블록 모드의 엔드포인트 검색 및 응답
적용 대상:
- 엔드포인트용 Microsoft Defender 플랜 2
- Microsoft Defender XDR
- Microsoft Defender 바이러스 백신
플랫폼
- Windows
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
이 문서에서는 비 Microsoft 바이러스 백신 솔루션을 실행하는 디바이스를 보호하는 데 도움이 되는 블록 모드의 EDR에 대해 설명합니다(수동 모드의 Microsoft Defender 바이러스 백신 사용).
블록 모드의 EDR이란?
블록 모드의 EDR(엔드포인트 검색 및 응답)은 Microsoft Defender 바이러스 백신이 기본 바이러스 백신 제품이 아니며 수동 모드로 실행 중인 경우 악성 아티팩트로부터 추가된 보호를 제공합니다. 블록 모드의 EDR은 엔드포인트용 Defender 플랜 2에서 사용할 수 있습니다.
중요
Microsoft Defender 바이러스 백신 실시간 보호가 수동 모드인 경우 블록 모드의 EDR은 사용 가능한 모든 보호를 제공할 수 없습니다. 활성 바이러스 백신 솔루션으로 Microsoft Defender 바이러스 백신에 의존하는 일부 기능은 다음 예제와 같이 작동하지 않습니다.
- 액세스 시 검사 및 예약된 검사를 포함한 실시간 보호는 Microsoft Defender 바이러스 백신이 수동 모드인 경우 사용할 수 없습니다. 실시간 보호 정책 설정에 대한 자세한 내용은 Microsoft Defender 바이러스 백신 상시 보호 사용 및 구성을 참조하세요.
- 네트워크 보호 및 공격 표면 감소 규칙 및 표시기(파일 해시, IP 주소, URL 및 인증서)와 같은 기능은 Microsoft Defender 바이러스 백신이 활성 모드로 실행되는 경우에만 사용할 수 있습니다. 비 Microsoft 바이러스 백신 솔루션에는 이러한 기능이 포함되어 있습니다.
블록 모드의 EDR은 백그라운드에서 작동하여 EDR 기능에 의해 검색된 악의적인 아티팩트를 수정합니다. 이러한 아티팩트가 Microsoft가 아닌 기본 바이러스 백신 제품에서 누락되었을 수 있습니다. 블록 모드의 EDR을 사용하면 Microsoft Defender 바이러스 백신이 위반 후 동작 EDR 검색에 대한 작업을 수행할 수 있습니다.
블록 모드의 EDR은 위협 & 취약성 관리 기능과 통합됩니다. organization 보안 팀은 아직 사용하도록 설정되지 않은 경우 EDR을 블록 모드로 설정하는 보안 권장 사항을 받습니다.
팁
최상의 보호를 받으려면 엔드포인트용 Microsoft Defender 기준을 배포해야 합니다.
이 비디오를 시청하여 블록 모드에서 EDR(엔드포인트 검색 및 응답)을 켜고, 사전 위반부터 위반 후까지 모든 단계에서 동작 차단 및 봉쇄를 설정하는 이유와 방법을 알아봅니다.
무언가가 감지되면 어떻게 되나요?
블록 모드의 EDR이 켜져 있고 악의적인 아티팩트가 검색되면 엔드포인트용 Defender는 해당 아티팩트를 수정합니다. 보안 운영 팀은 검색 상태 알림 센터에서차단 또는 차단됨으로 보고 완료된 작업으로 나열됩니다. 다음 이미지는 블록 모드에서 EDR을 통해 검색되고 수정된 원치 않는 소프트웨어의 instance 보여줍니다.
블록 모드에서 EDR 사용
중요
- 블록 모드에서 EDR을 켜기 전에 요구 사항이 충족되는지 확인합니다.
- 엔드포인트용 Defender 플랜 2 라이선스가 필요합니다.
- 플랫폼 버전 4.18.2202.X부터 블록 모드에서 EDR을 설정하여 Intune CSP를 사용하여 특정 디바이스 그룹을 대상으로 지정할 수 있습니다. Microsoft Defender 포털에서 블록 모드 테넌트 전체에서 EDR을 계속 설정할 수 있습니다.
