Microsoft Defender 바이러스 백신 클라우드 보호 및 샘플 제출

  • 아티클
  • 읽는 데 7분 걸림

적용 대상:

플랫폼

  • Windows

Microsoft Defender 바이러스 백신 맬웨어를 검색하는 데 많은 지능형 메커니즘을 사용합니다. 가장 강력한 기능 중 하나는 클라우드의 기능을 적용하여 맬웨어를 감지하고 신속한 분석을 수행하는 기능입니다. 클라우드 보호 및 자동 샘플 제출은 Microsoft Defender 바이러스 백신 함께 작동하여 새로운 위협과 새로운 위협으로부터 보호합니다.

의심스럽거나 악의적인 파일이 검색되면 Microsoft Defender 바이러스 백신 파일을 차단하는 동안 분석을 위해 샘플이 클라우드 서비스로 전송됩니다. 빠르게 수행되는 결정이 내려지는 즉시 파일이 해제되거나 Microsoft Defender 바이러스 백신 의해 차단됩니다.

이 문서에서는 Microsoft Defender 바이러스 백신 클라우드 보호 및 자동 샘플 제출에 대한 개요를 제공합니다. 클라우드 보호에 대한 자세한 내용은 클라우드 보호 및 Microsoft Defender 바이러스 백신 참조하세요.

클라우드 보호 및 샘플 제출이 함께 작동하는 방식

클라우드 보호가 샘플 제출과 함께 작동하는 방식을 이해하려면 엔드포인트용 Defender가 위협으로부터 보호하는 방법을 이해하는 것이 도움이 될 수 있습니다. Microsoft Intelligent Security Graph 방대한 센서 네트워크의 위협 데이터를 모니터링합니다. Microsoft는 인텔리전트 보안 Graph 클라이언트의 신호와 방대한 센서 및 데이터 네트워크를 기반으로 파일을 평가할 수 있는 클라우드 기반 기계 학습 모델을 계층화합니다. 이 접근 방식을 통해 엔드포인트용 Defender는 이전에 볼 수 없었던 많은 위협을 차단할 수 있습니다.

다음 이미지는 Microsoft Defender 바이러스 백신 사용하여 클라우드 보호 및 샘플 제출의 흐름을 보여 줍니다.

클라우드 제공 보호 흐름

Microsoft Defender 바이러스 백신 및 클라우드 보호는 다음 방법을 사용하여 처음 볼 수 없는 새로운 위협을 자동으로 차단합니다.

  1. 새롭고 알 수 없는 맬웨어를 차단하는 경량 클라이언트 기반 기계 학습 모델입니다.

  2. 로컬 동작 분석, 파일 기반 및 파일 없는 공격 중지

  3. 일반적이고 추론적인 기술을 통해 일반적인 맬웨어를 감지하는 고밀도 바이러스 백신입니다.

  4. 엔드포인트에서 실행되는 Microsoft Defender 바이러스 백신 의심스러운 파일의 의도를 확인하기 위해 더 많은 인텔리전스가 필요한 경우 고급 클라우드 기반 보호가 제공됩니다.

    1. Microsoft Defender 바이러스 백신 명확한 결정을 내릴 수 없는 경우 파일 메타데이터가 클라우드 보호 서비스로 전송됩니다. 클라우드 보호 서비스는 종종 밀리초 내에 파일이 악성인지 아닌지 여부를 메타데이터에 따라 확인할 수 있습니다.

      • 파일 메타데이터의 클라우드 쿼리는 동작, 웹 표시 또는 명확한 결과가 결정되지 않은 기타 특성의 결과일 수 있습니다.
      • 작은 메타데이터 페이로드는 맬웨어의 평결에 도달하거나 위협이 아닌 것을 목표로 전송됩니다. 메타데이터에는 PII(개인 식별 정보)가 포함되지 않습니다. 파일 이름과 같은 정보는 해시됩니다.
      • 동기 또는 비동기일 수 있습니다. 동기의 경우 클라우드가 판결을 내릴 때까지 파일이 열리지 않습니다. 비동기에서는 클라우드 보호에서 분석을 수행하는 동안 파일이 열립니다.
      • 메타데이터에는 PE 특성, 정적 파일 특성, 동적 및 컨텍스트 특성 등이 포함될 수 있습니다( 클라우드 보호 서비스로 전송된 메타데이터 예제 참조).

