다음을 통해 공유

엔드포인트용 Microsoft Defender 검색된 앱 조사

  • 아티클

엔드포인트용 Microsoft Defender Microsoft Defender for Cloud Apps 통합은 원활한 섀도 IT 가시성 및 제어 솔루션을 제공합니다. 통합을 통해 Defender for Cloud Apps 관리자는 검색된 디바이스, 네트워크 이벤트 및 앱 사용을 조사할 수 있습니다.

필수 구성 요소

이 문서의 절차를 수행하기 전에 엔드포인트용 Microsoft Defender Microsoft Defender for Cloud Apps 통합했는지 확인합니다.

Defender for Cloud Apps 검색된 디바이스 조사

엔드포인트용 Defender를 Defender for Cloud Apps 통합한 후 클라우드 검색 dashboard 검색된 디바이스 데이터를 조사합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 Cloud Discovery>대시보드를 선택합니다.

  2. 페이지 맨 위에서 Defender 관리형 엔드포인트를 선택합니다. 이 스트림에는 Defender for Cloud Apps 필수 구성 요소에 언급된 모든 운영 체제의 데이터가 포함되어 있습니다.

위쪽에는 통합 후 추가된 검색된 디바이스 수가 표시됩니다.

  1. 디바이스 탭을 선택합니다.

  2. 나열된 각 디바이스를 드릴다운하고 탭을 사용하여 조사 데이터를 봅니다. 인시던트에 관련된 디바이스, 사용자, IP 주소 및 앱 간의 상관 관계를 찾습니다.

    • 개요:

      • 디바이스 위험 수준: 심각도(높음, 중간, 낮음, 정보)로 표시된 대로 디바이스의 프로필이 organization 다른 디바이스에 비해 얼마나 위험한지를 보여 줍니다. Defender for Cloud Apps는 고급 분석을 기반으로 각 장치에 대해 엔드포인트용 Defender에서 장치 프로필을 사용합니다. 장치의 기준에 비정상적인 활동은 평가되어 장치의 위험 수준을 확인합니다. 디바이스 위험 수준을 사용하여 먼저 조사할 디바이스를 결정합니다.
      • 트랜잭션: 선택한 기간 동안 디바이스에서 수행된 트랜잭션 수에 대한 정보입니다.
      • 총 트래픽: 선택한 기간 동안의 총 트래픽 양(MB)에 대한 정보입니다.
      • 업로드: 선택한 기간 동안 디바이스에서 업로드한 총 트래픽 양(MB)에 대한 정보입니다.
      • 다운로드: 선택한 기간 동안 디바이스에서 다운로드한 총 트래픽 양(MB)에 대한 정보입니다.

    • 검색된 앱: 디바이스에서 액세스한 검색된 모든 앱을 Lists.

    • 사용자 기록: 디바이스에 로그인한 모든 사용자를 Lists.

    • IP 주소 기록: 디바이스에 할당된 모든 IP 주소를 Lists.

다른 클라우드 검색 원본과 마찬가지로 추가 조사를 위해 Defender 관리형 엔드포인트 보고서에서 데이터를 내보낼 수 있습니다.

참고

  • 엔드포인트용 Defender는 최대 4MB(~4000개의 엔드포인트 트랜잭션)의 Defender for Cloud Apps 데이터를 전달합니다.
  • 4MB 제한에 1시간 내에 도달하지 않으면 엔드포인트용 Defender는 지난 1시간 동안 수행된 모든 트랜잭션을 보고합니다.

엔드포인트가 네트워크 프록시 뒤에 있을 때 엔드포인트용 Defender를 통해 앱 검색

Defender for Cloud Apps 네트워크 프록시와 동일한 환경에서 작동하는 엔드포인트용 Defender 디바이스에서 검색된 섀도 IT 네트워크 이벤트를 검색할 수 있습니다. 예를 들어 Windows 10 엔드포인트 디바이스가 ZScalar와 동일한 환경에 있는 경우 Defender for Cloud Apps Win10 엔드포인트 사용자 스트림을 통해 섀도 IT 애플리케이션을 검색할 수 있습니다.

