장치 검색 구성

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

검색은 표준 또는 기본 모드로 구성할 수 있습니다. 표준 옵션을 사용하여 네트워크에서 디바이스를 적극적으로 찾습니다. 그러면 엔드포인트의 검색을 더 잘 보장하고 더 풍부한 디바이스 분류를 제공할 수 있습니다.

표준 검색을 수행하는 데 사용되는 디바이스 목록을 사용자 지정할 수 있습니다. 이 기능(현재 Windows 10 이상 및 Windows Server 2019 이상 디바이스만 해당)을 지원하는 온보딩된 모든 디바이스에서 표준 검색을 사용하도록 설정하거나 디바이스 태그를 지정하여 디바이스의 하위 집합 또는 하위 집합을 선택할 수 있습니다.

디바이스 검색 설정

디바이스 검색을 설정하려면 Microsoft Defender 포털에서 다음 구성 단계를 수행합니다.

설정>디바이스 검색으로 이동합니다.

1. 기본을 온보딩된 디바이스에서 사용할 검색 모드로 구성하려면 기본을 선택한 다음 저장을 선택합니다.
2. 표준 검색을 사용하도록 선택한 경우 활성 검색에 사용할 디바이스를 선택합니다. 모든 디바이스 또는 하위 집합에서 디바이스 태그를 지정한 다음 저장을 선택합니다.

참고

표준 검색은 다양한 PowerShell 스크립트를 사용하여 네트워크의 장치를 능동적으로 검색합니다. 이러한 PowerShell 스크립트는 Microsoft에서 서명되었으며 다음 위치에서 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps실행됩니다. 예를 들면 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1와 같습니다.

표준 검색에서 적극적으로 검색되지 않도록 장치 제외

네트워크에 적극적으로 검사해서는 안 되는 디바이스(예: 다른 보안 도구의 허니팟으로 사용되는 디바이스)가 있는 경우 제외 목록을 정의하여 검사되지 않도록 할 수도 있습니다. 디바이스는 여전히 기본 검색 모드를 사용하여 검색할 수 있으며 멀티캐스트 검색 시도를 통해 검색할 수도 있습니다. 이러한 장치는 수동적으로 검색되지만 능동적으로 검색되지는 않습니다.

제외 페이지에서 제외하도록 디바이스를 구성할 수 있습니다 .

모니터링할 네트워크 선택

엔드포인트용 Microsoft Defender 네트워크를 분석하고 모니터링해야 하는 회사 네트워크인지 아니면 무시할 수 있는 회사 이외의 네트워크인지 확인합니다. 네트워크를 회사로 식별하기 위해 모든 테넌트의 클라이언트에서 네트워크 식별자를 상호 연결하고, organization 있는 대부분의 디바이스가 동일한 기본 게이트웨이 및 DHCP 서버 주소를 사용하여 동일한 네트워크 이름에 연결되어 있다고 보고하는 경우 회사 네트워크라고 가정합니다. 기업 네트워크는 일반적으로 모니터링 대상으로 선택됩니다. 그러나 온보딩된 장치가 있는 비기업 네트워크를 모니터링하도록 선택하여 이 결정을 재정의할 수 있습니다.

모니터링할 네트워크를 지정하여 디바이스 검색을 수행할 수 있는 위치를 구성할 수 있습니다. 네트워크를 모니터링할 때 장치 검색을 수행할 수 있습니다.

장치 검색을 수행할 수 있는 네트워크 목록은 모니터링되는 네트워크 페이지에 표시됩니다.

참고

목록에는 회사 네트워크로 식별된 네트워크가 표시됩니다. 50개 미만의 네트워크가 회사 네트워크로 식별되면 목록에 가장 많이 온보딩된 장치가 있는 최대 50개의 네트워크가 표시됩니다.

모니터링되는 네트워크 목록은 지난 7일 동안 네트워크에서 본 총 장치 수를 기준으로 정렬됩니다.

필터를 적용하여 다음 네트워크 검색 상태를 볼 수 있습니다.

• 모니터링되는 네트워크 - 디바이스 검색이 수행되는 네트워크입니다.
• 무시된 네트워크 - 이 네트워크는 무시되고 디바이스 검색은 수행되지 않습니다.
• 모두 - 모니터링된 네트워크와 무시된 네트워크가 모두 표시됩니다.

네트워크 모니터 상태 구성

디바이스 검색이 수행되는 위치를 제어합니다. 모니터링되는 네트워크는 디바이스 검색이 수행되며 일반적으로 회사 네트워크입니다. 네트워크를 무시하도록 선택하거나 상태를 수정한 후 초기 검색 분류를 선택할 수도 있습니다.

초기 검색 분류를 선택하는 것은 기본 시스템 기반 네트워크 모니터 상태를 적용하는 것을 의미합니다. 기본 시스템 기반 네트워크 모니터 상태를 선택하면 회사로 식별되고, 모니터링되고, 회사 이외의 네트워크로 식별된 네트워크는 자동으로 무시됩니다.

1. 설정 > 디바이스 검색을 선택합니다.

2. 모니터링된 네트워크를 선택합니다.

3. 네트워크 목록을 봅니다.

4. 네트워크 이름 옆에 있는 세 개의 점을 선택합니다.

5. 모니터링, 무시 또는 초기 검색 분류 사용 여부를 선택합니다.

   경고

   • 엔드포인트용 Microsoft Defender 회사 네트워크로 식별되지 않은 네트워크를 모니터링하도록 선택하면 회사 네트워크 외부에서 디바이스 검색이 발생할 수 있으므로 집 또는 기타 회사 이외의 디바이스를 검색할 수 있습니다.
   • 네트워크를 무시하도록 선택하면 해당 네트워크에서 장치 모니터링 및 검색이 중지됩니다. 이미 검색된 디바이스는 인벤토리에서 제거되지 않지만 더 이상 업데이트되지 않으며 엔드포인트용 Defender의 데이터 보존 기간이 만료될 때까지 세부 정보가 유지됩니다.
   • 비기업 네트워크를 모니터링하도록 선택하기 전에 해당 권한이 있는지 확인해야 합니다.
     

6. 변경할 것인지 확인합니다.

네트워크에서 장치 탐색

다음 고급 헌팅 쿼리를 사용하여 네트워크 목록에 설명된 각 네트워크 이름에 대한 자세한 컨텍스트를 가져올 수 있습니다. 쿼리는 지난 7일 이내에 특정 네트워크에 연결된 모든 온보드 장치를 나열합니다.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

장치에 대한 정보 얻기

다음 고급 헌팅 쿼리를 사용하여 특정 디바이스에서 최신 전체 정보를 가져올 수 있습니다.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

참고 항목

• 장치 검색 개요
• 디바이스 검색 FAQ

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.