    2. 메타데이터를 검사한 후 Microsoft Defender 바이러스 백신 클라우드 보호가 결정적인 판결에 도달할 수 없는 경우 추가 검사를 위해 파일 샘플을 요청할 수 있습니다. 이 요청은 샘플 제출에 대한 설정 구성을 적용합니다.

      1. 안전한 샘플 자동 보내기 (기본값)

        • 금고 샘플은 .bat, .scr, .dll, .exe 같은 PII 데이터를 일반적으로 포함하지 않는 것으로 간주되는 샘플입니다.
        • 파일에 PII가 포함될 가능성이 있는 경우 사용자는 파일 샘플 제출을 허용하라는 요청을 받게 됩니다.
        • 이 옵션은 Windows, macOS 및 Linux의 기본값입니다.

      2. 항상 프롬프트

        • 구성된 경우 파일 제출 전에 사용자에게 항상 동의하라는 메시지가 표시됩니다.
        • 이 설정은 macOS 클라우드 보호에서 사용할 수 없습니다.

      3. 모든 샘플을 자동으로 보내기

        • 구성된 경우 모든 샘플이 자동으로 전송됩니다.
        • Word 문서에 포함된 매크로를 포함하도록 샘플 제출을 원하는 경우 "모든 샘플 자동 보내기"를 선택해야 합니다.
        • 이 설정은 macOS 클라우드 보호에서 사용할 수 없습니다.

      4. 전송 안 함

        • 파일 샘플 분석을 기반으로 "즉각적 차단"을 방지합니다.
        • "전송 안 함"은 macOS 정책의 "사용 안 함" 설정과 동일합니다.
        • 샘플 제출을 사용하지 않도록 설정한 경우에도 검색을 위해 메타데이터가 전송됩니다.

    3. 메타데이터 및/또는 파일이 클라우드 보호에 제출된 후 샘플, 폭발 또는 빅 데이터 분석 기계 학습 모델을 사용하여 평결에 도달할 수 있습니다. 클라우드 제공 보호를 해제하면 로컬 기계 학습 모델 및 유사한 기능을 통해 클라이언트가 제공할 수 있는 것만 분석이 제한됩니다.

중요

BAFS(즉각적 차단) 는 파일 또는 프로세스가 안전한지 여부를 확인하기 위한 폭발 및 분석을 제공합니다. BAFS는 판결에 도달할 때까지 파일 열기를 잠시 지연할 수 있습니다. 샘플 제출을 사용하지 않도록 설정하면 BAFS도 비활성화되고 파일 분석은 메타데이터로만 제한됩니다. 샘플 제출 및 BAFS를 사용하도록 설정하는 것이 좋습니다. 자세한 내용은 "즉각적 차단"을 참조하세요.

클라우드 보호 수준

클라우드 보호는 기본적으로 Microsoft Defender 바이러스 백신 사용하도록 설정됩니다. 조직의 보호 수준을 구성할 수 있지만 클라우드 보호를 사용하도록 설정하는 것이 좋습니다. Microsoft Defender 바이러스 백신 대한 클라우드 제공 보호 수준 지정을 참조하세요.

샘플 제출 설정

클라우드 보호 수준을 구성하는 것 외에도 샘플 제출 설정을 구성할 수 있습니다. 여러 옵션 중에서 선택할 수 있습니다.

  • 안전한 샘플 자동 보내기 (기본 동작)
  • 모든 샘플을 자동으로 보내기
  • 샘플을 보내지 마세요.

Intune, Configuration Manager, GPO 또는 PowerShell을 사용하는 구성 옵션에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 클라우드 보호 설정을 참조하세요.

클라우드 보호 서비스로 전송된 메타데이터의 예

Microsoft Defender 바이러스 백신 포털에서 클라우드 보호로 전송된 메타데이터의 예

다음 표에는 클라우드 보호를 통해 분석을 위해 전송된 메타데이터의 예가 나와 있습니다.

