지표 만들기

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

IoC(손상 지표) 일치는 모든 엔드포인트 보호 솔루션에서 필수적인 기능입니다. 이 기능을 통해 SecOps는 검색 및 차단(방지 및 응답)에 대한 지표 목록을 설정할 수 있습니다.

엔터티의 검색, 방지 및 제외를 정의하는 지표를 만듭니다. 수행할 작업과 작업을 적용할 기간 및 적용할 디바이스 그룹의 범위를 정의할 수 있습니다.

현재 지원되는 원본은 엔드포인트용 Defender의 클라우드 검색 엔진, 자동화된 조사 및 수정 엔진 및 엔드포인트 방지 엔진(Microsoft Defender 바이러스 백신)입니다.

클라우드 검색 엔진

엔드포인트용 Defender의 클라우드 검색 엔진은 수집된 데이터를 정기적으로 검사하고 설정한 지표와 일치하려고 시도합니다. 일치하는 항목이 있으면 IoC에 대해 지정한 설정에 따라 작업이 수행됩니다.

엔드포인트 방지 엔진

동일한 지표 목록은 방지 에이전트가 적용합니다. 즉, Microsoft Defender AV가 구성된 기본 AV인 경우 일치하는 표시기가 설정에 따라 처리됩니다. 예를 들어 작업이 "경고 및 차단"인 경우 Microsoft Defender AV는 파일 실행(차단 및 수정)을 방지하고 해당 경고가 발생합니다. 반면에 작업이 "허용"으로 설정된 경우 Microsoft Defender AV는 파일 실행을 검색하거나 차단하지 않습니다.

자동화된 조사 및 수정 엔진

자동화된 조사 및 수정은 동일하게 작동합니다. 표시기가 "허용"으로 설정된 경우 자동화된 조사 및 수정은 "잘못된" 판결을 무시합니다. "차단"으로 설정하면 자동화된 조사 및 수정이 "불량"으로 처리됩니다.

EnableFileHashComputation 설정은 파일 검색 중에 인증서 및 파일 IoC에 대한 파일 해시를 계산합니다. 신뢰할 수 있는 애플리케이션에 속하는 해시 및 인증서의 IoC 적용을 지원합니다. 파일 허용 또는 차단 설정을 사용하여 동시에 사용하도록 설정되고 사용하지 않도록 설정됩니다. EnableFileHashComputation은 그룹 정책 통해 수동으로 사용하도록 설정되며 기본적으로 사용하지 않도록 설정됩니다.

새 표시기(IoC)를 만들 때 다음 작업 중 하나 이상을 사용할 수 있습니다.

  • 허용 – 디바이스에서 IoC를 실행할 수 있습니다.
  • 감사 – IoC가 실행될 때 경고가 트리거됩니다.
  • 경고 – IoC는 사용자가 바이패스할 수 있다는 경고를 표시합니다.
  • 실행 차단 - IoC를 실행할 수 없습니다.
  • 차단 및 수정 - IoC를 실행할 수 없으며 수정 작업이 IoC에 적용됩니다.

참고

경고 모드를 사용하면 위험한 앱을 열면 사용자에게 경고 메시지가 표시됩니다. 프롬프트는 앱 사용을 차단하지 않지만 사용자 지정 메시지와 앱의 적절한 사용을 설명하는 회사 페이지에 대한 링크를 제공할 수 있습니다. 사용자는 여전히 경고를 무시하고 필요한 경우 앱을 계속 사용할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 의해 검색된 앱 관리(Govern Apps)를 참조하세요.

다음의 표시기를 만들 수 있습니다.

아래 표에서는 IoC(표시기) 유형별로 사용할 수 있는 작업을 정확히 보여 줍니다.

IoC 형식 사용 가능한 작업
파일 허용
감사
차단 및 수정
IP 주소 허용
감사
실행 차단
경고
URL 및 도메인 허용
감사
실행 차단
경고
인증서 허용
차단 및 수정

기존 IoC의 기능은 변경되지 않습니다. 그러나 표시기가 현재 지원되는 응답 작업과 일치하도록 이름이 바뀌었습니다.

  • 경고 생성 설정을 사용하도록 설정하여 "경고 전용" 응답 동작의 이름이 "audit"로 바뀌었습니다.
  • "경고 및 차단" 응답의 이름이 선택적 경고 생성 설정을 사용하여 "차단 및 수정"으로 바뀌었습니다.

IoC API 스키마 및 사전 헌팅의 위협 ID가 IoC 응답 작업의 이름 바꾸기에 맞게 업데이트되었습니다. API 체계 변경 내용은 모든 IoC 형식에 적용됩니다.

참고

테넌트당 15,000개의 표시기가 제한됩니다. 파일 및 인증서 지표는 Microsoft Defender 바이러스 백신 대해 정의된 제외를 차단하지 않습니다. Microsoft Defender 바이러스 백신 수동 모드에서는 지표가 지원되지 않습니다.

새로운 업데이트된 작업 및 경고 설정에 따라 새 표시기(IoC)를 가져오는 형식이 변경되었습니다. 가져오기 패널의 맨 아래에 있는 새 CSV 형식을 다운로드하는 것이 좋습니다.