공격 표면 감소 기능 이해 및 사용

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

공격 표면은 조직이 사이버 위협 및 공격에 취약한 모든 장소입니다. Endpoint용 Defender에는 공격 표면을 줄이는 데 도움이 되는 몇 가지 기능이 포함되어 있습니다. 다음 비디오를 시청하여 공격 표면 감소에 대해 자세히 알아보십시오.

공격 표면 감소 기능 구성

사용자 환경에서 공격 표면 감소를 구성하기 위해 다음 단계를 수행합니다.

  1. 에 대해하드웨어 기반 Microsoft Edge.

  2. 응용 프로그램 제어를 사용하도록 설정

    1. 기본 정책은 Windows. 예제 기본 정책 을 참조합니다.
    2. 응용 Windows Defender 디자인 가이드를 참조하세요.
    3. WDAC(응용 Windows Defender) 정책 배포를 참조합니다.
  3. 제어된 폴더 액세스를 사용하도록 설정 .

  4. 네트워크 보호 켜기.

  5. Exploit Protection을 사용하도록 설정.

  6. 공격 표면 축소 규칙 배포.

  7. 네트워크 방화벽을 설치합니다.

    1. 고급 보안이 있는 Windows Defender 방화벽에 대한 개요를 얻습니다.
    2. 방화벽 Windows Defender 디자인 가이드를 사용하여 방화벽 정책을 디자인할 방법을 결정할 수 있습니다.
    3. 고급 Windows Defender 방화벽 배포 가이드를 사용하여 조직의 방화벽을 설정할 수 있습니다.

대부분의 경우 공격 표면 감소 기능을 구성할 때 다음 여러 방법 중에서 선택할 수 있습니다.

  • Microsoft Endpoint Manager(현재 Microsoft Intune 및 Microsoft Endpoint Configuration Manager)
  • 그룹 정책
  • PowerShell cmdlet

끝점용 Microsoft Defender의 공격 표면 감소 테스트

조직의 보안 팀의 일부로 감사 모드에서 실행하도록 공격 표면 감소 기능을 구성하여 작동 방법을 볼 수 있습니다. 감사 모드에서는 다음을 사용하도록 설정할 수 있습니다.

  • 공격 노출 영역 축소 규칙
  • 악용 방지
  • 네트워크 보호
  • 감사 모드에서 제어된 폴더 액세스

감사 모드를 사용하면 기능을 사용하도록 설정한 경우 어떤 일이 일어나는지 기록을 볼 수 있습니다.

기능의 작동 방법을 테스트할 때 감사 모드를 사용하도록 설정할 수 있습니다. 테스트에만 감사 모드를 사용하도록 설정하면 감사 모드가 업무 앱에 영향을 주지 않도록 방지할 수 있습니다. 또한 특정 기간 동안 의심스러운 파일 수정 시도의 수를 알 수 있습니다.

이 기능은 앱, 스크립트 또는 파일이 수정되는 것을 차단하거나 차단하지 않습니다. 그러나 Windows 로그는 기능이 완전히 활성화된 것 같은 이벤트를 기록합니다. 감사 모드를 사용하면 이벤트 로그를 검토하여 활성화된 기능의 영향을 확인합니다.

감사된 항목을 찾으면 응용 프로그램 및 서비스 Microsoft Windows > > > Windows Defender > 로 이동하십시오.

끝점용 Defender를 사용하여 각 이벤트에 대한 자세한 정보를 얻을 수 있습니다. 이러한 세부 정보는 공격 표면 감소 규칙을 조사하는 데 특히 유용합니다. Endpoint용 Defender 콘솔을 사용하면 경고 타임라인 및 조사 시나리오의 일부로 문제를 조사할 수 있습니다.

그룹 정책, PowerShell 및 CSP(구성 서비스 공급자)를 사용하여 감사 모드를 사용하도록 설정할 수 있습니다.

또한 Windows Defender Testground 웹 사이트를 방문하여 demo.wd.microsoft.com 작동을 확인하고 작동 방법을 확인할 수 있습니다.

감사 옵션 감사 모드를 사용하도록 설정하는 방법 이벤트를 보는 방법
감사는 모든 이벤트에 적용됩니다. 제어된 폴더 액세스 사용 제어된 폴더 액세스 이벤트
감사는 개별 규칙에 적용됩니다. 1단계: 감사를 사용하여 ASR 규칙 테스트 2단계: 공격 표면 감소 규칙 보고 페이지 이해
감사는 모든 이벤트에 적용됩니다. 네트워크 보호 사용 네트워크 보호 이벤트
감사는 개별 완화에 적용됩니다. 악용 방지 사용 Exploit Protection 이벤트

공격 표면 감소 이벤트 보기

이벤트 뷰어에서 공격 표면 감소 이벤트를 검토하여 작동되는 규칙 또는 설정을 모니터링합니다. 또한 설정이 너무 "시저"되거나 매일 워크플로에 영향을 미치는지 확인할 수 있습니다.

