Share via

Microsoft Defender

  • 아티클

Microsoft Defender XDR

Microsoft Defender XDR 통합된 위반 전후 엔터프라이즈 방어 제품군입니다. Defender XDR 엔드포인트, ID, 이메일 및 앱 전반에서 탐지, 예방, 조사 및 대응을 기본적으로 조정하여 정교한 공격에 대한 통합된 보호를 제공합니다.

FastTrack은 다음을 위한 원격 지침을 제공합니다.

  • Microsoft 365 보안 센터 개요를 제공합니다.
    • 전체 공격 scope, 영향을 받는 자산 및 함께 그룹화된 자동화된 수정 작업을 보장하여 중요한 항목에 초점을 맞추는 등 제품 간 인시던트에 대한 개요를 제공합니다.
    • Microsoft Defender XDR 자동 자동 복구를 통해 손상되는 자산, 사용자, 디바이스 및 사서함에 대한 조사를 오케스트레이션하는 방법을 보여 줍니다.
    • 고객이 여러 데이터 집합에서 전자 메일, 데이터, 디바이스 및 계정에 영향을 미치는 침입 시도 및 위반 활동을 사전에 헌팅하는 방법에 대한 예제를 설명하고 제공합니다.
    • Microsoft 보안 점수를 사용하여 전체적으로 보안 상태를 검토하고 개선할 수 있는 방법을 고객에게 보여 줍니다.

범위를 벗어남

  • 배포 지침 또는 교육:
    • 다양한 경고 유형 및 모니터링되는 활동을 수정하거나 해석하는 방법입니다.
    • 사용자, 컴퓨터, 횡적 이동 경로 또는 엔터티를 조사하는 방법입니다.
    • 사용자 지정 위협 헌팅.
  • SIEM(보안 정보 및 이벤트 관리) 또는 API 통합.

Microsoft 고급 배포 가이드

Microsoft는 고객에게 Microsoft 365, Microsoft Viva 및 보안 서비스 배포를 지원하는 기술 및 지침을 제공합니다. 고객이 이러한 제품을 사용하여 배포 여정을 시작하는 것이 좋습니다.

비 IT 관리자는 Microsoft 365 설치 프로그램을 참조하세요.

Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps 다목적 SaaS(Software-as-a-Service) 보안 솔루션입니다. SaaS 보안 태세 관리, 데이터 손실 방지, 앱-앱 보호 및 통합 위협 방지를 결합하여 앱에 대한 전체적인 적용 범위를 보장합니다. SaaS 보안 접근 방식을 채택하면 잘못된 구성을 쉽게 식별할 수 있습니다. 이렇게 하면 전반적인 앱 상태를 개선하고, 중요한 데이터를 보호하는 정책을 구현하며, 앱과 앱 간의 시나리오를 보호하여 앱만 다른 앱 데이터에 액세스할 수 있는 허용 가능한 권한을 갖도록 합니다. 기본적으로 Microsoft Defender XDR 통합하는 경우 사용자와 같은 조직은 SaaS의 신호를 사용하여 자신의 환경에서 적극적으로 사냥하고 앱, 디바이스, ID 및 전자 메일에서 인시던트에 대처합니다.

FastTrack은 다음을 위한 원격 지침을 제공합니다.

  • 다음을 포함하여 포털 구성:
    • 사용자 그룹 가져오기.
    • 관리자 액세스 및 설정 관리.
    • 모니터링에서 모니터링하거나 제외할 특정 사용자 그룹을 선택하기 위해 배포 범위를 지정합니다.
    • IP 범위 및 태그를 설정하는 방법입니다.
    • 로고 및 사용자 지정 메시징을 사용하여 최종 사용자 환경을 개인 설정합니다.
  • 다음을 포함한 자사 서비스 통합:
    • 엔드포인트용 Microsoft Defender입니다.
    • Microsoft Defender for Identity
    • Microsoft Entra ID Protection.
    • Microsoft Purview Information Protection.
  • 다음을 사용하여 클라우드 검색 설정:
    • 엔드포인트에 대한 Microsoft Defender.
    • Zscaler.
    • iboss.
  • 앱 태그 및 범주 만들기
  • organization 우선 순위에 따라 앱 위험 점수를 사용자 지정합니다.
  • 앱 제재 및 허가 취소.
  • Defender for Cloud Apps 및 Cloud Discovery 대시보드를 검토합니다.
  • 앱 거버넌스를 사용하도록 설정합니다.
    • 개요 페이지를 통해 고객을 안내하고 최대 5개의 앱 거버넌스 정책을 만듭니다.
  • 앱 커넥터를 사용하여 주요 앱 연결
  • Microsoft Entra ID 및 Defender for Cloud Apps 포털 내의 조건부 액세스에서 조건부 액세스 앱 제어를 사용하여 앱 보호
  • 주요 앱에 대한 조건부 액세스 앱 제어 배포
  • 사용 가능한 앱에 대한 보안 점수 권장 사항에서 SSPM(SaaS 보안 태세 관리) 기능을 검토합니다.
  • 활동 및 파일 로그 사용.
  • OAuth 앱 관리.
  • 정책 템플릿 검토 및 구성
  • 상위 SaaS 사용 사례(최대 6개 정책 만들기 또는 업데이트 포함)에 대한 구성 지원을 제공합니다.
  • Microsoft Defender 포털에서 인시던트 상관 관계를 이해합니다.

