태그 및 제외를 사용하여 디바이스 scope 및 관련성 관리

  • 적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

네트워크에서 검색된 모든 디바이스에 동일한 수준의 보안 주의가 필요한 것은 아닙니다. 일부 디바이스는 네트워크(게스트, 테스트 디바이스)에 잠시 표시되는 반면, 다른 디바이스는 취약성 관리(격리된 랩, 서비스 해제된 시스템)를 위해 영구적으로 scope 않습니다. 일시적인 디바이스 태그 지정 및 디바이스 제외를 사용하여 디바이스 scope 관리하면 보안 팀이 관련 디바이스에 집중하고, 정확한 노출과 보안 점수를 보장하며, 실제 프로덕션 환경을 반영하는 더 깨끗한 보고서를 생성합니다.

태그 또는 제외 사용

엔드포인트용 Defender는 디바이스 관련성을 관리하기 위한 두 가지 보완 메커니즘을 제공합니다. 다음 표를 사용하여 상황에 맞는 방법을 결정합니다.

상황 방법 작동 방법 영향
디바이스가 자주 나타나고 사라집니다(게스트, 테스트 VM, 수명이 짧은 컨테이너) 일시적인 디바이스 태그 지정 (자동) 내부 알고리즘은 간헐적인 네트워크 패턴을 검색하고 일치하는 디바이스에 태그를 지정합니다. 서버, 네트워크 디바이스, 프린터, 산업용 및 스마트 시설 디바이스는 일시적인 태그가 지정되지 않습니다. 일시적인 디바이스는 기본 인벤토리 보기에서 필터링되지만 필터를 변경하면 계속 표시됩니다. 노출 점수, 보안 점수, 취약성 보고서 및 고급 헌팅에는 이러한 디바이스가 여전히 포함됩니다.
영구 랩 또는 샌드박스 환경 디바이스 제외 (수동) 문서화된 근거를 사용하여 개별적으로 또는 대량으로 디바이스를 제외합니다. 제외된 디바이스는 취약성 관리 페이지 또는 보고서에 표시되지 않으며 노출 또는 보안 점수에 기여하지 않습니다. 디바이스 인벤토리에 남아 있지만 제외된 것으로 표시됩니다.
서비스 해제를 위해 예약된 디바이스 디바이스 제외 (수동) 근거와 함께 제외하고 계획된 사용 중지 날짜에 대해 기록해 둡다. 위와 동일합니다. 기록 레코드는 인벤토리에 남아 있습니다.
이미지 다시 설치 후 중복 항목 디바이스 제외 (수동) "중복 디바이스" 근거로 사용되지 않는 항목을 제외합니다. 활성 디바이스를 scope 유지합니다. 인벤토리를 정리하고 정확한 디바이스 수를 보장합니다.
오랜 기간 동안 오프라인 상태인 디바이스 이미 일시적인 태그가 지정되었는지 확인합니다. 그렇지 않은 경우 제외를 고려합니다. 일시적인 태그 지정은 이미 이를 처리할 수 있습니다. 디바이스가 반환되지 않는 경우에만 수동으로 제외합니다. 선택한 접근 방식에 따라 달라집니다.
일시적으로 무시하려는 활성 디바이스 디바이스 필터 또는 사용자 지정 태그 인벤토리 필터 또는 디바이스 태그를 사용하여 대상 보기를 만듭니다. 전체 표시 유형이 유지됩니다. 사각지대를 만드는 활성 디바이스를 제외하지 마세요.
다른 팀에서 관리하는 디바이스 디바이스 필터 또는 사용자 지정 태그 디바이스 태그 및 필터를 사용하여 팀당 보기를 scope. 전체 표시 유형은 organization 걸쳐 유지 관리됩니다.

중요

임시 태그가 지정된 디바이스와 제외된 디바이스를 정기적으로 검토합니다. 디바이스를 제외할 때 항상 의미 있는 메모를 추가합니다. 활성 네트워크 연결 디바이스를 제외하지 마세요. 제외는 실제 위험이 아닌 취약성 관리 가시성에만 영향을 줍니다.

일시적인 디바이스 보기 및 관리

일시적인 디바이스 태그 지정은 자동이며 사용하지 않도록 설정할 수 없습니다. 필터를 통해 표시 유형을 제어합니다.

