공격 표면 감소 규칙 참조
적용 대상:
- 엔드포인트용 Microsoft Microsoft 365 Defender 계획 1
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft 365 Defender
- Microsoft Defender 바이러스 백신
플랫폼:
- Windows
이 문서에서는 공격 감소 규칙에 대한 정보를 제공합니다.
지원되는 운영 체제
다음 표에는 현재 일반 공급으로 릴리스된 규칙에 대해 지원되는 운영 체제가 나열되어 있습니다. 규칙은 이 표에 사전순으로 나열됩니다.
참고
달리 명시되지 않는 한 최소 Windows 10 빌드는 버전 1709(RS3, 빌드 16299) 이상입니다. 최소 Windows Server 빌드 버전은 1809 이상입니다.
Windows Server 2012 R2 및 Windows Server 2016의 공격 표면 감소 규칙은 최신 통합 솔루션 패키지를 사용하여 온보딩된 디바이스에서 사용할 수 있습니다. 자세한 내용은 Windows Server 2012 R2 및 2016 Preview용 최신 통합 솔루션의 새로운 기능을 참조하세요.
(1) Windows Server 2012 및 2016에 대한 최신 통합 솔루션을 참조합니다. 자세한 내용은 엔드포인트용 Defender 서비스에 Windows Server 온보딩을 참조하세요.
(2) Windows Server 2016 및 Windows Server 2012 R2의 경우 Microsoft Endpoint Configuration Manager 필요한 최소 버전은 버전 2111입니다.
(3) 버전 및 빌드 번호는 Windows 10에만 적용됩니다.
지원되는 구성 관리 시스템
이 표에서 참조하는 구성 관리 시스템 버전에 대한 정보 링크는 이 표 아래에 나와 있습니다.
| 규칙 이름 | Intune | Microsoft Endpoint Manager | Microsoft Endpoint Configuration Manager | 그룹 정책[1] | PowerShell[1] |
|---|---|---|---|---|---|
| 악용된 취약한 서명된 드라이버의 남용 차단 | Y | Y MEM OMA-URI | Y | Y | |
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | Y | Y | Y | ||
| 모든 Office 응용 프로그램이 자식 프로세스를 만들지 못하도록 차단 | Y | Y CB 1710 |
Y | Y | |
| Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단 | Y | Y CB 1802 |
Y | Y | |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | Y | Y CB 1710 |
Y | Y | |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | Y | Y CB 1802 |
Y | Y | |
| 난독 처리될 수 있는 스크립트의 실행 차단 | Y | Y CB 1710 |
Y | Y | |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | Y | Y CB 1710 |
Y | Y | |
| Office 응용 프로그램이 실행 파일 콘텐츠를 만들지 못하도록 차단 | Y | Y CB 1710 |
Y | Y | |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | Y | Y CB 1710 |
Y | Y | |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | Y | Y CB 1710 |
Y | Y | |
| WMI 이벤트 구독을 통한 지속성 차단 | Y | Y | |||
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | Y | Y | Y | ||
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | Y | Y CB 1802 |
Y | Y | |
| Office 매크로에서 Win32 API 호출 차단 | Y | Y CB 1710 |
Y | Y | |
| 랜섬웨어에 대한 고급 보호 사용 | Y | Y CB 1802 |
Y | Y |
(1) 규칙의 GUID를 사용하여 규칙별로 공격 표면 감소 규칙을 구성할 수 있습니다.
- Configuration Manager CB 1710
- Configuration Manager CB 1802
- Microsoft Endpoint Manager CB 1710
- SYSTEM CENTER CONFIGURATION MANAGER(SCCM) CB 1710
SCCM은 이제 Microsoft 엔드포인트 Configuration Manager.
규칙별 경고 및 알림 세부 정보
알림 메시지는 차단 모드의 모든 규칙에 대해 생성됩니다. 다른 모드의 규칙은 알림 메시지를 생성하지 않습니다.