범위를 벗어남

  • Defender for Cloud Apps를 다른 CASB(Cloud Access Security Broker) 또는 SaaS 보안 제품과 비교하는 토론
  • 특정 규정 준수 또는 규정 요구 사항을 충족하도록 Defender for Cloud Apps 구성
  • 비프로덕션 테스트 환경에 서비스 배포
  • 개념 증명으로 Cloud App Discovery 배포
  • Docker 또는 로그 수집기를 사용하여 연속 보고서에 대한 자동 로그 업로드의 인프라, 설치 또는 배포를 설정합니다.
  • Cloud Discovery 스냅샷 보고서 만들기
  • 블록 스크립트를 사용하여 앱 사용 차단
  • Cloud Discovery에 사용자 지정 앱 추가
  • 조건부 액세스 앱 제어를 사용하여 사용자 지정 앱 연결
  • 모든 앱에 대한 조건부 액세스 앱 제어 온보딩 및 배포
  • 타사 ID 공급자(IdP) 및 DLP(데이터 손실 방지) 공급자와 통합
  • 고급 헌팅에 대한 교육 또는 지침.
  • Microsoft Power Automate 플레이북을 비롯한 자동화된 조사 및 수정
  • SIEM 또는 API 통합(Microsoft Sentinel 포함).

Microsoft 고급 배포 가이드

Microsoft는 고객에게 Microsoft 365, Microsoft Viva 및 보안 서비스 배포를 지원하는 기술 및 지침을 제공합니다. 고객이 이러한 제품을 사용하여 배포 여정을 시작하는 것이 좋습니다.

비 IT 관리자는 Microsoft 365 설치 프로그램을 참조하세요.

엔드포인트용 Microsoft Defender

엔드포인트용 Microsoft Defender 엔터프라이즈 네트워크가 고급 위협을 방지, 탐지, 조사 및 대응할 수 있도록 설계된 플랫폼입니다.

FastTrack은 다음을 위한 원격 지침을 제공합니다.

  • OS 버전 및 디바이스 관리 방법(Microsoft Intune, Microsoft 엔드포인트 Configuration Manager, 그룹 정책 및 타사 구성 포함)과 Windows Defender AV 서비스 또는 기타 엔드포인트 보안 소프트웨어의 상태 평가합니다.
  • 다음을 사용하여 P1 및 P2를 엔드포인트용 Microsoft Defender 온보딩합니다.
    • 로컬 스크립트.
    • 그룹 정책.
    • Intune.
    • Configuration Manager.
    • 엔드포인트용 Defender 보안 설정 관리.
  • 프록시 및 방화벽을 통과하는 Microsoft 트래픽에 권장 구성 지침을 제공하고 인터넷에 직접 연결할 수 없는 디바이스의 네트워크 트래픽을 제한합니다.
  • 지원되는 관리 방법 중 하나를 사용하여 엔드포인트 검색 및 응답(EDR) 에이전트 프로필을 배포하는 방법을 설명하여 엔드포인트용 Defender 서비스를 사용하도록 설정합니다.
  • 배포 지침, 구성 지원 및 교육:
    • 취약성 관리 핵심 기능.
    • 공격 표면 감소. 1
    • 차세대 보호.
    • 끝점 감지 및 대응.
    • 자동화된 조사 및 조치.
    • 디바이스에 대한 보안 점수입니다.
    • Intune 사용하여 SmartScreen 구성을 Microsoft Defender.
    • 디바이스 검색. 2
  • 시뮬레이션 및 자습서 검토(예: 연습 시나리오, 가짜 맬웨어 및 자동화된 조사).
  • 보고 및 위협 분석 기능의 개요입니다.
  • Office 365용 Microsoft Defender, Microsoft Defender for Identity 및 Defender for Cloud Apps를 엔드포인트용 Defender와 통합합니다.
  • Microsoft Defender 포털의 연습을 수행합니다.
  • 다음 운영 체제의 온보딩 및 구성:
    • Windows 10/11(Windows 365 클라우드 PC 포함)
    • R2를 Windows Server 2012. 3
    • Windows Server 2016. 3
    • Windows Server 2019. 3
    • Windows Server 2022. 3
    • Windows Server 2019 Core Edition. 3
    • 지원되는 macOS 버전입니다.
    • 안 드 로이드. 4
    • Ios. 4

