고부가가치 자산에 대한 응답 작업 제한(미리 보기)

이 문서에서는 엔드포인트용 Microsoft Defender 선택적 응답 작업 기능에 대한 개요를 제공합니다. 대상 그룹은 계층 0 시스템 및 도메인 컨트롤러, ADFS 서버 및 기타 중요한 인프라와 같은 HVA(고부가가치 자산)를 포함하는 환경에서 엔드포인트용 Microsoft Defender 관리하는 보안 관리자 및 IT 운영 팀입니다.

개요

선택적 응답 작업은 조직에서 온보딩 중에 영향력이 큰 보안 작업을 조정할 수 있는 엔드포인트용 Microsoft Defender 기능입니다. 계층 0 시스템 및 기타 고부가가치 자산에 응답 작업이 적용되는 방식을 정확하게 제어하여 운영 안정성을 유지하면서 강력한 보호를 제공합니다.

배경

도메인 컨트롤러, ADFS 서버 및 기타 계층 0 시스템과 같은 HVA(고부가가치 자산)에 엔드포인트용 Microsoft Defender 배포하려면 강력한 보호와 운영 안정성의 균형을 맞추는 신중한 접근 방식이 필요합니다. 사용 가능한 강력한 대응 기능을 고려할 때 조직은 종종 중요한 환경에서 이러한 작업이 적용되는 방식을 보다 강력하게 제어하려고 합니다.

많은 조직, 특히 엄격한 권한 있는 액세스 관리 정책을 사용하는 조직은 계층 0 시스템에서 클라우드 시작 관리 작업을 보안 및 규정 준수 요구 사항에 맞게 제한하는 것을 선호합니다.

선택적 응답 작업 기능은 보다 제어되고 유연한 접근 방식을 제공하여 이러한 요구 사항을 해결합니다. 이를 통해 조직은 중요한 자산에 허용되는 응답 작업을 정확하게 정의하여 Defender의 보호를 통해 계속 운영 연속성을 유지할 수 있습니다.

기능은 어떻게 작동하나요?

먼저 테넌트에서 기능을 사용하도록 설정해야 합니다. 선택적 응답 작업 사용을 참조하세요.

기능이 사용하도록 설정되면 DDT(Defender 배포 도구)를 사용하여 제한된 보안 작업 설정으로 온보딩 패키지를 만듭니다. 패키지를 구성하는 경우 전체 기능(온보딩된 디바이스에서 모든 응답 작업이 허용되는 기본 온보딩 모드) 및 제한된 기능(영향력이 큰 응답 작업을 허용하지 않을 수 있음) 중에서 선택합니다. 제한된 기능을 선택하는 경우 온보딩된 후 디바이스에서 허용되는 작업을 지정할 수 있습니다.

다음 표에서는 허용하거나 허용하지 않는 영향력이 큰 응답 작업에 대해 설명합니다.

기능 설명 설명
기본 응답 바이러스 백신 검사를 실행하고, 파일을 수집하고, 조사 패키지를 수집합니다. 파일 수집 기능은 라이브 응답에서 사용할 수 있는 명령이 아니라 포털의 GetFile파일 페이지에서 파일을 검색하는 것을 의미합니다.
고급 응답 디바이스를 격리하고, 앱 실행을 제한하고, 수정을 요청합니다. 요청 수정 을 사용하면 보안 관리자가 특정 디바이스에서 식별된 취약성에 대한 수정 작업을 시작할 수 있습니다.
실시간 응답 원격 디바이스에 대한 라이브 응답 세션을 허용합니다 .
장치 보호 디바이스에서 자동 조사 및 응답(AIR) 을 수행할 수 있습니다. 이는 자동으로 트리거된 AIR와 수동으로 시작된 AIR 모두에 적용됩니다.

이러한 패키지를 구성하는 방법에 대한 자세한 내용은 제한된 보안 작업 설정을 사용하여 온보딩 패키지 생성 을 참조하세요.

참고

제한된 모드로 온보딩된 디바이스는 라이브 응답 스크립트 실행을 지원하지 않습니다. 라이브 응답이 사용하도록 설정된 경우에도 기본적으로 사용하지 않도록 설정됩니다. 제한된 모드는 검색, 경고 또는 센서 검사에 영향을 주지 않습니다. 모든 경고, 타임라인 및 위협 검색은 예상대로 계속 작동합니다.

필수 구성 요소 및 지원되는 운영 체제

  • 제한된 모드는 Sense 버전 10.8798 이상을 실행하는 다음 Windows 클라이언트 워크스테이션 및 Windows Server 운영 체제에서 지원됩니다.

