Microsoft Defender for Endpoint, EDR 주요 기능 테스트 (네트워크 격리 & 조사 패키지)

 

안녕하세요.

홍사미입니다다.

 

 

Microsoft Defender를 검토하면서 실제로 테스트 해본 내용을 공유합니다.

EDR 주요 기능인 네트워크 격리와 조사 패키지를 직접 검증해보았고 실제 감염된 PC에서 특이사항에 관련된
알림이 오거나 확인되었을 경우 중앙에서 해당 PC를 격리가 가능할 것인가에 대한 검증요건이었습니다. 

 

우선 관리되는 모든 PC에는 MDE가 설치된 상태입니다. EDR로 생각해주셔도 괜찮습니다. :)

*MDE = Microsoft Defender for EndPoint

(MS에서 제공하는 EDR 솔루션으로, 기존 백신과 달리 위협 탐지 후 대응까지 가능한 엔드포인트 보안 플랫폼)

 

TIP ! MDE의 역할에 대해서 간단하게 보고 가겠습니다.

① 악성 행위를 실시간으로 탐지

②위협 발생 시 자동 격리

③ 콘솔에서 원클릭 네트워크 차단 (테스트 진행)

④ 조사 패키지 수집 (테스트 진행)

⑤ 타임라인으로 공격 경로 추적

 

 

테스트 내용

• EDR 콘솔에서 버튼 한번으로 클라이언트 단말의 네트워크 통신을 차단 가능 유무 (분석 조치를 위한 관리 연결은 유지)

Defender에서 장치, 인벤토리 항목에서 차단할 사용자 PC Hostname을 검색 후 "장치 격리"를 통해서 통제합니다.

 

 

 

격리를 위한 설명을 간단하게 작성 후 Confirm 을 통해서 격리를 진행하게 됩니다.

 

 

감염된 사용자 PC에서 인터넷 액세스를 할 경우 차단된 것을 확인할 수 있습니다.

 

• 자동 격리 + 포렌식 이미지 자동 수집
  • 포렌식이라는 용어는 존재하지 않고 "조사 패키지(Investigation Package)"  확인이 가능합니다.

조사 패키지를 수집해서 감염된 PC의 로그 확보

 

 

패키지가 완료되면 해당 패키지를 통해서 다양한 정보를 확인해볼 수 있습니다. 

콘텐츠 내용에 대해서 공유드리겠습니다.

 

 

 

 

AI를 사용한 침해사고가 다양해진 만큼 EDR / SIEM/ SOAR 등

다양한 보안 플랫폼을 잘 확인해서 보안을 강화하는 것이 중요할 것으로 생각됩니다..

 

 

실제로 테스트해보니 EDR 콘솔에서 원클릭으로 격리가 가능하다는 점이 인상적이었습니다.

침해사고 대응 시 골든타임을 확보하는데 큰 도움이 될 것 같습니다.

 

오늘 하루도 화이팅하시고 열정적으로 또 열심히 해보겠습니다.