디바이스 온보딩 및 Endpoint용 Microsoft Defender 기능 구성
적용 대상:
중요
일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
엔드포인트용 Microsoft Defender 배포하는 것은 2단계 프로세스입니다.
- 서비스에 장치 온보딩
- 서비스의 기능 구성
역할 기반 액세스 제어
Privileged Identity Management 사용하여 역할을 관리하여 디렉터리 권한이 있는 사용자에게 추가 감사, 제어 및 액세스 검토를 제공하는 것이 좋습니다.
엔드포인트용 Defender는 권한을 관리하는 두 가지 방법을 지원합니다.
기본 권한 관리: 사용 권한을 전체 액세스 또는 읽기 전용으로 설정합니다. Azure Active Directory(Azure AD)에서 전역 관리자 또는 보안 관리자 역할이 있는 사용자는 모든 권한을 갖습니다. 보안 판독기 역할은 읽기 전용 액세스 권한을 가지며 머신/디바이스 인벤토리를 볼 수 있는 액세스 권한을 부여하지 않습니다.
RBAC(역할 기반 액세스 제어): 역할을 정의하고, Azure AD 사용자 그룹을 역할에 할당하고, 사용자 그룹에 디바이스 그룹에 대한 액세스 권한을 부여하여 세분화된 권한을 설정합니다. 자세한 내용을 보려면 역할 기반 액세스 제어를 사용하여 포털 액세스 관리를 참조하세요.
비즈니스 근거가 있는 사용자만 엔드포인트용 Defender에 액세스할 수 있도록 RBAC를 활용하는 것이 좋습니다.
서비스에 장치 온보딩
지원되는 디바이스를 온보딩하려면 엔드포인트용 Defender 포털의 온보딩 섹션으로 이동해야 합니다. 디바이스에 따라 적절한 단계를 안내하고 디바이스에 적합한 관리 및 배포 도구 옵션을 제공합니다.
서비스에 디바이스를 온보딩하려면:
- 디바이스가 최소 요구 사항을 충족하는지 확인합니다.
- 디바이스에 따라 엔드포인트용 Defender 포털의 온보딩 섹션에 제공된 구성 단계를 따릅니다.
- 디바이스에 적절한 관리 도구 및 배포 방법 사용
- 검색 테스트를 실행하여 디바이스가 제대로 온보딩되고 서비스에 보고되는지 확인합니다.
이 문서에서는 Windows 클라이언트 및 서버 버전에 적용되는 온보딩 방법에 대한 정보를 제공합니다.
온보딩 및 구성 도구 옵션
다음 표에서는 온보딩해야 하는 엔드포인트에 따라 사용 가능한 도구를 나열합니다.
| 끝점 | 도구 옵션 |
|---|---|
| Windows 클라이언트 | 모바일 장치 관리/Microsoft Intune 그룹 정책 로컬 스크립트(최대 10개 디바이스) VDI 스크립트 클라우드용 Microsoft Defender 통합 |
| Windows Server | Microsoft Endpoint Configuration Manager 그룹 정책 VDI 스크립트 클라우드용 Microsoft Defender 통합 |
| macOS | 로컬 스크립트 Microsoft Endpoint Manager JAMF Pro 모바일 디바이스 관리 |
| Linux 서버 | 로컬 스크립트 괴뢰 Ansible 클라우드용 Microsoft Defender 통합 |
| iOS | Microsoft Endpoint Manager |
| Android | Microsoft Endpoint Manager |
참고
Microsoft Endpoint Manager 관리되지 않는 디바이스(Microsoft Intune 또는 Microsoft 엔드포인트 Configuration Manager)의 경우 엔드포인트용 Microsoft Defender 보안 관리를 사용할 수 있습니다. Endpoint Manager Microsoft Defender에 대한 보안 구성을 직접 수신합니다.
다음 표에서는 온보딩해야 하는 엔드포인트에 따라 사용 가능한 도구를 나열합니다.
서비스의 기능 구성
디바이스를 온보딩하면 엔드포인트용 Microsoft Defender 엔드포인트 검색 및 응답 기능을 효과적으로 사용할 수 있습니다.
