취약한 애플리케이션 차단
적용 대상:
참고
이 기능을 사용하려면 Microsoft Defender 취약성 관리 독립 실행형이 필요하거나 이미 엔드포인트용 Microsoft Defender 플랜 2 고객인 경우 Defender 취약성 관리 추가 기능이 필요합니다.
취약성을 수정하는 데는 시간이 걸리며 IT 팀의 책임과 리소스에 따라 달라질 수 있습니다. 보안 관리자는 수정 요청이 완료될 때까지 현재 알려진 모든 취약한 애플리케이션 버전을 차단하는 즉각적인 조치를 취하여 취약성의 위험을 일시적으로 줄일 수 있습니다. 블록 옵션을 사용하면 보안 관리자가 그 동안 취약성이 악용될 것을 걱정하지 않고 IT 팀이 애플리케이션을 패치할 수 있습니다.
보안 권장 사항에서 제안하는 수정 단계를 수행하는 동안 적절한 권한이 있는 보안 관리자는 완화 작업을 수행하고 취약한 버전의 애플리케이션을 차단할 수 있습니다. IOC(파일 손상 지표)는 해당 애플리케이션의 취약한 버전에 속하는 각 실행 파일에 대해 만들어집니다. 그런 다음 Microsoft Defender 바이러스 백신은 지정된 범위에 있는 디바이스에 블록을 적용합니다.
팁
Microsoft Defender 취약성 관리의 모든 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? 무료 평가판에 등록하는 방법을 알아보세요.
완화 작업 차단 또는 경고
차단 작업은 조직에서 설치된 모든 취약한 버전의 애플리케이션이 실행되지 않도록 차단하기 위한 것입니다. 예를 들어 활성 제로 데이 취약성이 있는 경우 해결 옵션을 결정하는 동안 사용자가 영향을 받는 소프트웨어를 실행하지 못하도록 차단할 수 있습니다.
경고 작업은 취약한 버전의 애플리케이션을 열 때 사용자에게 경고를 보내기 위한 것입니다. 사용자는 경고를 무시하고 후속 시작을 위해 애플리케이션에 액세스하도록 선택할 수 있습니다.
두 작업 모두 사용자가 보는 메시지를 사용자 지정할 수 있습니다. 예를 들어 최신 버전을 설치하도록 권장할 수 있습니다. 또한 사용자가 알림을 선택할 때 탐색하는 사용자 지정 URL을 제공할 수 있습니다. 사용자 지정 URL로 이동하려면 알림 메시지 본문을 선택해야 합니다. 조직의 애플리케이션 관리와 관련된 추가 세부 정보를 제공하는 데 사용할 수 있습니다.
참고
블록 및 경고 작업은 일반적으로 몇 분 내에 적용되지만 최대 3시간이 걸릴 수 있습니다.
최소 요구 사항
- Microsoft Defender 바이러스 백신(활성 모드): 파일 실행 이벤트 및 차단을 검색하려면 활성 모드에서 Microsoft Defender 바이러스 백신을 사용하도록 설정해야 합니다. 기본적으로 블록 모드의 수동 모드와 EDR은 파일 실행에 따라 검색하고 차단할 수 없습니다. 자세한 내용은 Microsoft Defender 바이러스 백신 배포를 참조하세요.
- 클라우드 제공 보호(사용): 자세한 내용은 클라우드 기반 보호 관리를 참조하세요.
- 파일 허용 또는 차단(켜기): 설정>엔드포인트>고급 기능>허용 또는 차단 파일 로 이동합니다. 자세한 내용은 고급 기능을 참조하세요.
버전 요구 사항
- 맬웨어 방지 클라이언트 버전은 4.18.1901.x 이상이어야 합니다.
- 엔진 버전은 1.1.16200.x 이상이어야 합니다.
- 최신 Windows 업데이트가 설치된 Windows 10 디바이스 버전 1809 이상에서 지원됩니다.
- Windows Server 버전 2022, 2019, 2016, 2012 R2 및 2008 R2 SP1을 지원합니다.
권한
- RBAC(역할 기반 액세스 제어)를 사용하는 경우 위협 및 취약성 관리 - 애플리케이션 처리 권한이 할당되어야 합니다.
- RBAC를 설정하지 않은 경우 다음 Microsoft Entra 역할 중 하나가 할당되어야 합니다. 보안 관리자 또는 전역 관리자. 사용 권한에 대해 자세히 알아보려면 기본 권한으로 이동하세요.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한 있는 역할입니다.
취약한 애플리케이션을 차단하는 방법
Microsoft Defender 포털에서 취약성 관리>권장 사항으로 이동합니다.
보안 권장 사항을 선택하여 자세한 정보가 포함된 플라이아웃을 확인합니다.
수정 요청을 선택합니다.
모든 디바이스 그룹에 수정 및 완화를 적용할지 아니면 몇 개만 적용할지 선택합니다.
수정 요청 페이지에서 수정 옵션을 선택합니다. 수정 옵션은 소프트웨어 업데이트, 소프트웨어 제거 및 주의가 필요합니다.
수정 기한을 선택하고 다음을 선택합니다.
완화 작업에서 차단 또는 경고를 선택합니다. 완화 작업을 제출하면 즉시 적용됩니다.
