Microsoft Defender for Endpoint를 처음부터 활성화하고 구성하는 방법

Microsoft Defender for Endpoint를 처음부터 활성화하고 구성하는 방법

2024년 1월 1일

이 기술 및 교육 문서는 MDE(Microsoft Defender for Endpoint)를 처음부터 활성화하고 구성하는 방법에 대한 실용적이고 자세한 가이드를 제공하는 것을 목표로 합니다. MDE는 예방적 보호, 침해 후 탐지, 자동화된 조사 및 대응을 위한 통합 엔드포인트 보안 플랫폼입니다. Microsoft 환경의 보안 상태를 강화하려는 보안 분석가, IT 관리자 및 시스템 엔지니어에게 필수적인 도구입니다.

소개

사이버 위협 환경은 지속적으로 진화하고 있으며, 공격은 더욱 정교해지고 표적화되고 있습니다. 컴퓨터, 서버, 모바일 장치 등 엔드포인트를 보호하는 것은 모든 조직의 최우선 과제입니다. MDE(Microsoft Defender for Endpoint)는 고급 EDR(엔드포인트 탐지 및 대응), 취약성 및 위협 관리, 공격 표면 감소, 차세대 보호, 자동화된 조사 및 해결 기능을 제공하여 기존 바이러스 백신을 뛰어넘는 강력한 솔루션을 제공합니다[1].

이 가이드에서는 초기 필수 구성 요소부터 필수 리소스 구성, 유효성 검사 및 모범 사례에 이르기까지 MDE 구현을 위한 기본 단계를 다룹니다. 독자가 자신의 환경에서 프로세스를 복제하고 결과를 검증할 수 있도록 단계별 지침, 명령 예제 및 설명을 통해 우리의 초점은 100% 실용적입니다.

Microsoft Defender for Endpoint를 선택해야 하는 이유

MDE는 기본적으로 Microsoft 365 Defender, Azure Active Directory(현재 Microsoft Entra ID), Microsoft Intune 및 Microsoft Sentinel과 같은 다른 Microsoft 보안 솔루션과 통합되어 응집력 있는 보안 패브릭을 만듭니다. 주요 이점은 다음과 같습니다.

  • 포괄적인 보호: 맬웨어, 랜섬웨어 및 파일리스 공격을 탐지하고 차단합니다.
  • 심층적인 가시성: 엔드포인트 활동을 지속적으로 모니터링하여 의심스러운 행동을 식별합니다.
  • 신속한 대응: 위협을 신속하게 억제하기 위한 자동화된 조사 및 해결 도구입니다.
  • 태세 관리: 취약점 평가 및 보안 위생 개선을 위한 권장사항입니다.

전제조건

끝점용 Microsoft Defender 구성을 시작하기 전에 다음 필수 구성 요소가 충족되는지 확인하세요.

  1. 라이선스: Microsoft Defender for Endpoint에 대한 유효한 라이선스입니다. 이는 Microsoft 365 E5, Microsoft 365 E3(보안 추가 기능 포함), Windows E5 또는 독립 실행형 라이선스[2]와 같은 패키지의 일부일 수 있습니다.
  2. 관리 액세스: Microsoft 365 Defender 포털(security.microsoft.com)에서 전역 관리자 또는 보안 관리자 권한이 있는 계정입니다.
  3. 네트워크 연결: MDE 클라우드 서비스와 통신하려면 엔드포인트가 인터넷에 액세스할 수 있어야 합니다. 방화벽과 프록시에서 필수 URL과 포트가 허용되는지 확인하세요[3].
  4. 지원되는 운영 체제: MDE는 다음을 포함하여 광범위한 운영 체제를 지원합니다.
    • 윈도우 10/11 엔터프라이즈, 프로, 교육
    • 윈도우 서버(2008 R2 SP1, 2012 R2, 2016, 2019, 2022)
    • macOS(최신 버전)
    • Linux(다양한 배포판)
    • Android 및 iOS(Microsoft Intune 사용)
  5. Microsoft Intune(선택 사항이지만 권장됨): 중앙 집중식 관리 및 대규모 장치 온보딩의 경우 Microsoft Intune과의 통합을 적극 권장합니다.

단계별: 활성화 및 초기 구성

1. 엔드포인트용 Microsoft Defender 활성화

첫 번째 단계는 테넌트에서 서비스를 활성화하는 것입니다. 이는 일반적으로 라이선스 구매 시 자동으로 수행되지만 서비스가 제공되는지 확인하는 것이 중요합니다.

  1. Microsoft 365 Defender 포털인 'https://security.microsoft.com'으로 이동합니다.
  2. 왼쪽 탐색 창에서 설정(기어 아이콘) > 엔드포인트로 이동합니다.
  3. 서비스 상태를 확인하세요. 활성화되어 있지 않으면 지침에 따라 프로비저닝 프로세스를 시작하십시오. 서비스 약관에 동의해야 할 수도 있습니다.

