다음을 통해 공유

Microsoft Defender XDR 기만 기능 구성

  • 아티클

적용 대상:

  • Microsoft Defender XDR

참고

Microsoft Defender XDR 기본 제공 기만 기능은 엔드포인트용 Microsoft Defender 온보딩된 모든 Windows 클라이언트를 포함합니다. 온보딩에서 엔드포인트용 Defender에 클라이언트를 온보딩하여 엔드포인트용 Microsoft Defender 방법을 알아봅니다.

Microsoft Defender XDR 사람이 운영하는 횡적 이동을 사용하는 영향력이 큰 공격으로부터 환경을 보호하기 위해 기만 기술이 내장되어 있습니다. 이 문서에서는 Microsoft Defender XDR 기만 기능을 구성하는 방법을 설명합니다.

기만 기능 켜기

기만 기능은 기본적으로 꺼져 있습니다. 켜려면 다음 단계를 수행합니다.

  1. 설정>엔드포인트를 선택합니다.
  2. 일반에서 고급 기능을 선택합니다.
  3. 디셉션 기능을 찾고 스위치를 켜기로 전환합니다.

기만 기능을 구성하는 Defender XDR 설정의 스크린샷

기만 기능을 사용하도록 설정하면 기본 규칙이 자동으로 만들어지고 켜집니다. 그에 따라 편집할 수 있는 기본 규칙은 미끼에 통합된 디코이 계정과 호스트를 자동으로 생성하고 organization 모든 대상 디바이스에 이를 생성합니다. 기만 기능의 scope organization 모든 디바이스로 설정되어 있지만, 미끼는 Windows 클라이언트 디바이스에만 심어집니다.

기만 기능에 의해 생성된 기본 규칙의 스크린샷

기만 규칙 Create 및 수정

참고

Microsoft Defender XDR 현재 최대 10개의 기만 규칙 만들기를 지원합니다.

기만 규칙을 만들려면 다음 단계를 수행합니다.

  1. 설정>엔드포인트로 이동합니다. 규칙에서 기만 규칙을 선택합니다.
  2. 기만 규칙 추가를 선택합니다. 기만 규칙 설정의 규칙 추가 함수 스크린샷
  3. 규칙 만들기 창에서 규칙 이름, 설명을 추가하고 만들 루어 형식을 선택합니다. 기본 및 고급 루어 유형을 모두 선택할 수 있습니다. 기만 규칙 추가 페이지의 스크린샷
  4. scope 섹션에서 미끼를 심으려는 장치를 식별합니다. 모든 Windows 클라이언트 디바이스 또는 특정 태그가 있는 클라이언트에서 미끼를 심도록 선택할 수 있습니다. 기만 기능은 현재 Windows 클라이언트를 다룹니다. 기만 규칙 scope 페이지의 스크린샷
  5. 그러면 디코이 계정 및 호스트를 자동으로 생성하는 데 몇 분 정도 걸립니다. 기만 기능은 Active Directory에서 UPN(사용자 계정 이름)을 모방하는 디코이 계정을 생성합니다.
  6. 자동으로 생성된 디코이스를 검토, 편집 또는 삭제할 수 있습니다. 이 섹션에서 고유한 디코이 계정 및 호스트를 추가할 수도 있습니다. 가양성 검색을 방지하려면 추가된 호스트/IP 주소가 organization 사용되지 않는지 확인합니다. 기만 규칙 디코이 페이지 스크린샷
  7. 미끼 계정 이름, 호스트 이름 및 미끼가 미끼 섹션에 심어진 IP 주소를 편집할 수 있습니다. IP 주소를 추가할 때 organization 있는 경우 샌드박스 IP를 사용하는 것이 좋습니다. 일반적으로 사용되는 주소(예: 127.0.0.1, 10.0.0.1 등)는 사용하지 않습니다. 디코이 호스트 편집 스크린샷디코이 계정 편집 스크린샷

주의

가양성 경고를 방지하려면 디코이 계정 및 호스트를 만들고 편집할 때 고유한 사용자 계정 및 호스트 이름을 만드는 것이 좋습니다. 생성된 사용자 계정 및 호스트가 각 기만 규칙에 대해 고유하고 이러한 계정 및 호스트가 organization 디렉터리에 없는지 확인합니다.

  1. 루어 섹션에서 자동 생성 또는 사용자 지정 미끼를 사용하는지 확인합니다. 사용자 지정 미끼 사용에서 새 미끼 추가를 선택하여 사용자 고유의 미끼를 업로드합니다. 사용자 지정 루어는 모든 파일 형식(.DLL 및 .EXE 파일 제외)일 수 있으며 각각 10MB로 제한됩니다. 사용자 지정 미끼를 만들고 업로드할 때는 미끼가 공격자에게 매력적인지 확인하기 위해 이전 단계에서 생성된 가짜 호스트 또는 가짜 사용자 계정을 포함하거나 멘션 것이 좋습니다. 새 루어 추가 옵션의 스크린샷
  2. 미끼 이름과 미끼를 심을 경로를 제공합니다. 그런 다음 scope 섹션에서 다루는 모든 장치에 미끼를 심고 미끼를 숨겨진 파일로 심으려면 선택할 수 있습니다. 이러한 상자를 선택하지 않은 상태로 두면 기만 기능이 자동으로 미끼를 scope 내의 임의의 디바이스에 저장합니다. 새 루어 세부 정보 추가 창의 스크린샷
  3. 요약 섹션에서 만든 규칙의 세부 정보를 검토합니다. 수정해야 하는 섹션에서 편집을 선택하여 규칙 세부 정보를 편집할 수 있습니다. 검토한 후 저장 을 선택합니다. 편집 옵션이 있는 섹션을 보여 주는 기만 규칙 세부 정보 창의 스크린샷
  4. 새 규칙은 성공적으로 만든 후 기만 규칙 창에 나타납니다. 규칙 만들기를 완료하는 데 약 12-24시간이 걸립니다. 상태를 확인하여 규칙 만들기 진행률을 모니터링합니다.
  5. 적용 및 심은 미끼 및 미끼를 포함하는 디바이스의 세부 정보를 포함하여 활성 규칙의 세부 정보를 검사 규칙 창에서 내보내기를 선택합니다. 디셉션 규칙 세부 정보 내보내기 옵션의 스크린샷

기만 규칙을 수정하려면 다음 단계를 수행합니다.

  1. 기만 규칙 창에서 수정할 규칙을 선택합니다.
  2. 규칙 세부 정보 창에서 편집 을 선택합니다.
  3. 규칙을 해제하려면 편집 창에서 기를 선택합니다.
  4. 기만 규칙을 삭제하려면 편집 창에서 삭제 를 선택합니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.