인증서를 기반으로 표시기 만들기

적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

인증서에 대한 지표를 만들 수 있습니다. 몇 가지 일반적인 사용 사례는 다음과 같습니다.

공격 표면 감소 규칙과 같은 차단 기술을 배포해야 하지만 허용 목록에 인증서를 추가하여 서명된 애플리케이션의 동작을 허용해야 하는 시나리오입니다.
organization 걸쳐 서명된 특정 애플리케이션의 사용을 차단합니다. 애플리케이션의 인증서를 차단하는 표시기를 만들면 Microsoft Defender 바이러스 백신은 파일 실행(차단 및 수정)을 방지하고 자동화된 조사 및 수정이 동일하게 동작합니다.

시작하기 전에

인증서에 대한 지표를 만들기 전에 다음 요구 사항을 이해하는 것이 중요합니다.

이 기능은 organization Microsoft Defender 바이러스 백신(활성 모드)을 사용하고 클라우드 기반 보호를 사용하는 경우에 사용할 수 있습니다. 자세한 내용은 클라우드 기반 보호 관리를 참조하세요.
맬웨어 방지 클라이언트 버전은 이상이어야 4.18.1901.x 합니다.
Windows 10, 버전 1703 이상, Windows Server 2012 R2 이상 또는 Azure Stack HCI OS 버전 23H2 이상에서 지원됩니다.

참고

Windows Server 2016 및 Windows Server 2012 R2는 온보딩 Windows Server 2012 R2의 지침을 사용하여 온보딩해야 하며 Windows Server 2016 이 기능이 작동하도록 엔드포인트용 Microsoft Defender.
바이러스 및 위협 방지 정의는 최신 상태여야 합니다.
이 기능은 현재 입력을 지원합니다. CER 또는 입니다. PEM 파일 확장명.

중요

유효한 리프 인증서는 유효한 인증 경로를 가지며 Microsoft에서 신뢰할 수 있는 CA(루트 인증 기관)에 연결되어야 하는 서명 인증서입니다. 또는 클라이언트에서 신뢰할 수 있는 한 사용자 지정(자체 서명된) 인증서를 사용할 수 있습니다(루트 CA 인증서는 로컬 머신 '신뢰할 수 있는 루트 인증 기관' 아래에 설치됨).
허용/차단 인증서 IOC의 자식 또는 부모는 허용/차단 IoC 기능에 포함되지 않으며 리프 인증서만 지원됩니다.
Microsoft 서명된 인증서는 차단할 수 없습니다.

중요

인증서 IoC를 만들고 제거하는 데 최대 3시간이 걸릴 수 있습니다.

탐색 창에서 설정>엔드포인트표시기>(규칙 아래)를 선택합니다.
표시기 추가를 선택합니다.
다음 세부 정보를 지정합니다.
- 표시기: 엔터티 세부 정보를 지정하고 표시기의 만료를 정의합니다.
- 작업: 수행할 작업을 지정하고 설명을 제공합니다.
- 범위: 컴퓨터 그룹의 scope 정의합니다.
요약 탭에서 세부 정보를 검토한 다음 저장을 선택합니다.

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.

이 페이지가 도움이 되었나요?