"규칙 상태"가 지정된 규칙의 경우:
- 조합이 포함된 <ASR Rule, Rule State> ASR 규칙은 클라우드가 높은 블록 수준의 디바이스에 대해서만 엔드포인트용 Microsoft Defender 경고(알림 메시지)를 노출하는 데 사용됩니다. 클라우드 블록 수준이 높지 않은 디바이스는 <ASR 규칙, 규칙 상태> 조합에 대한 경고를 생성하지 않습니다.
- EDR 경고는 지정된 상태의 ASR 규칙에 대해 생성되지만 높은 클라우드 블록 수준의 디바이스에 대해서만 생성됩니다.
| 규칙 이름: | 규칙 상태: | EDR에서 경고를 생성합니까? (예 | 아니요) |
알림 메시지를 생성합니까? (예 | 아니요) |
|---|---|---|---|
| 높은 클라우드 블록 수준의 디바이스에만 해당 | 차단 모드에서만 | ||
| 악용된 취약한 서명된 드라이버의 남용 차단 | N | Y | |
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | 차단 | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
Y 높은 클라우드 블록 수준에서 디바이스 필요 |
| 모든 Office 응용 프로그램이 자식 프로세스를 만들지 못하도록 차단 | N | Y | |
| Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단 | N | Y | |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
Y 높은 클라우드 블록 수준에서 디바이스 필요 |
|
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | N | Y | |
| 난독 처리될 수 있는 스크립트의 실행 차단 | 감사 | 블록 | Y | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
N | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | 차단 | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
Y 높은 클라우드 블록 수준에서 디바이스 필요 |
| Office 응용 프로그램이 실행 파일 콘텐츠를 만들지 못하도록 차단 | N | Y | |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | N | Y | |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | N | Y | |
| WMI 이벤트 구독을 통한 지속성 차단 | 감사 | 블록 | Y | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
N | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | N | Y | |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 감사 | 블록 | Y | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
N | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
| Office 매크로에서 Win32 API 호출 차단 | N | Y | |
| 랜섬웨어에 대한 고급 보호 사용 | 감사 | 블록 | Y | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
N | Y 높은 클라우드 블록 수준에서 디바이스 필요 |
GUID 행렬에 대한 ASR 규칙
| 규칙 이름 | 규칙 GUID |
|---|---|
| 악용된 취약한 서명된 드라이버의 남용 차단 | 56a863a9-875e-4185-98a7-b882c64b5ce5 |
| Adobe Reader가 자식 프로세스를 만들지 못하도록 차단 | 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c |
| 모든 Office 응용 프로그램이 자식 프로세스를 만들지 못하도록 차단 | d4f940ab-401b-4efc-aadc-ad5f3c50688a |
| Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단 | 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 |
| 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단 | be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 |
| 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단 | 01443614-cd74-433a-b99e-2ecdc07bfc25 |
| 난독 처리될 수 있는 스크립트의 실행 차단 | 5beb7efe-fd9a-4556-801d-275e5ffc04cc |
| JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 | d3e037e1-3eb8-44c8-a917-57927947596d |
| Office 응용 프로그램이 실행 파일 콘텐츠를 만들지 못하도록 차단 | 3b576869-a4ec-4529-8536-b80a7769e899 |
| Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단 | 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 |
| Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단 | 26190899-1602-49e8-8b27-eb1d0a1ce869 |
| WMI 이벤트 구독을 통한 지속성 차단 * 파일 및 폴더 제외는 지원되지 않습니다. |
e6db77e5-3df2-4cf1-b95a-636979351e5b |
| PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단 | d1e49aac-8f56-4280-b9ba-993a6d77406c |
| USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 |
| Office 매크로에서 Win32 API 호출 차단 | 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b |
| 랜섬웨어에 대한 고급 보호 사용 | c1db55ab-c21a-4637-bb3f-a12568109d35 |
ASR 규칙 모드
- 구성되지 않음 또는 사용 안 함: ASR 규칙이 활성화되지 않았거나 사용하지 않도록 설정된 상태입니다. 이 상태의 코드는 0입니다.
- 블록: ASR 규칙이 사용되는 상태입니다. 이 상태의 코드는 1입니다.
