보안 기준 평가
적용 대상:
참고
이 기능을 사용하려면 독립 실행형 Microsoft Defender 취약성 관리 필요하거나 이미 엔드포인트용 Microsoft Defender 플랜 2 고객인 경우 Defender 취약성 관리 추가 기능이 필요합니다.
끝없는 규정 준수 검사를 실행하는 대신 보안 기준 평가를 통해 organization 보안 기준 준수를 지속적으로 손쉽게 모니터링하고 실시간으로 변경 내용을 식별할 수 있습니다.
보안 기준 프로필은 업계 보안 벤치마크에 대해 organization 엔드포인트를 평가하고 모니터링하기 위해 만들 수 있는 사용자 지정된 프로필입니다. 보안 기준 프로필을 만들 때 여러 디바이스 구성 설정과 비교할 기본 벤치마크로 구성된 템플릿을 만듭니다.
보안 기준은 Windows 10, Windows 11 및 Windows Server 2008 R2 이상에 대한 CIS(Center for Internet Security) 벤치마크와 Windows 10 및 Windows Server 2019용 STIG(보안 기술 구현 가이드) 벤치마크를 지원합니다.
참고
벤치마크는 현재 Microsoft Configuration Manager(Intune)이 아닌 GPO(그룹 정책 Object) 구성만 지원합니다.
팁
Microsoft Defender 취약성 관리 모든 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? 무료 평가판에 등록하는 방법을 알아보세요.
참고
WINDOWS SERVER 2012 R2에서 DFSS(Dynamic Fair Share Scheduling)를 사용하도록 설정한 경우 보안 기준 평가가 지원되지 않습니다.
보안 기준 평가 시작
Microsoft Defender 포털에서 취약성 관리>기준 평가로 이동합니다.
위쪽의 프로필 탭을 선택한 다음 프로필 만들기 단추를 선택합니다.
보안 기준 프로필의 이름과 설명을 입력하고 다음을 선택합니다.
기준 프로필 scope 페이지에서 소프트웨어, 기본 벤치마크(CIS 또는 STIG) 및 규정 준수 수준과 같은 프로필 설정을 설정하고 다음을 선택합니다.
프로필에 포함할 구성을 선택합니다.
organization 임계값 구성 값을 변경하려면 사용자 지정을 선택합니다.
다음을 선택하여 기준 프로필에 포함할 디바이스 그룹 및 디바이스 태그를 선택합니다. 프로필은 나중에 이러한 그룹에 추가된 디바이스에 자동으로 적용됩니다.
다음을 선택하여 프로필을 검토합니다.
제출을 선택하여 프로필을 만듭니다.
마지막 페이지에서 프로필 페이지 보기를 선택하여 평가 결과를 확인합니다.
참고
다양한 사용자 지정을 사용하여 동일한 운영 체제에 대해 여러 프로필을 만들 수 있습니다.
구성을 사용자 지정하면 아이콘이 사용자 지정되었으며 더 이상 권장 값을 사용하지 않음을 나타내기 위해 아이콘이 옆에 표시됩니다. 다시 설정 단추를 선택하여 권장 값으로 되돌리기.
알아야 할 유용한 아이콘:
- 이 구성은 이전에 사용자 지정되었습니다. 사용자 지정을 선택하면 새 프로필을 만들 때 선택할 수 있는 변형이 표시됩니다.
- 이 구성은 사용자 지정되었으며 기본값을 사용하지 않습니다.
보안 기준 평가 개요
보안 기준 평가 개요 페이지에서 디바이스 준수, 프로필 준수, 상위 실패 디바이스 및 잘못 구성된 상위 디바이스를 볼 수 있습니다.
보안 기준 프로필 평가 결과 검토
프로필 페이지에서 프로필을 선택하여 추가 정보가 포함된 플라이아웃을 엽니다.
프로필 페이지 열기를 선택합니다. 프로필 페이지에는 두 개의 탭 구성 및 디바이스 가 포함되어 있습니다.
구성별 보기
구성 탭에서 구성 목록을 검토하고 보고된 준수 상태를 평가할 수 있습니다.
