공격 표면 감소 규칙 구현

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2

공격 표면 감소 규칙을 구현하면 첫 번째 테스트 링이 활성화된 기능 상태로 이동합니다.

1단계: 공격 표면 감소 규칙을 감사에서 차단으로 전환

1. 감사 모드에서 모든 제외가 결정되면 트리거된 이벤트가 가장 적은 규칙부터 시작하여 일부 공격 표면 감소 규칙을 "차단" 모드로 설정하기 시작합니다. 공격 표면 감소 규칙 사용을 참조하세요.
2. Microsoft Defender 포털에서 보고 페이지를 검토합니다. 엔드포인트용 Microsoft Defender 위협 방지 보고서를 참조하세요. 또한 챔피언의 피드백을 검토합니다.
3. 필요에 따라 제외를 구체화하거나 새 제외를 만듭니다.
4. 문제가 있는 규칙을 감사로 다시 전환합니다.

참고

문제가 있는 규칙(너무 많은 노이즈를 만드는 규칙)의 경우 규칙을 끄거나 감사로 다시 전환하는 것보다 제외를 만드는 것이 좋습니다. 환경에 가장 적합한 항목을 결정해야 합니다.

팁

사용 가능한 경우 규칙의 경고 모드 설정을 활용하여 중단을 제한합니다. 경고 모드에서 공격 표면 감소 규칙을 사용하도록 설정하면 실제로 최종 사용자 액세스를 차단하지 않고 트리거된 이벤트를 캡처하고 잠재적인 중단을 볼 수 있습니다. 자세한 정보: 사용자에게 경고 모드.

경고 모드는 어떻게 작동하나요?

경고 모드는 사실상 차단 명령이지만 사용자가 지정된 흐름 또는 앱의 후속 실행을 "차단 해제"하는 옵션이 있습니다. 경고 모드는 디바이스, 사용자, 파일 및 프로세스 조합당 차단을 해제합니다. 경고 모드 정보는 로컬에 저장되며 기간은 24시간입니다.

2단계: 링 n + 1로 배포 확장

링 1에 대한 공격 표면 감소 규칙을 올바르게 구성했음을 확신하는 경우 배포의 scope 다음 링(링 n + 1)으로 확장할 수 있습니다.

1~3단계의 배포 프로세스는 기본적으로 각 후속 링에 대해 동일합니다.

1. 감사의 테스트 규칙
2. Microsoft Defender 포털에서 공격 표면 감소 트리거 감사 이벤트 검토
3. Create 제외
4. 검토: 필요에 따라 제외 구체화, 추가 또는 제거
5. 규칙을 "차단"으로 설정
6. Microsoft Defender 포털에서 보고 페이지를 검토합니다.
7. 제외를 Create.
8. 문제가 있는 규칙을 사용하지 않도록 설정하거나 감사로 다시 전환합니다.

공격 표면 감소 규칙 사용자 지정

공격 표면 감소 규칙 배포를 계속 확장하면 사용하도록 설정한 공격 표면 감소 규칙을 사용자 지정하는 것이 필요하거나 유용할 수 있습니다.

파일 및 폴더 제외

공격 노출 영역 감소 규칙에 의해 평가되는 파일 및 폴더를 제외하도록 선택할 수 있습니다. 제외되는 경우 공격 표면 감소 규칙이 파일에 악의적인 동작이 포함되어 있음을 감지하더라도 파일 실행이 차단되지 않습니다.

예를 들어 랜섬웨어 규칙을 고려합니다.

랜섬웨어 규칙은 기업 고객이 랜섬웨어 공격의 위험을 줄이면서 비즈니스 연속성을 보장하는 데 도움이 되도록 설계되었습니다. 기본적으로 랜섬웨어 규칙 오류는 주의해야 하며 아직 충분한 평판과 신뢰를 얻지 못한 파일로부터 보호합니다. 다시 강조하기 위해 랜섬웨어 규칙은 수백만 명의 고객의 사용 메트릭에 따라 충분한 긍정적인 평판과 보급을 얻지 못한 파일에 대해서만 트리거됩니다. 일반적으로 각 파일의 "평판 및 신뢰" 값은 문제가 없는 사용량이 증가함에 따라 증분 방식으로 업그레이드되므로 블록은 자체적으로 해결됩니다.

