디바이스 작업 설명하기
디바이스를 조사할 때 작업을 수행하거나, 데이터를 수집하거나, 컴퓨터에 원격으로 액세스할 수 있습니다. 엔드포인트용 Defender는 필요한 디바이스 컨트롤을 제공합니다.
다음의 포함 작업을 수행할 수 있습니다.
디바이스 격리
앱 실행 제한
바이러스 백신 검사 실행
다음의 조사 작업을 수행할 수 있습니다.
자동화된 조사 시작
조사 패키지 수집
라이브 응답 세션 시작
작업 센터는 디바이스나 파일에 수행한 작업 정보를 제공합니다.
네트워크에서 디바이스 격리
공격 심각도와 디바이스 민감도에 따라 네트워크에서 디바이스를 격리하는 것이 좋습니다. 이 작업은 공격자가 손상된 디바이스를 제어하고 데이터 반출 및 측면 이동과 같은 추가 작업을 수행하는 것을 방지하는 데 도움이 됩니다.
이 디바이스 격리 기능은 디바이스를 지속적으로 모니터링하는 엔드포인트 서비스용 Defender에 대한 연결을 유지하는 동시에 네트워크에서 손상된 디바이스의 연결을 끊습니다.
Windows 10 버전 1709 이상에서는 네트워크 격리 수준에 대한 다른 제어가 제공됩니다. Outlook, Microsoft Teams, 비즈니스용 Skype 연결(‘선택적 격리’)을 사용하도록 선택할 수도 있습니다.
디바이스 페이지에서 디바이스 격리를 선택한 후에는 설명을 입력하고 확인을 선택합니다. 작업 센터는 검색 정보를 표시하고 디바이스 타임라인에는 새 이벤트가 포함됩니다.
디바이스가 격리되면 디바이스가 네트워크에서 격리되고 있음을 사용자에게 알리는 알림이 표시됩니다.
앱 실행 제한
악의적인 프로세스를 중지하여 공격을 포함하는 것 외에도 디바이스를 잠그고 잠재적 악성 프로그램의 후속 시도를 실행하지 못하게 할 수 있습니다.
중요
이 작업은 Windows 10 버전 1709 이상의 디바이스에 사용할 수 있습니다. 조직에서 Microsoft Defender 바이러스 백신을 사용하는 경우 이 기능을 사용할 수 있습니다. 이 작업은 Windows Defender 애플리케이션 제어 코드 무결성 정책 형식 및 서명 요구 사항을 충족해야 합니다. 애플리케이션이 실행되는 것을 제한하기 위해 Microsoft에서 발급한 인증서로 서명된 경우에만 파일을 실행할 수 있도록 코드 무결성 정책이 적용됩니다. 이 제한 사항은 공격자가 손상된 디바이스를 제어하고 추가 악의적인 작업을 수행하는 것을 방지하는 데 도움이 됩니다.
언제든지 애플리케이션의 실행 제한을 되돌릴 수 있습니다. 디바이스 페이지의 단추가 앱 제한 제거로 변경되고 앱 실행을 제한하는 것과 동일한 단계를 수행합니다.
디바이스 페이지에서 앱 실행 제한을 선택하고 나서 설명을 입력하고 확인을 선택합니다. 작업 센터는 검색 정보를 표시하고, 디바이스 타임라인에는 새 이벤트가 포함됩니다.
앱이 제한되면 앱이 실행되는 것을 제한하고 있음을 사용자에게 알리는 알림이 표시됩니다.