- 감사: ASR 규칙이 활성화된 경우 조직 또는 환경에 미치는 영향에 대해 평가되는 상태입니다(차단 또는 경고로 설정). 이 상태의 코드는 2입니다.
- 경고 ASR 규칙을 사용하도록 설정하고 최종 사용자에게 알림을 표시하지만 최종 사용자가 블록을 바이패스하도록 허용하는 상태입니다. 이 상태의 코드는 6입니다.
경고 모드 는 잠재적으로 위험한 작업에 대해 사용자에게 경고하는 블록 모드 유형입니다. 사용자는 블록 경고 메시지를 무시하고 기본 작업을 허용하도록 선택할 수 있습니다. 사용자는 확인을 선택하여 블록을 적용하거나 블록 시 생성된 최종 사용자 팝업 알림 메시지를 통해 바이패스 옵션( 차단 해제 )을 선택할 수 있습니다. 경고가 차단 해제된 후 다음에 경고 메시지가 발생할 때까지 작업이 허용되며, 이때 최종 사용자가 작업을 다시 생성해야 합니다.
허용 단추를 클릭하면 블록이 24시간 동안 표시되지 않습니다. 24시간 후에 최종 사용자는 블록을 다시 허용해야 합니다. ASR 규칙에 대한 경고 모드는 RS5+(1809 이상) 디바이스에서만 지원됩니다. 이전 버전이 있는 디바이스에서 ASR 규칙에 바이패스가 할당되면 규칙이 차단 모드로 설정됩니다.
또한 AttackSurfaceReductionRules_Actions "경고"로 지정하여 PowerShell을 통해 경고 모드로 규칙을 설정할 수도 있습니다. 예시:
-command "& {&'Add-MpPreference' -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn"}
규칙별 설명
악용된 취약한 서명된 드라이버의 남용 차단
이 규칙은 애플리케이션이 취약한 서명된 드라이버를 디스크에 쓰는 것을 방지합니다. 커널에 액세스할 수 있는 충분한 권한이 - 있는 로컬 애플리케이션 - 에서 취약한 서명된 드라이버를 악용할 수 있습니다. 취약한 서명된 드라이버를 사용하면 공격자가 보안 솔루션을 사용하지 않도록 설정하거나 우회할 수 있으므로 결국 시스템 손상이 초래됩니다.
악용된 취약한 서명된 드라이버 규칙의 남용 차단 은 시스템에 이미 존재하는 드라이버가 로드되는 것을 차단하지 않습니다.
참고
MEM OMA-URI를 사용하여 이 규칙을 구성할 수 있습니다. 사용자 지정 규칙을 구성하기 위한 MEM OMA-URI 를 참조하세요.
PowerShell을 사용하여 이 규칙을 구성할 수도 있습니다.
드라이버를 검사하려면 이 웹 사이트를 사용하여 분석을 위해 드라이버를 제출합니다.
Intune 이름:Block abuse of exploited vulnerable signed drivers
Configuration Manager 이름: 아직 사용할 수 없음
GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5
고급 헌팅 작업 유형:
- AsrVulnerableSignedDriverAudited
- AsrVulnerableSignedDriverBlocked
Adobe Reader가 자식 프로세스를 만들지 못하도록 차단
이 규칙은 Adobe Reader가 프로세스를 만들지 못하도록 차단하여 공격을 방지합니다.
맬웨어는 소셜 엔지니어링 또는 익스플로잇을 통해 페이로드를 다운로드하고 시작하고 Adobe Reader에서 탈옥할 수 있습니다. Adobe Reader에서 자식 프로세스가 생성되지 않도록 차단하면 Adobe Reader를 공격 벡터로 사용하려는 맬웨어가 확산되지 않습니다.
Intune 이름:Process creation from Adobe Reader (beta)
Configuration Manager 이름: 아직 사용할 수 없음
GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
고급 헌팅 작업 유형:
- AsrAdobeReaderChildProcessAudited
- AsrAdobeReaderChildProcessBlocked
종속성: MDAV
모든 Office 응용 프로그램이 자식 프로세스를 만들지 못하도록 차단
이 규칙은 Office 앱이 자식 프로세스를 만들지 못하도록 차단합니다. Office 앱에는 Word, Excel, PowerPoint, OneNote 및 Access가 포함됩니다.
