파일에 대한 지표 만들기
적용 대상:
- Microsoft 365 Defender
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- 비즈니스용 Microsoft Defender
팁
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
잠재적으로 악의적인 파일 또는 의심되는 맬웨어를 금지하여 조직에서 공격이 추가로 전파되는 것을 방지합니다. 잠재적으로 악의적인 PE(이식 가능한 실행 파일) 파일을 알고 있는 경우 차단할 수 있습니다. 이 작업을 수행하면 조직의 디바이스에서 읽거나 쓰거나 실행할 수 없습니다.
파일에 대한 표시기를 만들 수 있는 세 가지 방법이 있습니다.
- 설정 페이지를 통해 표시기를 만들어서
- 파일 세부 정보 페이지에서 표시기 추가 단추를 사용하여 상황별 표시기를 만듭니다.
- 표시기 API를 통해 표시기를 만들어서
시작하기 전에
파일에 대한 표시기를 만들기 전에 다음 필수 조건을 이해하는 것이 중요합니다.
이 기능은 조직 에서 활성 모드에서 Microsoft Defender 바이러스 백신을 사용하고 클라우드 기반 보호를 사용하는 경우에 사용할 수 있습니다. 자세한 내용은 클라우드 기반 보호 관리를 참조하세요.
맬웨어 방지 클라이언트 버전은 4.18.1901.x 이상이어야 합니다. 월별 플랫폼 및 엔진 버전 참조
Windows 10 버전 1703 이상, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2022가 있는 디바이스에서 지원됩니다.
참고
Windows Server 2016 및 Windows Server 2012 R2는 이 기능이 작동하려면 Windows 서버 온보딩의 지침을 사용하여 온보딩해야 합니다. 이제 macOS 및 Linux용 향상된 맬웨어 방지 엔진 기능에 대한 공개 미리 보기에서도 허용, 차단 및 수정 작업이 포함된 사용자 지정 파일 표시기를 사용할 수 있습니다.
파일 차단을 시작하려면 먼저 설정 에서 "차단 또는 허용" 기능을 켜 야 합니다.
이 기능은 의심되는 맬웨어(또는 잠재적으로 악의적인 파일)가 웹에서 다운로드되지 않도록 설계되었습니다. 현재 .exe 및 .dll 파일을 포함하여 PE(이식 가능한 실행 파일) 파일을 지원합니다. 적용 범위는 시간이 지남에 따라 연장됩니다.
중요
엔드포인트용 Defender 계획 1 및 비즈니스용 Defender에서 파일을 차단하거나 허용하는 표시기를 만들 수 있습니다. 비즈니스용 Defender에서 표시기는 사용자 환경에 적용되며 특정 디바이스로 범위를 지정할 수 없습니다.
설정 페이지에서 파일에 대한 표시기 만들기
탐색 창에서 설정 > 엔드포인트 표시기>(규칙 아래)를 선택합니다.
파일 해시 탭을 선택합니다.
항목 추가 를 선택합니다.
다음 세부 정보를 지정합니다.
- 표시기 - 엔터티 세부 정보를 지정하고 표시기의 만료를 정의합니다.
- 작업 - 수행할 작업을 지정하고 설명을 제공합니다.
- 범위 - 디바이스 그룹의 범위를 정의합니다( 비즈니스용 Defender에서는 범위 지정을 사용할 수 없음).
요약 탭에서 세부 정보를 검토한 다음 저장 을 선택합니다.
파일 세부 정보 페이지에서 상황별 표시기 만들기
파일에 대한 응답 작업을 수행할 때 옵션 중 하나는 파일에 대한 표시기를 추가하는 것입니다. 파일에 대한 표시기 해시를 추가할 때 조직의 디바이스가 파일을 실행하려고 할 때마다 경고를 발생시키고 파일을 차단하도록 선택할 수 있습니다.
표시기에서 자동으로 차단된 파일은 파일의 알림 센터에 표시되지 않지만 경고 큐에는 경고가 계속 표시됩니다.
공개 미리 보기: 파일 차단 작업에 대한 경고
중요
이 섹션의 정보(자동 조사 및 수정 엔진에 대한 공개 미리 보기)는 상용 출시 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
파일 IOC에 대해 현재 지원되는 작업은 허용, 감사 및 차단 및 수정입니다. 파일을 차단하도록 선택한 후 경고 트리거가 필요한지 여부를 선택할 수 있습니다. 이러한 방식으로 보안 운영 팀에 도착하는 경고 수를 제어하고 필요한 경고만 발생하도록 할 수 있습니다.
Microsoft 365 Defender 설정 > 엔드포인트 > 표시 > 기 새 파일 해시 추가 로 이동합니다.
파일을 차단하고 수정하도록 선택합니다.
파일 블록 이벤트에 대한 경고를 생성하고 경고 설정을 정의할지 선택합니다.
- 경고 제목
- 경고 심각도
- 범주
- 설명
- 권장 작업
중요
- 일반적으로 파일 블록은 몇 분 내에 적용되고 제거되지만 30분 이상 걸릴 수 있습니다.
