Share via

비 Microsoft HIPS에서 공격 표면 감소 규칙으로 마이그레이션

  • 아티클

적용 대상:

이 문서는 일반적인 규칙을 엔드포인트용 Microsoft Defender 매핑하는 데 도움이 됩니다.

비 Microsoft HIPS 제품에서 공격 표면 감소 규칙으로 마이그레이션하는 시나리오

특정 파일 만들기 차단

  • 적용 대상- 모든 프로세스
  • 작업 - 파일 만들기
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스 - *.zepto, *.odin, *.locky, *.jaff, *.lukitus, *.wnry, *.krab의 예
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙은 IOC(손상 지표)가 아닌 공격 기술을 차단합니다. 특정 파일 확장명 차단은 디바이스가 손상되는 것을 방지하지 않으므로 항상 유용하지는 않습니다. 공격자가 페이로드에 대한 새로운 유형의 확장을 만들 때까지 공격을 부분적으로만 저지합니다.
  • 기타 권장 기능 - 클라우드 보호 및 동작 분석과 함께 Microsoft Defender 바이러스 백신을 사용하도록 설정하는 것이 좋습니다. 공격 표면 감소 규칙과 같은 다른 방지를 사용하는 것이 좋습니다 . 랜섬웨어 공격에 대해 더 높은 수준의 보호를 제공하는 랜섬웨어에 대한 고급 보호를 사용합니다. 또한 엔드포인트용 Microsoft Defender 특정 경고를 트리거하는 ASEP 기술과 같은 많은 레지스트리 키를 모니터링합니다. 사용되는 레지스트리 키에는 최소 로컬 관리 필요하거나 신뢰할 수 있는 설치 관리자 권한을 수정할 수 있습니다. 최소 관리 계정 또는 권한으로 잠긴 환경을 사용하는 것이 좋습니다. 더 광범위한 보안 권장 사항의 일부인 필수가 아닌 역할에 대해 SeDebug 사용 안 함을 포함하여 다른 시스템 구성을 사용하도록 설정할 수 있습니다.

특정 레지스트리 키 만들기 차단

  • 적용 대상- 모든 프로세스
  • 프로세스 - 해당/A
  • 작업 - 레지스트리 수정
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스의- 예\Software,HKCU\Environment\UserInitMprLogonScript,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs*\StartExe, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options*\Debugger, HKEY_CURRENT_USER\Software\Microsoft\HtmlHelp Author\location, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit*\MonitorProcess
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙은 IOC(손상 지표)가 아닌 공격 기술을 차단합니다. 특정 파일 확장명 차단은 디바이스가 손상되는 것을 방지하지 않기 때문에 항상 유용하지는 않습니다. 공격자가 페이로드에 대한 새로운 유형의 확장을 만들 때까지 공격을 부분적으로만 저지합니다.
  • 기타 권장 기능 - 클라우드 보호 및 동작 분석과 함께 Microsoft Defender 바이러스 백신을 사용하도록 설정하는 것이 좋습니다. 공격 표면 감소 규칙 랜 섬웨어에 대한 고급 보호 사용과 같은 추가 방지를 사용하는 것이 좋습니다. 이렇게 하면 랜섬웨어 공격에 대한 더 높은 수준의 보호가 제공됩니다. 또한 엔드포인트용 Microsoft Defender 특정 경고를 트리거하는 ASEP 기술과 같은 이러한 레지스트리 키 중 몇 가지를 모니터링합니다. 또한 사용되는 레지스트리 키에는 최소 로컬 관리 필요하거나 신뢰할 수 있는 설치 관리자 권한을 수정할 수 있습니다. 최소 관리 계정 또는 권한으로 잠긴 환경을 사용하는 것이 좋습니다. 더 광범위한 보안 권장 사항의 일부인 필수가 아닌 역할에 대해 SeDebug 사용 안 함을 포함하여 다른 시스템 구성을 사용하도록 설정할 수 있습니다.

