공격 표면 감소(ASR) 규칙 배포 개요
공격 표면은 조직이 사이버 공격 및 공격에 취약한 모든 장소입니다. 조직의 공격 화면에는 공격자가 조직의 디바이스 또는 네트워크를 손상시킬 수 있는 모든 위치가 포함됩니다. 공격 노출 영역을 줄이면 조직의 디바이스와 네트워크를 보호할 수 있으므로 공격자는 공격 방법이 줄어듭니다. 엔드포인트용 MICROSOFT DEFENDER 있는 많은 보안 기능 중 하나인 ASR(공격 표면 감소) 규칙을 구성하는 것이 도움이 될 수 있습니다.
ASR 규칙은 다음과 같은 특정 소프트웨어 동작을 대상으로 합니다.
- 파일 다운로드 또는 실행을 시도하는 실행 파일 및 스크립트 시작
- 난독 제거되거나 의심스러운 스크립트 실행
- 일반적인 일상적인 작업 중에 앱이 일반적으로 발생하지 않는 동작
다양한 공격 표면을 줄이면 공격이 처음부터 발생하지 않도록 방지할 수 있습니다.
시작하기 전에
초기 준비 중에는 배치할 시스템의 기능을 이해하는 것이 중요합니다. 기능을 이해하면 조직을 보호하는 데 가장 중요한 ASR 규칙을 결정하는 데 도움이 됩니다. 또한 ASR 배포를 준비하기 위해 수행해야 하는 몇 가지 필수 구성 요소가 있습니다.
중요
이 가이드에서는 ASR 규칙을 구성하는 방법을 결정하는 데 도움이 되는 이미지와 예제를 제공합니다. 이러한 이미지와 예제는 사용자 환경에 가장 적합한 구성 옵션을 반영하지 않을 수 있습니다.
시작하기 전에 공격 표면 감소 개요 및 공격 표면 감소 규칙의 단점을 검토합니다. 기본 정보는 1부 입니다. 적용 범위 및 잠재적 영향 영역을 이해하려면 현재 ASR 규칙 집합을 숙지하세요. 공격 표면 감소 규칙 참조를 참조하세요. ASR 규칙 집합을 숙지하는 동안 규칙별 GUID 매핑을 기록해 둡니다. 참조: GUID 행렬에 대한 ASR 규칙입니다.
ASR 규칙은 엔드포인트용 Microsoft Defender 내에서 공격 표면 감소 기능의 한 가지 기능일 뿐입니다. 이 문서에서는 사람이 운영하는 랜섬웨어 및 기타 위협과 같은 고급 위협을 막기 위해 ASR 규칙을 효과적으로 배포하는 방법을 자세히 설명합니다.
범주별 규칙
맬웨어 감염을 방지하기 위해 공격 표면 감소 규칙 사용에서 설명한 대로 MDE 내에 조직을 보호할 수 있는 여러 공격 표면 감소 규칙이 있습니다. 범주별로 구분된 규칙은 다음과 같습니다.
| 다형성 위협 | 횡적 이동 & 자격 증명 도용 | 생산성 앱 규칙 | Email 규칙 | 스크립트 규칙 | 기타 규칙 |
|---|---|---|---|---|---|
| 실행 파일이 보급(1,000대 컴퓨터), 연령(24시간) 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | Office 앱에서 실행 파일 콘텐츠를 만들지 못하도록 차단 | 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | 난독 제거된 JS/VBS/PS/매크로 코드 차단 | 악용된 취약한 서명된 운전자 의 남용 차단 [1] |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단[2] | Office 앱에서 자식 프로세스를 만들지 못하도록 차단 | Office 통신 애플리케이션만 자식 프로세스를 만들지 못하도록 차단 | JS/VBS가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | |
| 랜섬웨어에 대한 고급 보호 사용 | WMI 이벤트 구독을 통한 지속성 차단 | Office 앱이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | Office 통신 앱이 자식 프로세스를 만들지 못하도록 차단 | ||
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 |
(1) 악용된 취약한 서명된 드라이버의 남용 차단 은 현재 MEM 엔드포인트 보안에서 사용할 수 없습니다. MEM OMA-URI를 사용하여 이 규칙을 구성할 수 있습니다.
(2) 일부 ASR 규칙은 상당한 노이즈를 생성하지만 기능을 차단하지는 않습니다. 예를 들어 Chrome을 업데이트하는 경우 Chrome은 lsass.exe; 에 액세스합니다. 암호는 디바이스의 lsass에 저장됩니다. 그러나 Chrome은 로컬 디바이스 lsass.exe 액세스해서는 안 됩니다. 규칙이 lsass에 대한 액세스를 차단하도록 설정하면 많은 이벤트가 생성됩니다. 소프트웨어 업데이트 프로세스가 lsass.exe 액세스해서는 안 되므로 이러한 이벤트는 좋은 이벤트입니다. 이 규칙을 사용하도록 설정하면 Chrome 업데이트가 lsass에 액세스하는 것을 차단하지만 Chrome의 업데이트는 차단하지 않습니다. 이는 lsass.exe 불필요한 호출을 하는 다른 애플리케이션에서도 마찬가지입니다. lsass 규칙에 대한 액세스 차단은 lsass 에 대한 불필요한 호출을 차단하지만 애플리케이션의 실행을 차단하지는 않습니다.
인프라 요구 사항
ASR 규칙을 구현하는 여러 방법이 가능하지만 이 가이드는 다음으로 구성된 인프라를 기반으로 합니다.