기능을 평가할 때 이벤트를 검토하는 것이 편리한 기능입니다. 기능 또는 설정에 대해 감사 모드를 사용하도록 설정한 다음 완전히 활성화된 경우 어떤 일이 일어나는지 검토할 수 있습니다.

이 섹션에서는 모든 이벤트, 관련 기능 또는 설정을 나열하고 특정 이벤트로 필터링하는 사용자 지정 보기를 만드는 방법에 대해 설명합니다.

E5 구독이 있는 경우 이벤트, 차단 및 경고에 대한 자세한 보고를 Windows 보안 끝점용 Microsoft Defender를 사용하세요.

사용자 지정 보기를 사용하여 공격 표면 감소 기능 검토

이벤트 뷰어에서 Windows 사용자 지정 보기를 만들어 특정 기능 및 설정에 대한 이벤트만 볼 수 있습니다. 가장 쉬운 방법은 사용자 지정 보기를 XML 파일로 가져오는 것입니다. 이 페이지에서 직접 XML을 복사할 수 있습니다.

기능에 해당하는 이벤트 영역으로 수동으로 이동할 수도 있습니다.

기존 XML 사용자 지정 보기 가져오기

  1. 빈 .txt 파일을 만들고 파일 보기에 사용할 사용자 지정 보기의 XML을 .txt 복사합니다. 사용할 각 사용자 지정 보기에 대해 이 작업을 합니다. 파일 이름을 다음과 같이 바꿔야 합니다(형식을 .txt 변경해야 .xml.

    • 제어된 폴더 액세스 이벤트 사용자 지정 보기: cfa-events.xml
    • Exploit Protection 이벤트 사용자 지정 보기: ep-events.xml
    • 공격 표면 감소 이벤트 사용자 지정 보기:asr-events.xml
    • 네트워크/보호 이벤트 사용자 지정 보기:np-events.xml
  2. 이벤트 뷰어를 시작 메뉴 이벤트 뷰어를 열 수 있습니다.

  3. 작업 사용자 지정 보기 > 가져오기...를 선택합니다.

    Even 뷰어 창의 왼쪽에 있는 사용자 지정 보기 가져오기 강조 표시 애니메이션

  4. 원하는 사용자 지정 보기에 대한 XML 파일을 추출한 위치로 이동하여 선택합니다.

  5. 열기 를 선택합니다.

  6. 이 보기는 해당 기능과 관련된 이벤트만 표시하기 위해 필터를 지정하는 사용자 지정 보기를 만듭니다.

XML 직접 복사

  1. 이벤트 뷰어를 시작 메뉴 이벤트 뷰어 를 Windows 를 열 수 있습니다.

  2. 왼쪽 패널의 동작에서 사용자 지정 보기 만들기...를 선택합니다.

    이벤트 뷰어 창에서 사용자 지정 보기 만들기 옵션을 강조 표시하는 애니메이션입니다.

  3. XML 탭으로 이동하여 수동으로 쿼리 편집을 선택합니다. XML 옵션을 사용하는 경우 필터 탭을 사용하여 쿼리를 편집할 수 없는 경고가 표시됩니다. 를 선택합니다.

  4. 이벤트를 필터링할 기능에 대한 XML 코드를 XML 섹션에 붙여 넣습니다.

  5. 확인 을 선택합니다. 필터의 이름을 지정합니다. 이렇게 하면 해당 기능과 관련된 이벤트만 표시하기 위해 필터를 지정하는 사용자 지정 보기가 생성됩니다.

공격 표면 감소 규칙 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1121 or EventID=1122 or EventID=5007)]]</Select>
  </Query>
</QueryList>

제어된 폴더 액세스 이벤트에 대한 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
   <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
   <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1123 or EventID=1124 or EventID=5007)]]</Select>
  </Query>
</QueryList>

Exploit Protection 이벤트용 XML

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Security-Mitigations/KernelMode">
   <Select Path="Microsoft-Windows-Security-Mitigations/KernelMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Concurrency">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Contention">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Messages">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Operational">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Power">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Render">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/Tracing">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Win32k/UIPI">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
   <Select Path="Microsoft-Windows-Security-Mitigations/UserMode">*[System[Provider[@Name='Microsoft-Windows-Security-Mitigations' or @Name='Microsoft-Windows-WER-Diag' or @Name='Microsoft-Windows-Win32k' or @Name='Win32k'] and ( (EventID &gt;= 1 and EventID &lt;= 24)  or EventID=5 or EventID=260)]]</Select>
  </Query>
</QueryList>

네트워크 보호 이벤트에 대한 XML

<QueryList>
 <Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational">
  <Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
  <Select Path="Microsoft-Windows-Windows Defender/WHC">*[System[(EventID=1125 or EventID=1126 or EventID=5007)]]</Select>
 </Query>
</QueryList>

공격 표면 감소 이벤트 목록

모든 공격 표면 감소 이벤트는 Microsoft > 서비스 로그 > Windows 다음 표에 나열된 폴더 또는 공급자 아래에 있습니다.

이벤트 뷰어에서 다음 이벤트에 Windows 있습니다.

  1. 시작 메뉴를 열고 이벤트 뷰어 를 입력한 다음 이벤트 뷰어 결과를 선택합니다.

