엔드포인트용 Microsoft Defender 플랜 1 개요

적용 대상

• 엔드포인트용 Microsoft Defender 플랜 1

엔드포인트용 Microsoft Defender 사용자와 같은 조직이 고급 위협을 방지, 탐지, 조사 및 대응할 수 있도록 설계된 엔터프라이즈 엔드포인트 보안 플랫폼입니다. 이제 엔드포인트용 Defender를 두 가지 계획으로 사용할 수 있음을 발표하게 되어 기쁩니다.

• 엔드포인트용 Defender 플랜 1은 이 문서에 설명되어 있습니다. 및
• 엔드포인트용 Defender 플랜 2는 일반적으로 사용 가능하며 이전에는 엔드포인트용 Defender라고도 합니다.

다음 이미지의 녹색 상자는 엔드포인트용 Defender 플랜 1에 포함된 내용을 보여 줍니다.

이 가이드를 사용하여 다음을 수행합니다.

• 엔드포인트용 Defender 플랜 1에 포함된 항목에 대한 개요 가져오기
• 엔드포인트용 Defender 플랜 1을 설정하고 구성하는 방법 알아보기
• 인시던트 및 경고를 보고, 디바이스를 관리하고, 검색된 위협에 대한 보고서를 사용할 수 있는 Microsoft Defender 포털 사용 시작
• 유지 관리 및 작업에 대한 개요 가져오기

엔드포인트용 Defender 플랜 1 기능

엔드포인트용 Defender 플랜 1에는 다음 기능이 포함되어 있습니다.

• 업계 최고의 강력한 맬웨어 방지 및 바이러스 백신 보호를 포함하는 차세대 보호
• 보안 팀이 위협이 감지될 때 디바이스 또는 파일에 대해 수행할 수 있는 파일을 격리로 보내는 것과 같은 수동 응답 작업
• 디바이스를 강화하고, 제로 데이 공격을 방지하며, 엔드포인트 액세스 및 동작에 대한 세분화된 제어를 제공하는 공격 표면 감소 기능
• Microsoft Defender 포털을 사용하여 중앙 집중식 구성 및 관리 및 Microsoft Intune
• Windows, macOS, iOS 및 Android 디바이스를 비롯한 다양한 플랫폼에 대한 보호

다음 섹션에서는 이러한 기능에 대한 자세한 내용을 제공합니다.

차세대 보호

차세대 보호에는 강력한 바이러스 백신 및 맬웨어 방지 보호가 포함됩니다. 차세대 보호를 사용하면 다음을 얻을 수 있습니다.

• 동작 기반, 추론 및 실시간 바이러스 백신 보호
• 거의 즉각적인 검색 및 신규 및 새로운 위협 차단을 포함하는 클라우드 제공 보호
• Microsoft Defender 바이러스 백신과 관련된 업데이트를 포함한 전용 보호 및 제품 업데이트

자세한 내용은 차세대 보호 개요를 참조하세요.

수동 응답 작업

수동 응답 작업은 엔드포인트 또는 파일에서 위협이 감지될 때 보안 팀이 수행할 수 있는 작업입니다. 엔드포인트용 Defender에는 잠재적으로 손상된 것으로 감지되거나 의심스러운 콘텐츠가 있는 디바이스에서 수행할 수 있는 특정 수동 응답 작업이 포함됩니다. 위협으로 검색된 파일에 대한 응답 작업을 실행할 수도 있습니다. 다음 표에는 엔드포인트용 Defender 플랜 1에서 사용할 수 있는 수동 응답 작업이 요약되어 있습니다.

파일/디바이스	작업	설명
디바이스	바이러스 백신 검사 실행	바이러스 백신 검사를 시작합니다. 디바이스에서 위협이 감지되면 이러한 위협은 바이러스 백신 검사 중에 종종 해결됩니다.
디바이스	디바이스 격리	엔드포인트용 Defender에 대한 연결을 유지하면서 organization 네트워크에서 디바이스 연결을 끊습니다. 이 작업을 통해 디바이스를 모니터링하고 필요한 경우 추가 작업을 수행할 수 있습니다.
File	파일을 차단하거나 허용하는 표시기 추가	차단 표시기를 사용하면 휴대용 실행 파일이 디바이스에서 읽거나 쓰거나 실행되지 않습니다. 표시기를 허용하면 파일이 차단되거나 수정되지 않습니다.

자세한 내용은 다음 문서를 참조하세요.

