Microsoft Defender for Endpoint – 엔터프라이즈급 위협 방지

작성자:

Alexander S. Gillis, 기술 작가 겸 편집자
브라이언 포시

게시일:2023년 4월 13일

엔드포인트용 Microsoft Defender(이전의 Microsoft Defender Advanced Threat Protection 또는 Windows Defender ATP)는 엔터프라이즈급 조직이 보안 위협을 예방, 감지 및 대응할 수 있도록 설계된 엔드포인트 보안 플랫폼입니다.

Defender for Endpoint는 Windows 10 및 Azure 서비스에 기본 제공되는 도구를 사용하여 조직이 맬웨어 또는 랜섬웨어와 같은 잠재적인 위협에 대응하는 데 도움을 줄 수 있습니다. 이러한 도구는 자동화된 조사, 예방 및 침해 후 보안 감지 및 대응 기능을 제공합니다.

Defender for Endpoint는 이전에 Microsoft Defender Advanced Threat Protection으로 알려져 있었지만 2019년에 Defender 브랜드의 다른 제품과 함께 브랜드가 변경되었습니다.

Microsoft Defender for Endpoint – 엔터프라이즈급 위협 방지

악성코드와 랜섬웨어는 보안 위협의 두 가지 유형일 뿐입니다.

특징 및 기능

Microsoft Defender for Endpoint는 다음과 같은 보안 기능을 제공합니다.

위협 및 취약성 관리. 소프트웨어 인벤토리는 엔드포인트에서 실시간으로 수행됩니다. 이 정보는 설치된 애플리케이션 및 누락된 패치와 관련된 보안 취약성을 감지하고 우선순위를 지정하며 완화하는 데 사용됩니다.
공격 표면 감소. 하드웨어 격리 및 애플리케이션 제어를 통해 시스템의 전반적인 공격 표면이 줄어듭니다. 애플리케이션 감사 데이터가 모니터링되고 필요한 애플리케이션에 대한 제외가 추가됩니다. 공격 표면 감소 규칙도 사용됩니다.
차세대 보호. Defender for Endpoint는 지속적인 검색을 수행하여 위협을 감지하고 차단합니다. 이 기능은 Microsoft Defender 바이러스 백신과 동작 기반 바이러스 백신 보호 및 클라우드 제공 보호를 사용합니다.
엔드포인트 감지 및 대응. 엔드포인트용 Defender는 관련 공격을 사고로 그룹화합니다. 이러한 유형의 집계는 보안 전문가가 위협의 우선순위를 정하고 조사하고 대응하는 데 도움이 됩니다.
자동화된 조사 및 해결. 선택하지 않은 채로 두면 네트워크 엔드포인트에서 엄청난 수의 보안 경고가 생성될 수 있습니다. 자동화된 조사 기능은 경고를 검사하고 해결하므로 보안 전문가는 다른 작업에 집중할 수 있습니다.
안전한 점수. Defender for Endpoint는 보안 점수를 사용하여 현재 보안 구성을 평가합니다. 이 점수는 애플리케이션, 운영 체제, 네트워크, 계정 및 보안 제어를 포함한 범주를 기반으로 합니다.
엔드포인트 공격. 이전의 Microsoft Threat Experts -- 표적 공격 알림인 Endpoint Attack은 키로거 또는 사이버 공격을 포함한 공격을 탐지하고 우선 순위를 지정하는 관리형 헌팅 서비스입니다.
관리 및 API. API 컬렉션은 Defender for Endpoint를 조직의 워크플로에 통합합니다.
공유 데이터. Defender for Endpoint는 Azure Active Directory ID 보호, Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps 및 Microsoft Defender for Identity를 포함한 다른 Microsoft 제품과 데이터를 공유합니다.
엔드포인트 행동 센서. 이러한 센서는 Windows 10에서 동작을 수집하고 처리합니다.
플랫폼 지원. Defender for Endpoint는 Windows, Linux, macOS, iOS 및 Android 운영 체제에 대한 보안 서비스를 제공합니다.

