차단 모드의 EDR(엔드포인트 감지 및 대응)
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft 365 Defender
- Microsoft Defender 바이러스 백신
플랫폼
- Windows
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
블록 모드의 EDR 무엇인가요?
블록 모드의 엔드포인트 검색 및 응답(EDR)은 Microsoft Defender 바이러스 백신 기본 바이러스 백신 제품이 아니며 수동 모드에서 실행 중인 경우 악성 아티팩트로부터 추가된 보호를 제공합니다. 블록 모드의 EDR 백그라운드에서 작동하여 EDR 기능에서 검색된 악의적인 아티팩트를 수정합니다. 이러한 아티팩트가 Microsoft가 아닌 기본 바이러스 백신 제품에서 누락되었을 수 있습니다. Microsoft Defender 바이러스 백신 기본 바이러스 백신으로 실행하는 디바이스의 경우 블록 모드의 EDR Microsoft Defender 바이러스 백신 위반 후 동작 EDR 검색에 대해 자동 작업을 수행할 수 있도록 하여 추가 방어 계층을 제공합니다.
중요
블록 모드의 EDR Microsoft Defender 바이러스 백신 실시간 보호를 사용할 때 사용할 수 있는 모든 보호를 제공하지는 않습니다. Microsoft Defender 바이러스 백신 활성 바이러스 백신 솔루션에 의존하는 모든 기능은 다음 주요 예제를 포함하여 작동하지 않습니다.
Microsoft Defender 바이러스 백신 수동 모드인 경우 액세스 시 검사를 포함한 실시간 보호를 사용할 수 없습니다. 실시간 보호 정책 설정에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 상시 보호 사용 및 구성을 참조하세요.
네트워크 보호 및 공격 표면 감소 규칙 과 같은 기능은 Microsoft Defender 바이러스 백신 활성 모드에서 실행되는 경우에만 사용할 수 있습니다.
Microsoft가 아닌 바이러스 백신 솔루션에서 이러한 기능을 제공할 것으로 예상됩니다.
블록 모드의 EDR 위협 & 취약성 관리 통합됩니다. 조직의 보안 팀은 아직 사용하도록 설정되지 않은 경우 차단 모드에서 EDR 설정하는 보안 권장 사항을 받습니다.
팁
최상의 보호를 받으려면 엔드포인트용 Microsoft Defender 기준을 배포해야 합니다.
이 비디오를 시청하여 차단 모드에서 엔드포인트 감지 및 응답(EDR)를 켜고, 위반 전부터 위반 후까지 모든 단계에서 동작 차단 및 봉쇄를 사용하도록 설정하는 이유와 방법을 알아봅니다.
무언가가 감지되면 어떻게 됩니까?
블록 모드에서 EDR 켜져 있고 악의적인 아티팩트가 검색되면 엔드포인트용 Microsoft Defender 해당 아티팩트를 차단하고 수정합니다. 보안 운영 팀은 알림 센터에서 검색 상태를 차단 또는 차단됨으로 표시하고 완료 된 작업으로 나열합니다.
다음 이미지는 블록 모드에서 EDR 통해 검색되고 차단된 원치 않는 소프트웨어의 인스턴스를 보여줍니다.
블록 모드에서 EDR 사용
중요
플랫폼 버전 4.18.2202.X부터 블록 모드에서 EDR 설정하여 Intune CSP를 사용하여 특정 디바이스 그룹을 대상으로 지정할 수 있습니다. Microsoft 365 Defender 포털에서 블록 모드 테넌트 전체에서 EDR 계속 설정할 수 있습니다. 블록 모드의 EDR 주로 수동 모드에서 Microsoft Defender 바이러스 백신 실행하는 디바이스에 권장됩니다(비 Microsoft 바이러스 백신 솔루션이 설치되고 디바이스에 활성 상태임).
팁
블록 모드에서 EDR 켜기 전에 요구 사항이 충족되는지 확인합니다.
보안 포털
Microsoft 365 Defender 포털(https://security.microsoft.com/)로 이동하여 로그인합니다.
설정 > 엔드포인트 > 일반 > 고급 기능을 선택합니다.
아래로 스크롤한 다음 블록 모드에서 EDR 사용하도록 설정합니다.
Intune
Intune 사용자 지정 정책을 만들려면 OMA-URIs 배포를 참조하여 Intune 통해 CSP를 대상으로 지정하고 온-프레미스에 대한 비교를 참조하세요.
블록 모드에서 EDR 데 사용되는 Defender CSP에 대한 자세한 내용은 Defender CSP의 "Configuration/PassiveRemediation"을 참조하세요.
