적응형 애플리케이션 제어 사용 및 관리

  • 아티클

클라우드용 Microsoft Defender의 적응형 애플리케이션 제어는 컴퓨터에 대해 알려진 안전한 애플리케이션의 허용 목록을 정의하여 보안을 강화하는 데이터 기반의 지능형 자동화 솔루션을 제공합니다. 이 기능을 사용하면 조직은 동일한 프로세스를 정기적으로 실행하는 컴퓨터 컬렉션을 관리할 수 있습니다. 기계 학습을 사용하여 클라우드용 Microsoft Defender는 컴퓨터에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 소프트웨어 목록을 만들 수 있습니다. 이러한 허용 목록은 특정 Azure 워크로드를 기반으로 합니다. 이 페이지에 제공된 지침을 사용하여 권장 사항을 추가로 사용자 지정할 수 있습니다.

컴퓨터 그룹에서

클라우드용 Microsoft Defender가 구독에서 유사한 애플리케이션 집합을 일관되게 실행하는 컴퓨터 그룹을 식별한 경우 다음 권장 사항이 표시됩니다. 안전한 애플리케이션을 정의하기 위한 적응형 애플리케이션 제어가 컴퓨터에서 사용하도록 설정되어야 합니다.

권장 사항을 선택하거나 적응형 애플리케이션 제어 페이지를 열어 안전한 것으로 알려진 애플리케이션 및 컴퓨터 그룹의 제안된 목록을 봅니다.

  1. 워크로드 보호 대시보드를 열고 고급 보호 영역에서 적응형 애플리케이션 제어를 선택합니다.

    Screenshot showing opening adaptive application controls from the Azure Dashboard.

    다음 탭으로 그룹화된 VM이 있는 적응형 애플리케이션 제어 페이지가 열립니다.

    • 구성됨 - 이미 정의된 애플리케이션 허용 목록이 있는 컴퓨터 그룹입니다. 구성됨 탭에는 그룹별로 다음이 표시됩니다.

      • 그룹에 속한 컴퓨터의 수
      • 최근 경고

    • 권장됨 - 동일한 애플리케이션을 일관되게 실행하고 허용 목록이 구성되지 않은 컴퓨터 그룹입니다. 이 그룹에는 적응형 애플리케이션 제어를 사용하도록 설정하는 것이 좋습니다.

      접두사가 REVIEWGROUP인 그룹 이름이 표시되는 경우 부분적으로 일관된 애플리케이션 목록이 있는 컴퓨터가 포함되어 있는 것입니다. 클라우드용 Microsoft Defender는 패턴을 볼 수 없지만 이 그룹을 검토하여 그룹의 적응형 애플리케이션 제어 규칙 편집에 설명된 대로 일부 적응형 애플리케이션 제어 규칙을 수동으로 정의할 수 있는지 확인하는 것이 좋습니다.

      한 그룹에서 다른 그룹으로 컴퓨터 이동에 설명된 대로 이 그룹에서 다른 그룹으로 컴퓨터를 이동할 수도 있습니다.

    • 권장 사항 없음 - 애플리케이션 허용 목록이 정의되지 않고 이 기능을 지원하지 않는 컴퓨터입니다. 다음과 같은 이유로 컴퓨터가 이 탭에 속할 수 있습니다.

      • Log Analytics 에이전트가 없습니다.
      • Log Analytics 에이전트가 이벤트를 보내지 않습니다.
      • GPO 또는 로컬 보안 정책에서 사용하도록 설정된 기존 AppLocker 정책이 있는 Windows 컴퓨터입니다.
      • AppLocker를 사용할 수 없습니다(Windows Server Core 설치).

      클라우드용 Defender는 컴퓨터 그룹당 고유한 권장 사항을 정의하기 위해 최소 2주 정도의 데이터가 필요합니다. 최근에 만들어졌거나, 최근에 서버용 Microsoft Defender에 의해서만 보호된 구독에 속하는 컴퓨터는 권장 사항 없음 탭에 표시됩니다.

  2. 권장 탭을 엽니다. 권장 허용 목록이 있는 컴퓨터 그룹이 나타납니다.

    Screenshot that shows you where on the screen the recommendation tab is.

  3. 그룹을 선택합니다.

  4. 새 규칙을 구성하려면 특정 컴퓨터 그룹에 고유한 이 애플리케이션 제어 규칙 구성 페이지의 다양한 섹션과 그 내용을 검토합니다.

