환경 고급 기능 구성
일반 설정 영역의 고급 기능 영역에서는 제품 내의 기능에 대한 다양한 설정/해제 스위치를 제공합니다. 해당 기능 중 일부는 이후 모듈에서 알아봅니다.
사용하는 Microsoft 보안 제품에 따라 엔드포인트용 Defender를 통합하는 데 몇 가지 고급 기능을 사용할 수 있습니다.
탐색 창에서 설정 > 엔드포인트 > 고급 기능을 선택합니다.
구성하려는 고급 기능을 선택하고 설정과 해제 간에 설정을 전환합니다.
기본 설정 저장을 선택합니다.
다음 고급 기능을 사용하여 잠재적으로 악의적인 파일로부터 더 잘 보호하고 보안 조사 중에 더 나은 인사이트를 얻을 수 있습니다.
자동 조사
서비스의 자동 조사 및 수정 기능을 활용하려면 해당 기능을 사용하도록 설정하세요. 자세한 내용은 자동 조사를 참조하세요.
라이브 응답
참고
라이브 응답을 사용하려면 포털의 고급 설정 섹션에서 자동 조사를 사용하도록 설정해야 합니다.
적절한 사용 권한이 있는 사용자가 디바이스에서 라이브 응답 세션을 시작할 수 있도록 해당 기능을 설정합니다.
서버에 대한 라이브 응답
적절한 사용 권한이 있는 사용자가 서버에서 라이브 응답 세션을 시작할 수 있도록 해당 기능을 설정합니다.
라이브 응답 서명되지 않은 스크립트 실행
해당 기능을 사용하도록 설정하면 서명되지 않은 스크립트를 라이브 응답 세션에서 실행할 수 있습니다.
항상 PUA 수정
PUA(사용자 동의 없이 설치된 애플리케이션)는 머신이 느리게 실행되거나, 예기치 않은 광고를 표시하거나, 최악의 경우 예기치 않거나 원치 않는 다른 소프트웨어를 설치할 수 있는 소프트웨어 범주입니다.
PUA 보호가 디바이스에 구성되지 않은 경우에도 테넌트의 모든 디바이스에서 PUA(사용자 동의 없이 설치된 애플리케이션)가 수정되도록 이 기능을 켭니다. 이 기능을 활성화하면 사용자가 실수로 디바이스에 원치 않는 애플리케이션을 설치하지 못하도록 보호하는 데 도움이 됩니다. 해제된 경우 수정은 디바이스 구성에 따라 달라집니다.
범위가 지정된 디바이스 그룹 내에서 상관 관계 제한
이 구성은 로컬 SOC 작업에서 액세스할 수 있는 디바이스 그룹으로만 경고 상관 관계를 제한하려는 시나리오에 사용할 수 있습니다. 이 설정을 사용하도록 설정하면 디바이스 간 그룹이 더 이상 단일 인시던트로 간주되지 않는 경고로 구성된 인시던트가 발생합니다. 로컬 SOC는 관련된 디바이스 그룹 중 하나에 액세스할 수 있으므로 인시던트에 대한 조치를 취할 수 있습니다. 그러나 전역 SOC는 하나의 인시던트 대신 장치 그룹별로 여러 다른 인시던트가 표시됩니다. 전체 조직에서 인시던트 상관 관계의 이점을 능가하지 않는 한 이 설정을 켜지 않는 것이 좋습니다.
참고
이 설정을 변경하면 향후 경고 상관 관계에만 영향을 줍니다.
블록 모드에서 EDR 사용 설정
블록 모드의 EDR(엔드포인트 검색 및 응답)은 Microsoft Defender 바이러스 백신이 수동 모드로 실행되는 경우에도 악의적인 아티팩트로부터 보호를 제공합니다. EDR이 켜지면 블록 모드의 EDR은 디바이스에서 검색되는 악의적인 아티팩트 또는 동작을 차단합니다. 블록 모드의 EDR은 백그라운드에서 작동하여 위반 후 감지되는 악성 아티팩트를 재구성합니다.
수정 경고 자동 해결
Windows 10 버전 1809 이상을 사용하여 생성된 테넌트의 경우 자동 조사 및 수정 기능이 기본값으로 구성되어 자동 분석 결과 상태가 “발견된 위협이 없음” 또는 “수정됨”인 경고를 해결합니다. 경고를 자동으로 해결하지 않으려면 기능을 수동으로 비활성화해야 합니다.
팁
해당 버전 이전에 만든 테넌트의 경우 고급 기능 페이지에서 이 기능을 수동으로 켜야 합니다.
참고 항목
자동 해결 작업의 결과는 디바이스에서 발견된 활성 경고를 기반으로 하는 디바이스 위험 수준 계산에 영향을 미칠 수 있습니다. 보안 작업 분석가가 경고 상태를 수동으로 “진행 중” 또는 “해결됨”으로 설정하는 경우 자동 해결 기능은 이를 덮어쓰지 않습니다.
