다음을 통해 공유

격리 제외

  • 적용 대상: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

격리 제외는 디바이스에 선택적 격리 응답 작업을 적용하여 네트워크 격리에서 특정 프로세스, IP 주소 또는 서비스를 제외하는 기능을 나타냅니다.

MDE(엔드포인트용 Microsoft Defender 네트워크 격리)는 위협 확산을 방지하기 위해 손상된 디바이스의 통신을 제한합니다. 그러나 관리 도구 또는 보안 솔루션과 같은 특정 중요한 서비스는 계속 작동해야 할 수 있습니다.

격리 제외를 사용하면 지정된 프로세스 또는 엔드포인트가 네트워크 격리 제한을 무시할 수 있으므로 더 광범위한 네트워크 노출을 제한하면서 필수 기능(예: 원격 수정 또는 모니터링)이 계속되도록 할 수 있습니다.

필수 구성 요소

  • 격리 제외를 사용하도록 설정해야 합니다.
  • 격리 제외를 사용하도록 설정하려면 보안 관리 또는 보안 설정 관리 권한 이상이 필요합니다.

지원되는 운영 체제

  • 격리 제외는 Windows 11, Windows 10 버전 1703 이상, Windows Server 2016 이상, R2, macOS 및 Azure Stack HCI OS 버전 23H2 이상에서 사용할 수 Windows Server 2012.

경고

제외하면 디바이스 격리가 약화되고 보안 위험이 증가합니다. 위험을 최소화하려면 엄격하게 필요한 경우에만 제외를 구성합니다..

보안 정책에 맞게 제외를 정기적으로 검토하고 업데이트합니다.

격리 모드

격리에는 전체 격리선택적 격리라는 두 가지 모드가 있습니다.

  • 전체 격리: 완전 격리 모드에서는 디바이스가 네트워크에서 완전히 격리되며 예외가 허용되지 않습니다. Defender 에이전트와의 필수 통신을 제외하고 모든 트래픽이 차단됩니다. 제외는 전체 격리 모드에서 적용되지 않습니다.

    전체 격리 모드는 높은 수준의 포함이 필요한 시나리오에 적합한 가장 안전한 옵션입니다. 전체 격리 모드에 대한 자세한 내용은 네트워크에서 디바이스 격리를 참조하세요.

  • 선택적 격리: 선택적 격리 모드를 사용하면 관리자가 디바이스의 격리 상태를 유지하면서 중요한 도구 및 네트워크 통신이 계속 작동할 수 있도록 제외를 적용할 수 있습니다.

격리 제외를 사용하는 방법

격리 제외를 사용하는 두 가지 단계는 격리 제외 규칙 정의 및 디바이스에서 격리 제외 적용입니다.

격리 제외를 사용하도록 설정하는 방법을 보여 주는 스크린샷

참고

격리 제외 기능을 사용하도록 설정하면 Microsoft Teams, Outlook 및 Skype에 대해 이전에 포함된 제외가 더 이상 적용되지 않으며 모든 플랫폼에서 제외 목록이 비어 시작됩니다. 격리 중에 Microsoft Teams, Outlook 및 Skype에 여전히 액세스 권한이 필요한 경우 새 제외 규칙을 수동으로 정의해야 합니다.

Skype는 더 이상 사용되지 않으며 더 이상 기본 제외에 포함되지 않습니다.

1단계: 설정에서 전역 제외 정의

  1. Microsoft Defender 포털에서 설정>엔드포인트>고급 기능>격리 제외 규칙으로 이동합니다.

  2. 관련 OS 탭(Windows 규칙 또는 Mac 규칙)을 선택합니다.

  3. + 제외 규칙 추가를 선택합니다.

    새 격리 제외 규칙을 추가하는 방법을 보여 주는 스크린샷

  4. 새 제외 규칙 추가 대화 상자가 나타납니다.

    격리 제외 규칙을 정의하는 데 필요한 필드를 보여 주는 스크린샷

    격리 제외 매개 변수를 입력합니다. 빨간색 별표는 필수 매개 변수를 나타냅니다. 매개 변수 및 해당 유효한 값은 다음 표에 설명되어 있습니다.

    매개 변수 설명 및 유효한 값
    규칙 이름 규칙의 이름을 제공합니다.
    Rule description 규칙의 목적을 설명합니다.
    프로세스 경로 (Windows에만 해당) 실행 파일의 파일 경로는 엔드포인트의 위치일 뿐입니다. 각 규칙에 사용할 실행 파일을 정의할 수 있습니다.

    예제:
    C:\Windows\System\Notepad.exe
    %WINDIR%\Notepad.exe.

    참고:
    - 격리가 적용될 때 실행 파일이 있어야 합니다. 그렇지 않으면 제외 규칙이 무시됩니다.
    - 지정된 프로세스에서 만든 자식 프로세스에는 제외가 적용되지 않습니다.
    서비스 이름 (Windows에만 해당) 트래픽을 보내거나 받는 서비스(애플리케이션 아님)를 제외하려는 경우 Windows 서비스 짧은 이름을 사용할 수 있습니다. PowerShell에서 Get-Service 명령을 실행하여 서비스 짧은 이름을 검색할 수 있습니다. 각 규칙에서 사용할 서비스를 정의할 수 있습니다.