신뢰할 수 없는 프로그램이 이동식 드라이브에서 실행되지 않도록 차단

  • 적용 대상- USB의 신뢰할 수 없는 프로그램
  • 프로세스- *
  • Operation- Process Execution
  • *파일/폴더, 레지스트리 키/값, 프로세스, 서비스 예:-
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙에는 신뢰할 수 없는 및 서명되지 않은 프로그램이 이동식 드라이브에서 시작되지 않도록 하는 기본 제공 규칙이 있습니다. USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단, GUID b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4.
  • 기타 권장 기능 - 엔드포인트용 Microsoft Defender:엔드포인트용 Microsoft Defender 사용하여 USB 디바이스 및 기타 이동식 미디어를 제어하는 방법을 사용하여 USB 디바이스 및 기타 이동식 미디어에 대한 더 많은 컨트롤을 살펴보세요.

Mshta가 특정 자식 프로세스를 시작하지 못하도록 차단

  • 적용 대상 - Mshta
  • 프로세스- mshta.exe
  • Operation- Process Execution
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- powershell.exe, cmd.exe, regsvr32.exe
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙에는 자식 프로세스가 mshta.exe못하도록 하는 특정 규칙이 포함되어 있지 않습니다. 이 컨트롤은 Exploit Protection 또는 Windows Defender 애플리케이션 제어의 송금 내에 있습니다.
  • 기타 권장 기능 - mshta.exe 완전히 실행되지 않도록 Windows Defender 애플리케이션 제어를 사용하도록 설정합니다. organization 기간 업무 앱에 mshta.exe 필요한 경우 mshta.exe 자식 프로세스를 시작하지 못하도록 특정 Windows Defender Exploit Protection 규칙을 구성합니다.

Outlook에서 자식 프로세스를 시작하지 못하도록 차단

  • 적용 대상 - Outlook
  • 프로세스- outlook.exe
  • Operation- Process Execution
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- powershell.exe
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙에는 Office 통신 앱(Outlook, Skype 및 Teams)이 자식 프로세스를 시작하지 못하도록 하는 기본 제공 규칙이 있습니다. Office 통신 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단, GUID 26190899-1602-49e8-8b27-eb1d0a1ce869.
  • 기타 권장 기능 - PowerShell에서 공격 표면을 최소화하기 위해 PowerShell 제한 언어 모드를 사용하도록 설정하는 것이 좋습니다.

Office 앱에서 자식 프로세스를 시작하지 못하도록 차단

  • 적용 대상 - Office
  • 프로세스- winword.exe, powerpnt.exe, excel.exe
  • Operation- Process Execution
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- powershell.exe, cmd.exe, wscript.exe, mshta.exe, EQNEDT32.EXE, regsrv32.exe
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙에는 Office 앱이 자식 프로세스를 시작하지 못하도록 하는 기본 제공 규칙이 있습니다. 모든 Office 응용 프로그램이 자식 프로세스를 만들지 못하도록 차단, GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a.
  • 기타 권장 기능 - 해당/A

Office 앱에서 실행 파일 콘텐츠를 만들지 못하도록 차단

  • 적용 대상 - Office
  • 프로세스- winword.exe, powerpnt.exe, excel.exe
  • 작업 - 파일 만들기
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- C:\Users*\AppData**.exe 예제 C:\ProgramData**.exe, C:\ProgramData**.com, C:\UsersAppData\Local\Temp**.com, C:\Users\Downloads**.exe, C:\Users*\AppData**.scf, C:\ProgramData**.scf, C:\Users\Public*.exe, C:\Users*\Desktop***.exe
  • 공격 표면 감소 규칙 - 해당/A.

Wscript가 특정 형식의 파일을 읽지 못하도록 차단

  • 적용 대상- Wscript
  • 프로세스- wscript.exe
  • 작업 - 파일 읽기
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- C:\Users*\AppData**.js, C:\Users*\Downloads**.js
  • 공격 표면 감소 규칙 - 안정성 및 성능 문제로 인해 공격 표면 감소 규칙에는 특정 프로세스가 특정 스크립트 파일 형식을 읽지 못하도록 하는 기능이 없습니다. 이러한 시나리오에서 발생할 수 있는 공격 벡터를 방지하는 규칙이 있습니다. 규칙 이름은 JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단 (GUID d3e037e1-3eb8-44c8-a917-57927947596d)입니다. 및 잠재적으로 난독 처리된 스크립트의 실행 차단 (GUID * 5beb7efe-fd9a-4556-801d-275e5ffc04cc*).
  • 기타 권장 기능 - 이러한 시나리오 내에서 특정 공격 벡터를 완화하는 특정 공격 표면 감소 규칙이 있지만, AV는 기본적으로 AMSI(맬웨어 방지 검사 인터페이스)를 통해 스크립트(PowerShell, Windows 스크립트 호스트, JavaScript, VBScript 등)를 실시간으로 검사할 수 있는지 멘션 것이 중요합니다. 자세한 내용은 AMSI(맬웨어 방지 검사 인터페이스)에서 확인할 수 있습니다.