- 블록 모드의 EDR은 주로 수동 모드에서 Microsoft Defender 바이러스 백신을 실행하는 디바이스에 권장됩니다(비 Microsoft 바이러스 백신 솔루션이 디바이스에 설치되고 활성화됨).
Microsoft Defender 포털
Microsoft Defender 포털(https://security.microsoft.com/)로 이동하여 로그인합니다.
설정>엔드포인트>일반>고급 기능을 선택합니다.
아래로 스크롤한 다음 블록 모드에서 EDR 사용을 켭니다.
Intune
Intune 사용자 지정 정책을 만들려면 Intune 통해 CSP를 대상으로 하는 OMA-URIs 배포 및 온-프레미스 비교를 참조하세요.
블록 모드에서 EDR에 사용되는 Defender CSP에 대한 자세한 내용은 Defender CSP 아래의 "구성/수동 수정"을 참조하세요.
블록 모드의 EDR 요구 사항
다음 표에서는 블록 모드에서 EDR에 대한 요구 사항을 나열합니다.
요구 사항 | 세부 정보 |
---|---|
권한 | Microsoft Entra ID 전역 관리자 또는 보안 관리자 역할이 할당되어 있어야 합니다. 자세한 내용은 기본 권한을 참조하세요. |
운영 체제 | 디바이스는 다음 버전의 Windows 중 하나를 실행해야 합니다. - Windows 11 - Windows 10(모든 릴리스) - Windows Server 2019 이상 - Windows Server 버전 1803 이상 - R2 Windows Server 2016 및 Windows Server 2012(새 통합 클라이언트 솔루션 포함) |
엔드포인트용 Microsoft Defender 플랜 2 | 디바이스는 엔드포인트용 Defender에 온보딩되어야 합니다. 다음 문서를 참조하세요. - 엔드포인트용 Microsoft Defender 대한 최소 요구 사항 - 디바이스 온보딩 및 엔드포인트용 Microsoft Defender 기능 구성 - 엔드포인트용 Defender 서비스에 Windows 서버 온보딩 - 최신 통합 솔루션의 새로운 Windows Server 2012 R2 및 2016 기능 (Windows Server 2016 및 Windows Server 2012 R2에서 지원되는 블록 모드의 EDR을 참조하세요.) |
Microsoft Defender 바이러스 백신 | 디바이스에는 활성 모드 또는 수동 모드에서 Microsoft Defender 바이러스 백신이 설치되어 실행되고 있어야 합니다. 바이러스 백신이 활성 또는 수동 모드인지 Microsoft Defender 확인합니다. |
클라우드 제공 보호 | Microsoft Defender 바이러스 백신은 클라우드 제공 보호가 사용하도록 설정되도록 구성해야 합니다. |
바이러스 백신 플랫폼 Microsoft Defender | 디바이스는 최신 상태여야 합니다. 확인하려면 PowerShell을 사용하여 Get-MpComputerStatus cmdlet을 관리자 권한으로 실행합니다.
AMProductVersion 줄에 4.18.2001.10 이상이 표시됩니다. 자세한 내용은 Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요. |
바이러스 백신 엔진 Microsoft Defender | 디바이스는 최신 상태여야 합니다. 확인하려면 PowerShell을 사용하여 Get-MpComputerStatus cmdlet을 관리자 권한으로 실행합니다.
AMEngineVersion 줄에는 1.1.16700.2 이상이 표시됩니다. 자세한 내용은 Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요. |
중요
최상의 보호 값을 얻으려면 바이러스 백신 솔루션이 정기적인 업데이트 및 필수 기능을 받도록 구성되어 있고 제외가 구성되었는지 확인합니다. 블록 모드의 EDR은 Microsoft Defender 바이러스 백신에 대해 정의된 제외를 존중하지만 엔드포인트용 Microsoft Defender 대해 정의된 지표는 존중하지 않습니다.
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
참고 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.