블록이 적시에 자체적으로 확인되지 않는 경우 고객은 자체 위험에 따라 셀프 서비스 메커니즘 또는 IOC(손상 지표) 기반 "허용 목록" 기능을 사용하여 파일 자체를 차단 해제할 수 있습니다.

경고

파일 또는 폴더를 제외하거나 차단 해제하면 안전하지 않은 파일이 실행되고 디바이스를 감염시킬 수 있습니다. 파일 또는 폴더를 제외하면 공격 표면 감소 규칙에서 제공하는 보호가 크게 감소할 수 있습니다. 규칙에 의해 차단된 파일은 실행할 수 있으며 기록된 보고서나 이벤트가 없습니다.

제외는 제외를 허용하거나 규칙 별 제외를 사용하여 특정 규칙에 적용되는 모든 규칙에 적용할 수 있습니다. 리소스에 대한 개별 파일, 폴더 경로 또는 정규화된 도메인 이름을 지정할 수 있습니다.

제외는 제외된 애플리케이션 또는 서비스가 시작될 때만 적용됩니다. 예를 들어 이미 실행 중인 업데이트 서비스에 대한 제외를 추가하는 경우 업데이트 서비스는 서비스가 중지되고 다시 시작될 때까지 이벤트를 계속 트리거합니다.

공격 표면 감소는 환경 변수 및 와일드카드를 지원합니다. 와일드카드 사용에 대한 자세한 내용은 파일 이름 및 폴더 경로 또는 확장명 제외 목록에서 와일드카드 사용을 참조하세요. 검색해서는 안 된다고 생각되는 파일을 검색하는 규칙에 문제가 발생하는 경우 감사 모드를 사용하여 규칙을 테스트합니다.

각 규칙에 대한 자세한 내용은 공격 표면 감소 규칙 참조 문서를 참조하세요.

그룹 정책 사용하여 파일 및 폴더 제외

1. 그룹 정책 관리 컴퓨터에서 그룹 정책 관리 콘솔을 엽니다. 구성하려는 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.

2. 그룹 정책 관리 편집기에서 컴퓨터 구성으로 이동하여 관리 템플릿을 선택합니다.

3. 트리를 Windows 구성 요소>Microsoft Defender 바이러스 백신>Microsoft Defender Exploit Guard>공격 표면 축소로 확장합니다.

4. 공격 표면 감소 규칙 설정에서 파일 및 경로 제외 설정을 두 번 클릭하고 옵션을 사용으로 설정합니다. 표시를 선택하고 값 이름 열에 각 파일 또는 폴더를 입력합니다. 각 항목의 값 열에 0을 입력합니다.

경고

값 이름 열 또는 값 열에 대해 지원되지 않으므로 따옴표를 사용하지 마세요.

PowerShell을 사용하여 파일 및 폴더 제외

1. 시작 메뉴에서 powershell을 입력하고 Windows PowerShell을 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

2. 다음 cmdlet을 입력합니다.

   Add-MpPreference -AttackSurfaceReductionOnlyExclusions "<fully qualified path or resource>"
   

   계속 사용하여 Add-MpPreference -AttackSurfaceReductionOnlyExclusions 목록에 더 많은 폴더를 추가합니다.

   중요

   를 사용하여 Add-MpPreference 목록에 앱을 추가하거나 추가합니다. cmdlet을 Set-MpPreference 사용하면 기존 목록을 덮어씁 수 있습니다.

MDM CSP를 사용하여 파일 및 폴더 제외

./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions CSP(구성 서비스 공급자)를 사용하여 제외를 추가합니다.

알림 사용자 지정

규칙이 트리거되고 앱 또는 파일을 차단하는 경우에 대한 알림을 사용자 지정할 수 있습니다. Windows 보안 문서를 참조하세요.

이 배포 컬렉션의 추가 문서

공격 표면 감소 규칙 배포 개요

공격 표면 감소 규칙 배포 계획

테스트 공격 표면 감소 규칙

공격 표면 감소 규칙 운영

공격 표면 감소 규칙 참조

참고 항목

• 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.