Microsoft Defender XDR 디바이스 네트워크 이벤트 조사

참고

네트워크 이벤트는 검색된 앱을 조사하는 데 사용해야 하며 누락된 데이터를 디버그하는 데 사용되지 않아야 합니다.

다음 단계를 사용하여 엔드포인트용 Microsoft Defender 디바이스의 네트워크 활동에 대한 보다 세부적인 가시성을 얻을 수 있습니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 , 디바이스 탭을 선택합니다.
  2. 조사하려는 컴퓨터를 선택한 다음 왼쪽 위에서 엔드포인트용 Microsoft Defender 보기를 선택합니다.
  3. Microsoft Defender XDR 자산 ->디바이스> {선택한 디바이스}에서 타임라인을 선택합니다.
  4. 필터에서 네트워크 이벤트를 선택합니다.
  5. 필요에 따라 디바이스의 네트워크 이벤트를 조사합니다.

Microsoft Defender XDR 디바이스 타임라인 보여 주는 스크린샷

고급 헌팅을 사용하여 Microsoft Defender XDR 앱 사용량 조사

엔드포인트용 Defender에서 앱 관련 네트워크 이벤트에 대한 보다 세부적인 가시성을 얻으려면 다음 단계를 사용합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 Cloud Discovery를 선택합니다. 그런 다음 검색된 앱 탭을 선택합니다.

  2. 조사하려는 앱을 선택하여 서랍을 엽니다.

  3. 앱의 도메인 목록을 선택한 다음 도메인 목록을 복사합니다.

  4. Microsoft Defender XDR 헌팅에서 고급 헌팅을 선택합니다.

  5. 다음 쿼리를 붙여넣고 를 이전에 복사한 도메인 목록으로 바꿉 <DOMAIN_LIST> 니다.

    DeviceNetworkEvents
| where RemoteUrl has_any ("<DOMAIN_LIST>")
| order by Timestamp desc

  6. 쿼리를 실행하고 이 앱에 대한 네트워크 이벤트를 조사합니다.

    Microsoft Defender XDR 고급 헌팅을 보여 주는 스크린샷

Microsoft Defender XDR 인증되지 않은 앱 조사

허가되지 않은 앱에 액세스하려는 모든 시도는 전체 세션에 대한 자세한 세부 정보와 함께 Microsoft Defender XDR 경고를 트리거합니다. 이렇게 하면 허가되지 않은 앱에 액세스하려는 시도에 대한 심층 조사를 수행하고 엔드포인트 디바이스 조사에 사용할 추가 관련 정보를 제공할 수 있습니다.

경우에 따라 엔드포인트 디바이스가 올바르게 구성되지 않았거나 적용 정책이 아직 엔드포인트로 전파되지 않았기 때문에 허가되지 않은 앱에 대한 액세스가 차단되지 않는 경우가 있습니다. 이 instance 엔드포인트용 Defender 관리자는 Microsoft Defender XDR 비사용 앱이 차단되지 않았다는 경고를 받게 됩니다.

엔드포인트용 Defender 비사용 앱 경고를 보여 주는 스크린샷.

참고

  • 앱 도메인이 엔드포인트 디바이스에 전파되려면 앱을 사용 안 됨 으로 태그를 지정한 후 최대 2시간이 걸립니다.
  • 기본적으로 Defender for Cloud Apps 사용 취소로 표시된 앱 및 도메인은 organization 모든 엔드포인트 디바이스에 대해 차단됩니다.
  • 현재 전체 URL은 허가되지 않은 앱에 대해 지원되지 않습니다. 따라서 전체 URL로 구성된 앱의 사용 권한을 취소하는 경우 엔드포인트용 Defender로 전파되지 않으며 차단되지 않습니다. 예를 들어 는 google.com/drive 지원되지 않지만 는 drive.google.com 지원됩니다.
  • 브라우저 내 알림은 브라우저마다 다를 수 있습니다.

다음 단계

엔드포인트용 Microsoft Defender 검색된 앱 관리

정책을 사용하여 클라우드 앱 제어

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.