1 공격 표면 감소 규칙, 제어된 폴더 액세스 및 네트워크 보호만 지원됩니다. 다른 모든 공격 표면 감소 기능은 scope 없습니다. 자세한 내용은 다음 scope 섹션을 참조하세요.

2 일부 측면만 디바이스 검색이 지원됩니다. 자세한 내용은 다음 scope 섹션을 참조하세요.

3 Windows Server 2012 R2 및 2016 지원은 통합 에이전트의 온보딩 및 구성으로 제한됩니다. 서버는 지원되는 버전의 Configuration Manager 관리해야 합니다.

4 자세한 내용은 모바일 위협 방어 세부 정보는 다음 scope 섹션을 참조하세요.

범위를 벗어남

  • 미리 보기 기능에 대한 온보딩 및 사용 지침입니다.
  • 참여 중에 발생한 문제 해결(온보딩에 실패한 디바이스 포함)
  • 지원 비즈니스용 Microsoft Defender.
  • 다음 엔드포인트용 Defender 에이전트에 대한 온보딩 또는 구성:
    • Windows Server 2008.
    • 리눅스.
    • Azure Virtual Desktop 및 타사 VDI 솔루션을 포함한 VDI(Virtual Desktop 인프라)(영구 또는 비영구)입니다.
  • 서버 온보딩 및 구성:
    • 오프라인 통신을 위한 프록시 서버 구성
    • 하위 수준 Configuration Manager 인스턴스 및 버전에서 Configuration Manager 배포 패키지 구성
    • Configuration Manager 관리되지 않는 서버입니다.
    • 엔드포인트용 Defender를 서버용 Microsoft Defender 통합(클라우드용 Microsoft Defender).
  • macOS 온보딩 및 구성:
    • JAMF 기반 배포.
    • 기타 MDM(모바일 디바이스 관리) 제품 기반 배포.
    • 수동 배포.
  • 모바일 위협 방어 온보딩 및 구성(Android 및 iOS):
    • 관리되지 않는 BYOD(Bring Your Own Devices) 또는 다른 엔터프라이즈 모바일 관리 시스템에서 관리하는 디바이스를 가져옵니다.
    • 앱 보호 정책(예: MAM(모바일 앱 관리))을 설정합니다.
    • Android 디바이스 관리자 등록 디바이스.
    • 여러 VPN 프로필의 공존에 대한 지원.
    • Intune 디바이스를 온보딩합니다. 온보딩 지원에 대한 자세한 내용은 Microsoft Intune 참조하세요.
  • 다음 공격 표면 감소에 대한 기능:
    • 하드웨어 기반 앱 및 브라우저 격리(Application Guard 포함)
    • AppLocker 및 Windows Defender 애플리케이션 컨트롤을 비롯한 앱 컨트롤.
    • 디바이스 제어.
    • 악용 방지.
    • 네트워크 및 엔드포인트 방화벽.
  • 다음과 같은 계정 보호 기능의 구성 또는 관리:
    • Credential Guard.
    • 로컬 사용자 그룹 멤버 자격.
  • BitLocker의 구성 또는 관리.

참고

Windows 11 BitLocker 지원에 대한 자세한 내용은 Windows 11 참조하세요.

  • 네트워크 디바이스 검색의 구성 또는 관리.
  • 다음 디바이스 검색 기능의 구성 또는 관리:
    • FastTrack용 scope 없는 관리되지 않는 디바이스 온보딩(예: Linux).
    • Defender for IoT를 통해 IoT 디바이스의 취약성 평가를 포함하여 IoT(사물 인터넷) 디바이스 구성 또는 수정
    • 타사 도구와의 통합.
    • 디바이스 검색에 대한 제외입니다.
    • 예비 네트워킹 지원.
    • 네트워크 문제 해결.
  • 공격 시뮬레이션(침투 테스트 포함)
  • Microsoft 위협 전문가 등록 또는 구성.
  • API 또는 SIEM 연결에 대한 구성 또는 학습 지침입니다.
  • 고급 헌팅에 대한 교육 또는 지침.
  • Kusto 쿼리의 사용 또는 생성을 다루는 교육 또는 지침입니다.
  • GPO(그룹 정책 개체), Windows 보안 또는 Microsoft Edge를 사용하여 Defender SmartScreen 구성을 다루는 교육 또는 지침입니다.
  • Defender 취약성 관리 추가 기능.
  • Defender 취약성 관리 독립 실행형.