    Screenshot that shows you the order you need to follow to configure application control rules in the portal.

    1. 컴퓨터 선택 - 기본적으로 식별된 그룹 내의 모든 컴퓨터가 선택됩니다. 이 규칙에서 제거하려면 선택을 취소합니다.

    2. 권장 애플리케이션 - 이 그룹 내의 컴퓨터에 공통적이고 실행을 허용하도록 권장되는 이 애플리케이션 목록을 검토합니다.

    3. 더 많은 애플리케이션 - 이 그룹 내의 컴퓨터에서 덜 자주 보이거나 악용 가능한 것으로 알려진 이 애플리케이션 목록을 검토합니다. 경고 아이콘은 공격자가 애플리케이션 허용 목록을 바이패스하기 위해 특정 애플리케이션을 사용할 수 있음을 나타냅니다. 이러한 애플리케이션을 신중하게 검토하는 것이 좋습니다.

      두 애플리케이션 목록에는 모두 특정 애플리케이션을 특정 사용자로 제한하는 옵션이 있습니다. 가능한 한 최소 권한 원칙을 적용해야 합니다.

      애플리케이션은 게시자에 의해 정의됩니다. 애플리케이션에 게시자 정보가 없는 경우(서명되지 않은 경우) 특정 애플리케이션의 전체 경로에 대한 경로 규칙이 생성됩니다.

    4. 규칙을 적용하려면 감사를 선택합니다.

그룹의 적응형 애플리케이션 제어 규칙 편집

조직의 알려진 변경 사항으로 인해 컴퓨터 그룹에 대한 허용 목록을 편집해야 할 수도 있습니다.

컴퓨터 그룹에 대한 규칙을 편집하려면:

  1. 워크로드 보호 대시보드를 열고 고급 보호 영역에서 적응형 애플리케이션 제어를 선택합니다.

  2. 구성됨 탭에서 편집할 규칙이 있는 그룹을 선택합니다.

  3. 컴퓨터 그룹에서에 설명된 대로 애플리케이션 제어 규칙 구성 페이지의 다양한 섹션을 검토합니다.

  4. 필요한 경우 하나 이상의 사용자 지정 규칙을 추가합니다.

    1. 규칙 추가를 선택합니다.

    Screenshot that shows you where the add rule button is located.

    1. 안전한 것으로 알려진 경로를 정의하는 경우 규칙 유형을 '경로'로 변경하고 단일 경로를 입력합니다. 경로에 와일드카드 문자를 포함할 수 있습니다. 다음 화면에서는 와일드카드 사용 방법에 대한 몇 가지 예를 보여 줍니다.

      Screenshot that shows examples of using wildcards.

      경로에 와일드카드 문자를 사용하면 유용할 수 있는 몇 가지 상황은 다음과 같습니다.

      • 와일드카드 문자를 경로 끝 부분에 사용하여 이 폴더와 하위 폴더에 있는 모든 실행 파일 허용.
      • 와일드카드 문자를 경로 중간 부분에 사용하여 해당 폴더의 이름이 바뀌는(예: 알려진 실행 파일이 있는 개인 사용자 폴더, 자동으로 생성된 폴더 이름 등) 알려진 실행 파일을 사용하도록 설정.

    2. 허용되는 사용자 및 보호되는 파일 형식을 정의합니다.

    3. 규칙 정의를 마쳤으면 추가를 선택합니다.

  5. 변경 내용을 적용하려면 저장을 선택합니다.

그룹 설정 검토 및 편집

  1. 그룹의 세부 정보 및 설정을 보려면 그룹 설정을 선택합니다.

    이 창에는 그룹 이름(수정 가능함), OS 유형, 위치 및 기타 관련 세부 정보가 표시됩니다.

    Screenshot showing the group settings page for adaptive application controls.

  2. 필요한 경우 그룹의 이름 또는 파일 형식 보호 모드를 수정합니다.

  3. 적용저장을 선택합니다.

"적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 합니다" 권장 사항에 대응

클라우드용 Defender의 기계 학습이 이전에 허용되지 않은 잠재적으로 합법적인 동작을 식별할 때 이 권장 사항이 표시됩니다. 이 권장 사항은 가양성 경고의 수를 줄이기 위해 기존 정의에 대한 새 규칙을 제안합니다.