• 디바이스에서 응답 작업 수행
• 파일에 대한 응답 작업 수행

공격 표면 감소

organization 공격 표면은 사이버 공격에 취약한 모든 장소입니다. 엔드포인트용 Defender 플랜 1을 사용하면 organization 사용하는 디바이스 및 애플리케이션을 보호하여 공격 노출 영역을 줄일 수 있습니다. 엔드포인트용 Defender 플랜 1에 포함된 공격 표면 감소 기능은 다음 섹션에 설명되어 있습니다.

• 공격 표면 감소 규칙
• 랜섬웨어 완화
• 장치 제어
• 웹 보호
• 네트워크 보호
• 네트워크 방화벽
• 응용 프로그램 제어

엔드포인트용 Defender의 공격 표면 감소 기능에 대한 자세한 내용은 공격 표면 감소 개요를 참조하세요.

공격 노출 영역 축소 규칙

공격 표면 감소 규칙은 위험한 것으로 간주되는 특정 소프트웨어 동작을 대상으로 합니다. 이러한 동작은 다음과 같습니다.

• 다른 파일을 다운로드하거나 실행하려는 실행 파일 및 스크립트 시작
• 난독 제거되거나 의심스러운 스크립트 실행
• 정상적인 작업 중에 앱이 일반적으로 시작되지 않는 동작 시작

합법적인 비즈니스 애플리케이션은 이러한 소프트웨어 동작을 나타낼 수 있습니다. 그러나 이러한 동작은 일반적으로 맬웨어를 통해 공격자에 의해 남용되기 때문에 위험한 것으로 간주됩니다. 공격 표면 감소 규칙은 위험한 동작을 제한하고 organization 안전하게 유지하는 데 도움이 될 수 있습니다.

자세한 내용은 공격 표면 감소 규칙을 사용하여 맬웨어 감염 방지를 참조하세요.

랜섬웨어 완화

제어된 폴더 액세스를 사용하면 랜섬웨어 완화를 얻을 수 있습니다. 제어된 폴더 액세스를 사용하면 신뢰할 수 있는 앱만 엔드포인트의 보호된 폴더에 액세스할 수 있습니다. 앱은 해당 보급률 및 평판에 따라 신뢰할 수 있는 앱 목록에 추가됩니다. 보안 운영 팀은 신뢰할 수 있는 앱 목록에서도 앱을 추가하거나 제거할 수 있습니다.

자세한 내용은 제어된 폴더 액세스를 사용하여 중요한 폴더 보호를 참조하세요.

디바이스 제어

경우에 따라 organization 디바이스에 대한 위협이 USB 드라이브와 같은 이동식 드라이브의 파일 형식으로 제공됩니다. 엔드포인트용 Defender에는 무단 주변 장치의 위협이 디바이스를 손상시키는 것을 방지하는 데 도움이 되는 기능이 포함되어 있습니다. 이동식 디바이스에서 이동식 디바이스 및 파일을 차단하거나 허용하도록 엔드포인트용 Defender를 구성할 수 있습니다.

자세한 내용은 USB 디바이스 및 이동식 미디어 제어를 참조하세요.

웹 보호

웹 보호를 사용하면 웹 위협 및 원치 않는 콘텐츠로부터 organization 디바이스를 보호할 수 있습니다. 웹 보호에는 웹 위협 방지 및 웹 콘텐츠 필터링이 포함됩니다.

• 웹 위협 방지 는 피싱 사이트, 맬웨어 벡터, 악용 사이트, 신뢰할 수 없거나 평판이 낮은 사이트 및 명시적으로 차단한 사이트에 대한 액세스를 방지합니다.
• 웹 콘텐츠 필터링은 해당 범주에 따라 특정 사이트에 액세스할 수 없도록 합니다. 범주에는 성인 콘텐츠, 레저 사이트, 법적 책임 사이트 등이 포함될 수 있습니다.

자세한 내용은 웹 보호를 참조하세요.

네트워크 보호

네트워크 보호를 사용하면 organization 인터넷에서 피싱 사기, 악용 및 기타 악성 콘텐츠를 호스트할 수 있는 위험한 도메인에 액세스하지 못하도록 방지할 수 있습니다.

자세한 내용은 네트워크 보호를 참조하세요.

네트워크 방화벽

네트워크 방화벽 보호를 사용하면 organization 디바이스를 오가는 데 허용되는 네트워크 트래픽을 결정하는 규칙을 설정할 수 있습니다. 엔드포인트용 Defender를 사용하는 네트워크 방화벽 및 고급 보안을 사용하면 다음을 수행할 수 있습니다.

