공격 표면 감소(ASR) 규칙 테스트
ASR(공격 표면 감소) 규칙을 테스트하면 규칙을 사용하도록 설정하기 전에 규칙이 LOB(기간 업무) 작업을 방해하는지 여부를 결정하는 데 도움이 됩니다. 제어되는 소규모 그룹으로 시작하여 조직 전체에서 배포를 확장할 때 잠재적인 작업 중단을 제한할 수 있습니다.
링 1을 사용하여 ASR(공격 표면 감소) 규칙 배포를 시작합니다.
1단계: 감사를 사용하여 ASR 규칙 테스트
규칙을 감사로 설정하여 ASR 규칙을 켜서 테스트 단계를 시작합니다( 링 1의 챔피언 사용자 또는 디바이스부터 시작). 일반적으로 테스트 단계에서 트리거되는 규칙을 확인할 수 있도록 감사에서 모든 규칙을 사용하도록 설정하는 것이 좋습니다. 감사로 설정된 규칙은 일반적으로 규칙이 적용되는 엔터티 또는 엔터티의 기능에 영향을 주지 않지만 평가에 대해 기록된 이벤트를 생성합니다. 최종 사용자에게는 영향을 주지 않습니다.
MEM을 사용하여 ASR 규칙 구성
MEM(Microsoft Endpoint Manager) Endpoint Security를 사용하여 사용자 지정 ASR 규칙을 구성할 수 있습니다.
엔드포인트 보안 > 공격 노출 영역 축소 로 이동합니다.
정책 만들기 를 선택합니다.
플랫폼에서 Windows 10 이상을 선택하고 프로필 에서 공격 표면 감소 규칙을 선택합니다.
만들기 를 클릭합니다.
프로필 만들기 창의 기본 사항 탭에 있는 이름 에서 정책의 이름을 추가합니다. 설명 에서 ASR 규칙 정책에 대한 설명을 추가합니다.
구성 설정 탭의 공격 표면 감소 규칙 에서 모든 규칙을 감사 모드 로 설정합니다.
참고
일부 ASR 규칙 모드 목록에는 변형이 있습니다. 차단 및 사용은 동일한 기능을 제공합니다.
[선택 사항] 범위 태그 창에서 특정 디바이스에 태그 정보를 추가할 수 있습니다. 역할 기반 액세스 제어 및 범위 태그를 사용하여 올바른 관리자가 올바른 Intune 개체에 대한 올바른 액세스 및 가시성을 갖도록 할 수도 있습니다. 자세한 정보: Intune 분산 IT에 RBAC(역할 기반 액세스 제어) 및 범위 태그를 사용합니다.
할당 창에서 사용자 또는 디바이스 그룹에 프로필을 배포하거나 "할당"할 수 있습니다. 자세한 정보: Microsoft Intune 디바이스 프로필 할당
검토 + 만들기 창에서 설정을 검토합니다. 만들기 를 클릭하여 규칙을 적용합니다.
ASR 규칙에 대한 새 공격 표면 감소 정책이 엔드포인트 보안 | 나열됩니다. 공격 표면 감소.
2단계: Microsoft 365 Defender 포털의 공격 표면 감소 규칙 보고 페이지 이해
ASR 규칙 보고 페이지는 Microsoft 365 Defender 포털 > 보고서 > 공격 노출 영역 감소 규칙에 있습니다. 이 페이지에는 다음 세 개의 탭이 있습니다.
- 탐지
- 구성
- 제외 추가
검색 탭
검색된 감사 및 차단된 이벤트의 30일 타임라인을 제공합니다.
공격 표면 감소 규칙 창은 규칙별로 검색된 이벤트에 대한 개요를 제공합니다.
참고
ASR 규칙 보고서에는 몇 가지 변형이 있습니다. Microsoft는 일관된 환경을 제공하기 위해 ASR 규칙 보고서의 동작을 업데이트하는 중입니다.
검색 보기를 클릭하여 검색 탭 을 엽니다.
GroupBy 및 필터 창은 다음 옵션을 제공합니다.
GroupBy 는 다음 그룹으로 설정된 결과를 반환합니다.