악의적인 자식 프로세스를 만드는 것은 일반적인 맬웨어 전략입니다. Office를 벡터로 남용하는 맬웨어는 종종 VBA 매크로를 실행하고 코드를 악용하여 더 많은 페이로드를 다운로드하고 실행하려고 시도합니다. 그러나 일부 합법적인 LOB(기간 업무) 애플리케이션은 무해한 목적으로 자식 프로세스를 생성할 수도 있습니다. 예를 들어 명령 프롬프트를 생성하거나 PowerShell을 사용하여 레지스트리 설정을 구성합니다.
Intune 이름:Office apps launching child processes
Configuration Manager 이름:Block Office application from creating child processes
GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a
고급 헌팅 작업 유형:
- AsrOfficeChildProcessAudited
- AsrOfficeChildProcessBlocked
종속성: MDAV
Windows 로컬 보안 기관 하위 시스템의 자격 증명 도용 차단
이 규칙은 LSASS(로컬 보안 기관 하위 시스템 서비스)를 잠가 자격 증명 도용을 방지하는 데 도움이 됩니다.
LSASS는 Windows 컴퓨터에 로그인하는 사용자를 인증합니다. Windows의 Microsoft Defender Credential Guard는 일반적으로 LSASS에서 자격 증명을 추출하려는 시도를 방지합니다. 일부 조직에서는 사용자 지정 스마트 카드 드라이버 또는 LSA(로컬 보안 기관)에 로드되는 다른 프로그램과의 호환성 문제로 인해 모든 컴퓨터에서 Credential Guard를 사용하도록 설정할 수 없습니다. 이러한 경우 공격자는 Mimikatz와 같은 도구를 사용하여 LSASS에서 일반 텍스트 암호 및 NTLM 해시를 긁어낼 수 있습니다.
참고
일부 앱에서 코드는 실행 중인 모든 프로세스를 열거하고 완전한 권한으로 열려고 시도합니다. 이 규칙은 앱의 프로세스 열기 작업을 거부하고 세부 정보를 보안 이벤트 로그에 기록합니다. 이 규칙은 많은 노이즈를 생성할 수 있습니다. 단순히 LSASS를 열거하지만 기능에 실제로 영향을 주지 않는 앱이 있는 경우 제외 목록에 추가할 필요가 없습니다. 그 자체로 이 이벤트 로그 항목이 반드시 악의적인 위협을 나타내는 것은 아닙니다.
중요
ASR(공격 표면 감소) 규칙 "Windows 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격 증명 도용 차단"의 기본 상태가 구성되지 않음에서 구성됨 으로 변경되고 기본 모드가 차단 으로 설정됩니다. 다른 모든 ASR 규칙은 구성 되지 않은 기본 상태로 유지됩니다. 최종 사용자 알림을 줄이기 위해 규칙에 추가 필터링 논리가 이미 통합되었습니다. 고객은 기본 모드를 재정의하는 감사, 경고 또는 사용 안 함 모드로 규칙을 구성할 수 있습니다. 이 규칙의 기능은 규칙이 기본 모드로 구성되었는지 또는 블록 모드를 수동으로 사용하도록 설정하든 관계없이 동일합니다.
Intune 이름:Flag credential stealing from the Windows local security authority subsystem
Configuration Manager 이름:Block credential stealing from the Windows local security authority subsystem
GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
고급 헌팅 작업 유형:
- AsrLsassCredentialTheftAudited
- AsrLsassCredentialTheftBlocked
종속성: MDAV
전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단
이 규칙은 Microsoft Outlook 애플리케이션 또는 Outlook.com 및 기타 인기 있는 웹 메일 공급자 내에서 열린 전자 메일에서 다음 파일 형식이 시작되지 않도록 차단합니다.