목록에서 구성을 선택하면 권장 값(규정을 준수하는 것으로 간주될 디바이스의 예상 값 범위) 및 현재 디바이스 설정을 확인하는 데 사용되는 원본을 포함하여 정책 설정에 대한 세부 정보가 포함된 플라이아웃이 표시됩니다.
디바이스 탭에는 해당되는 모든 디바이스의 목록과 이 특정 구성에 대한 준수 상태가 표시됩니다. 각 디바이스에 대해 검색된 현재 값을 사용하여 호환되거나 비준수인 이유를 확인할 수 있습니다.
디바이스별 보기
기본 디바이스 탭에서 디바이스 목록을 검토하고 보고된 준수 상태를 평가할 수 있습니다.
목록에서 디바이스를 선택하면 추가 세부 정보가 포함된 플라이아웃이 표시됩니다.
구성 탭을 선택하여 모든 프로필 구성 에 대해 이 특정 디바이스의 준수를 확인합니다.
디바이스 쪽 패널 맨 위에서 디바이스 페이지 열기 를 선택하여 디바이스 인벤토리의 디바이스 페이지로 이동합니다. 디바이스 페이지에는 디바이스 준수에 대한 세부적인 가시성을 제공하는 기준 준수 탭이 표시됩니다.
목록에서 구성을 선택하면 이 디바이스의 정책 설정에 대한 규정 준수 세부 정보가 포함된 플라이아웃이 표시됩니다.
예외 만들기 및 관리
특정 디바이스에서 특정 구성을 평가하지 않으려는 경우가 있을 수 있습니다. 예를 들어 디바이스가 타사 제어 하에 있거나 대체 완화가 이미 있을 수 있습니다. 이러한 상황에서는 예외를 추가하여 디바이스의 특정 구성 평가를 제외할 수 있습니다.
예외에 포함된 디바이스는 기준 프로필에서 지정된 구성에 대해 평가되지 않습니다. 즉, organization 메트릭 및 점수에 영향을 주지 않으며 조직에 규정 준수에 대한 명확한 보기를 제공하는 데 도움이 될 수 있습니다.
예외를 보려면 다음을 수행합니다.
- Microsoft Defender 포털에서 취약성 관리>기준 평가로 이동합니다.
- 맨 위에 있는 예외 탭 선택
새 예외를 추가하려면 다음을 수행합니다.
예외 탭에서 만들기 단추를 선택합니다.
근거 및 기간을 포함하여 요청된 세부 정보를 입력합니다.
다음을 선택합니다.
구성 scope 페이지에서 소프트웨어, 기본 벤치마크 및 규정 준수 수준을 선택하고 다음을 선택합니다.
예외에 추가할 구성을 선택합니다.
다음을 선택하여 예외에 포함할 디바이스를 선택합니다. 예외는 디바이스에 자동으로 적용됩니다.
다음을 선택하여 예외를 검토합니다.
제출을 선택하여 예외를 만듭니다.
마지막 페이지에서 모든 예외 보기를 선택하여 예외 페이지로 돌아갑니다.
예외 페이지에서 예외를 선택하여 상태 보거나 예외를 편집하거나 삭제할 수 있는 플라이아웃 창을 엽니다.
고급 헌팅 사용
다음 테이블에서 고급 헌팅 쿼리를 실행하여 organization 보안 기준에 대한 가시성을 얻을 수 있습니다.
- DeviceBaselineComplianceProfiles: 만든 프로필에 대한 세부 정보를 제공합니다.
- DeviceBaselineComplianceAssessment: 디바이스 준수 관련 정보입니다.
- DeviceBaselineComplianceAssessmentKB: CIS 및 STIG 벤치마크에 대한 일반 설정(디바이스와 관련이 없음).
데이터 수집과 관련된 알려진 문제
특정 버전의 CIS, STIG 및 Microsoft 벤치마크에서 데이터 수집에 영향을 주는 알려진 문제를 알고 있습니다. 이 문제로 인해 이러한 버전에서 테스트를 실행할 때 부정확하거나 불완전한 결과가 발생할 수 있습니다. 이러한 문제는 현재 진행 중이며 향후 업데이트에서 해결될 예정입니다.
