다음을 통해 공유

자동 공격 중단에서 자동화된 응답에서 자산 제외

  • 적용 대상: Microsoft Defender XDR

이 문서에서는 Microsoft Defender XDR 자동 공격 중단으로 인해 자산이 자동으로 포함되지 않도록 제외하는 방법에 대한 정보를 제공합니다.

자동 공격 중단을 사용하면 자동화된 포함 작업에서 특정 사용자 계정, 디바이스 및 IP 주소를 제외할 수 있습니다. 일단 제외되면 이러한 자산은 공격 중단으로 트리거되는 자동화된 작업의 영향을 받지 않습니다.

주의

자동화된 응답에서 자산을 제외하는 것은 권장되지 않습니다. 자동화된 응답에서 자산을 제외하면 정교하고 영향력이 큰 공격으로부터 환경을 보호하는 데 자동 공격 중단의 효과를 줄일 수 있습니다.

필수 구성 요소

자동 공격 중단에서 자동화된 응답에서 자산을 제외하려면 Microsoft Entra ID() 또는 Microsoft 365 관리 센터(https://portal.azure.comhttps://admin.microsoft.com)에 할당된 다음 역할 중 하나가 있어야 합니다.

  • 전역 관리자
  • 보안 관리자

자산에 대한 자동화된 응답 제외 검토 또는 변경

자동 공격 중단에서 자동화된 응답에서 자산을 제외하려면 다음 단계를 수행합니다.

  1. Microsoft Defender 포털(https://security.microsoft.com)로 이동하여 로그인합니다.

  2. 설정>Microsoft Defender XDR 이동합니다.

사용자 계정 제외

  1. 자동화된 응답에서 ID를 선택합니다.

  2. 사용자 계정을 제외하려면 사용자 제외 추가를 선택합니다. 플라이아웃 창이 나타납니다.

    공격 중단에 대한 자동화된 대응 설정의 ID 페이지

  3. 플라이아웃 창의 사용자 선택 상자에 사용자 계정 이름을 입력하고 제외할 사용자 계정을 선택합니다.

    공격 중단에 대한 자동화된 대응 설정에서 제외할 사용자를 추가하고 선택할 때 플라이아웃 창

  4. 제외를 저장하려면 사용자 제외 를 선택합니다.

디바이스 그룹 제외

주의

자동화된 응답에서 디바이스 그룹을 제외하면 자동화된 조사 및 응답 작업에도 영향을 줍니다.

  1. 자동화된 응답에서 디바이스를 선택합니다.

  2. 디바이스 그룹 탭에서 목록에서 그룹 이름 옆에 있는 확인란을 선택하여 디바이스 그룹을 선택하여 공격 중단 자동화 설정을 구성합니다.

    공격 중단에 대한 자동화된 응답 설정의 디바이스 그룹 탭

  3. 플라이아웃 창에서 디바이스 그룹에 적합한 자동화 수준을 선택합니다. 디바이스 그룹에 적합한 다음 자동화 수준 중에서 선택할 수 있습니다.

    • 전체 - 자동으로 위협 수정: 위협이 감지되면 자동으로 디바이스를 포함합니다.
    • 세미 - 핵심 폴더에 대한 승인 필요: 경고가 수신될 때 자동으로 디바이스를 조사하고 핵심 시스템 폴더 내의 항목을 제외한 수정 작업을 적용합니다. 핵심 폴더에 대한 수정 작업에는 승인이 필요합니다.
    • 세미 - 비 임시 폴더에 대한 승인 필요: 경고가 수신될 때 임시 및 다운로드 폴더 내의 작업에 대한 수정을 자동으로 조사하고 적용합니다. 다른 모든 수정 작업에는 승인이 필요합니다.
    • 세미 - 모든 폴더에 대한 승인 필요: 경고가 수신되면 자동으로 디바이스를 조사합니다. 모든 수정 작업에는 승인이 필요합니다.
    • 자동화된 응답 없음: 이 그룹의 디바이스에 대해 자동화된 조사 또는 응답이 수행되지 않습니다.

    디바이스 그룹에 대한 자동화 수준을 구성할 때 플라이아웃 창

  4. 저장을 선택하여 디바이스 그룹에 대한 자동화 수준을 저장합니다.

중요

이 문서의 일부 정보는 상업적으로 출시되기 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시되거나 묵시적 보증을 하지 않습니다.

IP 제외

  1. 자동화된 응답에서 디바이스를 선택합니다.

  2. IP 탭에서 IP 제외를 선택하여 IP 주소를 제외합니다.

    공격 중단에 대한 자동화된 대응 설정의 IP 탭

  3. 플라이아웃 창에서 제외하려는 IP 주소/IP 범위/IP 서브넷을 입력합니다. 여러 IP 주소와 IP 서브넷을 쉼표로 구분하여 추가할 수 있습니다.

    공격 중단에 대한 자동화된 응답 설정에서 제외할 IP 주소를 추가할 때 플라이아웃 창

  4. 제외에 대한 이름과 메모를 추가합니다. 만들기를 선택하여 제외를 저장합니다.

제외 제거

제외를 제거하려면 다음을 수행합니다.

  • ID 페이지로 이동합니다. 목록에서 제거할 사용자 계정을 선택한 다음 제거를 선택합니다.

공격 중단 자동화 설정의 ID 페이지에서 제외된 사용자를 제거할 때 제거 옵션 강조 표시

  • 디바이스 페이지로 이동하여 IP 탭으로 이동합니다. 목록에서 제거할 IP 주소를 선택한 다음 제외 제거를 선택합니다.

공격 중단 자동화 설정의 IP 탭에서 제외된 IP를 제거할 때 제거 옵션 강조 표시

  • 디바이스 그룹 제외는 디바이스 그룹 탭에서 구성할 수 있습니다. 목록에서 구성하려는 디바이스 그룹을 선택하고 플라이아웃 창에서 적절한 제외를 선택합니다. 저장을 선택하여 제외를 저장합니다.

자동 공격 중단 옵트아웃

공격 중단을 옵트아웃하면 보안 위험이 크게 증가할 수 있습니다. 대신 특정 엔터티를 제외하는 것이 좋습니다.

공격 중단을 옵트아웃해야 하는 경우 공격 중단 옵트아웃이라는 제목의 Microsoft Defender 포털에서 지원 사례를 열어서 수행할 수 있습니다. 요청에서 공격 중단을 옵트아웃하고 결정에 대한 간략한 설명을 포함하도록 지정하세요. 이 피드백은 기능을 개선하고 고객의 요구를 더 잘 이해하는 데 도움이 됩니다. 옵트아웃하면 공격 중단과 관련된 경고가 계속 수신되지만 자동화된 작업은 수행되지 않습니다.

참고 항목

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.

  • Last updated on