공격 표면 감소 규칙 문제 해결

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

공격 표면 감소 규칙을 사용하는 경우 다음과 같은 문제가 발생할 수 있습니다.

• 규칙은 파일, 프로세스를 차단하거나 그렇지 않아야 하는 다른 작업을 수행합니다(가양성).
• 규칙이 설명된 대로 작동하지 않거나 파일 또는 프로세스를 차단하지 않습니다(거짓 부정).

이러한 문제를 해결하는 네 가지 단계가 있습니다.

1. 필수 구성 요소 확인
2. 감사 모드를 사용하여 규칙 테스트
3. 지정된 규칙에 대한 제외 추가 (가양성)
4. 지원 로그 제출

필수 구성 요소 확인

공격 표면 감소 규칙은 다음 조건이 있는 디바이스에서만 작동합니다.

• 엔드포인트가 Windows 10 Enterprise 이상 실행됩니다.

• 엔드포인트는 Microsoft Defender 바이러스 백신을 유일한 바이러스 백신 보호 앱으로 사용하고 있습니다. 다른 바이러스 백신 앱을 사용하면 Microsoft Defender 바이러스 백신이 비활성화됩니다.

• 실시간 보호 가 사용됩니다.

• 감사 모드를 사용할 수 없습니다. 그룹 정책 사용하여 공격 표면 감소 규칙 사용에서 설명한 대로 규칙을 사용 안 함(값: 0)으로 설정합니다.

이러한 필수 구성 요소가 충족되면 다음 단계로 진행하여 감사 모드에서 규칙을 테스트합니다.

감사 모드를 사용하여 규칙 테스트

데모 도구 사용의 다음 지침에 따라 공격 표면 감소 규칙이 작동하는 방식을 확인하여 문제가 발생하는 특정 규칙을 테스트합니다.

1. 테스트하려는 특정 규칙에 대해 감사 모드를 사용하도록 설정합니다. 공격 표면 감소 규칙 사용에서 설명한 대로 그룹 정책 사용하여 규칙을 감사 모드(값: 2)로 설정합니다. 감사 모드를 사용하면 규칙이 파일 또는 프로세스를 보고할 수 있지만 실행할 수 있습니다.

2. 문제를 일으키는 작업을 수행합니다(예: 차단되어야 하지만 허용되는 파일 또는 프로세스를 열거나 실행).

3. 공격 표면 감소 규칙 이벤트 로그를 검토 하여 규칙이 사용으로 설정된 경우 규칙이 파일 또는 프로세스를 차단하는지 확인합니다.

규칙이 차단해야 하는 파일 또는 프로세스를 차단하지 않는 경우 먼저 감사 모드가 사용하도록 설정된 경우 검사.

감사 모드는 다른 기능을 테스트하거나 자동화된 PowerShell 스크립트에서 사용하도록 설정될 수 있으며 테스트가 완료된 후 사용하지 않도록 설정되지 않을 수 있습니다.

데모 도구와 감사 모드로 규칙을 테스트했고 공격 표면 감소 규칙이 미리 구성된 시나리오에서 작동하지만 규칙이 예상대로 작동하지 않는 경우 상황에 따라 다음 섹션 중 하나를 진행합니다.

1. 공격 표면 감소 규칙이 차단해서는 안 되는 항목(가양성이라고도 함)을 차단하는 경우 먼저 공격 표면 감소 규칙 제외를 추가할 수 있습니다.

2. 공격 표면 감소 규칙이 차단해야 하는 항목(거짓 부정이라고도 함)을 차단하지 않는 경우, 진단 데이터를 수집하고 문제를 제출하여 마지막 단계로 즉시 진행할 수 있습니다.

가양성 제외 추가

공격 표면 감소 규칙이 차단해서는 안 되는 항목(가양성이라고도 함)을 차단하는 경우 공격 표면 감소 규칙이 제외된 파일 또는 폴더를 평가하지 못하도록 제외를 추가할 수 있습니다.

제외를 추가하려면 공격 표면 감소 사용자 지정을 참조하세요.

중요

제외할 개별 파일 및 폴더를 지정할 수 있지만 개별 규칙을 지정할 수는 없습니다. 즉, 제외된 모든 파일 또는 폴더는 모든 ASR 규칙에서 제외됩니다.

가양성 또는 가음성 보고

Microsoft 보안 인텔리전스 웹 기반 제출 양식을 사용하여 네트워크 보호에 대한 가음성 또는 가양성 보고서를 작성합니다. Windows E5 구독을 사용하면 연결된 경고에 대한 링크를 제공할 수도 있습니다.

파일 제출에 대한 진단 데이터 수집

공격 표면 감소 규칙에 대한 문제를 보고하는 경우 Microsoft 지원 및 엔지니어링 팀에서 문제를 해결하는 데 사용할 수 있는 진단 데이터를 수집하고 제출해야 합니다.

1. 관리자 권한 명령 프롬프트를 열고 Windows Defender 디렉터리로 변경합니다.

   cd "c:\program files\Windows Defender"
   

2. 진단 로그를 생성하려면 다음 명령을 실행합니다.

   mpcmdrun -getfiles
   

3. 기본적으로 에 저장됩니다 C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. 제출 양식에 파일을 첨부합니다.

관련 문서

• 공격 표면 감소 규칙
• 공격 표면 감소 규칙 사용
• 공격 표면 감소 규칙 평가

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.