- 그룹화 없음
- 검색된 파일
- 감사 또는 차단
- 규칙
- 원본 앱
- 디바이스
- 사용자
- 게시자
필터 는 선택한 ASR 규칙으로만 결과의 범위를 지정할 수 있는 규칙의 필터 페이지를 엽니다.
참고
Microsoft Microsoft 365 보안 E5 또는 A5, Windows E5 또는 A5 라이선스가 있는 경우 다음 링크에서 Microsoft Defender 365 보고서 > 공격 노출 영역 축소 > 검색 탭을 엽니다.
구성 탭
컴퓨터별 목록- ASR 규칙의 집계 상태: 끄기, 감사, 차단.
구성 탭에서 ASR 규칙을 검토할 디바이스를 선택하여 디바이스별로 어떤 ASR 규칙을 사용하도록 설정하고 어떤 모드에서 사용할지 확인할 수 있습니다.
시작 링크는 ASR에 대한 엔드포인트 보호 정책을 만들거나 수정할 수 있는 Microsoft Endpoint Manager 관리 센터를 엽니다.
엔드포인트 보안 | 개요에서 공격 표면 감소를 선택합니다.
엔드포인트 보안 | 공격 표면 감소 창이 열립니다.
참고
Microsoft Defender 365 E5(또는 Windows E5?) 라이선스가 있는 경우 이 링크는 Microsoft Defender 365 보고서 > 공격 표면 축소 > 구성 탭을 엽니다.
제외 추가
이 탭에서는 제외를 위해 검색된 엔터티(예: 가양성)를 선택하는 메서드를 제공합니다. 제외가 추가되면 보고서는 예상되는 영향에 대한 요약을 제공합니다.
참고
Microsoft Defender 바이러스 백신 AV 제외는 ASR 규칙에 의해 적용됩니다. 확장, 이름 또는 위치에 따라 제외 구성 및 유효성 검사를 참조하세요.
참고
Microsoft Defender 365 E5(또는 Windows E5?) 라이선스가 있는 경우 이 링크는 Microsoft Defender 365 보고서 > 공격 노출 영역 축소 > 제외 탭을 엽니다.
POWERShell을 대체 방법으로 사용하여 ASR 규칙 사용
MEM 대신 PowerShell을 사용하여 감사 모드에서 ASR 규칙을 사용하도록 설정하여 기능이 완전히 사용하도록 설정된 경우 차단된 앱의 레코드를 볼 수 있습니다. 또한 일반적인 사용 중에 규칙이 실행되는 빈도를 파악할 수 있습니다.
감사 모드에서 공격 표면 감소 규칙을 사용하도록 설정하려면 다음 PowerShell cmdlet을 사용합니다.
Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode
공격 표면 감소 규칙의 GUID 값은 어디에 <rule ID> 있습니다.
감사 모드에서 추가된 모든 공격 표면 감소 규칙을 사용하도록 설정하려면 다음 PowerShell cmdlet을 사용합니다.
(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}
팁
조직에서 공격 표면 감소 규칙이 작동하는 방식을 완전히 감사하려면 관리 도구를 사용하여 네트워크의 디바이스에 이 설정을 배포해야 합니다.
그룹 정책, Intune 또는 MDM(모바일 디바이스 관리) CSP(구성 서비스 공급자)를 사용하여 설정을 구성하고 배포할 수도 있습니다. 주 공격 표면 감소 규칙 문서에서 자세히 알아봅니다.
Microsoft 365 Defender 포털의 공격 노출 영역 축소 규칙 보고 페이지에 대한 대안으로 Windows 이벤트 뷰어 검토 사용
차단된 앱을 검토하려면 microsoft-Windows-Windows Defender/운영 로그에서 이벤트 뷰어 열고 이벤트 ID 1121을 필터링합니다. 다음 표에서는 모든 네트워크 보호 이벤트를 나열합니다.
| 이벤트 ID | 설명 |
|---|---|
| 5007 | 설정이 변경된 경우 이벤트 |
| 1121 | 블록 모드에서 공격 표면 감소 규칙이 실행되는 경우의 이벤트 |
| 1122 | 감사 모드에서 공격 표면 감소 규칙이 실행되는 경우 이벤트 |