  2. Microsoft > > Windows 응용 프로그램 및 서비스 로그를 확장한 다음 아래 표의 공급자/원본에 나열된 폴더로 이동합니다.

  3. 하위 항목을 두 번 클릭하여 이벤트를 볼 수 있습니다. 이벤트를 스크롤하여 원하는 이벤트를 찾으면 됩니다.

    이벤트 뷰어를 사용하여 표시하는 애니메이션



기능 공급자/원본 이벤트 ID 설명
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 1 ACG 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 2 ACG 적용
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 3 자식 프로세스 감사 허용 안 함
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 4 자식 프로세스 블록 허용 안 함
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 5 낮은 무결성 이미지 감사 차단
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 6 낮은 무결성 이미지 블록 차단
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 7 원격 이미지 감사 차단
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 8 원격 이미지 블록 차단
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 9 win32k 시스템 호출 감사 사용 안 함
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 10 Win32k 시스템 호출 블록 사용 안 함
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 11 코드 무결성 가드 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 12 코드 무결성 가드 블록
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 13 EAF 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 14 EAF 적용
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 15 EAF+ 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 16 EAF+ 적용
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 17 IAF 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 18 IAF 적용
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 19 ROP StackPivot 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 20 ROP StackPivot 적용
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 21 ROP CallerCheck 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 22 ROP CallerCheck 적용
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 23 ROP SimExec 감사
악용 방지 Security-Mitigations(커널 모드/사용자 모드) 24 ROP SimExec 적용
악용 방지 WER-진단 5 CFG 블록
악용 방지 Win32K(작동) 260 신뢰할 수 없는 글꼴
네트워크 보호 Windows Defender(작동) 5007 설정이 변경될 때의 이벤트
네트워크 보호 Windows Defender(작동) 1125 감사 모드에서 네트워크 보호가 발생하면 이벤트
네트워크 보호 Windows Defender(작동) 1126 차단 모드에서 네트워크 보호가 발생하면 이벤트
제어된 폴더 액세스 Windows Defender(작동) 5007 설정이 변경될 때의 이벤트
제어된 폴더 액세스 Windows Defender(작동) 1124 감사된 제어된 폴더 액세스 이벤트
제어된 폴더 액세스 Windows Defender(작동) 1123 차단된 제어된 폴더 액세스 이벤트
제어된 폴더 액세스 Windows Defender(작동) 1127 차단된 제어된 폴더 액세스 섹터 쓰기 차단 이벤트
제어된 폴더 액세스 Windows Defender(작동) 1128 감사된 제어된 폴더 액세스 섹터 쓰기 차단 이벤트
공격 표면 감소 Windows Defender(작동) 5007 설정이 변경될 때의 이벤트
공격 표면 감소 Windows Defender(작동) 1122 감사 모드에서 규칙이 발생하면 이벤트
공격 표면 감소 Windows Defender(작동) 1121 차단 모드에서 규칙이 발생하면 이벤트

참고

사용자의 관점에서 ASR 경고 모드 알림은 공격 표면 감소 규칙에 Windows 알림으로 설정됩니다.

ASR에서 네트워크 보호는 감사 및 차단 모드만 제공합니다.

공격 표면 감소에 대해 자세히 알아보는 리소스

비디오에서 설명한 것 처럼 Endpoint용 Defender에는 몇 가지 공격 표면 감소 기능이 포함되어 있습니다. 다음 리소스를 사용하여 자세한 정보를 제공합니다.

문서 설명
하드웨어 기반 격리 시스템의 시작 및 실행 중일 때 시스템의 무결성을 보호하고 유지 관리합니다. 로컬 및 원격 인증을 통해 시스템 무결성의 유효성을 검사합니다. 악의적인 웹 사이트를 Microsoft Edge 위해 컨테이너를 차단합니다.
응용 프로그램 제어 응용 프로그램을 실행하려면 응용 프로그램이 신뢰를 획득해야 하게 응용 프로그램 제어를 사용할 수 있습니다.
제어된 폴더 액세스 악의적 또는 의심스러운 앱(파일 암호화 랜섬웨어 맬웨어 포함)이 주요 시스템 폴더의 파일을 변경하지 못하게 방지할 수 있습니다(Microsoft Defender 바이러스 백신 필요).
네트워크 보호 조직의 장치에서 네트워크 트래픽 및 연결로 보호를 확장합니다. (필요한 Microsoft Defender 바이러스 백신)
악용 방지 조직에서 사용하는 운영 체제 및 앱이 악용되지 못하게 보호합니다. Exploit Protection은 타사 바이러스 백신 솔루션에서도 작동합니다.
공격 표면 감소 규칙 맬웨어를 중지하는 데 도움이 되는 지능형 규칙을 사용하여 응용 프로그램에서 취약성(공격 표면)을 줄입니다. (필요한 Microsoft Defender 바이러스 백신).
장치 제어 조직에서 이동식 저장소 및 USB 드라이브와 같은 장치에서 사용되는 미디어를 모니터링하고 제어하여 데이터 손실을 방지합니다.