Microsoft Defender, 해킹된 엔드포인트를 자동으로 격리
자동 격리 미리 보기
Microsoft는 공격자의 횡 이동을 차단하기 위해 손상된 엔드포인트를 자동으로 격리하는 새로운 Defender for Endpoint 기능을 테스트하고 있습니다.
이 기능은 자동 공격 차단의 일환으로 프리뷰 형태로 제공되며, 공격을 억제하고 영향을 최소화하며 보안 팀에게 더 많은 복구 시간을 제공하는 것을 목표로 합니다.
디바이스가 손상된 것으로 의심될 경우, Defender for Endpoint는 계속해서 Defender 서비스와 연결을 유지하면서 자동으로 해당 디바이스를 격리할 수 있습니다.
“자동 격리는 조직에 대한 추가 영향을 줄이고, 공격자의 횡 이동을 제한하며, 데이터 유출 및 랜섬웨어 전파와 같은 영향을 방지하는 데 도움이 됩니다.” – Microsoft
자동 격리는 Microsoft Defender for Endpoint에 등록된 엔드‑유저 워크스테이션에서만 작동합니다.
격리된 디바이스 해제
- Defender 포털에서 디바이스 인벤토리를 엽니다.
- 격리된 디바이스를 선택하거나 해당 디바이스 페이지를 엽니다.
- 작업 메뉴에서 격리 해제를 선택합니다.
Defender for Endpoint 자동 디바이스 격리 (Microsoft)
배경 및 이전 기능
-
2022년 6월 – Microsoft는 관리되지 않은 Windows 디바이스를 수동으로 격리하여, 등록된 Defender for Endpoint 엔드포인트와의 입·출력 통신을 차단할 수 있다고 발표했습니다.
출처 -
2023년 1월 – 등록된 Linux 디바이스에 대한 디바이스 격리 테스트가 시작되었습니다. 이 기능은 2023년 10월에 정식 출시되었습니다.
출처 -
2023년 5월 – Defender for Endpoint는 자동 공격 차단의 일환으로 손상된 사용자 계정을 격리하는 기능을 추가해, 랜섬웨어 공격 시 횡 이동을 차단했습니다.
출처 -
2023년 – 새로운 기능 테스트가 시작되어 미발견 Windows 엔드포인트와의 트래픽을 자동으로 차단함으로써, 공격자가 네트워크 내 비손상 디바이스에 침투하는 것을 방지합니다.
출처 -
2024년 초 – 프리뷰 기능을 통해 관리자는 Microsoft Defender 포털,
mdatp관리 JSON 구성, 혹은mdatpCLI를 사용해 등록된 Linux 시스템에 대한 안티바이러스 스캔을 예약할 수 있게 되었습니다.
지원되는 스캔 유형: 매일 빠른 스캔, 간격 기반 빠른 스캔, 주간 전체 스캔이며, 낮은 우선순위 실행, 유휴 시간 예약, 시작 시간 무작위화 옵션을 제공합니다.
출처
시작하기
- 엔드포인트가 Microsoft Defender for Endpoint에 등록되어 있는지 확인합니다.
- Defender 설정에서 자동 공격 차단을 활성화합니다.
- 디바이스 인벤토리 페이지에서 격리된 디바이스를 모니터링하고, 조사가 완료되면 해제합니다.