디바이스는 엔드포인트용 Microsoft Defender 보안 작업의 기초입니다. 디바이스가 환경에 표시되는 방식, 효과적으로 관리하는 방법 및 보안 작업을 위해 디바이스를 구성하는 방법을 이해하는 것은 organization 보호하는 데 필수적입니다.
엔드포인트용 Defender의 디바이스는 무엇인가요?
엔드포인트용 Microsoft Defender 디바이스에는 서비스에 보안 원격 분석을 보고하는 엔드포인트가 포함됩니다. 여기에는 다음이 포함됩니다.
- 컴퓨터 및 모바일 디바이스: 워크스테이션, 서버, 노트북 및 모바일 디바이스(Windows, macOS, Linux, iOS, Android)
- 네트워크 디바이스: 라우터, 스위치 및 기타 네트워크 인프라
- IoT/OT 디바이스: 프린터, 카메라, 산업 제어 시스템 및 운영 기술 디바이스
디바이스는 다음 두 가지 기본 방법을 통해 인벤토리에 표시됩니다.
- 온보딩: 전체 에이전트가 설치된 엔드포인트용 Defender에 명시적으로 온보딩하는 디바이스입니다. 온보딩된 디바이스는 온보딩된 상태 표시하며 일반적으로 활성 센서 상태를 갖습니다. 에이전트가 설치되어 있으므로 엔드포인트용 Defender는 경고, 취약성 및 소프트웨어 인벤토리를 포함하여 이러한 디바이스에서 자세한 보안 데이터를 수집할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 디바이스 온보딩을 참조하세요.
- 검색: 에이전트를 설치하지 않고 네트워크에서 디바이스가 자동으로 검색됩니다. 검색은 네트워크 트래픽을 관찰하거나(기본 검색) 환경을 적극적으로 검색하는 온보딩된 엔드포인트를 통해 발생합니다(표준 검색). 검색된 디바이스에는 온보딩 가능, 지원되지 않음 또는 불충분한 정보의온보딩 상태 표시됩니다. 자세한 내용은 디바이스 검색 개요를 참조하세요.
- IoT 및 OT 디바이스: IoT 및 OT(운영 기술) 디바이스(예: 프린터, 카메라 및 산업 제어 시스템)는 Defender 포털에서 IoT에 대한 Microsoft Defender 사용하도록 설정할 때 인벤토리에 표시됩니다. 이러한 디바이스는 IoT/OT 디바이스 탭에 표시되며 디바이스 유형, 하위 유형, 공급업체 및 모델과 같은 추가 필드를 포함합니다.
디바이스 인벤토리의 검색 원본 열은 각 디바이스가 발견된 방법을 알려줍니다. MDE(엔드포인트용 Defender 센서에서 찾은), Microsoft Defender for IoT(Defender for IoT에서 검색) 및 기타 원본. 이 열을 사용하여 디바이스가 표시되는 이유와 온보딩이 필요한지 여부를 파악합니다.
디바이스 수명 주기 및 여정
엔드포인트용 Defender에서 디바이스를 관리하는 것은 예측 가능한 수명 주기를 따릅니다. 다음 표에서는 주요 단계, 작업, 관련된 역할 및 관련 설명서를 간략하게 설명합니다.
| 단계 | 작업 | 관련된 역할 | 자세히 알아보기 |
|---|---|---|---|
| 디바이스 검색 및 온보딩 | • 네트워크에서 디바이스 검색 • 엔드포인트용 Defender 에이전트를 사용하여 디바이스 온보딩 • 디바이스 인벤토리에서 디바이스 보기 • 위험 수준 및 노출 점수 평가 |
보안 관리자 IT 운영 |
디바이스 인벤토리에서 디바이스 탐색 디바이스 온보딩 장치 검색 구성 |
| scope 및 관련성 관리 | • 임시 디바이스 필터링(자동) • 취약성 관리에서 디바이스 제외(수동) • 보안 주의가 필요한 디바이스 결정 |
보안 관리자 | 디바이스 scope 및 관련성 관리 |
| 태그 및 제외를 사용하여 분류 및 구성 | • 개별 디바이스에 수동 태그 추가 • 규칙을 사용하여 동적 태그 만들기 • 디바이스를 의미 있는 그룹으로 구성 • 비즈니스 컨텍스트에 태그 적용 |
보안 관리자 보안 분석가 |
장치 태그 만들기 및 관리 |
| 보안 작업에 대한 대상 디바이스 | • 역할 기반 액세스에 디바이스 그룹 사용 • 디바이스 그룹에서 사용자 지정 원격 분석 수집 • 태그가 지정된 디바이스에 자동화 규칙 적용 • 디바이스 그룹에 보안 정책 배포 |
보안 관리자 보안 분석가 |
디바이스 태그 및 대상 디바이스 만들기 및 관리 사용자 지정 데이터 수집 |
| 장치 조사 | • 디바이스 타임라인 검토 • 경고 및 인시던트 조사 • 인터넷 연결 디바이스 식별 • 디바이스 그룹 간 위협 찾기 • 응답 작업 수행 |
보안 분석가 보안 관리자 |
장치 조사 디바이스 타임라인 검토 인터넷 연결 디바이스 식별 |
| 모니터링 및 유지 관리 | • 디바이스 상태 상태 모니터링 • 비정상 센서 수정 • 센서 상태 보고서 검토 • 온보딩 추적 상태 |
IT 운영 보안 관리자 |
비정상적인 센서 수정 디바이스 상태 보고서 |
디바이스 대상 지정
디바이스 대상 지정은 디바이스 태그를 사용하여 특정 보안 작업을 수신해야 하는 디바이스를 식별합니다. 디바이스를 개별적으로 관리하는 대신 대상을 지정하면 디바이스를 의미 있는 그룹으로 구성하고 구성, 정책 또는 데이터 수집 규칙을 대규모로 적용할 수 있습니다.