    운영 체제 필수 KB
    Windows Server 2025, 모든 버전 KB5063878
    Windows Server 2022 KB5063880
    Windows Server 2019 KB5063877
    Windows 10 22H2 KB5062649
    Windows 11 23H2 KB5062663
    Windows 11 24H2 KB5062660
    Windows 11 25H2 전체

  • 제한된 모드를 사용하려면 기능 스위치 온보딩 중에 제한된 보안 작업 허용을 사용하도록 설정해야 합니다. 선택적 응답 작업 기능 사용을 참조하세요.

선택적 응답 작업 기능 사용

선택적 응답 작업 기능을 사용하려면 Microsoft Defender 포털에서 기능을 사용하도록 설정합니다.

  1. Microsoft Defender 포털에 로그인합니다.
  2. 설정>엔드포인트고급 기능으로> 이동합니다.
  3. 온보딩하는 동안 제한된 보안 작업 허용을 켭니다.

온보딩을 사용하는 동안 제한된 작업 허용을 보여 주는 고급 기능 페이지의 스크린샷

사용하도록 설정하면 DDT(Defender 배포 도구)를 통해 Windows용 Defender 배포 패키지를 만들 때 제한된 모드 옵션을 사용할 수 있습니다. 그런 다음 온보딩 중인 디바이스에서 허용할 보안 작업을 지정하는 배포 패키지를 만들 수 있습니다. 자세한 내용은 제한된 보안 작업 설정을 사용하여 온보딩 패키지 생성을 참조하세요. 배포 패키지가 생성되면 디바이스 를 온보딩하는 데 사용합니다.

제한된 보안 작업 설정을 사용하여 온보딩 패키지 생성

  1. Microsoft Defender 포털(security.microsoft.com)에서 시스템>설정>엔드포인트온보딩으로> 이동합니다.

  2. 1단계 드롭다운 메뉴에서 Windows를 선택합니다.

  3. 패키지 또는 파일을 다운로드하고 적용하여 배포에서 온보딩 단추를 선택합니다.

    Microsoft Defender 포털의 패키지 다운로드 단추를 보여 주는 스크린샷

  4. 액세스 키가 있는 Defender 배포 도구 생성 페이지가 나타납니다.

    새 배포 패키지를 구성하는 방법을 보여 주는 스크린샷

    • 패키지의 이름을 입력합니다. 고유하고 설명이 포함된 이름을 만들어야 합니다.

    • 패키지의 만료 날짜를 설정합니다. 최대 1년까지 언제든지 만료 날짜를 설정할 수 있습니다. 권한 없는 배포 패키지 사용 위험을 줄이기 위해 패키지의 유효 기간을 최대한 짧게 만드는 것이 좋습니다.

    • 제한을 선택합니다.

      영향력이 큰 보안 작업 목록이 나타납니다. 온보딩된 디바이스에서 허용하려는 작업 옆에 있는 상자를 선택하고 허용하지 않으려는 작업 옆에 있는 상자를 선택 취소합니다.

      Microsoft Defender 포털의 보안 작업 모드 옵션을 보여 주는 스크린샷

      참고

      제한된 모드로 온보딩된 디바이스는 이러한 설정에서 라이브 응답을 사용하도록 설정한 경우에도 라이브 응답 스크립트의 실행을 지원하지 않습니다. 이 제한은 스크립트 기반 작업이 차단된 상태로 유지되어 중요한 자산에 대해 더 높은 수준의 보호를 유지하기 위해 기본적으로 적용됩니다.

      모든 응답 작업이 허용되는 제한된 모드는 전체 기능과 동일 하지 않습니다 . 제한된 패키지를 사용하여 디바이스를 온보딩하는 경우 스크립트 실행은 의도적으로 비활성화되는 반면, 전체 기능 패키지로 온보딩하면 지원되는 모든 응답 작업 및 기능에 무제한으로 액세스할 수 있습니다.

    • 패키지 구성이 완료되면 생성을 선택합니다.

  5. 패키지가 준비되면 다음 이미지와 유사한 패키지 액세스 키와 다운로드 단추가 있는 페이지가 표시됩니다.

    배포 도구 패키지에 대해 생성된 키를 보여 주는 스크린샷

    배포 도구에 필요하므로 키를 복사하고 저장합니다.

    키를 복사하고 저장한 후 배포 도구 다운로드를 선택합니다. 그러면 Defender 배포 도구 실행 파일의 .zip 파일이 다운로드됩니다.

