이 문서는 공격 표면 감소 규칙 배포 가이드의 일부입니다.
ASR(공격 표면 감소) 규칙 테스트는 배포에서 중요한 단계입니다. ASR 규칙이 기간 업무 앱을 차단하는지 확인해야 합니다. 제어되는 소규모 그룹으로 시작하여 organization 배포를 확장할 때 잠재적인 작업 중단을 제한할 수 있습니다.
참고
ASR 규칙 배포의 테스트 단계를 시작하기 전에 현재 차단 또는 경고 모드에서 사용하도록 설정된 관련 ASR 규칙을 사용하지 않도록 설정합니다(해당하는 경우). 보고서를 사용하여 사용 가능한 ASR 규칙을 찾는 방법에 대한 자세한 내용은 공격 표면 감소 규칙 보고서를 참조하세요.
다음 다이어그램에 설명된 대로 링 1을 사용하여 ASR 규칙 배포를 시작합니다.
배포 전 규칙 평가 및 평가
엔드포인트용 Defender 플랜 2에서 Microsoft Defender 취약성 관리 높은 수준의 영향 지표(예: 디바이스에서 감사 활동이 관찰되었는지 여부)를 제공할 수 있는 ASR 규칙 관련 보안 권장 사항을 표시합니다.
의 Microsoft Defender 포털에서 https://security.microsoft.com노출 관리>권장 사항(또는 의 보안 권장 사항 페이지https://security.microsoft.com/exposure-recommendations)으로 직접 이동합니다. 보안 권장 사항 페이지에서 ASR 규칙을 선택하여 세부 정보 플라이아웃을 연 다음 디바이스 탭을 선택합니다. 사용자 영향 값은 생산성에 부정적인 영향을 주지 않고 블록 모드에서 규칙을 사용하도록 설정하는 새 정책을 수락할 수 있는 디바이스의 비율을 보여 줍니다.
참고
차단 또는 경고 모드에서 ASR 규칙을 사용하도록 설정하기 전에 ASR 규칙의 잠재적 효과를 정확하게 평가하려면 감사 모드 데이터 및 공격 표면 감소 규칙 보고서 또는 고급 헌팅 데이터와 같은 자세한 보고를 검토해야 합니다.
1단계: 감사 모드에서 모든 ASR 규칙 테스트
참고
앞에서 설명한 대로 일반적으로 테스트 없이 차단 또는 경고 모드에서 표준 보호 규칙을 사용하도록 설정할 수 있습니다.
일반적으로 감사 모드에서 모든 ASR 규칙을 동시에 사용하도록 설정하여 일상적인 비즈니스 활동에 의해 트리거되는 규칙을 결정할 수 있습니다. 링 1에서 ASR 규칙 챔피언 또는 디바이스로 시작합니다.
감사 모드의 ASR 규칙은 사용자에게 영향을 주지 않습니다. 그러나 규칙은 평가할 수 있는 기록된 이벤트를 생성합니다.
organization Microsoft Intune(Microsoft 365 E5 같은 구독에 포함되거나 추가 기능으로 제공되는 경우) Intune 공격 표면 감소 엔드포인트 보안 정책을 사용하여 감사 모드에서 ASR 규칙을 구성하고 배포합니다. 지침은 엔드포인트 보안 정책을 사용하여 Intune ASR 규칙 및 제외 구성을 참조하세요.
Intune 없는 경우 다른 ASR 규칙 배포 방법을 사용할 수 있습니다.
팁
ASR 규칙에 사용하는 배포 방법은 디바이스가 엔드포인트용 Defender에 등록된 한 보고 데이터에 영향을 주지 않습니다.
2단계: ASR 규칙 데이터 검토 및 영향 평가
ASR 규칙이 감사 모드로 배포된 후 트리거된 이벤트를 검토하여 해당 효과를 평가하고 다음 방법 중 일부 또는 전부를 사용하여 잠재적인 제외를 식별합니다.
엔드포인트용 Defender 플랜 2 또는 비즈니스용 Microsoft Defender Microsoft Defender 포털에서 공격 표면 감소 규칙 보고서를 사용합니다. 자세한 내용은 ASR(공격 표면 감소) 규칙 보고서를 참조하세요.
엔드포인트용 Defender 플랜 2에서 고급 헌팅을 사용하여 ASR 규칙 이벤트를 찾습니다. 자세한 내용은 고급 헌팅의 ASR 규칙 이벤트를 참조하세요.
엔드포인트용 Defender 플랜 2 또는 비즈니스용 Defender 엔드포인트용 Defender 디바이스 타임라인 사용합니다. 자세한 내용은 디바이스 타임라인 엔드포인트용 Microsoft Defender 참조하세요.
그렇지 않으면 ASR 규칙 이벤트는 로컬 디바이스의 Windows 이벤트 뷰어만 사용할 수 있습니다. 그러나 Windows 이벤트 전달을 사용하여 ASR 규칙 데이터 수집을 중앙 집중화할 수 있습니다.
특히 애플리케이션 및 서비스 로그>Microsoft>Windows Defender>>운영 로그(감사 모드의 규칙에 대한 이벤트)에서 이벤트 ID 1122를 찾습니다. ASR 규칙 이벤트 ID 및 자세한 단계의 전체 목록은 Windows 이벤트 뷰어 공격 표면 감소 이벤트 보기를 참조하세요.
3단계: ASR 규칙 제외 구성
감사 모드에서 ASR 규칙 데이터를 검토한 후 일부 ASR 규칙이 합법적인 비즈니스 앱 또는 활동(가양성이라고 함)을 차단하는 것을 발견할 수 있습니다. 제외를 추가하여 ASR 규칙이 영향을 받는 파일 또는 폴더를 평가하지 못하도록 할 수 있습니다.
ASR 규칙에 대해 지원되는 제외 유형에 대한 개요는 ASR 규칙에 대한 파일 및 폴더 제외를 참조하세요.
Microsoft Intune 공격 표면 감소 엔드포인트 보안 정책을 사용하여 ASR 규칙을 배포한 경우 동일한 정책을 사용하여 ASR 규칙 제외를 구성합니다. 지침은 엔드포인트 보안 정책을 사용하여 Intune ASR 규칙 및 제외 구성을 참조하세요.
다른 메서드를 사용하여 ASR 규칙을 배포한 경우 동일한 메서드를 사용하여 ASR 규칙 제외를 구성합니다.
팁
규칙 제외는 규칙을 해제하거나 감사 모드로 다시 전환하는 것보다 낫습니다. 사용 가능한 규칙에서 경고 모드를 활용하여 규칙을 완전히 사용하지 않도록 설정하지 않고 중단을 제한합니다. 자세한 내용은 ASR 규칙 모드를 참조하세요.