2. 일반 설정 및 고급 기능

활성화 후에는 MDE의 탐지 및 대응 기능을 향상시키는 고급 기능을 검토하고 구성하는 것이 중요합니다.

  1. Microsoft 365 Defender 포털의 설정 > 엔드포인트에서 s고급 기능을 선택합니다.
  2. 보호를 최대화하려면 다음 기능을 활성화합니다(아직 활성화되지 않은 경우).
    • 샘플 분석 허용: MDE가 분석을 위해 의심스러운 파일 샘플을 수집할 수 있습니다. '자동' 또는 '보안' 중에서 선택하세요.
    • 차단 모드에서 EDR 감지: 차세대 바이러스 백신이 수동 모드에 있더라도 MDE가 EDR에서 감지한 악성 아티팩트를 차단할 수 있습니다.
    • 미리보기 리소스: 아직 미리보기 단계에 있는 리소스에 대한 액세스를 활성화합니다. 테스트 환경에 권장됩니다.
    • Microsoft Intune과의 통합: 장치 및 보안 정책을 관리하는 데 필수적입니다.
    • Microsoft Cloud App Security와의 통합: 클라우드 애플리케이션에 대한 가시성과 제어 기능을 확장합니다.
    • Azure Information Protection과의 통합: 중요한 데이터를 보호할 수 있습니다.
    • 자동 분석을 위한 파일 컨텍스트 액세스: 자동화된 조사 기능이 향상됩니다.

3. 장치 온보딩

온보딩 프로세스는 장치를 MDE 서비스에 연결하여 보안 데이터를 보내고 정책을 받을 수 있도록 합니다. 조직의 규모와 인프라에 따라 온보딩을 수행하는 방법에는 여러 가지가 있습니다.

옵션 A: 수동 온보딩(일부 장치의 경우)

  1. Microsoft 365 Defender 포털에서 설정 > 엔드포인트 > 장치 관리 > 온보딩으로 이동합니다.
  2. 통합하려는 장치의 운영 체제를 선택합니다(예: Windows 10 및 11).
  3. 배포 방법을 선택합니다. 수동 온보딩의 경우 로컬 스크립트를 선택하세요.
  4. 온보딩 패키지(PowerShell 스크립트가 포함된 .zip 파일)를 다운로드합니다.
  5. 스크립트를 대상 장치에 복사하고 관리자 권한으로 실행합니다.

``파워셸

온보딩 스크립트 실행 예시

WindowsDefenderATPLocalScript.cmd 파일이 현재 디렉터리에 있는지 확인하세요.

.\WindowsDefenderATPLocalScript.cmd





#### 옵션 B: Microsoft Intune을 통한 온보딩(대규모용)

이는 온보딩을 자동화하고 보안 정책을 관리할 수 있으므로 기업 환경에 가장 권장되는 방법입니다.

1. **MDE-Intune 연결 확인**: Microsoft 365 Defender 포털의 **설정** > **엔드포인트** > **고급 기능**에서 **Microsoft Intune 통합**이 활성화되어 있는지 확인합니다.
2. Microsoft Intune 포털(Microsoft Endpoint Manager 관리 센터): `https://endpoint.microsoft.com`에 액세스합니다.
3. 왼쪽 탐색 창에서 **엔드포인트 보안** > **엔드포인트용 Microsoft Defender**로 이동합니다.
4. **연결 상태**를 확인하세요. '활성화됨'으로 표시되어야 합니다. 그렇지 않은 경우 화면의 지시에 따라 연결을 구성하십시오.
5. **온보딩을 위한 장치 구성 정책 만들기**: Intune에서 **Endpoint Security** > **장치 온보딩**으로 이동합니다.
6. **프로필 만들기**를 클릭합니다.
7. 플랫폼으로 **Windows 10 이상**을 선택하고 프로필로 **끝점용 Microsoft Defender**를 선택합니다.
8. 정책에 이름과 설명을 지정합니다.
9. 설정에서 통합으로 인해 Intune에서 온보딩 유형을 자동으로 구성해야 합니다.
10. 원하는 장치 그룹에 정책을 할당합니다.




### 4. 보안 정책 구성(예: 공격 표면 감소)

온보딩 후에는 엔드포인트를 보호하기 위한 정책을 구성하는 것이 중요합니다. ASR(공격 표면 감소) 규칙을 예로 사용하겠습니다.

1. Microsoft 365 Defender 포털에서 **설정** > **엔드포인트** > **공격 표면 감소**로 이동합니다.
2. **공격 표면 감소 규칙**을 선택합니다.
3. 악의적인 행동을 차단하기 위해 특정 규칙을 구성할 수 있습니다. 예를 들어 **Windows 로컬 보안 기관 하위 시스템 자격 증명 도난 차단** 규칙을 활성화하여 자격 증명을 보호합니다.
4. 규칙 모드를 **감사**(차단 전 영향 모니터링) 또는 **차단**(즉시 보호 적용)으로 설정합니다.



## 검증 및 테스트

구성 검증은 MDE가 올바르게 작동하고 엔드포인트를 보호하는지 확인하는 중요한 단계입니다.