• 네트워크 보안 위협의 위험 줄이기
• 중요한 데이터 및 지적 재산권 보호
• 보안 투자 확장

자세한 내용은 고급 보안을 사용하여 방화벽 Windows Defender 참조하세요.

응용 프로그램 제어

애플리케이션 제어는 시스템 코어(커널)에서 신뢰할 수 있는 애플리케이션 및 코드만 실행하여 Windows 엔드포인트를 보호합니다. 보안 팀은 코드 서명 인증서, 평판, 시작 프로세스 등 애플리케이션의 특성을 고려하는 애플리케이션 제어 규칙을 정의할 수 있습니다. 애플리케이션 컨트롤은 Windows 10 이상에서 사용할 수 있습니다.

자세한 내용은 Windows용 애플리케이션 제어를 참조하세요.

중앙 집중식 관리

엔드포인트용 Defender 플랜 1에는 보안 팀이 검색된 위협에 대한 현재 정보를 보고, 위협을 완화하기 위해 적절한 조치를 취하고, organization 위협 방지 설정을 중앙에서 관리할 수 있는 Microsoft Defender 포털이 포함되어 있습니다.

자세한 내용은 Microsoft Defender 포털 개요를 참조하세요.

역할 기반 액세스 제어

RBAC(역할 기반 액세스 제어)를 사용하여 보안 관리자는 역할 및 그룹을 만들어 Microsoft Defender 포털(https://security.microsoft.com)에 대한 적절한 액세스 권한을 부여할 수 있습니다. RBAC를 사용하면 클라우드용 Defender에 액세스할 수 있는 사용자와 해당 사용자가 보고 수행할 수 있는 작업을 세밀하게 제어할 수 있습니다.

자세한 내용은 역할 기반 액세스 제어를 사용하여 포털 액세스 관리를 참조하세요.

보고

Microsoft Defender 포털(https://security.microsoft.com)은 검색된 위협 및 해당 위협을 해결하기 위한 작업에 대한 정보에 쉽게 액세스할 수 있도록 합니다.

• 홈 페이지에는 위험에 처한 사용자 또는 디바이스, 검색된 위협 수 및 생성된 경고/인시던트 수를 한눈에 볼 수 있는 카드가 포함되어 있습니다.
• 인시던트 & 경고 섹션에는 트리거된 경고의 결과로 생성된 인시던트가 나열됩니다. 경고 및 인시던트 는 디바이스에서 위협이 검색되면 생성됩니다.
• 알림 센터에는 수행된 수정 작업이 나열됩니다. 예를 들어 파일이 격리로 전송되거나 URL이 차단된 경우 각 작업은 기록 탭의 알림 센터에 나열됩니다.
• 보고서 섹션에는 검색된 위협과 해당 상태 보여 주는 보고서가 포함되어 있습니다.

자세한 내용은 엔드포인트용 Microsoft Defender 계획 1 시작을 참조하세요.

API

엔드포인트용 Defender API를 사용하면 워크플로를 자동화하고 organization 사용자 지정 솔루션과 통합할 수 있습니다.

자세한 내용은 엔드포인트용 Defender API를 참조하세요.

플랫폼 간 지원

대부분의 조직에서는 다양한 디바이스 및 운영 체제를 사용합니다. 엔드포인트용 Defender 플랜 1은 다음 운영 체제를 지원합니다.

• Windows 10 및 11
• Windows 7(ESU 필요) Pro 또는 Enterprise
• Windows 8.1 Pro, Enterprise 및 Pro Education
• macOS(최신 릴리스 3개가 지원됨)
• iOS
• Android OS

서버에는 다음과 같은 추가 라이선스가 필요합니다.

• 클라우드용 Defender 제품의 일부로 서버 플랜 1 또는 플랜 2(엔터프라이즈 고객에게 권장)에 대한 Microsoft Defender. 자세한 내용을 보려면 서버용 Microsoft Defender 개요를 참조하세요.
• 서버용 엔드포인트용 Microsoft Defender(엔터프라이즈 고객에게 권장) 자세한 내용은 엔드포인트용 Defender 온보딩 Windows Server를 참조하세요.
• 비즈니스용 Microsoft Defender 서버(비즈니스용 Microsoft Defender 중소기업용). 자세한 내용은 비즈니스용 Microsoft Defender 서버 가져오는 방법을 참조하세요.

Microsoft 라이선스 및 제품 약관을 참조하세요.

다음 단계

• 엔드포인트용 Defender 플랜 1 설정 및 구성
• 엔드포인트용 Defender 계획 1 시작
• 엔드포인트용 Defender 계획 1 관리
• 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외에 대해 알아봅니다.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.