- 실행 파일(예: .exe, .dll 또는 .scr)
- 스크립트 파일(예: PowerShell .ps1, Visual Basic .vbs 또는 JavaScript .js 파일)
Intune 이름:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)
Microsoft Endpoint Manager 이름:Block executable content from email client and webmail
GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
고급 헌팅 작업 유형:
- AsrExecutableEmailContentAudited
- AsrExecutableEmailContentBlocked
종속성: MDAV
참고
이메일 클라이언트 및 웹 메일의 실행 콘텐츠 차단 규칙에는 사용하는 애플리케이션에 따라 다음과 같은 대체 설명이 있습니다.
- Intune(구성 프로필): 전자 메일(웹 메일/메일 클라이언트)에서 삭제된 실행 파일 콘텐츠(exe, dll, ps, js, vbs 등)의 실행(예외 없음)입니다.
- Endpoint Manager: 전자 메일 및 웹 메일 클라이언트에서 실행 가능한 콘텐츠 다운로드를 차단합니다.
- 그룹 정책: 전자 메일 클라이언트 및 웹 메일에서 실행 가능한 콘텐츠를 차단합니다.
실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단
이 규칙은 실행 파일(예: .exe, .dll 또는 .scr)이 시작하지 못하도록 차단합니다. 따라서 신뢰할 수 없거나 알 수 없는 실행 파일을 시작하는 것은 위험할 수 있습니다. 파일이 악의적인 경우 처음에는 명확하지 않을 수 있기 때문에 위험할 수 있습니다.
중요
이 규칙을 사용하려면 클라우드 제공 보호를 사용하도록 설정 해야 합니다.
규칙 실행 파일은 GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 가 있는 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일이 실행되지 않도록 차단 합니다. Microsoft가 소유하고 관리자가 지정하지 않습니다. 이 규칙은 클라우드 제공 보호를 사용하여 신뢰할 수 있는 목록을 정기적으로 업데이트합니다.
개별 파일 또는 폴더(폴더 경로 또는 정규화된 리소스 이름 사용)를 지정할 수 있지만 적용되는 규칙이나 제외는 지정할 수 없습니다.
Intune 이름:Executables that don't meet a prevalence, age, or trusted list criteria
Configuration Manager 이름:Block executable files from running unless they meet a prevalence, age, or trusted list criteria
GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25
고급 헌팅 작업 유형:
- AsrUntrustedExecutableAudited
- AsrUntrustedExecutableBlocked
종속성: MDAV, 클라우드 보호
난독 처리될 수 있는 스크립트의 실행 차단
이 규칙은 난독 분석된 스크립트 내에서 의심스러운 속성을 검색합니다.
중요
PowerShell 스크립트는 과거에 직면한 대규모 FP 문제로 인해 "잠재적으로 난독 처리될 수 있는 스크립트의 실행 차단" 규칙에서 일시적으로 제외되었습니다.
스크립트 난독 처리는 맬웨어 작성자와 합법적인 애플리케이션이 모두 지적 재산을 숨기거나 스크립트 로드 시간을 줄이는 데 사용하는 일반적인 기술입니다. 또한 맬웨어 작성자는 난독화를 사용하여 악성 코드를 읽기 어렵게 하여 인간 및 보안 소프트웨어에 의한 면밀한 조사를 방해합니다.
중요
가양성의 수가 많기 때문에 이 규칙은 현재 PowerShell 스크립트를 검색하지 않습니다. 이는 임시 솔루션입니다. 규칙이 업데이트되고 곧 PowerShell 스크립트 다시 검색이 시작됩니다.
Intune 이름:Obfuscated js/vbs/ps/macro code
Configuration Manager 이름:Block execution of potentially obfuscated scripts
GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc
고급 헌팅 작업 유형:
- AsrObfuscatedScriptAudited
- AsrObfuscatedScriptBlocked
종속성: MDAV, AMSI
JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단
이 규칙은 스크립트가 잠재적으로 악의적으로 다운로드한 콘텐츠를 시작하지 못하도록 차단합니다. JavaScript 또는 VBScript로 작성된 맬웨어는 인터넷에서 다른 맬웨어를 가져오고 시작하는 다운로더 역할을 하는 경우가 많습니다.
일반적이지는 않지만 LOB(기간 업무) 애플리케이션은 경우에 따라 스크립트를 사용하여 설치 관리자를 다운로드하고 시작합니다.