이 문제를 수정하려면:

  1. 권장 사항 페이지에서 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 합니다 권장 사항을 선택하여 새로 식별된 잠재적으로 합법적인 동작을 나타내는 그룹을 표시합니다.

  2. 편집할 규칙이 있는 그룹을 선택합니다.

  3. 컴퓨터 그룹에서에 설명된 대로 애플리케이션 제어 규칙 구성 페이지의 다양한 섹션을 검토합니다.

  4. 변경 내용을 적용하려면 감사를 선택합니다.

감사 경고 및 위반

  1. 워크로드 보호 대시보드를 열고 고급 보호 영역에서 적응형 애플리케이션 제어를 선택합니다.

  2. 최근 경고가 있는 컴퓨터의 그룹을 확인하려면 구성됨 탭에 나열된 그룹을 살펴봅니다.

  3. 자세히 조사하려면 그룹을 선택합니다.

    Screenshot showing recent alerts in Configured tab.

  4. 자세한 내용과 함께 영향을 받는 컴퓨터의 목록을 보려면 경고를 선택합니다.

    보안 경고 페이지에는 경고에 대한 자세한 내용이 표시되고 위협을 완화하는 방법에 대한 권장 사항이 있는 작업 수행 링크가 제공됩니다.

    Screenshot of the start time of adaptive application controls alerts showing that the time is when adaptive application controls created the alert.

    참고 항목

    적응형 애플리케이션 제어는 12시간마다 한 번씩 이벤트 수를 계산합니다. 보안 경고 페이지에 표시된 "활동 시작 시간"은 의심스러운 프로세스가 활성화된 시간이 아니라 적응형 애플리케이션 제어에서 경고를 만든 시간입니다.

그룹 간 컴퓨터 이동

한 그룹에서 다른 그룹으로 컴퓨터를 이동하면 해당 그룹에 적용된 애플리케이션 제어 정책이 이동한 대상 그룹의 설정으로 변경됩니다. 구성된 그룹에서 구성되지 않은 그룹으로 머신을 이동할 수도 있습니다. 이렇게 하면 해당 머신에 적용된 모든 애플리케이션 제어 규칙이 제거됩니다.

  1. 워크로드 보호 대시보드를 열고 고급 보호 영역에서 적응형 애플리케이션 제어를 선택합니다.

  2. 적응형 애플리케이션 제어 페이지의 구성됨 탭에서 이동할 컴퓨터가 포함된 그룹을 선택합니다.

  3. 구성된 컴퓨터 목록을 엽니다.

  4. 행 끝 부분에 있는 세 개의 점에서 컴퓨터의 메뉴를 열고 이동을 선택합니다. 컴퓨터를 다른 그룹으로 이동 창이 열립니다.

  5. 대상 그룹을 선택하고 컴퓨터 이동을 선택합니다.

  6. 변경 내용을 저장하려면 저장을 선택합니다.

REST API를 통해 애플리케이션 제어 관리

적응형 애플리케이션 제어를 프로그래밍 방식으로 관리하려면 REST API를 사용합니다.

관련 API 설명서는 클라우드용 Defender API 설명서의 적응형 애플리케이션 제어 섹션에서 확인할 수 있습니다.

REST API에서 사용 가능한 몇 가지 함수는 다음과 같습니다.

  • List는 모든 그룹 권장 사항을 검색하고 각 그룹에 대한 개체가 있는 JSON을 제공합니다.

  • Get은 전체 권장 사항 데이터(즉, 컴퓨터 목록, 게시자/경로 규칙 등)가 있는 JSON을 검색합니다.

  • Put은 규칙을 구성합니다(Get을 사용하여 검색한 JSON을 이 요청의 본문으로 사용).

    Important

    Put 함수에는 Get 명령에서 반환된 JSON에 포함된 것보다 더 적은 수의 매개 변수가 필요합니다.

    Put 요청에서 JSON을 사용하기 전에 recommendationStatus, configurationStatus, issues, location 및 sourceSystem 속성을 제거합니다.

관련 콘텐츠

이 페이지에서는 클라우드용 Microsoft Defender에서 적응형 애플리케이션 제어를 사용하여 Azure 및 비 Azure 컴퓨터에서 실행되는 애플리케이션의 허용 목록을 정의하는 방법을 배웠습니다. 다른 클라우드 워크로드 보호 기능에 대해 자세히 알아보려면 다음을 참조하세요.