- Azure Active Directory
- MEM(Microsoft Endpoint Management)
- 디바이스 Windows 10 및 Windows 11
- E5 또는 Windows E5 라이선스 엔드포인트용 Microsoft Defender
ASR 규칙 및 보고를 최대한 활용하려면 Microsoft 365 Defender E5 또는 Windows E5 라이선스 및 A5를 사용하는 것이 좋습니다. 자세한 정보: 엔드포인트용 Microsoft Defender 대한 최소 요구 사항
참고
ASR 규칙을 구성하는 방법에는 여러 가지가 있습니다. ASR 규칙은 MEM(Microsoft Endpoint Manager), PowerShell, 그룹 정책, SCCM(Microsoft System Center Configuration Manager), MEM OMA-URI를 사용하여 구성할 수 있습니다. 인프라 요구 사항(위)에 나열된 것과 다른 인프라 구성을 사용하는 경우 다음의 다른 구성을 사용하여 공격 표면 감소 규칙을 배포하는 방법에 대해 자세히 알아볼 수 있습니다. 공격 표면 감소 규칙 사용.
ASR 규칙 종속성
Microsoft Defender 바이러스 백신은 기본 바이러스 백신 솔루션으로 사용하도록 설정하고 구성해야 하며 다음 모드에 있어야 합니다.
- 기본 바이러스 백신/맬웨어 방지 솔루션
- 상태: 활성 모드
Microsoft Defender 바이러스 백신은 다음 모드에 있지 않아야 합니다.
- 수동
- 블록 모드에서 엔드포인트 검색 및 응답(EDR)이 있는 수동 모드
- 제한된 LPS(정기 검사)
- 해제
참조: 클라우드 제공 보호 및 Microsoft Defender 바이러스 백신.
MAPS(클라우드 보호)를 사용하도록 설정해야 합니다.
Microsoft Defender 바이러스 백신은 Microsoft 클라우드 서비스와 원활하게 작동합니다. MAPS(Microsoft Advanced Protection Service)라고도 하는 이러한 클라우드 보호 서비스는 표준 실시간 보호를 향상시켜 최고의 바이러스 백신 방어를 제공합니다. 클라우드 보호는 맬웨어 위반 및 ASR 규칙의 중요한 구성 요소를 방지하는 데 중요합니다. Microsoft Defender 바이러스 백신에서 클라우드 제공 보호를 켭니다.
Microsoft Defender 바이러스 백신 구성 요소는 현재 버전이어야 합니다.
다음 Microsoft Defender 바이러스 백신 구성 요소 버전은 현재 사용 가능한 버전보다 이전 버전이 2개 이상이어야 합니다.
- Microsoft Defender 바이러스 백신 플랫폼 업데이트 버전 - Microsoft Defender 바이러스 백신 플랫폼이 매월 업데이트됩니다.
- Microsoft Defender 바이러스 백신 엔진 버전 - Microsoft Defender 바이러스 백신 엔진이 매월 업데이트됩니다.
- Microsoft Defender 바이러스 백신 보안 인텔리전스 - Microsoft 는 최신 위협을 해결하고 검색 논리를 구체화하기 위해 Microsoft Defender 보안 인텔리전스(정의 및 서명이라고도 함)를 지속적으로 업데이트합니다.
Microsoft Defender 바이러스 백신 버전을 최신 상태로 유지하면 ASR 규칙 가양성 결과를 줄이고 Microsoft Defender 바이러스 백신 검색 기능을 개선하는 데 도움이 됩니다. 현재 버전 및 다른 Microsoft Defender 바이러스 백신 구성 요소를 업데이트하는 방법에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 플랫폼 지원을 참조하세요.
경고
서명되지 않은 내부적으로 개발된 애플리케이션 및 스크립트 사용량이 많은 경우 일부 규칙이 제대로 작동하지 않습니다. 코드 서명이 적용되지 않으면 ASR 규칙을 배포하기가 더 어렵습니다.
ASR 규칙 배포 단계
LOB(기간 업무)에 잠재적으로 영향을 줄 수 있는 새로운 대규모 구현과 마찬가지로 계획 및 구현에서 체계적이어야 합니다. 맬웨어를 방지하는 ASR 규칙의 강력한 기능으로 인해 고유한 고객 워크플로에 가장 잘 작동하도록 이러한 규칙을 신중하게 계획하고 배포해야 합니다. 사용자 환경에서 작업하려면 ASR 규칙을 신중하게 계획, 테스트, 구현 및 운영해야 합니다.
참고
비 Microsoft HIPS를 사용하고 엔드포인트용 Microsoft Defender 공격 표면 감소 규칙으로 전환하는 고객의 경우: Microsoft는 감사 모드에서 차단 모드로 전환할 때까지 ASR 규칙 배포와 함께 HIPS 솔루션을 실행하는 것이 좋습니다. 제외 권장 사항은 타사 바이러스 백신 공급업체에 문의해야 합니다.
이 배포 컬렉션의 추가 항목
참조
블로그
ASR 컬렉션
Microsoft Defender
Endpoint용 Microsoft Defender에서 가양성/가음성 처리
클라우드 제공 보호 및 Microsoft Defender 바이러스 백신
Microsoft Defender 바이러스 백신에서 클라우드 제공 보호 켜기
확장, 이름 또는 위치에 따라 제외 구성 및 유효성 검사
Microsoft Defender 바이러스 백신 플랫폼 지원
Microsoft 365 앱 관리 센터의 인벤토리 개요
Intune 분산 IT에 RBAC(역할 기반 액세스 제어) 및 범위 태그 사용