액세스 통계를 수집하여 보다 사용자 지정 정책 결정을 내릴 수 있습니다. 사용자가 보고 있는 페이지의 요소가 차단된 리소스를 호출하는 경우 차단 알림이 표시됩니다.

웹 콘텐츠 필터링은 주요 웹 브라우저에서 사용할 수 있으며 네트워크 보호(Safari, Chrome, Firefox, Brave 및 Opera)에서 수행하는 블록이 있습니다. 브라우저 지원에 대한 자세한 내용은 필수 구성 요소를 참조하세요.

보고에 대한 자세한 내용은 웹 콘텐츠 필터링을 참조하세요.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps/클라우드 앱 카탈로그는 엔드포인트에 대한 Microsoft Defender XDR 사용하여 액세스 시 최종 사용자에게 경고를 표시하고 모니터링됨으로 표시할 앱을 식별합니다. 모니터링되는 앱 아래에 나열된 도메인은 나중에 엔드포인트에 대한 Microsoft Defender XDR 동기화됩니다.

10-15분 이내에 이러한 도메인은 Action=Warn이 있는 표시기 > URL/도메인 아래 Microsoft Defender XDR 나열됩니다. 적용 SLA 내에서(이 문서의 끝에 있는 세부 정보 참조) 최종 사용자는 이러한 도메인에 액세스하려고 할 때 경고 메시지를 수신합니다.

최종 사용자가 모니터링되는 도메인에 액세스하려고 하면 엔드포인트용 Defender에서 경고를 받습니다.

• 사용자는 차단된 애플리케이션의 이름(예: Blogger.com)을 포함하여 운영 체제에서 표시하는 다음과 같은 알림 메시지와 함께 일반 블록 환경을 가져옵니다.

  

최종 사용자가 블록을 발견하면 사용자에게 가능한 두 가지 해결 방법이 있습니다.

사용자 바이패스

• 알림 메시지 환경의 경우: 차단 해제 단추를 누릅니다. 웹 페이지를 다시 로드하면 사용자가 클라우드 앱을 계속 사용하고 사용할 수 있습니다. (이 작업은 다음 24시간 동안 적용되며, 그 후에는 사용자가 다시 한 번 차단을 해제해야 합니다.)

사용자 교육

• 알림 메시지 환경의 경우: 알림 메시지 자체를 누릅니다. 최종 사용자는 Microsoft Defender for Cloud Apps 전역적으로 설정된 사용자 지정 리디렉션 URL로 리디렉션됩니다(이 페이지의 맨 아래에 있는 자세한 정보).

참고

앱당 바이패스 추적** – Microsoft Defender for Cloud Apps 애플리케이션 페이지에서 경고를 무시한 사용자 수를 추적할 수 있습니다.

부록

최종 사용자 교육 센터 SharePoint 사이트 템플릿

많은 조직에서 Microsoft Defender for Cloud Apps 제공하는 클라우드 제어를 사용하고 필요할 때 최종 사용자에 대한 제한을 설정할 뿐만 아니라 다음 사항에 대해 교육하고 코치하는 것이 중요합니다.

• 특정 인시던트
• 왜 그런 일이 일어났는가?
• 이 결정의 이면에 있는 생각은 무엇인가요?
• 차단 사이트 발생을 완화하는 방법

예기치 않은 동작에 직면하면 발생한 일에 대해 설명할 뿐만 아니라 다음에 클라우드 앱을 선택하여 작업을 완료할 때 더 잘 인식하도록 교육하기 위해 가능한 한 많은 정보를 제공하여 사용자의 혼란을 줄일 수 있습니다. 예를 들어 이 정보에는 다음이 포함될 수 있습니다.

• 인터넷 및 클라우드 사용에 대한 조직 보안 및 규정 준수 정책 및 지침
• 사용할 승인된/권장되는 클라우드 앱
• 사용할 제한된/차단된 클라우드 앱

이 페이지의 경우 organization 기본 SharePoint 사이트를 사용하는 것이 좋습니다.

알아야 할 중요한 사항

1. 앱 도메인이 모니터링됨으로 표시된 후 엔드포인트 디바이스에서 전파하고 업데이트하는 데 최대 2시간(일반적으로 더 적은 시간)이 걸릴 수 있습니다.
2. 기본적으로 organization 온보딩된 모든 엔드포인트에 대해 Microsoft Defender for Cloud Apps 포털에서 모니터링됨으로 표시된 모든 앱 및 도메인에 대해 작업이 수행됩니다.
3. 전체 URL은 현재 지원되지 않으며 전체 URL이 Microsoft Defender for Cloud Apps 아래에 나열된 경우 Microsoft Defender for Cloud Apps 엔드포인트에 대한 Microsoft Defender XDR 전송되지 않습니다. 따라서 모니터링되는 앱은 액세스 시도에 대한 경고를 받지 않습니다(예: drive.google.com 지원되는 동안 google.com/drive 지원되지 않음).

타사 브라우저에 최종 사용자 알림이 없나요? 알림 메시지 설정을 확인합니다.

참고 항목

• Mac의 엔드포인트에 대한 Microsoft Defender XDR
• Microsoft Microsoft Defender XDR for Cloud Apps와 엔드포인트 통합을 위한 Microsoft Defender XDR
• Microsoft Edge의 혁신적인 기능 알아보기
• 네트워크 보호
• 네트워크 보호 설정 켜기
• 웹 보호
• 지표 만들기
• 웹 컨텐츠 필터링

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.