Intune을 사용하여 엔드포인트용 Microsoft Defender가 식별한 취약성 수정
Intune을 엔드포인트용 Microsoft Defender와 통합하면 엔드포인트용 Defender의 위협 및 취약성 관리를 활용하고 Intune을 사용하여 Defender의 위협 및 취약성 관리 기능이 식별한 엔드포인트 약점을 수정할 수 있습니다. 이렇게 통합하면 사용자 환경에서 수정 응답 시간을 개선할 수 있는 위험 기반 접근 방식을 통해 취약성을 검색하고 우선 순위를 지정할 수 있습니다.
위협 및 취약성 관리는 엔드포인트용 Microsoft Defender의 일부입니다.
통합의 작동 방식
Intune을 엔드포인트용 Microsoft Defender에 연결하면 엔드포인트용 Defender가 관리형 디바이스에서 위협 및 취약성 정보를 수신합니다.
- 검색된 취약성은 Intune의 구성을 기반으로 하지 않습니다. 엔드포인트용 Microsoft Defender 구성 및 검사 세부 정보를 기반으로 합니다.
- 엔드포인트용 Microsoft Defender가 교정을 위해 플래그를 지정하는 모든 문제가 Intune용 보안 작업 생성을 통한 교정을 지원하는 것은 아닙니다.
Microsoft Defender Security Center 콘솔에서 엔드포인트용 Defender 보안 관리자가 엔드포인트 취약성에 대한 데이터를 검토합니다. 그런 다음, 관리자는 몇 번의 클릭을 통해 교정을 위해 취약한 디바이스에 플래그를 지정하는 보안 작업을 만듭니다. 보안 작업은 Intune 관리자가 볼 수 있는 Microsoft Endpoint Manager 관리 센터에 즉시 전달됩니다. 보안 작업은 취약성 유형, 우선 순위, 상태 및 취약성을 수정하기 위해 수행할 단계를 나타냅니다. Intune 관리자는 작업을 허용 또는 거부하도록 선택합니다.
작업이 수락되면 Intune 관리자는 보안 작업의 일부로 제공되는 지침에 따라 Intune을 통해 취약성을 수정합니다.
각 작업은 수정 형식 으로 식별됩니다.
애플리케이션 – Intune을 사용하여 완화할 수 있는 취약성 또는 문제가 있는 애플리케이션을 식별합니다. 예를 들어 엔드포인트용 Microsoft Defender는 Contoso Media Player v4 라는 앱의 취약성을 식별하고 관리자는 해당 앱을 업데이트하기 위한 보안 작업을 만듭니다. Contoso Media Player는 Intune을 사용하여 배포된 관리되지 않는 앱이며 문제를 해결하는 애플리케이션의 보안 업데이트 또는 최신 버전이 있을 수 있습니다.
구성 – Intune 엔드포인트 보안 정책을 사용하여 환경의 취약성 또는 위험을 완화할 수 있습니다. 예를 들어 엔드포인트용 Microsoft Defender는 디바이스에 PUA(사용자 동의 없이 설치된 애플리케이션) 보호가 없는지 확인합니다. 관리자는 해당 문제를 위한 보안 작업을 만들어 바이러스 백신 정책에 대한 Microsoft Defender 바이러스 백신 프로필의 일부로 사용자 동의 없이 설치된 앱에서 수행할 작업 설정 구성의 완화를 식별합니다.
구성 문제의 경우 Intune에서 제공할 수 있는 적절한 수정이 없는 경우 엔드포인트용 Microsoft Defender는 해당 문제에 대한 보안 작업을 만들지 않습니다.
일반적인 수정 작업은 다음과 같습니다.
- 애플리케이션이 실행되지 않도록 차단
- 취약성을 완화하기 위해 운영 체제 업데이트 배포
- 취약성을 완화하는 엔드포인트 보안 정책을 배포
- 레지스트리 값 수정
- 취약성에 영향을 미치는 구성을 사용 안 함 또는 사용 으로 설정
- 주의 필요 는 제공할 적합한 권장 사항이 없는 경우 관리자에게 위협을 경고하는 작업입니다.
애플리케이션의 예제 워크플로는 다음과 같습니다. 이와 동일한 일반적인 워크플로가 구성 문제에 적용됩니다.
엔드포인트용 Microsoft Defender는 Contoso Media Player v4라는 앱의 취약성을 식별하고 관리자는 해당 앱을 업데이트하기 위한 보안 작업을 만듭니다. Contoso Media Player는 Intune을 사용하여 배포된 비관리형 앱입니다.
이 보안 작업은 보류 중 상태로 Intune 콘솔에 표시됩니다.