블록 모드의 EDR 대한 요구 사항
다음 표에는 블록 모드의 EDR 대한 요구 사항이 나와 있습니다.
| 요구 사항 | 세부 정보 |
|---|---|
| 사용 권한 | Azure Active Directory 전역 관리자 또는 보안 관리자 역할이 할당되어 있어야 합니다. 자세한 내용은 기본 사용 권한을 참조하세요. |
| 운영 체제 | 디바이스는 다음 버전의 Windows 중 하나를 실행해야 합니다. - Windows 11 - Windows 10(모든 릴리스) - Windows Server 2022 - Windows Server 2019 - Windows Server, 버전 1803 이상 - Windows Server 2016 및 Windows Server 2012 R2(새 통합 클라이언트 솔루션 포함)[1] |
| 엔드포인트용 Microsoft Defender | 디바이스는 엔드포인트용 Defender에 온보딩되어야 합니다. 다음 문서를 참조하세요. - 엔드포인트용 Microsoft Defender 대한 최소 요구 사항 - 디바이스 온보딩 및 엔드포인트용 Microsoft Defender 기능 구성 - 엔드포인트용 Defender 서비스에 Windows 서버 온보딩 - 최신 통합 솔루션의 새로운 Windows Server 2012 R2 및 2016 기능(미리 보기) |
| Microsoft Defender 바이러스 백신 | 디바이스에는 Microsoft Defender 바이러스 백신 설치되어 있어야 하며 활성 모드 또는 수동 모드에서 실행되어야 합니다. Microsoft Defender 바이러스 백신 활성 또는 수동 모드인지 확인합니다. |
| 클라우드 제공 보호 | Microsoft Defender 바이러스 백신 클라우드 제공 보호를 사용하도록 설정하도록 구성해야 합니다. |
| Microsoft Defender 바이러스 백신 플랫폼 | 디바이스는 최신 상태여야 합니다. 확인하려면 PowerShell을 사용하여 관리자 권한으로 Get-MpComputerStatus cmdlet을 실행합니다. AMProductVersion 줄에는 4.18.2001.10 이상이 표시됩니다. 자세한 내용은 Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요. |
| Microsoft Defender 바이러스 백신 엔진 | 디바이스는 최신 상태여야 합니다. 확인하려면 PowerShell을 사용하여 관리자 권한으로 Get-MpComputerStatus cmdlet을 실행합니다. AMEngineVersion 줄에는 1.1.16700.2 이상이 표시됩니다. 자세한 내용은 Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요. |
(1) Windows Server 2016 및 Windows Server 2012 R2에서 지원되는 블록 모드의 EDR 확인하세요.
중요
최상의 보호 값을 얻으려면 바이러스 백신 솔루션이 정기적인 업데이트 및 필수 기능을 받도록 구성되어 있고 제외가 구성되었는지 확인합니다. 블록 모드의 EDR Microsoft Defender 바이러스 백신 대해 정의된 제외를 존중하지만 엔드포인트용 Microsoft Defender 대해 정의된 지표는 제외하지 않습니다.
질문과 대답
블록 모드에서 EDR 제외를 지정할 수 있나요?
가양성인 경우 Microsoft 보안 인텔리전스 제출 사이트에서 분석을 위해 파일을 제출할 수 있습니다.
Microsoft Defender 바이러스 백신 대한 제외를 정의할 수도 있습니다. Microsoft Defender 바이러스 백신 검사에 대한 제외 구성 및 유효성 검사를 참조하세요.
디바이스에서 Microsoft Defender 바이러스 백신 실행 중인 경우 차단 모드에서 EDR 설정해야 하나요?
블록 모드에서 EDR 주요 목적은 비 Microsoft 바이러스 백신 제품에서 누락된 위반 후 검색을 수정하는 것입니다. 실시간 보호가 먼저 검색을 catch하고 수정해야 하므로 Microsoft Defender 바이러스 백신 활성 모드인 경우 블록 모드에서 EDR 사용하도록 설정하면 최소한의 이점이 있습니다. Microsoft Defender for Antivirus가 수동 모드로 실행되는 엔드포인트에서 블록 모드에서 EDR 사용하도록 설정하는 것이 좋습니다. EDR 검색은 PUA 보호 또는 자동화된 조사 & 수정 기능을 통해 블록 모드에서 자동으로 수정할 수 있습니다.
블록 모드에서 EDR 사용자의 바이러스 백신 보호에 영향을 주나요?
블록 모드의 EDR 사용자의 디바이스에서 실행되는 타사 바이러스 백신 보호에는 영향을 주지 않습니다. 블록 모드의 EDR 기본 바이러스 백신 솔루션이 누락되거나 위반 후 검색이 있는 경우 작동합니다. 블록 모드의 EDR 수동 모드의 Microsoft Defender 바이러스 백신 마찬가지로 작동합니다. 블록 모드의 EDR 검색된 악의적인 아티팩트 또는 동작을 차단하고 수정한다는 점을 제외하면 됩니다.
Microsoft Defender 바이러스 백신 최신 상태로 유지해야 하는 이유는 무엇인가요?