- 동일한 적용 유형 및 대상을 가진 충돌하는 파일 IoC 정책이 있는 경우 더 안전한 해시 정책이 적용됩니다. SHA-256 파일 해시 IoC 정책은 SHA-1 파일 해시 IoC 정책을 통해 승리하며, 해시 형식이 동일한 파일을 정의하는 경우 MD5 파일 해시 IoC 정책을 통해 승리합니다. 디바이스 그룹에 관계없이 항상 true입니다.
- 다른 모든 경우에서 동일한 적용 대상과 충돌하는 파일 IoC 정책이 모든 디바이스 및 디바이스 그룹에 적용되는 경우 디바이스의 경우 디바이스 그룹의 정책이 우선 적용됩니다.
- EnableFileHashComputation 그룹 정책을 사용하지 않도록 설정하면 파일 IoC의 차단 정확도가 줄어듭니다. 그러나 사용하도록 설정하면 디바이스 성능에
EnableFileHashComputation영향을 미칠 수 있습니다. 예를 들어 네트워크 공유의 대용량 파일을 로컬 디바이스로 복사하는 경우 특히 VPN 연결을 통해 디바이스 성능에 영향을 미칠 수 있습니다.
EnableFileHashComputation 그룹 정책에 대한 자세한 내용은 Defender CSP를 참조하세요.
Linux 및 macOS의 엔드포인트용 Defender에서 이 기능을 구성하는 방법에 대한 자세한 내용은 Linux에서 파일 해시 계산 기능 구성 및 macOS에서 파일 해시 계산 기능 구성을 참조하세요.
공개 미리 보기: 고급 헌팅 기능
중요
이 섹션의 정보(자동화된 조사 및 수정 엔진에 대한 공개 미리 보기)는 상용 출시 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
사전 헌팅에서 응답 작업 작업을 쿼리할 수 있습니다. 다음은 샘플 사전 헌팅 쿼리입니다.
search in (DeviceFileEvents, DeviceProcessEvents, DeviceEvents, DeviceRegistryEvents, DeviceNetworkEvents, DeviceImageLoadEvents, DeviceLogonEvents)
Timestamp > ago(30d)
| where AdditionalFields contains "EUS:Win32/CustomEnterpriseBlock!cl"
고급 헌팅에 대한 자세한 내용은 고급 헌팅을 사용하여 위협을 사전에 헌팅하는 방법을 참조하세요.
다음은 위의 샘플 쿼리에서 사용할 수 있는 추가 스레드 이름입니다.
파일:
- EUS:Win32/CustomEnterpriseBlock!cl
- EUS:Win32/CustomEnterpriseNoAlertBlock!cl
인증서:
- EUS:Win32/CustomCertEnterpriseBlock!cl
응답 작업 활동은 디바이스 타임라인에서도 볼 수 있습니다.
정책 충돌 처리
인증서 및 파일 IoC 정책 처리 충돌은 아래 순서를 따릅니다.
- 애플리케이션 제어 및 AppLocker에서 모드 정책/정책을 적용하는 Windows Defender 파일을 허용하지 않으면 차단 합니다.
- 그렇지 않으면 Microsoft Defender 바이러스 백신 제외에서 파일이 허용되는 경우 다음을 허용합니다.
- 블록 또는 경고 파일 IoC에 의해 파일이 차단되거나 경고되는 경우 차단/경고
- 그렇지 않으면 허용 파일 IoC 정책에서 파일을 허용하는 경우 허용 합니다.
- 그렇지 않으면 파일이 ASR 규칙에 의해 차단되는 경우, CFA, AV, SmartScreen, 다음 차단
- 기타 허용(애플리케이션 제어 & AppLocker 정책에 Windows Defender 전달, IoC 규칙이 적용되지 않음)
참고
Microsoft Defender 바이러스 백신이 차단 으로 설정되어 있지만 엔드포인트용 Defender가 허용 으로 설정된 경우 정책은 기본적으로 허용 으로 설정됩니다.
동일한 적용 유형 및 대상을 가진 충돌하는 파일 IoC 정책이 있는 경우 더 안전한(더 긴 의미) 해시 정책이 적용됩니다. 예를 들어 SHA-256 파일 해시 IoC 정책은 두 해시 형식이 동일한 파일을 정의하는 경우 MD5 파일 해시 IoC 정책을 통해 승리합니다.
경고
파일 및 인증서에 대한 정책 충돌 처리는 도메인/URL/IP 주소에 대한 정책 충돌 처리와 다릅니다.
위협 및 취약성 관리의 블록 취약한 애플리케이션 기능은 적용을 위해 파일 IoC를 사용하며 위의 충돌 처리 순서를 따릅니다.
예
| 구성 요소 | 구성 요소 적용 | 파일 표시기 작업 | 결과 |
|---|---|---|---|
| 공격 표면 감소 파일 경로 제외 | 허용 | 차단 | 차단 |
| 공격 표면 감소 규칙 | 차단 | 허용 | 허용 |
| Windows Defender 응용 프로그램 제어 | 허용 | 차단 | 허용 |
| Windows Defender 응용 프로그램 제어 | 차단 | 허용 | 차단 |
| Microsoft Defender 바이러스 백신 제외 | 허용 | 차단 | 허용 |