유형 특성
컴퓨터 특성 OS version
Processor
Security settings
동적 및 컨텍스트 특성 프로세스 및 설치
ProcessName
ParentProcess
TriggeringSignature
TriggeringFile
Download IP and url
HashedFullPath
Vpath
RealPath
Parent/child relationships

행동
Connection IPs
System changes
API calls
Process injection

Locale
Locale setting
Geographical location
정적 파일 특성 부분 및 전체 해시
ClusterHash
Crc16
Ctph
ExtendedKcrcs
ImpHash
Kcrc3n
Lshash
LsHashs
PartialCrc1
PartialCrc2
PartialCrc3
Sha1
Sha256

파일 속성
FileName
FileSize

서명자 정보
AuthentiCodeHash
Issuer
IssuerHash
Publisher
Signer
SignerHash

샘플은 고객 데이터로 처리됩니다.

샘플 제출에서 어떤 일이 발생하는지 궁금할 경우 엔드포인트용 Defender는 모든 파일 샘플을 고객 데이터로 처리합니다. Microsoft는 엔드포인트용 Defender에 온보딩할 때 조직에서 선택한 지리적 및 데이터 보존 선택 사항을 모두 적용합니다.

또한 엔드포인트용 Defender는 여러 규정 준수 인증을 받았으며, 정교한 규정 준수 제어 집합을 지속적으로 준수하고 있음을 보여 줍니다.

  • ISO 27001
  • ISO 27018
  • SOC I, II, III
  • PCI

자세한 내용은 다음 리소스를 참조하세요.

기타 파일 샘플 제출 시나리오

엔드포인트용 Defender가 Microsoft Defender 바이러스 백신 클라우드 보호와 관련이 없는 파일 샘플을 요청할 수 있는 두 가지 시나리오가 더 있습니다. 이러한 시나리오는 다음 표에 설명되어 있습니다.

시나리오 설명
Microsoft 365 Defender 포털의 수동 파일 샘플 컬렉션 엔드포인트용 Defender에 디바이스를 온보딩할 때 엔드포인트 감지 및 응답(EDR)에 대한 설정을 구성할 수 있습니다. 예를 들어 디바이스에서 샘플 컬렉션을 사용하도록 설정하는 설정이 있습니다. 이 설정은 이 문서에 설명된 샘플 제출 설정과 쉽게 혼동될 수 있습니다.

EDR 설정은 Microsoft 365 Defender 포털을 통해 요청될 때 디바이스의 파일 샘플 컬렉션을 제어하며 이미 설정된 역할 및 사용 권한이 적용됩니다. 이 설정은 Microsoft 365 Defender 포털의 심층 분석과 같은 기능에 대해 엔드포인트에서 파일 수집을 허용하거나 차단할 수 있습니다. 이 설정이 구성되지 않은 경우 기본값은 샘플 컬렉션을 사용하도록 설정하는 것입니다.

엔드포인트용 Defender 구성 설정에 대한 자세한 내용은 다음을 참조하세요. 엔드포인트용 Defender의 Windows 10 디바이스에 대한 온보딩 도구 및 메서드
자동화된 조사 및 응답 콘텐츠 분석 디바이스에서 자동 조사가 실행되는 경우(경고에 대한 응답으로 자동으로 실행되거나 수동으로 실행되도록 구성된 경우) 의심스러운 것으로 식별되는 파일을 엔드포인트에서 수집하여 추가 검사를 수행할 수 있습니다. 필요한 경우 자동화된 조사를 위한 파일 콘텐츠 분석 기능을 Microsoft 365 Defender 포털에서 사용하지 않도록 설정할 수 있습니다.

자동 조사 중에 자동으로 제출되는 다른 파일 형식의 확장명을 추가하거나 제거하도록 파일 확장명 이름을 수정할 수도 있습니다.

자세한 내용은 자동화 파일 업로드 관리를 참조하세요.

다른 플랫폼에 대한 바이러스 백신 관련 정보를 찾고 있는 경우 다음을 참조하세요.

참고 항목

차세대 보호 개요

Microsoft Defender 바이러스 백신 검색에 대한 수정을 구성합니다.