이러한 서비스에 대한 지원을 받으려면 Microsoft 파트너 에게 문의하세요.

Microsoft 고급 배포 가이드

Microsoft는 고객에게 Microsoft 365, Microsoft Viva 및 보안 서비스 배포를 지원하는 기술 및 지침을 제공합니다. 고객이 이러한 제품을 사용하여 배포 여정을 시작하는 것이 좋습니다.

비 IT 관리자는 Microsoft 365 설치 프로그램을 참조하세요.

ID용 Microsoft Defender

Microsoft Defender for Identity 클라우드 기반 보안 솔루션입니다. 이 솔루션은 온-프레미스 Active Directory 신호를 사용하여 조직을 향한 고급 위협, 손상된 ID, 악의적인 내부자 동작을 식별, 감지 및 조사합니다.

FastTrack은 다음을 위한 원격 지침을 제공합니다.

  • 리소스 용량 계획에 대한 크기 조정 도구를 실행합니다.
  • Defender for Identity의 instance 만듭니다.
  • AD DS(Active Directory Domain Services), Active Directory Federation Services(AD FS) 및 AD CS(Active Directory Certificate Services)에서 Windows 이벤트 컬렉션을 구성합니다.
  • 역할 그룹을 사용하여 관리자 액세스 관리
  • 단일 및 여러 포리스트 환경 모두에 대해 Active Directory 도메인 컨트롤러에서 센서를 다운로드, 배포 및 구성합니다.
  • AD FS 서버에서 센서 다운로드, 배포 및 구성
  • 다음을 포함한 포털 구성:
    • 중요한 계정, 디바이스 또는 그룹에 태그를 지정합니다.
    • 상태 문제 및 보안 경고에 대한 알림을 Email.
    • 경고 제외.
    • 예약된 보고서.
  • 다음에 대한 배포 지침, 구성 지원 및 교육 제공
    • Microsoft 보안 점수 내의 ID 보안 태세 평가 보고서입니다.
    • 사용자 조사 우선 순위 점수 및 사용자 조사 순위 보고서.
    • 비활성 사용자 보고서.
    • 손상된 계정의 수정 옵션입니다.
  • ATA(Advanced Threat Analytics)에서 Defender for Identity로의 마이그레이션을 용이하게 합니다(해당하는 경우).

범위를 벗어남

  • 개념 증명으로 Defender for Identity 배포
  • 다음 Defender for Identity 센서 활동 배포 또는 수행:
    • 수동 용량 계획.
    • 독립 실행형 센서 배포.
    • 통합 센서 배포(미리 보기)
    • NIC(네트워크 인터페이스 카드) 팀 어댑터를 사용하여 센서 배포
    • 타사 도구를 통해 센서 배포
    • 웹 프록시 연결을 통해 Defender for Identity 클라우드 서비스에 연결
  • gMSA(그룹 관리 서비스 계정)를 포함하여 Active Directory에서 디렉터리 서비스 계정을 만들고 구성하거나 작업 계정을 관리합니다.
  • AD FS 데이터베이스에 대한 권한 만들기 및 구성
  • honeytokens 계정 또는 디바이스를 만들고 관리합니다.
  • NNR(네트워크 이름 확인)을 사용하도록 설정합니다.
  • 삭제된 개체 컨테이너의 사용 및 구성
  • 배포 지침 또는 교육:
    • 다양한 경고 유형 및 모니터링된 활동을 수정하거나 해석합니다.
    • 사용자, 컴퓨터, 횡적 이동 경로 또는 엔터티 조사
    • 위협 또는 고급 헌팅.
    • 인시던트 대응.
  • Defender for Identity에 대한 보안 경고 랩 자습서 제공
  • Defender for Identity가 지정된 센서를 통해 syslog 서버에 보안 경고를 전송하여 의심스러운 활동을 감지할 때 알림을 제공합니다.
  • 특정 컴퓨터에서 로컬 관리자를 식별하기 위해 SAMR(보안 계정 관리자 원격) 프로토콜을 사용하여 쿼리를 수행하도록 Defender for Identity를 구성합니다.
  • VPN 연결에서 사용자의 프로필 페이지에 정보를 추가하도록 VPN 솔루션을 구성합니다.
  • SIEM 또는 API 통합(Microsoft Sentinel 포함).