Intune 이름:js/vbs executing payload downloaded from Internet (no exceptions)
Configuration Manager 이름:Block JavaScript or VBScript from launching downloaded executable content
GUID: d3e037e1-3eb8-44c8-a917-57927947596d
고급 헌팅 작업 유형:
- AsrScriptExecutableDownloadAudited
- AsrScriptExecutableDownloadBlocked
종속성: MDAV, AMSI
Office 응용 프로그램이 실행 파일 콘텐츠를 만들지 못하도록 차단
이 규칙은 악성 코드가 디스크에 기록되지 않도록 차단하여 Word, Excel 및 PowerPoint를 포함한 Office 앱이 잠재적으로 악의적인 실행 콘텐츠를 만들지 못하도록 차단합니다.
Office를 벡터로 남용하는 맬웨어는 Office를 중단시키고 악성 구성 요소를 디스크에 저장하려고 시도할 수 있습니다. 이러한 악의적인 구성 요소는 컴퓨터 재부팅에서 유지되고 시스템에서 유지됩니다. 따라서 이 규칙은 일반적인 지속성 기술을 방어합니다.
Intune 이름:Office apps/macros creating executable content
SCCM 이름: Block Office applications from creating executable content
GUID: 3b576869-a4ec-4529-8536-b80a7769e899
고급 헌팅 작업 유형:
- AsrExecutableOfficeContentAudited
- AsrExecutableOfficeContentBlocked
종속성: MDAV, RPC
Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
이 규칙은 Office 앱에서 다른 프로세스로 코드 삽입 시도를 차단합니다.
공격자는 Office 앱을 사용하여 코드 주입을 통해 악성 코드를 다른 프로세스로 마이그레이션하려고 할 수 있으므로 코드가 정리된 프로세스로 가장할 수 있습니다.
코드 주입을 사용하기 위한 알려진 합법적인 비즈니스 용도는 없습니다.
이 규칙은 Word, Excel 및 PowerPoint에 적용됩니다.
Intune 이름:Office apps injecting code into other processes (no exceptions)
Configuration Manager 이름:Block Office applications from injecting code into other processes
GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
고급 헌팅 작업 유형:
- AsrOfficeProcessInjectionAudited
- AsrOfficeProcessInjectionBlocked
종속성: MDAV
Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단
이 규칙은 Outlook에서 자식 프로세스를 만들지 못하게 하는 동시에 합법적인 Outlook 기능을 허용합니다.
이 규칙은 소셜 엔지니어링 공격으로부터 보호하고 코드 악용이 Outlook의 취약성을 악용하는 것을 방지합니다. 또한 사용자의 자격 증명이 손상되면 공격자가 사용할 수 있는 Outlook 규칙 및 양식 악용 으로부터 보호합니다.
참고
이 규칙은 Outlook에서 DLP 정책 팁 및 도구 설명을 차단합니다. 이 규칙은 Outlook 및 Outlook.com 만 적용됩니다.
Intune 이름:Process creation from Office communication products (beta)
Configuration Manager 이름: 사용할 수 없음
GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869
고급 헌팅 작업 유형:
- AsrOfficeCommAppChildProcessAudited
- AsrOfficeCommAppChildProcessBlocked
종속성: MDAV
WMI 이벤트 구독을 통한 지속성 차단
이 규칙은 맬웨어가 WMI를 악용하여 디바이스에서 지속성을 얻지 못하게 합니다.
중요
파일 및 폴더 제외는 이 공격 표면 감소 규칙에 적용되지 않습니다.
파일리스 위협은 파일 시스템에 표시되지 않도록 하고 정기적인 실행 제어를 확보하기 위해 다양한 기법을 사용하여 숨은 상태를 유지합니다. 일부 위협은 WMI 리포지토리 및 이벤트 모델을 악용하여 계속 숨을 수 있습니다.
