Microsoft Intune 사용하여 엔드포인트용 Microsoft Defender 식별된 취약성 수정

  • 아티클

엔드포인트용 Microsoft Defender Microsoft Intune 통합하면 Intune 보안 작업을 사용하여 엔드포인트용 Defender의 위협 및 취약성 관리 활용할 수 있습니다. Intune 보안 작업은 Intune 관리자가 엔드포인트용 Microsoft Defender 취약성 관리 기능이 식별하는 많은 디바이스 약점을 이해하고 수정하는 데 도움이 됩니다. 이 통합은 취약성의 검색 및 우선 순위 지정에 대한 위험 기반 접근 방식을 제공하며 환경 전체에서 수정 응답 시간을 개선하는 데 도움이 될 수 있습니다.

위협 및 취약성 관리엔드포인트용 Microsoft Defender의 일부입니다.

통합의 작동 방식

Intune 엔드포인트용 Microsoft Defender 연결한 후 엔드포인트용 Defender는 Intune 사용하여 관리하는 디바이스에서 위협 및 취약성 세부 정보를 받습니다. 이러한 세부 정보는 Microsoft Defender 보안 센터 콘솔 내에서 보안 관리자에게 표시됩니다.

Microsoft Defender 보안 센터 콘솔에서 보안 관리자는 Microsoft Intune 대한 보안 작업을 만드는 몇 가지 간단한 작업을 수행하여 엔드포인트 취약성을 검토하고 조치를 취할 수 있습니다. 보안 작업은 즉시 Microsoft Intune 관리 센터에 표시되며, Intune 관리자가 세부 정보를 사용하여 문제를 처리하고 수정할 수 있습니다.

  • 취약성은 디바이스를 검사하고 평가할 때 엔드포인트용 Microsoft Defender 평가한 위협 또는 문제를 기반으로 합니다.
  • 엔드포인트용 Defender에서 식별하는 모든 취약성 및 문제가 Intune 통해 수정을 지원하는 것은 아닙니다. 이러한 문제로 인해 Intune 대한 보안 작업이 생성되지는 않습니다.

보안 작업은 다음을 식별합니다.

  • 취약성 유형
  • 우선 순위
  • 상태
  • 취약성을 수정하기 위해 수행하는 단계

관리 센터에서 Intune 관리자는 작업을 검토하고 수락하거나 거부할 수 있습니다. 관리자가 Intune 작업을 수락한 후 Intune 사용하여 작업에 제공된 세부 정보를 통해 취약성을 수정할 수 있습니다.

성공적으로 수정하면 Intune 관리자가 보안 작업을 완료 작업으로 설정합니다. 이 상태 Intune 표시되고 엔드포인트용 Defender로 다시 전달됩니다. 여기서 보안 관리자는 취약성에 대한 수정된 상태 확인할 수 있습니다.

보안 작업 정보:

각 보안 작업에는 수정 유형이 있습니다.

  • 애플리케이션 – Intune을 사용하여 완화할 수 있는 취약성 또는 문제가 있는 애플리케이션을 식별합니다. 예를 들어 엔드포인트용 Microsoft Defender는 Contoso Media Player v4라는 앱의 취약성을 식별하고 관리자는 해당 앱을 업데이트하기 위한 보안 작업을 만듭니다. Contoso Media Player는 Intune을 사용하여 배포된 관리되지 않는 앱이며 문제를 해결하는 애플리케이션의 보안 업데이트 또는 최신 버전이 있을 수 있습니다.

  • 구성 – Intune 엔드포인트 보안 정책을 사용하여 환경의 취약성 또는 위험을 완화할 수 있습니다. 예를 들어 엔드포인트용 Microsoft Defender는 디바이스에 PUA(사용자 동의 없이 설치된 애플리케이션) 보호가 없는지 확인합니다. 관리자는 바이러스 백신 정책에 대한 Microsoft Defender 바이러스 백신 프로필의 일부로 원치 않는 앱에 대해 수행할 설정 작업을 구성하는 완화를 식별하는 이 문제에 대한 보안 작업을 만듭니다.

    구성 문제에 Intune 제공할 수 있는 그럴듯한 수정이 없는 경우 엔드포인트용 Microsoft Defender 보안 작업을 만들지 않습니다.

수정 작업:

일반적인 수정 작업은 다음과 같습니다.

  • 애플리케이션이 실행되지 않도록 차단
  • 취약성을 완화하기 위해 운영 체제 업데이트 배포
  • 취약성을 완화하는 엔드포인트 보안 정책을 배포
  • 레지스트리 값 수정
  • 취약성에 영향을 미치는 구성을 사용 안 함 또는 사용으로 설정
  • 주의 필요는 제공할 적합한 권장 사항이 없는 경우 관리자에게 위협을 경고하는 작업입니다.

워크플로 예제:

다음 예제에서는 수정할 애플리케이션 취약성을 검색하는 워크플로를 보여 줍니다. 이와 동일한 일반적인 워크플로가 구성 문제에 적용됩니다.