원본 환경 요구 조건

  • Defender for Identity 필수 구성 요소에 맞춥니다.
  • Active Directory, AD FS 및 AD CS가 배포되었습니다.
  • Defender for Identity 센서를 설치하려는 Active Directory 도메인 컨트롤러는 Defender for Identity 클라우드 서비스에 인터넷에 연결됩니다.
    • Defender for Identity 클라우드 서비스와 통신하려면 방화벽 및 프록시를 열어야 합니다(*.atp.azure.com 포트 443이 열려 있어야 합니다).
  • 다음 서버 중 하나에서 실행되는 도메인 컨트롤러:
    • Windows Server 2016.
    • windows Server 2019와 KB4487044(OS 빌드 17763.316 이상).
    • Windows Server 2022.
  • Microsoft .NET Framework 4.7 이상.
  • 최소 6GB의 디스크 공간이 필요하며 10GB를 사용하는 것이 좋습니다.
  • 도메인 컨트롤러에 설치된 2개 코어와 6GB RAM입니다.

Microsoft 고급 배포 가이드

Microsoft는 고객에게 Microsoft 365, Microsoft Viva 및 보안 서비스 배포를 지원하는 기술 및 지침을 제공합니다. 고객이 이러한 제품을 사용하여 배포 여정을 시작하는 것이 좋습니다.

비 IT 관리자는 Microsoft 365 설치 프로그램을 참조하세요.

Office 365용 Microsoft Defender

Office 365용 Microsoft Defender 전자 메일 메시지, 링크(URL), 첨부 파일 및 Microsoft Teams, SharePoint 및 Outlook과 같은 공동 작업 도구로 인한 악의적인 위협으로부터 organization 보호합니다. 위협 및 도구(예: 위협 Explorer)의 실시간 보기를 통해 잠재적인 위협을 헌팅하고 앞서나갈 수 있습니다. 공격 시뮬레이션 교육을 사용하여 organization 실제 공격 시나리오를 실행합니다. 이러한 시뮬레이션된 공격은 실제 공격이 수익에 영향을 미치기 전에 취약한 사용자를 식별하고 찾는 데 도움이 될 수 있습니다.

FastTrack은 다음을 위한 원격 지침을 제공합니다.

  • 구성 분석기 및/또는 Office 365용 Defender 권장 구성 분석기(ORCA)를 검토합니다.
  • 평가 모드 설정.
  • 사전 설정된 정책, 안전한 링크(안전한 문서 포함), 안전한 첨부 파일, 맬웨어 방지, 피싱 방지, 스팸 방지, 스푸핑 방지, 가장 및 격리 정책을 사용하도록 설정합니다.
  • Teams 보호를 사용하도록 설정합니다.
  • 사용자가 보고한 메시지 설정 구성
  • 공격 시뮬레이터 사용 및 고급 배달 정책 구성
  • TABL(테넌트 허용/차단 목록) 제출, 이메일 엔터티 페이지, 보고, 캠페인, 위협 탐색기 및 위협 분석 개요입니다.
  • 0시간 ZAP(자동 제거) 자동화 및 조사 및 응답(AIR)의 개요입니다.
  • Microsoft Defender 포털에서 인시던트 상관 관계를 이해합니다.
  • 현재 설정의 인벤토리 만들기, 메시지를 수정하는 기능을 Microsoft 365로 이동, 커넥터에 대한 향상된 필터링 구성을 제외하고 Microsoft 모범 사례 지침에 따라 타사 공급자에서 전환

범위를 벗어남

  • Office 365용 Defender 다른 보안 제품과 비교하는 토론
  • 개념 증명으로 Office 365용 Defender 배포
  • 메일 흐름 분석.
  • 향상된 필터링.
  • 고급 헌팅에 대한 교육 또는 지침.
  • Microsoft Power Automate 플레이북과 통합
  • SIEM 또는 API 통합(Microsoft Sentinel 포함).

원본 환경 요구 조건

FastTrack 코어 온보딩 외에도 Exchange Online 구성해야 합니다.

Microsoft 고급 배포 가이드

Microsoft는 고객에게 Microsoft 365, Microsoft Viva 및 보안 서비스 배포를 지원하는 기술 및 지침을 제공합니다. 고객이 이러한 제품을 사용하여 배포 여정을 시작하는 것이 좋습니다.

비 IT 관리자는 Microsoft 365 설치 프로그램을 참조하세요.