ASR(공격 표면 감소) 규칙 배포 계획

  • 적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

이 문서는 공격 표면 감소 규칙 배포 가이드의 일부입니다.

ASR(공격 표면 감소) 규칙을 테스트하거나 사용하도록 설정하기 전에 배포를 계획합니다. 이 문서에서는 비즈니스 요구 사항에 맞게 조정할 수 있는 계획 방법론에 대해 설명합니다.

ASR 규칙 계획 단계의 다이어그램: 배포 링 확인, 챔피언 식별, 앱 인벤토리 및 팀 역할 정의.

일반적으로 테스트 없이 차단 또는 경고 모드에서 표준 보호 규칙을 사용하도록 설정할 수 있습니다. 차단 또는경고 모드로 전환하기 전에 감사 모드에서 다른 ASR 규칙을 테스트해야 합니다. 자세한 내용은 ASR 규칙 배포 가이드를 참조하세요.

배포 가이드에 대한 인프라 요구 사항

ASR 규칙을 사용하도록 설정하는 방법에는 여러 가지가 있지만 이 배포 가이드는 다음을 사용하는 인프라를 기반으로 합니다.

  • Microsoft Entra ID
  • Microsoft Intune
  • 디바이스 Windows 10 및 Windows 11
  • E5 또는 Windows E5 라이선스 엔드포인트용 Microsoft Defender

ASR 규칙 및 보고를 최대한 활용하려면 Microsoft 365 E5, Windows E5 또는 Microsoft 365 A5 라이선스를 사용합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 대한 최소 요구 사항을 참조하세요.

참고

비 Microsoft 호스트 침입 방지 시스템(HIPS)에서 Microsoft Defender 바이러스 백신 및 ASR 규칙으로 전환하는 경우 구현 단계에서차단 모드에서 규칙을 사용하도록 설정할 때까지 ASR 규칙과 함께 HIPS 솔루션을 실행합니다. 제외 권장 사항은 바이러스 백신 솔루션 공급자에게 문의하세요.

1단계: 사업부 식별

테스트 단계에서 ASR 규칙을 받을 첫 번째 사업부를 선택하는 방법은 다음 요인에 따라 달라집니다.

  • 사업부의 크기(더 작을수록 관리하기 쉽음)
  • ASR 규칙 챔피언의 가용성
  • 영향을 받는 소프트웨어의 배포 및 사용 예시:
    • 소프트웨어
    • 공유 폴더
    • 스크립트
    • Office 매크로

비즈니스 요구 사항에 따라 다음 선택 사항 중 하나가 명확하게 결정될 수 있습니다.

  • ASR 규칙이 영향을 줄 수 있는 소프트웨어, 공유 폴더, 스크립트, 매크로 및 기간 업무 앱의 광범위한 샘플링을 얻기 위해 여러 사업부를 포함합니다.
  • 초기 scope 단일 사업부로 제한하고, 해당 사업부의 모든 문제를 해결한 다음, 다른 사업부에 개별적으로 롤아웃을 반복합니다.

2단계: ASR 규칙 챔피언 식별

ASR 규칙 챔피언은 예비 테스트 및 구현 단계에서 도움을 줄 수 있는 영향을 받는 사업부의 사용자입니다. 일반적으로 챔피언은 더 많은 기술 능력을 가지고 있으며 일시적인 워크플로 중단을 신경 쓰지 않습니다. 챔피언 참여는 organization ASR 규칙 배포의 광범위한 확장을 통해 계속됩니다. ASR 규칙 챔피언은 ASR 규칙 롤아웃의 각 수준을 경험하는 첫 번째 챔피언입니다.

ASR 규칙 챔피언에게 작업 중단을 경고하고 ASR 규칙 롤아웃 통신을 수신하도록 경고하기 위한 피드백 및 응답 채널을 제공하는 것이 중요합니다.

3단계: 기간 업무 앱 인벤토리 및 사업부 프로세스 이해

성공적인 ASR 규칙 배포에는 organization 앱 및 비즈니스 프로세스를 완전히 이해하는 것이 중요합니다. 이러한 앱이 organization 다양한 사업부 내에서 어떻게 사용되는지 이해해야 합니다.

organization 승인된 앱의 인벤토리를 가져옵니다. Microsoft 365 앱 관리 센터와 같은 도구를 사용하여 도움을 줄 수 있습니다. 자세한 내용은 Microsoft 365 앱 관리 센터의 인벤토리 개요를 참조하세요.

참고

부호 없는 내부적으로 개발된 앱과 스크립트를 자주 사용하는 경우 일부 ASR 규칙이 제대로 작동하지 않습니다. 코드 서명을 적용하지 않으면 ASR 규칙을 배포하기가 더 어렵습니다.

4단계: 보고 및 응답 ASR 규칙 팀 역할 및 책임 정의

ASR 규칙 상태 및 활동을 모니터링하고 전달하기 위한 역할과 책임을 명확하게 설명합니다. 따라서 다음을 결정하는 것이 중요합니다.

  • 보고서를 수집할 책임은 누구인가요?
  • 보고서를 공유하는 방법 및 대상.
  • ASR 규칙에 따라 새 위협 또는 원치 않는 블록을 에스컬레이션하고 해결하는 방법입니다.

일반적인 역할 및 책임은 다음과 같습니다.

  • IT 관리자: ASR 규칙을 구현하고 제외를 관리합니다. 앱 및 프로세스에서 다양한 사업부로 작업합니다. 관련자에게 보고서를 만들고 공유합니다.
  • CSOC(인증된 보안 운영 센터) 분석가: 우선 순위가 높은 차단된 프로세스를 조사합니다.
  • CISO(최고 정보 보안 책임자) : organization 전반적인 보안 상태 및 상태를 담당합니다.

5단계: ASR 규칙 배포 링 정의

대기업의 경우 링에 ASR 규칙을 배포 합니다. 사업부, ASR 규칙 챔피언, 앱 및 프로세스의 평가를 통해 링을 정의합니다. 첫 번째 링에 ASR 규칙을 성공적으로 배포한 후 다음 링으로 테스트 단계로 전환할 수 있습니다. Windows 업데이트의 단계적 롤아웃을 위해 링을 이미 정의한 경우 동일한 링을 사용하여 ASR 규칙을 배포할 수 있습니다.

링에 대한 자세한 내용은 Windows: 배포 계획 만들기를 참조하세요.

관련 콘텐츠

  • Last updated on