제한된 응답 작업으로 디바이스 온보딩

원하는 제한된 보안 작업 설정으로 배포 패키지를 생성하고 다운로드한 후에는 Defender 배포 도구(미리 보기)를 사용하여 Windows 디바이스에 엔드포인트용 Microsoft Defender 배포에 설명된 대로 패키지를 사용하여 디바이스를 온보딩합니다.

온보딩된 디바이스의 보안 작업 상태 검사 방법

디바이스의 보안 작업 상태 여러 가지 방법으로 식별할 수 있습니다.

  • Defender 포털의 디바이스 인벤토리 페이지에서 보안 작업 이라는 속성은 각 디바이스의 온보딩 모드를 나타냅니다.

    • 디바이스가 전체 기능으로 온보딩된 경우 값이 Full으로 표시됩니다.
    • 디바이스가 제한된 기능으로 온보딩된 경우 이 값은 제한된 값으로 표시되며, 이는 이 디바이스에 사용 가능한 제한된 원격 보안 작업 집합이 있음을 관리자에게 나타냅니다.

    이러한 가시성을 통해 보안 팀은 각 디바이스에 대한 운영 scope 신속하게 이해하고 필요한 경우 적절한 조치를 취할 수 있습니다.

    보안 작업 상태 보여 주는 디바이스 인벤토리 페이지의 스크린샷

  • 디바이스가 제한된 모드인 경우 제한된 보안 작업 이라는 태그가 디바이스에 자동으로 추가되어 보안 팀이 제한된 기능으로 자산을 신속하게 식별할 수 있도록 합니다. 디바이스 페이지에서 이 태그를 볼 수 있습니다. 디바이스 페이지에는 디바이스에 대해 구성된 원격 보안 기능 수준을 반영하는 보안 작업 상태 포함되어 있습니다.

    • 전체는 디바이스가 전체 엔드포인트용 Microsoft Defender 기능 집합으로 온보딩되었음을 나타냅니다. 모든 원격 응답 작업을 사용할 수 있습니다.
    • 제한 은 디바이스가 사용 가능한 제한된 응답 작업 집합으로 온보딩되었음을 나타냅니다.

    보안 작업 상태 보여 주는 디바이스 페이지의 스크린샷

    이전 이미지에서는 디바이스에서 라이브 응답 세션 시작이 허용되지 않음을 확인할 수 있습니다.

    디바이스에서 모든 보안 컨트롤 및 현재 상태(사용 또는 사용 안 함)의 자세한 목록에 액세스하려면 보안 작업 정보 보기를 선택하여 디바이스 보안 작업 창을 표시합니다.

    보안 작업 세부 정보를 보여 주는 디바이스 페이지의 스크린샷

  • 고급 헌팅 속성을 RestrictedDeviceSecurityOperations 사용하여 디바이스에서 제한된 보안 작업을 검사 수도 있습니다. 값은 제한된 특정 보안 작업 범주를 나타냅니다. 예를 들어 속성 값 RestrictedDeviceSecurityOperationsLiveResponse인 경우 다른 모든 작업이 허용되는 동안에는 디바이스에서 라이브 응답 기능만 허용되지 않습니다.

    RestrictedDeviceSecurityOperations 속성의 값을 보여 주는 고급 헌팅 쿼리의 스크린샷

  • 선택적 응답은 공용 API를 사용할 때도 차단됩니다. API를 통해 제한된 작업을 수행하려고 하면 디바이스에서 작업이 허용되지 않음을 나타내는 오류 메시지가 표시됩니다.

    공용 API를 통해 제한된 응답 작업을 시도할 때 발생하는 오류 메시지의 스크린샷

제한 설정 변경

제한된 설정으로 디바이스를 온보딩하면 해당 보안 작업 구성을 변경하거나 수정할 수 없습니다. 디바이스의 응답 기능을 업데이트하려면 디바이스를 오프보딩하고 원하는 설정이 있는 새 배포 패키지를 사용하여 다시 온보딩해야 합니다. 디바이스 ID는 동일하게 유지되며 모든 기록 데이터가 유지됩니다.

전체 모드에서 엔드포인트용 Defender에 이미 온보딩된 디바이스에서 응답 작업을 제한하려면 먼저 디바이스를 오프보딩한 다음 제한된 설정으로 구성된 온보딩 패키지를 사용하여 다시 온보딩해야 합니다. 디바이스 ID는 동일하게 유지되며 모든 기록 데이터가 유지됩니다.

  • Last updated on