태그 및 그룹
디바이스 태그 는 부서, 위치 또는 중요도와 같은 비즈니스 컨텍스트를 캡처하기 위해 수동으로 또는 동적 규칙을 통해 디바이스에 연결하는 레이블입니다. 모든 사용자는 태그가 지정된 디바이스를 볼 수 있습니다. 태그만으로는 액세스를 제어하거나 보안 정책을 적용하지 않습니다. 대상 지정을 위한 조직의 기반을 제공합니다.
디바이스 그룹은 태그를 기반으로 하여 특정 디바이스에 액세스하고 관리할 수 있는 보안 팀을 제어합니다. 디바이스 그룹을 만들 때 일치 규칙을 정의하고(종종 태그를 기반으로) 자동화된 수정 수준을 설정하고 Microsoft Entra 사용자 그룹을 할당합니다. 디바이스 그룹은 RBAC(역할 기반 액세스 제어)를 사용하도록 설정하여 예를 들어 지역 보안 팀이 해당 지역에 있는 디바이스만 볼 수 있도록 합니다. 자세한 지침은 디바이스 그룹 만들기 및 관리를 참조하세요.
동적 태그와 수동 태그 비교
수동 태그는 포털 또는 API를 통해 개별 디바이스에 직접 적용하는 사용자 지정 레이블입니다. 활성 조사 중에 디바이스 태그 지정과 같은 임시 요구 사항에 빠르게 설정하고 유용합니다. 그러나 크기가 잘 조정되지 않으며 수동 업데이트가 필요합니다. 수동 태그는 사용자 지정 데이터 수집 또는 일부 자동화 시나리오에서 지원되지 않습니다.
동적 태그는자산 규칙 관리에서 정의하는 규칙에 따라 자동으로 적용됩니다. 디바이스 속성이 변경되고(약 1시간마다) 업데이트되고 수천 개의 디바이스로 확장되며 사용자 지정 데이터 수집과 같은 고급 기능에 필요합니다. 수동 작업 없이 최신 상태를 유지하기 위해 태그가 필요할 때마다 동적 태그를 사용합니다.
중요
사용자 지정 데이터 수집을 비롯한 엔드포인트용 고급 Defender 기능에는 동적 태그가 필요합니다. 이러한 시나리오에는 수동 태그가 지원되지 않습니다.
대상 지정 시나리오
다음 표에는 디바이스 대상 지정이 보안 작업을 구동하는 일반적인 시나리오가 요약되어 있습니다.