### 1. 엔드포인트에서 센서 상태 확인

온보딩된 장치에서 MDE 서비스 상태를 확인할 수 있습니다.

1. 오픈관리자 권한으로 **명령 프롬프트** 또는 **PowerShell**.
2. 다음 명령을 실행하여 'Sense' 서비스(MDE 센서)의 상태를 확인합니다.

``cmd
sc 쿼리 감지
  • 예상 결과: 상태는 'RUNNING'이어야 합니다.

2. 포털에서 온보딩 상태를 확인하세요.

  1. Microsoft 365 Defender 포털에서 자산 > 장치로 이동합니다.
  2. 온보딩한 장치의 이름을 검색하세요. 이는 '활성' 상태와 위험 및 노출 수준과 함께 목록에 나타나야 합니다.
  3. 장치를 클릭하면 경고, 타임라인, 규정 준수 상태 등의 세부 정보를 볼 수 있습니다.

3. EDR 탐지 테스트(EICAR 테스트 파일)

실제 피해를 입히지 않고 탐지 기능을 테스트하려면 EICAR 테스트 파일을 사용할 수 있습니다. MDE는 이를 감지하고 경고를 생성해야 합니다.

  1. 온보드 장치에서 브라우저를 열고 'https://www.eicar.org/download/eicar.com.txt'로 이동합니다.
  2. EICAR 파일의 콘텐츠를 장치에 다운로드하거나 복사해 보세요.
  3. MDE는 작업을 차단하고 경고를 생성해야 합니다. 사건 및 경고 > 경고에서 Microsoft 365 Defender 포털을 확인하여 생성된 경고를 확인하세요.

보안 팁 및 모범 사례

  • MDE 업데이트 유지: MDE 보안 에이전트 및 정의가 항상 최신 상태인지 확인하세요. Microsoft는 보호 기능을 향상하기 위해 지속적으로 업데이트를 릴리스합니다.
  • 다른 솔루션과 통합: 통합 보기 및 계층화된 보호를 위해 Microsoft Intune, Microsoft Sentinel, Azure AD ID 보호 및 Microsoft Cloud App Security와 MDE 통합을 활용합니다.
  • 적극적으로 모니터링: Microsoft 365 Defender 포털의 경고 및 사건을 정기적으로 검토합니다. 중요한 경고에 대한 이메일 알림을 구성합니다.
  • ASR에 감사 모드 사용: 새로운 공격 노출 영역 감소 규칙을 구현할 때 차단 모드를 적용하기 전에 감사 모드에서 시작하여 영향을 이해하고 중단을 방지하세요.
  • 네트워크 분할: 엔드포인트가 손상된 경우에도 공격의 측면 전파를 제한하기 위해 네트워크 분할을 구현합니다.
  • 사용자 교육: 사용자 인식은 중요한 방어선입니다. 사이버 보안 모범 사례에 대해 직원을 교육합니다.

일반적인 문제 해결

  • 장치가 포털에 표시되지 않습니다: 네트워크 연결, 엔드포인트의 'Sense' 서비스 상태 및 온보딩 스크립트가 올바르게 실행되었는지 확인하세요. Intune을 사용하는 환경에서는 Intune-MDE 연결 상태를 확인합니다.
  • 알림 누락: 고급 감지 기능이 활성화되어 있는지 확인하세요. 탐지를 방해할 수 있는 바이러스 백신 제외를 확인하세요.
  • 성능 문제: MDE는 성능에 미치는 영향을 최소화하도록 최적화되어 있지만 드물게 다른 보안 소프트웨어와 충돌이 발생할 수 있습니다. Microsoft의 호환성 지침을 검토하세요.
  • 온보딩 스크립트 실패: 엔드포인트의 시스템 이벤트 로그에서 오류 메시지를 확인하세요. 스크립트가 관리자 권한으로 실행되었는지 확인하십시오.

결론

Microsoft Defender for Endpoint는 사이버 위협에 대한 최신 방어를 위한 강력하고 필수적인 도구입니다. 이 가이드를 따르면 귀하의 환경에서 MDE를 활성화, 구성 및 검증하여 엔드포인트 보안을 위한 견고한 기반을 구축할 수 있습니다. 보안은 지속적인 모니터링, 조정 및 업데이트가 필요한 지속적인 프로세스라는 점을 기억하십시오. MDE를 효과적으로 구현하는 것은 끊임없이 진화하는 위협 환경으로부터 조직을 보호하기 위한 중요한 단계입니다.

참고자료:

[1] 마이크로소프트 런. 엔드포인트용 Microsoft Defender. 사용 가능 위치: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide [2] 마이크로소프트 런. Microsoft Defender for Endpoint에 대한 최소 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/minimum-requirements?view=o365-worldwide [3] 마이크로소프트 런. Microsoft Defender for Endpoint에 대한 네트워크 환경 구성티. 사용 가능: https://learn.microsoft.com/pt-br/microsoft-365/security/defender-endpoint/configure-network?view=o365-worldwide '''