Intune 이름: 사용할 수 없음
Configuration Manager 이름: 사용할 수 없음
GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b
고급 헌팅 작업 유형:
- AsrPersistenceThroughWmiAudited
- AsrPersistenceThroughWmiBlocked
종속성: MDAV, RPC
PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단
이 규칙은 PsExec 및 WMI 를 통해 만든 프로세스가 실행되지 않도록 차단합니다. PsExec 및 WMI는 모두 원격으로 코드를 실행할 수 있습니다. 명령 및 제어 목적으로 맬웨어가 PsExec 및 WMI의 기능을 남용하거나 조직의 네트워크 전체에 감염을 퍼뜨릴 위험이 있습니다.
경고
Intune 또는 다른 MDM 솔루션으로 디바이스를 관리하는 경우에만 이 규칙을 사용합니다. 이 규칙은 Configuration Manager 클라이언트가 올바르게 작동하는 데 사용하는 WMI 명령을 차단하기 때문에 Microsoft Endpoint Configuration Manager 통해 관리와 호환되지 않습니다.
Intune 이름:Process creation from PSExec and WMI commands
Configuration Manager 이름: 해당 없음
GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c
고급 헌팅 작업 유형:
- AsrPsexecWmiChildProcessAudited
- AsrPsexecWmiChildProcessBlocked
종속성: MDAV
USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단
이 규칙을 사용하면 관리자는 서명되지 않거나 신뢰할 수 없는 실행 파일이 SD 카드를 포함한 USB 이동식 드라이브에서 실행되지 않도록 방지할 수 있습니다. 차단된 파일 형식에는 실행 파일(예: .exe, .dll 또는 .scr)이 포함됩니다.
중요
USB에서 디스크 드라이브로 복사한 파일은 디스크 드라이브에서 실행될 때 이 규칙에 의해 차단됩니다.
Intune 이름:Untrusted and unsigned processes that run from USB
Configuration Manager 이름:Block untrusted and unsigned processes that run from USB
GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
고급 헌팅 작업 유형:
- AsrUntrustedUsbProcessAudited
- AsrUntrustedUsbProcessBlocked
종속성: MDAV
Office 매크로에서 Win32 API 호출 차단
이 규칙은 VBA 매크로가 Win32 API를 호출하지 못하도록 차단합니다.
Office VBA를 사용하면 Win32 API 호출이 가능합니다. 맬웨어는 Win32 API를 호출하여 디스크에 직접 아무것도 쓰지 않고 악성 셸코드를 시작하는 등 이 기능을 남용할 수 있습니다. 대부분의 조직에서는 다른 방법으로 매크로를 사용하더라도 일상적인 기능에서 Win32 API를 호출하는 기능에 의존하지 않습니다.
지원되는 운영 체제:
Intune 이름:Win32 imports from Office macro code
Configuration Manager 이름:Block Win32 API calls from Office macros
GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
고급 헌팅 작업 유형:
- AsrOfficeMacroWin32ApiCallsAudited
- AsrOfficeMacroWin32ApiCallsBlocked
종속성: MDAV, AMSI
랜섬웨어에 대한 고급 보호 사용
이 규칙은 랜섬웨어에 대한 추가 보호 계층을 제공합니다. 클라이언트 및 클라우드 추론을 모두 사용하여 파일이 랜섬웨어와 유사한지 여부를 확인합니다. 이 규칙은 다음 특성 중 하나 이상이 있는 파일을 차단하지 않습니다.
- 파일이 Microsoft 클라우드에서 이미 공유되지 않는 것으로 확인되었습니다.
- 파일은 유효한 서명된 파일입니다.
- 이 파일은 랜섬웨어로 간주되지 않을 정도로 널리 퍼져 있습니다.
규칙은 랜섬웨어를 방지하기 위해 주의의 측면에 잘못하는 경향이있다.
참고
이 규칙을 사용하려면 클라우드 제공 보호를 사용하도록 설정 해야 합니다.
Intune 이름:Advanced ransomware protection
Configuration Manager 이름:Use advanced protection against ransomware
GUID: c1db55ab-c21a-4637-bb3f-a12568109d35
고급 헌팅 작업 유형:
- AsrRansomwareAudited
- AsrRansomwareBlocked
종속성: MDAV, 클라우드 보호