Defender for Endpoint 계획

Windows Defender for Endpoint는 계획 1(P1)과 계획 2(P2)의 두 가지 주요 계획을 제공합니다. P1은 기본 버전이고 P2는 P1이 제공하는 모든 것을 제공하지만 몇 가지 기능을 추가합니다.

P1은 다음 기능을 제공합니다:

API, 보안 정보 및 이벤트 관리 커넥터
애플리케이션 제어.
폴더 액세스를 제어합니다.
기기 기반 조건부 액세스.
USB 등의 장치 제어
엔드포인트 방화벽.
네트워크 보호.
차세대 맬웨어 방지
중앙 집중식 관리를 갖춘 통합 보안 도구.
웹 제어 및 분류된 URL 차단.

P2에는 이전에 언급한 모든 기능과 함께 다음 기능이 포함되어 있습니다.

자동화된 조사 및 해결.
Defender 취약점 관리 기능.
엔드포인트 감지 및 대응.
샌드박스.
분석을 통한 위협 인텔리전스

Defender for Endpoint는 독립 실행형 Defender for Business 버전도 제공합니다. 이 버전에는 위협 및 취약성 관리 기능, 공격 표면 감소, 엔드포인트 탐지 및 대응, 자동화된 조사 및 대응이 함께 제공됩니다. 그러나 웹 콘텐츠 필터링 및 크로스 플랫폼 지원 기능이 제한되어 있습니다.

비즈니스용 Microsoft Defender는 중소기업을 위한 독립 실행형 사용자 구독으로 또는 Microsoft 365 Business Premium의 일부로 제공됩니다.

끝점 P1용 Microsoft Defender는 기업 및 교육 고객을 위한 독립 실행형 구독 라이선스로 제공됩니다. 특정 Microsoft 365 요금제의 일부로도 포함되어 있습니다.

엔드포인트 P2용 Microsoft Defender는 독립 실행형 라이선스로 사용하거나 특정 버전의 Windows 10 및 11 Enterprise와 특정 버전의 Microsoft 365의 일부로도 사용할 수 있습니다.

Microsoft는 Microsoft Defender for Endpoint의 P1 및 P2 버전 모두에 대한 무료 평가판을 제공합니다.

추가 통합

Windows Defender for Endpoint는 다음을 포함한 다른 Microsoft 소프트웨어와 통합될 수 있습니다.

Azure 정보 보호.
조건부 액세스.
마이크로소프트 인튠.
클라우드용 Microsoft Defender.
클라우드 앱용 Microsoft Defender.
Microsoft Defender for Identity.
Office용 Microsoft Defender.
마이크로소프트 센티넬.
비즈니스용 Skype.

강점과 약점

Microsoft Defender for Endpoint의 가장 큰 장점 중 하나는 기능 목록입니다. 또한 특정 공격과 관련된 데이터를 사용하여 그래픽 공격 타임라인을 생성할 수도 있습니다. 이 도구는 Windows, Linux, macOS, iOS 및 Android를 포함한 다른 운영 체제와도 호환됩니다.

그러나 Microsoft의 Defender for Endpoint 구현에도 몇 가지 약점이 있습니다. 예를 들어 제품은 엔드포인트에 있는 다른 맬웨어 방지 소프트웨어와 엔드포인트 탐지 및 대응 소프트웨어를 자동으로 비활성화합니다. 즉, 이전에 보안 도구를 설치한 경우 구성에 따라 Defender for Endpoint를 설치하면 조직의 보안 상태가 약화될 수 있습니다.

Windows 환경 외부에서는 이전 macOS 장치와 같이 Defender for Endpoint를 배포하기 어려울 수 있습니다. 마찬가지로 Linux 시스템에서는 엔드포인트 에이전트의 메모리 사용량이 높아질 수 있습니다.

사이버범죄자는 여러 가지 방법으로 악성 코드를 확산시킬 수 있습니다. ZIP 및 RAR 형식을 사용하는 아카이브 파일이 어떻게 최종 사용자의 컴퓨터에 악성 코드를 배포하는 가장 널리 사용되는 방법이 되었는지 알아보세요.