인벤토리에서 일시적인 디바이스 보기

  1. Microsoft Defender 포털에서 자산>디바이스로 이동합니다.
  2. 필터 아이콘을 선택합니다.
  3. 일시적인 디바이스 필터에서 예를 선택하여 일시적인 디바이스만 보거나 아니요를 선택하여 목록에서 제외합니다.

인벤토리 보기에 일시적인 디바이스 열을 추가하여 다른 디바이스 세부 정보와 함께 일시적인 상태 확인할 수도 있습니다.

일시적인 태그 지정의 작동 방식

  • 자동 검색: 내부 알고리즘은 네트워크 모양 패턴을 기반으로 일시적인 디바이스를 식별합니다.
  • 제외된 디바이스 유형: 서버, 네트워크 디바이스, 프린터, 산업 디바이스, 감시 장비, 스마트 시설 디바이스 및 스마트 어플라이언스는 일시적인 태그가 지정되지 않습니다.
  • 기본 필터링: 일시적인 디바이스는 기본적으로 디바이스 인벤토리에서 필터링됩니다.
  • 수동 재정의 없음: 디바이스에 일시적 태그를 수동으로 지정하거나 태그를 해제할 수 없습니다. 필터 설정을 조정하여 표시 유형을 제어합니다.

장치 제외

디바이스 제외를 사용하면 취약성 관리 표시 유형에서 특정 디바이스를 수동으로 제거할 수 있습니다. 제외된 디바이스는 디바이스 인벤토리에 남아 있지만(제외된 것으로 표시됨) 취약성 관리 페이지 또는 보고서에 표시되지 않으며 노출 또는 보안 점수에 기여하지 않습니다.

경고

제외된 디바이스는 네트워크에 연결된 상태로 유지되며 여전히 보안 위험을 표시할 수 있습니다. 디바이스 제외는 취약성 관리 가시성에만 영향을 줍니다. 공격을 방지하거나 실제 위험을 줄이지는 않습니다. 활성 디바이스를 제외하려고 하면 엔드포인트용 Defender에 경고가 표시되고 확인을 요청합니다.

단일 디바이스 제외

  1. Microsoft Defender 포털에서 자산>디바이스로 이동합니다.
  2. 제외할 디바이스를 선택합니다.
  3. 디바이스 플라이아웃 또는 디바이스 페이지에서 제외를 선택합니다.
  4. 근거를 선택합니다.
    • 비활성 디바이스
    • 중복 디바이스
    • 디바이스가 존재하지 않음
    • 범위를 벗어남
    • 기타
  5. 제외 이유를 설명하는 메모를 입력합니다.
  6. 디바이스 제외를 선택합니다.

근거 옵션이 있는 디바이스 제외 대화 상자의 스크린샷.

여러 디바이스 제외

  1. 디바이스 인벤토리에서 확인란을 사용하여 여러 디바이스를 선택합니다.
  2. 작업 표시줄에서 제외를 선택합니다.
  3. 근거를 선택하고 메모를 추가합니다.
  4. 디바이스 제외를 선택합니다.

제외 상태가 혼합된 디바이스를 선택하는 경우 대화 상자에 이미 제외된 디바이스의 수가 표시됩니다. 디바이스를 다시 제외할 수 있지만 새 근거는 이전 값을 재정의합니다.

선택한 여러 디바이스를 보여 주는 대량 디바이스 제외 스크린샷

참고

디바이스가 취약성 관리 뷰 및 데이터에서 완전히 제외되는 데 최대 10시간이 걸릴 수 있습니다.

제외된 디바이스 보기 및 관리

  1. 디바이스 인벤토리에서 필터 아이콘을 선택합니다.
  2. 제외 상태 필터를 사용하여 다음을 확인합니다.
    • 제외 안 됨: 일반 디바이스
    • 제외됨: 취약성 관리에서 제거된 디바이스

인벤토리 보기에 제외 상태 열을 추가할 수도 있습니다.

디바이스 제외 중지

디바이스를 활성 취약성 관리로 복원하려면 다음을 수행합니다.

  1. 디바이스 인벤토리에서 제외된 디바이스를 선택합니다.
  2. 디바이스 플라이아웃에서 제외 세부 정보를 선택합니다.
  3. 제외 중지를 선택합니다.

제외를 중지하는 옵션이 있는 제외 세부 정보를 보여 주는 스크린샷

제외를 중지하면 취약성 관리 페이지, 보고서 및 고급 헌팅에 취약성 데이터가 다시 나타납니다. 변경 내용을 적용하는 데 최대 8시간이 걸릴 수 있습니다.

다음 단계

  • Last updated on