| 시나리오 | 방법 | 예제 |
|---|---|---|
| 범위 조사 | 부서 또는 인시던트별로 디바이스에 태그를 지정한 다음 태그로 경고 및 고급 헌팅 쿼리를 필터링합니다. | 의심스러운 횡적 이동에 대한 모든 Finance-Department 디바이스를 조사합니다. |
| 특수 원격 분석 수집 | 대상 디바이스에 대한 동적 태그를 만든 다음 사용자 지정 데이터 수집 규칙을 만듭니다. 동적 태그 및 Microsoft Sentinel 작업 영역이 필요합니다. | 에서 파일 액세스 이벤트를 Database-Servers 수집하여 데이터 액세스를 모니터링합니다. |
| 응답 작업 자동화 | 태그를 기반으로 디바이스 그룹에 대한 자동화된 응답을 정의합니다. | 심각도가 높은 맬웨어가 검색되면 디바이스를 자동으로 격리 Public-Kiosk 합니다. |
| RBAC(분석가 액세스 제어) | 태그에서 디바이스 그룹을 만들고 Microsoft Entra 보안 팀에 할당합니다. | Finance Security Team에 디바이스에 Finance-Department 대한 액세스 권한만 부여합니다. |
| 디바이스 유형별 ASR 규칙 배포 | 다른 태그 기반 그룹에 다른 공격 표면 감소 정책을 적용합니다. | 에서 Internet-Facing-Servers공격적 차단, 의 테스트 모드.Development-Machines |
| 조건부 액세스 적용 | 디바이스 위험 수준 및 그룹 멤버 자격을 사용하여 액세스 결정을 알립니다. | 중요한 애플리케이션에 High-Risk-Devices 액세스하려면 MFA가 필요합니다. |
| 지리별로 구성 | 분산 보안 작업을 위해 지역 또는 사이트별로 디바이스에 태그를 지정합니다. | EMEA 보안 팀은 디바이스를 모니터링하고 응답합니다 Location-EMEA . |
| 디바이스 수명 주기 관리 | 운영 단계(프로덕션, 스테이징, 서비스 해제)를 기준으로 디바이스에 태그를 지정합니다. | 프로덕션에 모든 제어를 적용합니다. 서비스 해제에 대한 모니터링을 줄입니다. |
| 새로운 보안 기능 파일럿 | 파일럿 그룹에 수동 태그를 적용하고, 테스트 모드에서 기능을 배포한 다음, 확장합니다. | 를 사용하여 20 디바이스에 태그를 지정하고 ASR-Pilot-2026, 새 규칙을 테스트하고, 구체화한 다음, 광범위하게 롤아웃합니다. |
태그 및 디바이스 그룹을 만드는 방법에 대한 단계별 지침은 디바이스 태그 및 대상 디바이스 만들기 및 관리를 참조하세요.
대상 지정을 통해 구동되는 보안 작업
디바이스 태그 및 그룹을 사용하면 여러 영역에 보안 작업을 적용할 수 있습니다.
| 보안 작업 | 설명 | 시나리오 | 자세히 알아보기 |
|---|---|---|---|
| 조사 및 위협 헌팅 | 특정 디바이스 그룹에 대한 경고 및 scope 조사 필터링 | • 의심스러운 활동에 대한 모든 "재무 부서" 디바이스 조사 • 특정 지역의 "Windows 서버"에서 위협 찾기 • 인시던트 태그를 사용하여 손상과 관련된 디바이스 추적 |
지능형 헌팅 |
| 사용자 지정 데이터 수집 | 동적 태그를 사용하여 디바이스에서 특수 원격 분석 수집 | • "Database-Servers"에서 파일 이벤트 수집 • "Developer-Workstations"에서 네트워크 연결 캡처 • "관리 시스템"에서 스크립트 실행 모니터링 |
사용자 지정 데이터 수집 사용자 지정 데이터 수집 규칙 만들기 |
| 자동화 규칙 | 디바이스 범주에 자동화된 응답 작업 적용 | • 맬웨어가 감지되면 "Public-Kiosk" 디바이스 자동 격리 • 인시던트 중 "위험 서버"에서 포렌식 수집 실행 • 중요한 리소스에서 "BYOD-Devices" 제한 |
자동화된 조사 및 응답 |
| 역할 기반 액세스를 위한 디바이스 그룹 | 특정 디바이스에서 보고 조치를 수행할 수 있는 보안 분석가 제어 | • 재무 보안 팀은 "재무 부서" 디바이스만 관리합니다. • 지역 팀은 지리적 위치에서 디바이스를 관리합니다. • 주니어 분석가가 "비프로덕션" 디바이스 그룹에만 액세스 |
장치 그룹 만들기 및 관리 |
| 공격 표면 감소 규칙 | 다양한 디바이스 유형에 다양한 보안 컨트롤 배포 | • "인터넷 연결 서버"에 대한 엄격한 차단 규칙 • "Development-Machines"의 테스트 모드 • 일반 사용자 워크스테이션에 대한 Standard 기준 |
공격 표면 감소 규칙 |
| 조건부 액세스 정책 | 디바이스 보안 상태 및 태그에 따라 액세스 제어 적용 | • "고위험 디바이스"에 MFA 필요 • 회사 리소스에서 "비준수 디바이스" 차단 • 승인된 서비스에 대한 "Managed-BYOD" 제한된 액세스 허용 |
Intune을 통한 조건부 액세스 |