자식 프로세스 시작 차단

  • 적용 대상 - Adobe Acrobat
  • 프로세스- AcroRd32.exe, Acrobat.exe
  • Operation- Process Execution
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- cmd.exe, powershell.exe, wscript.exe
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙은 Adobe Reader가 자식 프로세스를 시작하지 못하도록 차단할 수 있습니다. 규칙 이름은 Adobe Reader가 자식 프로세스를 만들지 못하도록 차단( GUID 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c)입니다.
  • 기타 권장 기능 - 해당/A

실행 파일 콘텐츠 다운로드 또는 만들기 차단

  • 적용 대상- CertUtil: 실행 파일 다운로드 또는 만들기 차단
  • 프로세스- certutil.exe
  • 작업 - 파일 만들기
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스의 예 - *.exe
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙은 Microsoft Defender 바이러스 백신 보호의 일부이기 때문에 이러한 시나리오를 지원하지 않습니다.
  • 기타 권장 기능- Microsoft Defender 바이러스 백신은 CertUtil이 실행 파일 콘텐츠를 만들거나 다운로드하지 못하도록 방지합니다.

프로세스에서 중요한 시스템 구성 요소를 중지하지 못하도록 차단

  • 적용 대상- 모든 프로세스
  • 프로세스- *
  • 작업- 프로세스 종료
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- MsSense.exe, MsMpEng.exe, NisSrv.exe, svchost.exe*, services.exe, csrss.exe, smss.exe, wininit.exe 등의 예입니다.
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙은 Windows 기본 제공 보안 보호로 보호되므로 이러한 시나리오를 지원하지 않습니다.
  • 기타 권장 기능- ELAM(맬웨어 방지 조기 실행), PPL(보호 프로세스 표시등), PPL 맬웨어 방지 표시등 및 System Guard.

특정 시작 프로세스 시도 차단

  • 특정 프로세스에 적용
  • 프로세스- 프로세스 이름 지정
  • Operation- Process Execution
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- tor.exe, bittorrent.exe, cmd.exe, powershell.exe 등의 예
  • 공격 표면 감소 규칙 - 전반적으로 공격 표면 감소 규칙은 애플리케이션 관리자로 작동하도록 설계되지 않았습니다.
  • 기타 권장 기능 - 사용자가 특정 프로세스 또는 프로그램을 시작하지 못하도록 하려면 Windows Defender 애플리케이션 제어를 사용하는 것이 좋습니다. 엔드포인트용 Microsoft Defender 파일 및 인증서 지표는 인시던트 대응 시나리오에서 사용할 수 있습니다(애플리케이션 제어 메커니즘으로 볼 수 없음).

Microsoft Defender 바이러스 백신 구성에 대한 무단 변경 차단

  • 적용 대상- 모든 프로세스
  • 프로세스- *
  • 작업 - 레지스트리 수정
  • 파일/폴더, 레지스트리 키/값, 프로세스, 서비스- HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware, HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Policy Manager\AllowRealTimeMonitoring 등의 예입니다.
  • 공격 표면 감소 규칙 - 공격 표면 감소 규칙은 엔드포인트용 Microsoft Defender 기본 제공 보호의 일부이기 때문에 이러한 시나리오를 다루지 않습니다.
  • 기타 권장 기능- 변조 방지(옵트인, Intune 관리)는 DisableAntiVirus, DisableAntiSpyware, DisableRealtimeMonitoring, DisableOnAccessProtection, DisableBehaviorMonitoring 및 DisableIOAVProtection 레지스트리 키(등)에 대한 무단 변경을 방지합니다.

참고 항목

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.