선택한 항목을 검토하고 요청을 제출합니다. 마지막 페이지에서 수정 페이지로 직접 이동하여 수정 작업의 진행률을 확인하고 차단된 애플리케이션 목록을 볼 수 있습니다.
중요
사용 가능한 데이터에 따라 블록 작업은 Microsoft Defender 바이러스 백신이 있는 조직의 엔드포인트에 적용됩니다. 엔드포인트용 Microsoft Defender는 적용 가능한 취약한 애플리케이션 또는 버전이 실행되지 않도록 차단하기 위해 최선을 다할 것입니다.
다른 버전의 애플리케이션에서 추가 취약성이 발견되면 새 보안 권장 사항을 가져와서 애플리케이션을 업데이트하도록 요청하고 이 다른 버전을 차단하도록 선택할 수도 있습니다.
차단이 지원되지 않는 경우
수정을 요청하는 동안 완화 옵션이 표시되지 않으면 애플리케이션을 차단하는 기능이 현재 지원되지 않기 때문입니다. 완화 작업을 포함하지 않는 권장 사항은 다음과 같습니다.
- Microsoft 애플리케이션
- 운영 체제와 관련된 권장 사항
- macOS 및 Linux용 앱과 관련된 권장 사항
- Microsoft에 충분한 정보가 없거나 차단할 신뢰도가 높은 앱
- Microsoft Store 앱은 Microsoft에서 서명했기 때문에 차단할 수 없습니다.
애플리케이션을 차단하려고 시도해도 작동하지 않는 경우 최대 표시기 용량에 도달했을 수 있습니다. 그렇다면 이전 표시기를 삭제할 수 있습니다. 지표에 대해 자세히 알아보세요.
수정 작업 보기
요청을 제출한 후 취약성 관리>수정>작업으로 이동하여 새로 만든 수정 작업을 확인합니다.
완화 유형별로 필터링: 차단 및/또는 경고가 차단 또는 경고 작업과 관련된 모든 활동을 확인합니다.
이 로그는 애플리케이션의 현재 블록 상태가 아니라 활동 로그입니다. 관련 활동을 선택하여 수정 설명, 완화 설명 및 디바이스 수정 상태를 포함한 세부 정보가 포함된 플라이아웃 패널을 확인합니다.
차단된 애플리케이션 보기
차단된 애플리케이션 수정> 탭으로 이동하여차단된 애플리케이션 목록을 찾습니다.
차단된 애플리케이션을 선택하여 취약성 수, 익스플로잇 사용 가능 여부, 차단된 버전 및 수정 활동에 대한 세부 정보가 포함된 플라이아웃을 봅니다.
표시기 페이지에서 차단된 버전의 세부 정보를 보는 옵션은 파일 해시 및 응답 작업을 볼 수 있는 설정>엔드포인트>표시기 페이지로 이동합니다.
참고
워크플로의 일부로 프로그래밍 방식 표시기 쿼리와 함께 표시기 API를 사용하는 경우 블록 작업이 추가 결과를 제공합니다.
현재 경고 정책과 관련된 일부 검색은 Microsoft Defender XDR 및/또는 Microsoft Intune에서 활성 맬웨어로 표시할 수 있습니다. 이 동작은 향후 릴리스에서 수정될 예정입니다.
소프트웨어 차단 해제 또는 소프트웨어 열기 페이지도 있습니다.
애플리케이션 차단 해제
차단된 애플리케이션을 선택하여 플라이아웃에서 소프트웨어 차단 해제 옵션을 봅니다.
애플리케이션의 차단을 해제한 후 페이지를 새로 고쳐 목록에서 제거된 것을 확인합니다. 애플리케이션을 차단 해제하고 사용자가 다시 액세스할 수 있게 되는 데 최대 3시간이 걸릴 수 있습니다.
차단된 애플리케이션에 대한 사용자 환경
사용자가 차단된 애플리케이션에 액세스하려고 하면 조직에서 애플리케이션을 사용했음을 알리는 메시지를 받습니다. 이 메시지는 사용자 지정할 수 있습니다.
경고 완화 옵션이 적용된 애플리케이션의 경우 사용자는 조직에서 애플리케이션이 차단되었음을 알리는 메시지를 받습니다. 사용자는 "허용"을 선택하여 후속 실행의 블록을 우회할 수 있습니다. 이 허용은 일시적일 뿐이며 잠시 후 애플리케이션이 다시 차단됩니다.
참고
조직에서 DisableLocalAdminMerge 그룹 정책을 배포한 경우 애플리케이션 허용이 적용되지 않는 인스턴스가 발생할 수 있습니다. 이 동작은 향후 릴리스에서 수정될 예정입니다.
최종 사용자 업데이트 차단된 애플리케이션
일반적으로 묻는 질문은 최종 사용자가 차단된 애플리케이션을 어떻게 업데이트하나요? 블록은 실행 파일을 차단하여 적용됩니다. Firefox와 같은 일부 애플리케이션은 이 기능에 의해 차단되지 않는 별도의 업데이트 실행 파일을 사용합니다. 애플리케이션에서 주 실행 파일을 업데이트해야 하는 경우 경고 모드에서 블록을 구현하거나(최종 사용자가 블록을 바이패스할 수 있도록) 최종 사용자가 애플리케이션을 삭제하고(클라이언트에 중요한 정보가 저장되지 않은 경우) 애플리케이션을 다시 설치하는 것이 좋습니다.