공격 표면 감소(ASR) 규칙 운영
ASR(공격 표면 감소) 규칙을 완전히 배포한 후에는 ASR 관련 활동을 모니터링하고 대응하는 프로세스가 있어야 합니다.
가양성 관리
가양성/부정은 모든 위협 방지 솔루션에서 발생할 수 있습니다. 가양성 엔터티는 실제로 위협이 아니지만 엔터티(예: 파일 또는 프로세스)가 검색되고 악성으로 식별되는 경우입니다. 반면, 거짓 부정은 위협으로 검색되지는 않았지만 악의적인 엔터티입니다. 가양성 및 거짓 부정에 대한 자세한 내용은 다음을 참조하세요. 엔드포인트용 Microsoft Defender
보고서 유지
보고서에 대한 일관되고 정기적인 검토는 ASR 규칙 배포를 유지하고 새로 부상하는 위협을 지속적으로 유지하는 데 필수적인 측면입니다. 조직에는 ASR 규칙 보고 이벤트를 최신 상태로 유지하는 주기에 대한 ASR 규칙 이벤트에 대한 예약된 검토가 있어야 합니다. 조직의 크기에 따라 리뷰는 매일, 매시간 또는 지속적인 모니터링이 될 수 있습니다.
헌팅
Microsoft 365 Defender 가장 강력한 기능 중 하나는 고급 헌팅입니다. 고급 헌팅에 익숙하지 않은 경우 다음을 참조하세요. 고급 헌팅을 사용하여 위협을 사전에 헌팅합니다.
고급 헌팅은 쿼리 기반(Kusto 쿼리 언어) 위협 헌팅 도구로, Microsoft Defender ATP EDR(엔드포인트 검색 및 응답)이 모든 컴퓨터에서 수집하는 캡처된(원시) 데이터를 최대 30일 동안 탐색할 수 있습니다. 고급 헌팅을 통해 흥미로운 지표 및 엔터티를 찾기 위해 이벤트를 사전에 검사할 수 있습니다. 데이터에 대한 유연한 액세스는 알려진 위협과 잠재적 위협 모두에 대한 제한없는 헌팅을 용이하게 합니다.
고급 헌팅을 통해 ASR 규칙 정보를 추출하고, 보고서를 만들고, 지정된 ASR 규칙 감사 또는 차단 이벤트의 컨텍스트에 대한 자세한 정보를 얻을 수 있습니다.
Microsoft 365 Defender 포털의 고급 헌팅 섹션에 있는 DeviceEvents 테이블에서 ASR 규칙 이벤트를 쿼리할 수 있습니다. 예를 들어 아래와 같은 간단한 쿼리는 지난 30일 동안 ASR 규칙이 있는 모든 이벤트를 데이터 원본으로 보고하고 ActionType 개수로 요약합니다. 이 경우 ASR 규칙의 실제 코드 이름이 됩니다.
진행 중인 헌팅 포털에 표시된 ASR 이벤트는 매시간 표시되는 고유한 프로세스로 제한됩니다. ASR 이벤트의 시간은 해당 시간 내에 이벤트가 처음으로 표시되는 시간입니다.
위의 내용은 187개의 이벤트가 AsrLsassCredentialTheft에 등록되었음을 보여 줍니다.
- 차단된 경우 102
- 감사 대상 85
- AsrOfficeChildProcess에 대한 2개 이벤트(Audited의 경우 1개, 블록의 경우 1개)
- AsrPsexecWmiChildProcessAudited에 대한 8개 이벤트
AsrOfficeChildProcess 규칙에 집중하고 관련된 실제 파일 및 프로세스에 대한 세부 정보를 얻으려면 ActionType에 대한 필터를 변경하고 요약 줄을 원하는 필드의 프로젝션으로 바꿉니다(이 경우 DeviceName, FileName, FolderPath 등).
고급 헌팅의 진정한 이점은 원하는 대로 쿼리를 셰이핑할 수 있다는 것입니다. 쿼리를 셰이핑하면 개별 컴퓨터에서 무언가를 정확히 파악할지, 아니면 전체 환경에서 인사이트를 추출할 것인지에 관계없이 무슨 일이 일어났는지 정확히 파악할 수 있습니다.
헌팅 옵션에 대한 자세한 내용은 다음을 참조하세요. 공격 표면 감소 규칙의 단점 - 3부.