파일 허용 또는 차단
차단은 조직에서 다음 요구 사항을 충족하는 경우에만 사용할 수 있습니다.
- Microsoft Defender 바이러스 백신을 활성 맬웨어 방지 솔루션으로 사용
- 클라우드 기반 보호 기능을 사용 설정
해당 기능을 사용하면 네트워크에서 잠재적인 악성 파일을 차단할 수 있습니다. 파일을 차단하면 조직의 장치에서 파일을 읽고 쓰거나 실행할 수 없습니다.
해당 기능을 사용하도록 설정한 다음 파일의 프로필 페이지에서 지표 추가 탭을 통해 파일을 차단할 수 있습니다.
사용자 지정 네트워크 지표
해당 기능을 설정하면 IP 주소, 도메인 또는 URL에 대한 지표를 만들어 사용자 지정 지표 목록에 따라 허용 또는 차단 여부를 결정할 수 있습니다.
이 기능을 사용하려면 디바이스가 Windows 10 버전 1709 이상 또는 Windows 11을 실행 중이어야 합니다. 또한 차단 모드에서 네트워크 보호 기능이 있어야 하며 맬웨어 방지 플랫폼 버전 4.18.1906.3 이상은 KB 4052623을 참조합니다.
참고 항목
네트워크 보호는 엔드포인트용 Defender 데이터에 대해 선택한 위치의 외부에 있을 수 있는 위치에서 요청을 처리하는 평판 서비스를 사용합니다.
변조 보호
어떤 종류의 사이버 공격 중에 악의적인 행위자가 머신에서 바이러스 백신 보호와 같은 보안 기능을 사용하지 않도록 설정하려고 합니다. 악의적인 행위자는 데이터에 더 쉽게 액세스하거나, 맬웨어를 설치하거나, 데이터, ID, 디바이스를 악용하기 위해 보안 기능을 사용하지 않도록 설정하는 것을 좋아합니다.
변조 방지는 기본적으로 Microsoft Defender 바이러스 백신을 잠그고 앱 및 방법을 통해 보안 설정이 변경되지 않도록 합니다.
조직에서 Microsoft Defender 바이러스 백신을 사용하고 클라우드 기반 보호를 사용하는 경우 해당 기능을 사용할 수 있습니다.
보안 솔루션 및 필수 기능에 대한 원치 않는 변경을 방지하기 위해 변조 보호 기능을 켜두세요.
사용자 세부 정보 표시
Microsoft Entra ID에 저장된 사용자 세부 정보를 볼 수 있도록 이 기능을 켭니다. 세부 정보에는 사용자 계정 엔터티를 조사하는 시점의 사용자 사진, 이름, 직함 및 부서 정보가 포함됩니다. 다음 보기에서 사용자 계정 정보를 찾을 수 있습니다.
- 보안 운영 대시보드
- 경고 큐
- 디바이스 세부 정보 페이지
비즈니스용 Skype 통합
비즈니스용 Skype 통합을 사용하도록 설정하면 비즈니스용 Skype, 메일 또는 전화를 사용하는 사용자와 소통할 수 있습니다. 이 활성화는 사용자와 통신하고 위험을 완화해야 할 때 편리할 수 있습니다.
참고 항목
장치가 네트워크에서 격리되는 경우 사용자가 네트워크와 연결이 끊어졌을 때 Outlook과 Skype 통신을 활성화할 수 있는 팝업이 나타납니다. 이 설정은 디바이스가 격리 모드인 경우 Skype 및 Outlook 통신에 적용됩니다.
Microsoft Defender for Identity 통합
Microsoft Defender for Identity와 통합하면 다른 Microsoft Defender for Identity 보안 제품에 직접 피벗할 수 있습니다. Microsoft Defender for Identity는 손상된 것으로 의심되는 계정 및 관련 리소스에 대한 더 많은 인사이트를 통해 조사를 보강합니다. 이 기능을 사용하도록 설정하면 ID 관점에서 네트워크를 피벗하여 디바이스 기반 조사 기능이 보강됩니다.
참고 항목
이 기능을 사용하려면 적절한 라이선스가 있어야 합니다.
Office 365 위협 인텔리전스 연결
이 기능은 활성 Office 365 E5 또는 위협 인텔리전스 추가 기능이 있는 경우에만 사용할 수 있습니다.
이 기능을 사용하도록 설정하면 Office 365용 Microsoft Defender의 데이터를 Microsoft Defender XDR로 통합하여 Office 365 사서함 및 Windows 디바이스에서 포괄적인 보안 조사를 수행할 수 있습니다.
참고 항목
이 기능을 사용하려면 적절한 라이선스가 있어야 합니다.
Office 365 위협 인텔리전스에서 상황별 디바이스 통합을 수신하려면 Security & Compliance 대시보드의 엔드포인트용 Defender 설정을 사용하도록 설정해야 합니다.
