IP 및 URL/도메인에 대한 지표 만들기

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft 365 Defender

팁

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender는 Microsoft 브라우저용 Windows Defender SmartScreen 및 비 Microsoft 브라우저 또는 브라우저 외부에서 수행된 호출에 대한 네트워크 보호를 통해 Microsoft가 악의적인 IP/URL로 간주하는 항목을 차단할 수 있습니다.

이에 대한 위협 인텔리전스 데이터 세트는 Microsoft에서 관리되었습니다.

IP 및 URL 또는 도메인에 대한 지표를 만들어 이제 고유한 위협 인텔리전스를 기반으로 IP, URL 또는 도메인을 허용하거나 차단할 수 있습니다. 위험한 앱을 열면 사용자에게 프롬프트를 표시하도록 경고할 수도 있습니다. 프롬프트는 앱 사용을 중지하지 않지만 사용자 지정 메시지와 앱의 적절한 사용을 설명하는 회사 페이지에 대한 링크를 제공할 수 있습니다. 사용자는 여전히 경고를 무시하고 필요한 경우 앱을 계속 사용할 수 있습니다.

특정 그룹이 다른 그룹보다 더 많거나 덜 위험하다고 판단되는 경우 설정 페이지 또는 컴퓨터 그룹을 통해 이 작업을 수행할 수 있습니다.

참고

IP 주소에 대한 CIDR(클래스리스 Inter-Domain 라우팅) 표기법은 지원되지 않습니다.

시작하기 전에

IPS, URL 또는 도메인에 대한 지표를 만들기 전에 다음 필수 조건을 이해하는 것이 중요합니다.

• URL/IP 허용 및 블록은 엔드포인트용 Defender 구성 요소 네트워크 보호를 사용하여 블록 모드에서 사용하도록 설정합니다. 네트워크 보호 및 구성 지침에 대한 자세한 내용은 네트워크 보호 사용을 참조하세요.

• 맬웨어 방지 클라이언트 버전은 4.18.1906.x 이상이어야 합니다.

• Windows 10, 버전 1709 이상, Windows 11, Windows Server 2016, Windows Server 2012 R2, Windows Server 2019, Windows Server 2022 및 Android 및 디바이스를 iOS.

  참고

  Windows Server 2016 및 Windows Server 2012 R2는 이 기능이 작동하려면 온보딩 Windows 서버의 지침을 사용하여 온보딩해야 합니다.

• Microsoft 365 Defender 설정 > > 고급 기능 에서 사용자 지정 네트워크 표시 기가 사용하도록 설정되어 있는지 확인합니다. 자세한 내용은 고급 기능을 참조하세요.

• iOS 대한 지표 지원은 iOS 엔드포인트용 Microsoft Defender 참조하세요.

• Android 대한 지표 지원은 Android 엔드포인트용 Microsoft Defender 참조하세요.

중요

외부 IP만 표시기 목록에 추가할 수 있습니다. 내부 IP에 대한 표시기를 만들 수 없습니다. 웹 보호 시나리오의 경우 Microsoft Edge 기본 제공 기능을 사용하는 것이 좋습니다. Microsoft Edge 네트워크 보호를 활용하여 네트워크 트래픽을 검사하고 TCP, HTTP 및 TLS(HTTPS)에 대한 블록을 허용합니다. 충돌하는 URL 표시기 정책이 있는 경우 더 긴 경로가 적용됩니다. 예를 들어 URL 표시기 정책이 https://support.microsoft.com/office URL 표시기 정책 https://support.microsoft.com보다 우선합니다.

참고

다른 모든 프로세스의 경우 웹 보호 시나리오는 검사 및 적용을 위해 네트워크 보호를 활용합니다.

• IP는 세 가지 프로토콜 모두에 대해 지원됩니다.
• 단일 IP 주소만 지원됩니다(CIDR 블록 또는 IP 범위 없음).
• 암호화된 URL(전체 경로)은 자사 브라우저(Internet Explorer, Edge)에서만 차단할 수 있습니다.
• 암호화된 URL(FQDN만 해당)은 자사 브라우저 외부에서 차단할 수 있습니다(Internet Explorer, Edge)
• 전체 URL 경로 블록은 도메인 수준 및 암호화되지 않은 모든 URL에 적용할 수 있습니다.

작업이 수행되는 시간과 차단되는 URL 및 IP 사이에 최대 2시간의 대기 시간(일반적으로 더 적은 시간)이 있을 수 있습니다.

경고 모드를 사용하는 경우 다음 컨트롤을 구성할 수 있습니다.

바이패스 기능:

• Edge의 허용 단추
• 알림의 허용 단추(Microsoft 이외의 브라우저)
• 표시기에서 기간 매개 변수 무시
• Microsoft 및 비 Microsoft 브라우저에서 적용 무시

리디렉션 URL:

• 표시기에서 URL 매개 변수 리디렉션
• Edge의 리디렉션 URL
• 알림의 리디렉션 URL(Microsoft 이외의 브라우저)

자세한 내용은 엔드포인트용 Microsoft Defender 의해 검색된 앱 관리(Govern Apps)를 참조하세요.

설정 페이지에서 IP, URL 또는 도메인에 대한 표시기 만들기

1. 탐색 창에서 설정 > 엔드포인트 > 표시기(규칙 아래)를 선택합니다.

2. IP 주소 또는 URL/도메인 탭을 선택합니다.

3. 항목 추가 를 선택합니다.

4. 다음 세부 정보를 지정합니다.

   • 표시기 - 엔터티 세부 정보를 지정하고 표시기의 만료를 정의합니다.
   • 작업 - 수행할 작업을 지정하고 설명을 제공합니다.
   • 범위 - 컴퓨터 그룹의 범위를 정의합니다.

5. 요약 탭에서 세부 정보를 검토한 다음 저장 을 클릭합니다.

관련 항목

• 지표 만들기
• 파일에 대한 지표 만들기
• 인증서를 기반으로 표시기 만들기
• 지표 관리