장치 검색 구성

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft 365 Defender

검색은 표준 모드 또는 기본 모드로 구성할 수 있습니다. 표준 옵션을 사용하여 네트워크에서 장치를 적극적으로 찾으면 끝점 검색을 보다 잘 보장하고 더 풍부한 장치 분류를 제공할 수 있습니다.

표준 검색을 수행하는 데 사용되는 장치 목록을 사용자 지정할 수 있습니다. 이 기능을 지원하는 모든 온보드 디바이스(현재 Windows 10 이상 및 Windows Server 2019 이상 장치만 해당)에서 표준 검색을 사용하도록 설정하거나 장치 태그를 지정하여 장치의 하위 집합 또는 하위 집합을 선택할 수 있습니다.

장치 검색 설정

장치 검색을 설정하려면 포털에서 다음 구성 Microsoft 365 Defender 수행합니다.

검색 설정 > 탐색

1. 기본을 온보드 장치에서 사용할 검색 모드로 구성하려면 기본을 선택한 다음 저장 을 선택합니다.
2. 표준 검색을 사용하기로 선택한 경우 모든 장치 또는 하위 집합에서 장치 태그를 지정하여 활성 프로비전에 사용할 장치를 선택한 다음 저장을 선택합니다.

참고

표준 검색은 다양한 PowerShell 스크립트를 사용하여 네트워크에서 장치를 능동적으로 프로브합니다. 이러한 PowerShell 스크립트는 Microsoft에 서명되고 다음 위치에서 실행됩니다. C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. 예를 들면 C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1와 같습니다.

표준 검색에서 디바이스가 적극적으로 프로브되지 못하게 제외

네트워크에 능동적으로 검사하지 말아야 하는 장치(예: 다른 보안 도구의 허니팟으로 사용되는 장치)가 있는 경우 제외 목록을 정의하여 검사하지 못하게 할 수도 있습니다. 기본 검색 모드를 사용하여 디바이스를 계속 검색할 수 있으며 멀티캐스트 검색 시도를 통해 검색할 수도 있습니다. 이러한 디바이스는 수동적으로 검색되지만 적극적으로 프로브되지 않습니다.

제외 페이지에서 제외하도록 장치를 구성할 수 있습니다.

모니터링할 네트워크 선택

끝점용 Microsoft Defender는 네트워크를 분석하여 모니터링해야 하는 회사 네트워크인지 또는 무시할 수 있는 회사 네트워크가 아닌 네트워크인지 확인합니다. 네트워크를 회사로 식별하기 위해 모든 테넌트의 클라이언트에서 네트워크 식별자를 연결하고 조직의 대부분의 장치가 동일한 네트워크 이름에 연결되어 있는 것으로 보고하는 경우 기본 게이트웨이와 DHCP 서버 주소가 동일한 회사 네트워크인 것으로 가정합니다. 회사 네트워크는 일반적으로 모니터링할 수 있는 것으로 선택됩니다. 그러나 온보드 장치가 있는 회사 네트워크가 아닌 네트워크를 모니터링하기로 선택하여 이 결정을 다시 정할 수 있습니다.

모니터링할 네트워크를 지정하여 장치 검색을 수행할 수 있는 위치를 구성할 수 있습니다. 네트워크가 모니터링될 때 디바이스 검색을 수행할 수 있습니다.

장치 검색을 수행할 수 있는 네트워크 목록이 모니터링된 네트워크 페이지에 표시됩니다 .

참고

이 목록에는 회사 네트워크로 식별된 네트워크가 표시됩니다. 50개 미만의 네트워크가 회사 네트워크로 식별되면 목록에는 최대 50개 네트워크와 가장 많은 온보드 장치가 표시됩니다.

모니터링된 네트워크 목록은 지난 7일 동안 네트워크에 표시된 총 장치 수를 기준으로 정렬됩니다.

필터를 적용하여 다음 네트워크 검색 상태 중 원하는 경우를 볼 수 있습니다.

• 모니터링된 네트워크 - 장치 검색이 수행되는 네트워크.
• 무시된 네트워크 - 이 네트워크는 무시되고 디바이스 검색이 수행되지 않습니다.
• 모두 - 모니터링된 네트워크와 무시된 네트워크가 모두 표시됩니다.

네트워크 모니터 상태 구성

디바이스 검색이 진행되는 위치를 제어할 수 있습니다. 모니터링된 네트워크는 장치 검색이 수행되는 위치로, 일반적으로 회사 네트워크입니다. 네트워크를 무시하거나 상태를 수정한 후 초기 검색 분류를 선택할 수도 있습니다.

초기 검색 분류를 선택하면 기본 시스템 구성 네트워크 모니터 상태를 적용하는 것입니다. 기본 시스템 구성 네트워크 모니터 상태를 선택하면 회사로 식별된 네트워크가 모니터링되고 회사가 아닌 것으로 식별된 네트워크는 자동으로 무시됩니다.

1. 장치 설정 > 선택합니다.

2. 모니터링 된 네트워크를 선택합니다.

3. 네트워크 목록을 시청하세요.

4. 네트워크 이름 옆의 세 점을 선택합니다.

5. 초기 검색 분류를 모니터링할지, 무시할지 또는 사용할지 여부를 선택해야 합니다.

   경고

   • 회사 네트워크로 Microsoft Defender for Endpoint에서 식별되지 않은 네트워크를 모니터링하기로 선택하면 회사 네트워크 외부에서 장치 검색이 발생할 수 있으므로 홈 또는 기타 회사용이 아닌 장치를 검색할 수 있습니다.
   • 네트워크를 무시하기로 선택하면 네트워크에서 장치 모니터링 및 검색이 중지됩니다. 이미 검색된 장치는 인벤토리에서 제거되지 않지만 더 이상 업데이트되지 않습니다. 끝점용 Defender의 데이터 보존 기간이 만료될 때까지 세부 정보가 보존됩니다.
   • 회사 네트워크가 아닌 네트워크를 모니터링하도록 선택하기 전에 해당 작업을 할 수 있는 권한이 있어야 합니다.
     

6. 변경하려는지 확인

네트워크에서 디바이스 탐색

다음 고급 헌팅 쿼리를 사용하여 네트워크 목록에 설명된 각 네트워크 이름에 대한 더 많은 컨텍스트를 얻을 수 있습니다. 이 쿼리에는 지난 7일 이내에 특정 네트워크에 연결된 모든 온보드 장치가 나열됩니다.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

디바이스에 대한 정보 얻기

다음 고급 헌팅 쿼리를 사용하여 특정 장치에 대한 최신 전체 정보를 얻을 수 있습니다.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

참고 항목

• 장치 검색 개요
• 장치 검색 FAQ