Microsoft 위협 전문가 - 대상 공격 알림
미리 보기를 신청하고 애플리케이션이 승인된 경우에만 주문형 전문가 기능을 사용할 수 있습니다. 포털의 경고 대시보드 및 구성한 경우 메일을 통해 Microsoft 위협 전문가 대상 공격 알림을 받을 수 있습니다.
Microsoft Defender for Cloud 앱
해당 설정을 사용하도록 설정하면 엔드포인트용 Defender 신호를 Microsoft Defender for Cloud Apps로 전달하여 클라우드 애플리케이션 사용에 대한 심층적인 가시성을 제공합니다. 전달된 데이터는 Defender for Cloud Apps 데이터와 동일한 위치에 저장되고 처리됩니다.
Microsoft Defender for Identity 포털에서 엔드포인트용 Microsoft Defender 통합 사용
Microsoft Defender for Identity의 상황별 디바이스 통합을 받으려면 Microsoft Defender for Identity 포털에서도 이 기능을 사용하도록 설정해야 합니다.
웹 콘텐츠 필터링
원치 않는 콘텐츠가 포함된 웹 사이트에 대한 액세스를 차단하고 모든 도메인에서 웹 활동을 추적합니다. 차단하려는 웹 콘텐츠 범주를 지정하려면 웹 콘텐츠 필터링 정책을 만듭니다. 엔드포인트용 Microsoft Defender 보안 기준을 배포할 때 블록 모드에서 네트워크 보호가 있는지 확인합니다.
Microsoft Purview 규정 준수 포털을 사용하여 엔드포인트 경고 공유
엔드포인트 보안 경고와 심사 상태를 Microsoft Purview 규정 준수 포털에 전달하여 경고를 통해 내부 위험 관리 정책을 개선하고 위험을 발생하기 전에 내부 위험을 수정할 수 있습니다. 전달된 데이터는 Office 365 데이터와 동일한 위치에서 처리되고 저장됩니다.
내부 위험 관리 설정에서 보안 정책 위반 지표를 구성하면 엔드포인트용 Defender 경고는 해당 사용자를 위한 내부 위험 관리를 사용하여 공유됩니다.
Microsoft Intune 연결
엔드포인트용 Defender를 Microsoft Intune과 통합하여 디바이스 위험 기반 조건부 액세스를 사용하도록 설정할 수 있습니다. 해당 기능을 사용하도록 설정하면 엔드포인트용 Defender 디바이스 정보를 Intune과 공유하여 정책 적용을 강화할 수 있습니다.
중요
해당 기능을 사용하려면 Intune과 엔드포인트용 Defender 모두에서 통합을 사용하도록 설정해야 합니다.
이 기능은 다음과 같은 필수 구성 요소가 있는 경우에만 사용할 수 있습니다.
Enterprise Mobility + Security E3 및 Windows E5(또는 Microsoft 365 Enterprise E5)에 대한 라이선스가 부여된 테넌트
Intune 관리형 Windows 디바이스가 Microsoft Entra가 조인된 활성 Microsoft Intune 환경입니다.
조건부 액세스 정책
Intune 통합을 사용하도록 설정하면 Intune에서 자동으로 클래식 CA(조건부 액세스) 정책을 생성합니다. 해당 클래식 CA 정책은 Intune으로 상태 보고서를 설정하기 위한 필수 구성 요소로 삭제하면 안 됩니다.
참고
Intune에서 만든 클래식 CA 정책은 엔드포인트를 구성하는 데 사용되는 최신 조건부 액세스 정책과 다릅니다.
디바이스 검색
추가 어플라이언스 또는 번거로운 프로세스 변경 없이 회사 네트워크에 연결된 관리되지 않는 디바이스를 찾을 수 있습니다. 온보딩된 디바이스를 사용하여 네트워크에서 관리되지 않는 디바이스를 찾고 취약성과 위험을 평가할 수 있습니다.
참고
항상 필터를 적용하여 디바이스 인벤토리 목록에서 관리되지 않는 디바이스를 제외할 수 있습니다. API 쿼리에서 온보딩 상태 열을 사용하여 관리되지 않는 디바이스를 필터링할 수도 있습니다.
미리 보기 기능
엔드포인트용 Defender 미리 보기 릴리스의 새로운 기능에 대해 알아보세요. 미리 보기 환경을 켜서 예정된 기능을 사용해 보세요.
예정된 기능에 대한 액세스를 통해 기능이 일반적으로 제공되기 전에 전반적인 환경을 개선하는 데 도움이 되는 피드백을 제공할 수 있습니다.
격리된 파일 다운로드
격리된 파일을 격리에서 직접 다운로드할 수 있도록 보안 및 규격 위치에 백업합니다. 파일 다운로드 단추는 항상 파일 페이지에서 사용할 수 있습니다. 이 설정은 기본적으로 꺼져 있습니다.