    예: termservice
    패키지 패밀리 이름 (Windows에만 해당) PFN(패키지 패밀리 이름)은 Windows 앱 패키지에 할당된 고유 식별자입니다. PFN 형식은 다음 구조를 따릅니다. <Name>_<PublisherId>

    PowerShell에서 Get-AppxPackage 명령을 실행하여 패키지 패밀리 이름을 검색할 수 있습니다. 예를 들어 새 Microsoft Teams PFN을 얻으려면 를 실행하고 Get-AppxPackage MSTeamsPackageFamilyName 속성의 값을 찾습니다.

    다음에서 지원됩니다.
    - Windows 11(24H2)
    - 2025년 Windows Server
    - Windows 11(22H2) Windows 11, 버전 23H2 KB5050092
    - Windows Server, 버전 23H2
    - Windows 10 22H2 - KB 5050081
    - Azure Stack HCI OS, 버전 23H2 이상
    방향 연결 방향(인바운드/아웃바운드)입니다. 예제:

    아웃바운드 연결: 디바이스가 연결을 시작하는 경우 원격 백 엔드 서버에 대한 HTTPS 연결인 instance 아웃바운드 규칙만 정의합니다. 예: 디바이스는 요청을 1.1.1.1(아웃바운드)로 보냅니다. 이 경우 서버의 응답이 연결의 일부로 자동으로 수락되므로 인바운드 규칙이 필요하지 않습니다.

    인바운드 연결: 디바이스가 들어오는 연결을 수신 대기하는 경우 인바운드 규칙을 정의합니다.
    원격 IP 디바이스가 네트워크에서 격리되는 동안 통신이 허용되는 IP(또는 IP)입니다.

    지원되는 IP 형식:
    - 선택적 CIDR 표기법이 있는 IPv4/IPv6
    - 유효한 IP의 쉼표로 구분된 목록
    규칙당 최대 20개의 IP 주소를 정의할 수 있습니다.

    유효한 입력 예제:
    - 단일 IP 주소: 1.1.1.1
    - IPV6 주소: 2001:db8:85a3::8a2e:370:7334
    - CIDR 표기법이 있는 IP 주소(IPv4 또는 IPv6): 1.1.1.1/24
      이 예제에서는 IP 주소 범위를 정의합니다. 이 경우 1.1.1.0에서 1.1.1.255까지의 모든 IP가 포함됩니다. /24는 주소의 처음 24비트 고정을 지정하고 나머지 8비트에서 주소 범위를 정의하는 서브넷 마스크를 나타냅니다.

  5. 변경 내용을 저장하고 적용합니다.

이러한 전역 규칙은 디바이스에 대해 선택적 격리를 사용하도록 설정할 때마다 적용됩니다.

2단계: 특정 디바이스에 선택적 격리 적용

  1. 포털에서 디바이스 페이지로 이동합니다.

  2. 디바이스 격리를 선택하고 선택적 격리를 선택합니다.

  3. 격리 제외 사용을 선택하여 디바이스가 격리된 동안 특정 통신을 허용하고 주석을 입력합니다.

    디바이스에 제외 규칙을 적용하는 방법을 보여 주는 스크린샷

  4. 확인을 선택합니다.

특정 디바이스에 적용된 제외는 알림 센터 기록에서 검토할 수 있습니다.

알림 센터 기록의 제외를 보여 주는 스크린샷

API를 통해 선택적 격리 적용

또는 API를 통해 선택적 격리를 적용할 수 있습니다. 이렇게 하려면 IsolationType 매개 변수를 선택적 매개 변수로 설정합니다. 자세한 내용은 컴퓨터 API 격리를 참조하세요.  

제외 논리

  • 일치하는 모든 규칙이 적용됩니다.
  • 단일 규칙 내에서 조건은 AND 논리를 사용합니다(모두 일치해야 합니다).
  • 규칙의 정의되지 않은 조건은 "any"(즉, 해당 매개 변수에 대해 제한되지 않음)로 처리됩니다.

예를 들어 다음 규칙이 정의된 경우:

Rule 1: 

   Process path = c:\example.exe
   Remote IP = 1.1.1.1
   Direction = Outbound
      
Rule 2:

   Process path = c:\example_2.exe
   Direction = Outbound

Rule 3:

   Remote IP = 18.18.18.18
   Direction = Inbound
  • example.exe 원격 IP 1.1.1.1에 대한 네트워크 연결만 시작할 수 있습니다.
  • example_2.exe 모든 IP 주소에 대한 네트워크 연결을 시작할 수 있습니다.
  • 디바이스는 IP 주소 18.18.18.18에서 인바운드 연결을 받을 수 있습니다.

고려 사항 및 제한 사항

제외 규칙의 변경 내용은 새 격리 요청에만 영향을 줍니다. 이미 격리된 디바이스는 적용될 때 정의된 제외와 함께 유지됩니다. 격리된 디바이스에 업데이트된 제외 규칙을 적용하려면 해당 디바이스를 격리에서 해제한 다음 다시 발생합니다.

이 동작은 활성 격리 세션 기간 동안 격리 규칙이 일관되게 유지되도록 합니다.

관련 콘텐츠

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.

  • Last updated on