Intune 관리자는 보안 작업을 선택하여 작업에 대한 세부 정보를 봅니다. 그런 다음, 관리자는 수락 을 선택합니다. 그러면 Intune 및 엔드포인트용 Defender에서 상태가 수락됨으로 업데이트됩니다.
그런 다음, 관리자는 제공된 지침에 따라 작업을 수정합니다. 지침은 필요한 수정 유형에 따라 달라집니다. 사용 가능한 경우 수정 지침에는 Intune에서 구성 관련 창을 여는 링크가 포함됩니다.
이 예제에서 Media Player는 관리형 앱이 아니므로 Intune은 텍스트 지침만 제공할 수 있습니다. 관리형 앱인 경우 Intune은 업데이트된 버전을 다운로드하는 지침을 제공하고 업데이트된 파일을 배포에 추가할 수 있도록 앱에 대한 배포를 여는 링크를 제공할 수 있습니다.
수정을 완료한 후 Intune 관리자는 보안 작업을 열고 작업 완료 를 선택합니다. 수정 상태가 Intune 및 엔드포인트용 Defender에서 업데이트되고, 여기서 보안 관리자가 수정된 취약성 상태를 확인합니다.
필수 구성 요소
구독:
- Microsoft Intune
- 엔드포인트용 Microsoft Defender(평가판을 등록하세요.)
엔드포인트용 Defender에 대한 Intune 구성:
엔드포인트용 Microsoft Defender를 사용하여 서비스 간 연결을 구성합니다.
엔드포인트용 Microsoft Defender에서 위험을 평가할 장치에 엔드포인트용 Microsoft Defender(Windows 10 이상을 실행하는 데스크톱 장치) 프로필 유형의 장치 구성 정책을 배포합니다.
엔드포인트용 Defender를 사용하도록 Intune을 설정하는 방법에 대한 자세한 내용은 Intune에서 조건부 액세스로 엔드포인트용 Microsoft Defender에 대한 규정 준수 적용을 참조하세요.
보안 작업 사용
보안 작업을 사용하려면 먼저 해당 작업을 Defender Security Center 내에서 만들어야 합니다. Microsoft Defender 보안 센터를 사용하여 보안 작업을 만드는 방법에 대한 자세한 내용은 위협 및 취약성 관리로 취약성 교정을 참조하세요.
보안 작업을 관리하려면 다음을 수행합니다.
Microsoft Endpoint Manager 관리 센터에 로그인합니다.
엔드포인트 보안 > 보안 작업 을 선택합니다.
목록에서 작업을 선택하여 해당 보안 작업의 추가 세부 정보를 표시하는 리소스 창을 엽니다.
보안 작업 리소스 창을 보면서 추가 링크를 선택할 수 있습니다.
- 관리형 앱 - 취약한 앱을 봅니다. 취약성이 여러 앱에 적용되는 경우 필터링된 앱 목록이 표시됩니다.
- 디바이스 - 해당 디바이스에 있는 취약성의 추가적인 세부 정보가 포함된 항목에 연결할 수 있는 취약한 디바이스 목록 을 봅니다.
- 요청자 - 링크를 사용하여 이 보안 작업을 제출한 관리자에게 메일을 보냅니다.
- 메모 - 보안 작업을 열 때 요청자가 제출한 사용자 지정 메시지를 읽습니다.
수락 또는 거부 를 선택하여 계획된 작업에 대한 알림을 엔드포인트용 Defender에 보냅니다. 작업을 수락하거나 거부할 때 엔드포인트용 Defender에 전송되는 메모를 제출할 수 있습니다.
작업을 수락한 후 보안 작업을 다시 열고(닫힌 경우) 수정 세부 정보에 따라 취약성을 수정합니다. 보안 작업 정보에서 엔드포인트용 Defender가 제공하는 지침은 관련된 취약성에 따라 달라집니다.
가능한 경우 수정 지침에는 Intune 콘솔에서 관련 구성 개체를 여는 링크가 포함됩니다.
수정 단계를 완료한 후 보안 작업을 열고 작업 완료 를 선택합니다. 이 작업은 Intune 및 엔드포인트용 Defender 모두에서 보안 작업 상태를 업데이트합니다.
교정에 성공한 후 교정된 디바이스의 새로운 정보를 기반으로 엔드포인트용 Defender의 위험 노출 점수가 떨어질 수 있습니다.
다음 단계
Intune 및 엔드포인트용 Microsoft Defender에 대해 자세히 알아보기
Intune Mobile Threat Defense 검토
엔드포인트용 Microsoft Defender의 위협 및 취약성 관리 대시보드 검토