  • 엔드포인트용 Microsoft Defender는 Contoso Media Player v4라는 앱의 취약성을 식별하고 관리자는 해당 앱을 업데이트하기 위한 보안 작업을 만듭니다. Contoso Media 플레이어는 Intune 함께 배포되지 않은 관리되지 않는 앱입니다.

    이 보안 작업은 보류 중 상태 있는 Microsoft Intune 관리 센터에 표시됩니다.

    Intune 관리 센터에서 보안 작업 목록 보기

  • Intune 관리자는 보안 작업을 선택하여 작업에 대한 세부 정보를 봅니다. 그런 다음, 관리자는 수락을 선택합니다. 그러면 Intune 및 엔드포인트용 Defender에서 상태가 수락됨으로 업데이트됩니다.

    보안 작업 수락 또는 거부

  • 그런 다음, 관리자는 제공된 지침에 따라 작업을 수정합니다. 지침은 필요한 수정 유형에 따라 달라집니다. 사용 가능한 경우 수정 지침에는 Intune에서 구성 관련 창을 여는 링크가 포함됩니다.

    이 예제에서 Media Player는 관리형 앱이 아니므로 Intune은 텍스트 지침만 제공할 수 있습니다. 관리되는 앱의 경우 Intune 업데이트된 버전을 다운로드하는 지침을 제공하고 업데이트된 파일을 배포에 추가할 수 있도록 앱에 대한 배포를 여는 링크를 제공할 수 있습니다.

  • 수정이 완료되면 Intune 관리자가 보안 작업을 열고 작업 완료를 선택합니다. 수정 상태가 Intune 및 엔드포인트용 Defender에서 업데이트되고, 여기서 보안 관리자가 수정된 취약성 상태를 확인합니다.

필수 구성 요소

구독:

  • Microsoft Intune 플랜 1
  • 엔드포인트용 Microsoft Defender(평가판을 등록하세요.)

엔드포인트용 Defender에 대한 Intune 구성:

  • 엔드포인트용 Microsoft Defender를 사용하여 서비스 간 연결을 구성합니다.

  • 엔드포인트용 Microsoft Defender 사용하여 위험을 평가하는 디바이스에 프로필 형식의 엔드포인트용 Microsoft Defender(Windows 10 이상 실행 중인 데스크톱 디바이스)를 사용하여 디바이스 구성 정책을 배포합니다.

    엔드포인트용 Defender를 사용하도록 Intune을 설정하는 방법에 대한 자세한 내용은 Intune에서 조건부 액세스로 엔드포인트용 Microsoft Defender에 대한 규정 준수 적용을 참조하세요.

보안 작업 사용

보안 작업을 사용하려면 먼저 해당 작업을 Defender Security Center 내에서 만들어야 합니다. Microsoft Defender 보안 센터를 사용하여 보안 작업을 만드는 방법에 대한 자세한 내용은 위협 및 취약성 관리로 취약성 교정을 참조하세요.

보안 작업을 관리하려면 다음을 수행합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 엔드포인트 보안>보안 작업을 선택합니다.

  3. 목록에서 작업을 선택하여 해당 보안 작업의 추가 세부 정보를 표시하는 리소스 창을 엽니다.

    보안 작업 리소스 창을 보면서 추가 링크를 선택할 수 있습니다.

    • 관리형 앱 - 취약한 앱을 봅니다. 취약성이 여러 앱에 적용되는 경우 Intune 필터링된 앱 목록을 표시합니다.
    • 디바이스 - 해당 디바이스에 있는 취약성의 추가적인 세부 정보가 포함된 항목에 연결할 수 있는 취약한 디바이스 목록을 봅니다.
    • 요청자 - 링크를 사용하여 이 보안 작업을 제출한 관리자에게 메일을 보냅니다.
    • 메모 - 보안 작업을 열 때 요청자가 제출한 사용자 지정 메시지를 읽습니다.

  4. 수락 또는 거부를 선택하여 계획된 작업에 대한 알림을 엔드포인트용 Defender에 보냅니다. 작업을 수락하거나 거부할 때 엔드포인트용 Defender에 전송되는 메모를 제출할 수 있습니다.

  5. 작업을 수락한 후 보안 작업을 다시 열고(닫힌 경우) 수정 세부 정보에 따라 취약성을 수정합니다. 보안 작업 정보에서 엔드포인트용 Defender가 제공하는 지침은 관련된 취약성에 따라 달라집니다.

    이 작업을 수행할 수 있는 경우 수정 지침에는 Microsoft Intune 관리 센터에서 관련 구성 개체를 여는 링크가 포함됩니다.

  6. 수정 단계를 완료한 후 보안 작업을 열고 작업 완료를 선택합니다. 이 작업은 Intune 및 엔드포인트용 Defender 모두에서 보안 작업 상태를 업데이트합니다.

교정에 성공한 후 교정된 디바이스의 새로운 정보를 기반으로 엔드포인트용 Defender의 위험 노출 점수가 떨어질 수 있습니다.

다음 단계

Intune 및 엔드포인트용 Microsoft Defender에 대해 자세히 알아보기

Intune Mobile Threat Defense 검토

엔드포인트용 Microsoft Defender의 위협 및 취약성 관리 대시보드 검토