Microsoft Defender 바이러스 백신 악성 항목을 검색하고 수정하므로 최신 상태로 유지하는 것이 중요합니다. 블록 모드의 EDR 효과적이려면 최신 디바이스 학습 모델, 동작 감지 및 추론을 사용합니다. 엔드포인트용 Defender 기능 스택은 통합된 방식으로 작동합니다. 최상의 보호 값을 얻으려면 Microsoft Defender 바이러스 백신 최신 상태로 유지해야 합니다. Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요.
MAPS(클라우드 보호)가 필요한 이유는 무엇인가요?
디바이스에서 기능을 켜려면 클라우드 보호가 필요합니다. 클라우드 보호를 통해 엔드포인트용 Defender 는 동작 및 디바이스 학습 모델과 함께 보안 인텔리전스의 폭과 깊이를 기반으로 최신의 가장 강력한 보호를 제공할 수 있습니다.
활성 모드와 수동 모드의 차이점은 무엇인가요?
Microsoft Defender 바이러스 백신 활성 모드인 경우 Windows 10, Windows 11, Windows Server, 버전 1803 이상, Windows Server 2019 또는 Windows Server 2022를 실행하는 엔드포인트의 경우 디바이스의 기본 바이러스 백신으로 사용됩니다. 수동 모드에서 실행하는 경우 Microsoft Defender 바이러스 백신 기본 바이러스 백신 제품이 아닙니다. 이 경우 위협은 실시간으로 Microsoft Defender 바이러스 백신 수정되지 않습니다.
참고
Microsoft Defender 바이러스 백신 디바이스가 엔드포인트용 Microsoft Defender 온보딩된 경우에만 수동 모드에서 실행할 수 있습니다.
자세한 내용은 Microsoft Defender 바이러스 백신 호환성을 참조하세요.
어떻게 할까요? Microsoft Defender 바이러스 백신 활성 또는 수동 모드인지 확인하시겠습니까?
Microsoft Defender 바이러스 백신 활성 또는 수동 모드에서 실행 중인지 확인하려면 Windows 실행하는 디바이스에서 명령 프롬프트 또는 PowerShell을 사용할 수 있습니다.
| 메서드 | 절차 |
|---|---|
| PowerShell | 1. 시작 메뉴 선택하고 입력을 PowerShell시작한 다음 결과에서 Windows PowerShell 엽니다.2. 형식 Get-MpComputerStatus.3. 결과 목록에서 AMRunningMode 행에서 다음 값 중 하나를 찾습니다. - Normal- Passive Mode자세한 내용은 Get-MpComputerStatus를 참조하세요. |
| 명령 프롬프트 | 1. 시작 메뉴 선택하고 입력을 Command Prompt시작한 다음 결과에서 Windows 명령 프롬프트를 엽니다.2. 형식 sc query windefend.3. 결과 목록의 STATE 행에서 서비스가 실행 중인지 확인합니다. |
어떻게 할까요? 블록 모드의 EDR 수동 모드에서 Microsoft Defender 바이러스 백신 켜져 있는지 확인하시겠습니까?
PowerShell을 사용하여 수동 모드에서 실행되는 Microsoft Defender 바이러스 백신 블록 모드의 EDR 켜져 있는지 확인할 수 있습니다.
시작 메뉴 선택하고 입력을
PowerShell시작한 다음 결과에서 Windows PowerShell 엽니다.Get-MPComputerStatus|select AMRunningMode를 입력합니다.결과가
EDR Block Mode표시되는지 확인합니다.팁
Microsoft Defender 바이러스 백신 활성 모드
NormalEDR Block Mode인 경우 . 자세한 내용은 Get-MpComputerStatus를 참조하세요.
EDR Windows Server 2016 및 Windows Server 2012 R2에서 지원되는 블록 모드인가요?
Microsoft Defender 바이러스 백신 활성 모드 또는 수동 모드에서 실행되는 경우 블록 모드의 EDR 다음 버전의 Windows 지원됩니다.
- Windows 11
- Windows 10(모든 릴리스)
- Windows Server 버전 1803 이상
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 및 Windows Server 2012 R2(새 통합 클라이언트 솔루션 포함)
Windows Server 2016 및 Windows Server 2012 R2용 새로운 통합 클라이언트 솔루션을 사용하면 수동 모드 또는 활성 모드에서 블록 모드에서 EDR 실행할 수 있습니다.
참고
이 기능이 작동하려면 온보딩 Windows 서버의 지침을 사용하여 Windows Server 2016 및 Windows Server 2012 R2를 온보딩해야 합니다.
블록 모드에서 EDR 사용하지 않도록 설정되는 데 얼마나 많은 시간이 걸리나요?
블록 모드에서 EDR 사용하지 않도록 선택하는 경우 시스템에서 이 기능을 사용하지 않도록 설정하는 데 최대 30분이 걸릴 수 있습니다.