디바이스를 온보딩한 후 서비스의 다른 기능을 구성해야 합니다. 다음 표에서는 사용자 환경에 가장 적합한 보호를 위해 구성할 수 있는 기능을 나열합니다.
| 기능 | 설명 |
|---|---|
| TVM(위협 & 취약성 관리) 구성 | 위협 & 취약성 관리는 엔드포인트용 Microsoft Defender 구성 요소이며 보안 관리자와 보안 운영 팀 모두에게 다음을 비롯한 고유한 가치를 제공합니다. - 엔드포인트 취약성과 상관 관계가 있는 실시간 EDR(엔드포인트 검색 및 응답) 인사이트입니다. - 인시던트 조사 중에 귀중한 디바이스 취약성 컨텍스트입니다. - Microsoft Intune 및 Microsoft System Center Configuration Manager 통한 기본 제공 수정 프로세스 |
| NGP(차세대 보호) 구성 | Microsoft Defender 바이러스 백신은 데스크톱, 휴대용 컴퓨터 및 서버에 대한 차세대 보호를 제공하는 기본 제공 맬웨어 방지 솔루션입니다. Windows Defender 바이러스 백신은 다음을 포함합니다. - 새로운 위협과 새로운 위협의 거의 즉각적인 탐지 및 차단을 위한 클라우드 제공 보호. 기계 학습 및 Intelligent Security Graph와 함께 클라우드 전달 보호 기능은 Microsoft Defender 바이러스 백신을 지원하는 차세대 기술의 일부입니다. - 고급 파일 및 프로세스 동작 모니터링 및 기타 추론을 사용하여 Always-On 검사("실시간 보호"라고도 함). - 기계 학습, 인간 및 자동화된 빅 데이터 분석 및 심층 위협 저항 연구를 기반으로 하는 전용 보호 업데이트입니다. |
| ASR(공격 표면 감소) 구성 | 엔드포인트용 Microsoft Defender 공격 표면 감소 기능은 새로운 위협으로부터 조직의 디바이스 및 애플리케이션을 보호하는 데 도움이 됩니다. |
| AIR(자동 조사 & 수정) 기능 구성 | 엔드포인트용 Microsoft Defender 자동화된 조사를 사용하여 개별적으로 조사해야 하는 경고의 양을 크게 줄입니다. 자동화된 조사 기능은 다양한 검사 알고리즘과 분석가가 사용하는 프로세스(예: 플레이북)를 활용하여 경고를 검사하고 즉시 수정 조치를 취하여 위반을 해결합니다. 이렇게 하면 경고 수량이 많이 줄어들기 때문에 보안 운영 전문가가 더 복잡한 위협과 기타 높은 가치의 이니셔티브에 집중할 수 있습니다. |
| MTE(Microsoft 위협 전문가) 기능 구성 | Microsoft 위협 전문가 고유한 환경에서 중요한 위협이 누락되지 않도록 하는 데 도움이 되는 전문가 수준의 모니터링 및 분석을 제공하는 SOC(보안 운영 센터)를 제공하는 관리형 헌팅 서비스입니다. |
Windows 디바이스에 지원되는 기능
| 운영 체제 | Windows 10 & 11 | Windows Server 2012 R2 [1] | Windows Server 2016[1] | Windows Server 2019 & 2022 | Windows Server 1803 이상 |
|---|---|---|---|---|---|
| 예방 | |||||
| 공격 표면 감소 규칙 | Y | Y | Y | Y | Y |
| 디바이스 제어 | Y | N | N | N | N |
| 방화벽 | Y | Y | Y | Y | Y |
| 네트워크 보호 | Y | Y | Y | Y | Y |
| 차세대 보호 | Y | Y | Y | Y | Y |
| 변조 방지 | Y | Y | Y | Y | Y |
| 웹 보호 | Y | Y | Y | Y | Y |
| 감지 | |||||
| 지능형 헌팅 | Y | Y | Y | Y | Y |
| 사용자 지정 파일 표시기 | Y | Y | Y | Y | Y |
| 사용자 지정 네트워크 표시기 | Y | Y | Y | Y | Y |
| EDR 블록 & 수동 모드 | Y | Y | Y | Y | Y |
| 감지 센서 | Y | Y | Y | Y | Y |
| 엔드포인트 & 네트워크 디바이스 검색 | Y | N | N | N | N |
| 응답 | |||||
| AIR(자동 조사 & 응답) | Y | Y | Y | Y | Y |
| 디바이스 응답 기능: 격리, 조사 패키지 수집, AV 검사 실행 | Y | Y | Y | Y | Y |
| 파일 응답 기능: 파일 수집, 심층 분석, 파일 차단, 중지 및 격리 프로세스 | Y | Y | Y | Y | Y |
| 라이브 응답 | Y | Y | Y | Y | Y |
(1) Windows Server 2012 R2 및 2016에 대한 최신 통합 솔루션을 참조합니다. 자세한 내용은 엔드포인트용 Defender 서비스에 Windows Server 온보딩을 참조하세요.
참고
Windows 7, 8.1, Windows Server 2008 R2에는 EDR 센서에 대한 지원과 SCEP(System Center Endpoint Protection)를 사용하는 AV가 포함됩니다.