인증서를 기반으로 표시기 만들기

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

인증서에 대한 지표를 만들 수 있습니다. 몇 가지 일반적인 사용 사례는 다음과 같습니다.

• 공격 표면 감소 규칙과 같은 차단 기술을 배포해야 하지만 허용 목록에 인증서를 추가하여 서명된 애플리케이션의 동작을 허용해야 하는 시나리오입니다.
• organization 걸쳐 서명된 특정 애플리케이션의 사용을 차단합니다. Windows Defender AV는 애플리케이션 인증서를 차단하는 표시기를 만들어 파일 실행(차단 및 수정)을 방지하고 자동화된 조사 및 수정이 동일하게 동작합니다.

시작하기 전에

인증서에 대한 지표를 만들기 전에 다음 요구 사항을 이해하는 것이 중요합니다.

• 이 기능은 organization Microsoft Defender 바이러스 백신을 사용하고 클라우드 기반 보호가 사용하도록 설정된 경우에 사용할 수 있습니다. 자세한 내용은 클라우드 기반 보호 관리를 참조하세요.

• 맬웨어 방지 클라이언트 버전은 4.18.1901.x 이상이어야 합니다.

• Windows 10, 버전 1703 이상, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 및 Windows Server 2022의 컴퓨터에서 지원됩니다.

  참고

  Windows Server 2016 및 Windows Server 2012 R2는 이 기능이 작동하려면 Windows 서버 온보딩의 지침을 사용하여 온보딩해야 합니다.

• 바이러스 및 위협 방지 정의는 최신 상태여야 합니다.

• 이 기능은 현재 입력을 지원합니다. CER 또는 입니다. PEM 파일 확장명.

중요

• 유효한 리프 인증서는 유효한 인증 경로를 가지며 Microsoft에서 신뢰할 수 있는 CA(루트 인증 기관)에 연결되어야 하는 서명 인증서입니다. 또는 클라이언트에서 신뢰할 수 있는 한 사용자 지정(자체 서명된) 인증서를 사용할 수 있습니다(루트 CA 인증서는 로컬 머신 '신뢰할 수 있는 루트 인증 기관' 아래에 설치됨).
• 허용/차단 인증서 IOC의 자식 또는 부모는 허용/차단 IoC 기능에 포함되지 않으며 리프 인증서만 지원됩니다.
• Microsoft 서명된 인증서는 차단할 수 없습니다.

설정 페이지에서 인증서에 대한 표시기를 만듭니다.

중요

인증서 IoC를 만들고 제거하는 데 최대 3시간이 걸릴 수 있습니다.

1. 탐색 창에서 설정>엔드포인트표시기>(규칙 아래)를 선택합니다.

2. 표시기 추가를 선택합니다.

3. 다음 세부 정보를 지정합니다.

   • 표시기 - 엔터티 세부 정보를 지정하고 표시기의 만료를 정의합니다.
   • 작업 - 수행할 작업을 지정하고 설명을 제공합니다.
   • 범위 - 컴퓨터 그룹의 scope 정의합니다.

4. 요약 탭에서 세부 정보를 검토한 다음 저장을 클릭합니다.

관련 문서

• 지표 만들기
• 파일에 대한 지표 만들기
• IP 및 URL/도메인에 대한 지표 만들기
• 지표 관리
• 엔드포인트용 Microsoft Defender 및 Microsoft Defender 바이러스 백신에 대한 제외

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.