엔드포인트용 Microsoft Defender 설명

  • 4분

엔드포인트용 Microsoft Defender는 엔터프라이즈 네트워크가 노트북, 휴대폰, 태블릿, PC, 액세스 지점, 라우터 및 방화벽을 포함한 엔드포인트를 보호할 수 있도록 설계된 플랫폼입니다. 이 플랫폼은 고급 위협 방지, 감지, 조사, 응답을 통해 엔드포인트 보호에 도움을 줍니다. 엔드포인트용 Microsoft Defender에는 Windows 10 이상 버전과 Microsoft 클라우드 서비스에 기본 제공되는 기술이 포함되어 있습니다. 이 기술에는 다음이 포함됩니다.

  • 운영 체제에서 신호를 수집하고 처리하는 Windows 10 이상 버전에 포함된 엔드포인트 동작 센서
  • 동작 신호를 고급 위협에 대한 인사이트, 검색 및 권장 응답으로 변환하는 클라우드 보안 분석
  • 엔드포인트용 Defender가 공격자의 도구, 기법, 절차를 식별하고 수집된 센서 데이터에서 이러한 항목이 관측될 경우 경고를 생성하도록 하는 위협 인텔리전스

엔드포인트용 Microsoft Defender의 구성 요소를 보여 주는 다이어그램입니다.

엔드포인트용 Microsoft Defender는 다음과 같이 구성되어 있습니다.

  • 핵심 Defender 취약성 관리: 기본 제공 핵심 취약성 관리 기능은 엔드포인트 취약성 및 잘못된 구성의 검색, 평가, 우선 순위 지정 및 수정에 대한 최신 위험 기반 접근 방식을 사용합니다.
  • 공격 표면 감소: 공격 표면 감소 기능 집합은 스택의 첫 번째 방어 계층을 제공합니다. 해당 기능이 구성 설정이 적절하게 설정되었으며 익스플로잇 완화 기술이 적용되었음을 확인하여 공격 및 익스플로잇을 방지합니다. 이 기능 세트에는 악의적인 IP 주소, 도메인 및 URL에 대한 액세스를 제어하는 네트워크 보호 및 웹 보호도 포함됩니다.
  • 차세대 보호: 차세대 보호는 모든 유형의 새로운 위협을 포착하도록 설계되었습니다. Microsoft Defender 바이러스 백신 외에도 차세대 보호 서비스에는 다음 기능이 포함됩니다.
    • 동작 기반, 추론 및 실시간 바이러스 백신 보호
    • 클라우드 제공 보호(새롭게 떠오르는 위협의 거의 즉각적인 탐지 및 차단 기능 포함)
    • 전용 보호 및 제품 업데이트(Microsoft Defender 바이러스 백신을 최신 상태로 유지하는 데 관련된 업데이트 포함)
  • 엔드포인트 감지 및 응답: 근 실시간으로 실행 가능한 고급 공격 감지를 제공합니다. 보안 분석가는 경고 우선 순위를 지정하고 위반의 전체 범위를 확인하고 위협을 수정하는 조치를 취할 수 있습니다.
  • AIR(자동 조사 및 수정): 자동 조사의 기술은 다양한 검사 알고리즘을 사용하며 보안 분석가가 사용하는 프로세스를 기반으로 합니다. AIR 기능은 경고를 조사하고 침해를 해결하기 위해 즉각적인 조치를 취하도록 설계되었습니다. AIR 기능은 경보 볼륨을 크게 줄여 보안 운영이 보다 정교한 위협 및 기타 고가치 이니셔티브에 집중할 수 있도록 합니다.
  • 디바이스에 대한 Microsoft Secure Score: 엔드포인트용 Defender에는 엔터프라이즈 네트워크의 보안 상태를 동적으로 평가하고, 보호되지 않는 시스템을 식별하고, 조직의 전반적인 보안 개선을 위해 권장되는 조치를 수행하도록 도움을 주는 디바이스용 Microsoft Secure Score가 포함되어 있습니다.
  • Microsoft Threat Experts: Microsoft Defender ATP의 새로운 관리형 위협 사냥 서비스인 Microsoft Threat Experts는 사전 예방적 사냥, 우선 순위 지정 및 추가 컨텍스트 및 인사이트를 제공하여 보안 운영 센터(SOC)가 더욱 신속하고 정확하게 위협을 식별하고 대응할 수 있도록 합니다.
  • 관리 및 API: 엔드포인트용 Defender는 표준 Microsoft Entra ID 기반 인증 및 권한 부여 모델을 통해 엔터티 및 기능을 노출하도록 설계된 API 모델을 제공합니다.

엔드포인트용 Microsoft Defender는 Microsoft Defender 도구 모음의 다양한 구성 요소와 통합됩니다. Intune 및 Microsoft Defender for Cloud를 비롯한 다른 Microsoft 솔루션과도 통합됩니다.

엔드포인트용 Microsoft Defender는 엔드포인트용 Defender 플랜 1 및 플랜 2의 두 가지 플랜으로 사용할 수 있습니다. 각 플랜에 포함된 내용에 대한 정보는 요약 및 리소스 단위에 연결된 엔드포인트용 Microsoft Defender 플랜 비교 문서에 자세히 설명되어 있습니다.

Microsoft Defender 포털의 엔드포인트용 Microsoft Defenders

엔드포인트용 Microsoft Defenders는 Microsoft Defender 포털을 통해 경험할 수 있습니다. Defender 포털은 Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반의 보안을 모니터링하고 관리하는 곳으로, 보안 관리자가 한곳에서 보안 작업을 수행할 수 있도록 합니다.

Microsoft Defender 포털의 왼쪽 탐색 패널에 있는 엔드포인트 노드에는 다음이 포함됩니다.

  • 취약성 관리 - 디바이스의 취약성 및 기타 위험 원본을 관리합니다. 여기에서 취약성 관리 대시보드, 권장 사항, 수정, 약점 등에 액세스할 수 있습니다. Microsoft Defender 취약성 관리에 대한 자세한 내용은 이 모듈의 후속 단원에 있습니다.
  • 파트너 및 API - 여기에서 연결된 애플리케이션과 API 탐색기를 선택할 수 있습니다.
    • 연결된 애플리케이션 - 연결된 애플리케이션 페이지는 조직의 엔드포인트용 Microsoft Defender에 연결된 Microsoft Entra 애플리케이션(Microsoft Entra ID와 사전 통합된 SaaS 애플리케이션)에 대한 정보를 제공합니다.
    • API Explorer - 엔드포인트용 Defender는 일련의 프로그래밍 API를 통해 많은 데이터와 작업을 공개합니다. 이러한 API를 사용하면 엔드포인트용 Defender 기능을 기반으로 워크플로를 자동화하고 혁신할 수 있습니다. 엔드포인트용 Microsoft Defender API Explorer는 다양한 엔드포인트용 Defender API를 대화형으로 탐색하는 데 도움이 되는 도구입니다. API 탐색기를 사용하여 샘플 쿼리를 실행하거나 사용자 고유의 API 쿼리를 만들고 테스트하여 엔드포인트용 Microsoft Defender 기능을 테스트할 수 있습니다.
  • 구성 관리 - 엔드포인트 정책을 정의하고 배포를 추적합니다.

설정, 권한, 인시던트 및 경고, 보고서 및 기타 기능도 Microsoft Defender 포털을 통해 사용할 수 있습니다. 자세한 내용은 이 모듈에 포함된 "Microsoft Defender 포털 설명" 단원에서 다룹니다.