이러한 문제의 영향을 피하기 위해 평가를 실행하는 동안 벤치마크 프로필에서 영향을 받는 테스트를 제외하는 것이 좋습니다.
벤치마크 버전이 아래에 나열되지 않고 문제가 발생하는 경우 Microsoft 지원 문의하여 추가 조사 및 해결을 지원하세요.
다음 CIS, Microsoft 및 STIG 벤치마크가 영향을 받습니다.
CIS
- CIS 17.1.1
- CIS 17.2.1
- CIS 17.3.1 ~ 17.3.2
- CIS 17.5.1 ~ 17.5.6
- CIS 17.6.1 ~ 17.6.4
- CIS 17.7.1 ~ 17.7.5
- CIS 17.8.1
- CIS 17.9.1 ~ 17.9.5
CIS 검사 추가
- CIS 2.3.7.3에서 2.3.7.5로
- CIS 2.3.10.1
- CIS 1.1.5
Microsoft 검사
- Microsoft 2.1
- Microsoft 2.10
- Microsoft 2.12 ~ 2.30
- Microsoft 2.33에서 2.37로
- Microsoft 2.40 ~2.50
- Microsoft 3.55
- Microsoft 3.57
- Microsoft 3.60
- Microsoft 3.72
Windows 및 Windows Server에 대한 Microsoft 인증서 저장소 확인
- MCS 1.1 for Windows 10 1909(임시) 1.1.5
- MCS 2.0 for Windows 10 1909(임시) 1.1.5
- MCS 1.1 for Windows 10 20H2(임시) 1.1.5
- MCS 2.0 for Windows 10 20H2(임시) 1.1.5
- Windows 10 v21H2 1.1.5용 MCS 2.0
- Windows 10 v22H2 1.1.5용 MCS 2.0
- MCS 2.0 for Windows 11 1.1.5
- MCS 2.0 for Windows 11 23H2 1.1.5
- Windows Server 2022 1.1.5용 MCS 2.0
- WINDOWS Server 2022 도메인 컨트롤러 1.1.5용 MCS 2.0
- Windows Server 2019 1.1.5용 MCS 2.0
- Windows Server 2019 도메인 컨트롤러 1.1.5용 MCS 2.0
- MCS 2.0 for Windows Server 2016 1.1.5
- Windows Server 2016 도메인 컨트롤러 1.1.5용 MCS 2.0
- Windows Server용 MCS 2.0 2012_R2 1.1.5
- Windows Server 2008_R2(임시) 1.1.5용 MCS 1.1
- Windows Server 2022 도메인 컨트롤러 2.3.10.1용 MCS 2.0
- Windows Server 2019 도메인 컨트롤러 2.3.10.1용 MCS 2.0
- Windows Server 2016 도메인 컨트롤러 2.3.10.1용 MCS 2.0
STIG 목록
- STIG SV-205678r569188
- STIG SV-220746r569187
- STIG SV-220754r569187
- STIG SV-220757r569187
- STIG SV-220760r569187
- STIG SV-220767r569187
- STIG SV-220768r569187
- STIG SV-220768r851975
- STIG SV-220775r569187
- STIG SV-220775r851978
- STIG SV-220786r569187
- STIG SV-220769r569187
- STIG SV-225273r569185
- STIG SV-225281r569185
- STIG SV-225284r569185
- STIG SV-225287r569185
- STIG SV-225292r569185
- STIG SV-225294r569185
- STIG SV-225294r852189
- STIG SV-225295r569185
- STIG SV-225302r569185
- STIG SV-225302r852194
- STIG SV-226092r569184
- STIG SV-226092r794343
- STIG SV-226099r569184
- STIG SV-226099r794279
- STIG SV-226102r569184
- STIG SV-226102r794335
- STIG SV-226107r569184
- STIG SV-226107r794336
- STIG SV-226110r569184
- STIG SV-226110r794366
- STIG SV-226117r569184
- STIG SV-226117r794356
- STIG SV-226117r852079
- STIG SV-226109r569184
- STIG SV-226109r794353
- STIG SV-226109r852074
- STIG SV-226063r569184
- STIG SV-226063r794292
- STIG SV-254271r848629
- STIG SV-224873r569186