학습 경로 2 - 랩 1 - 연습 1 - 엔드포인트용 Microsoft Defender 배포

랩 시나리오

랩 개요입니다.

여러분은 엔드포인트용 Microsoft Defender를 구현하고 있는 회사에서 일하는 보안 운영 분석가입니다. 귀하의 관리자가 몇몇 디바이스를 온보딩하여 보안 운영(SecOps) 팀 응답 절차에 필요한 변경 내용에 대한 인사이트를 제공하려고 합니다.

먼저 엔드포인트용 Defender 환경을 초기화합니다. 그런 다음 디바이스에서 온보딩 스크립트를 실행하여 배포할 초기 디바이스를 온보딩합니다. 환경에 대한 보안을 구성합니다. 마지막으로 디바이스 그룹을 만들고 적절한 디바이스를 할당합니다.

중요: 랩 가상 머신은 다양한 모듈을 통해 사용됩니다. 가상 머신을 저장해 두세요. 저장하지 않고 랩을 종료하면 일부 구성을 다시 실행해야 합니다.

참고: 이전 모듈의 작업 3을 성공적으로 완료했는지 확인합니다.

참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.

작업 1: 엔드포인트용 Microsoft Defender 초기화

이 작업에서는 엔드포인트용 Microsoft Defender 초기화를 수행합니다.

WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
아직 Microsoft Defender XDR 포털에 접속하지 않은 경우 Microsoft Edge 브라우저를 시작합니다.
Edge 브라우저에서 Defender XDR 포털(https://security.microsoft.com))로 이동합니다.
랩 호스팅 공급자가 제공한 관리자 사용자 이름용 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.
랩 호스팅 공급자가 제공한 관리자의 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.

팁: 관리자의 테넌트 메일 계정 및 암호는 리소스 탭에서 찾을 수 있습니다.
Defender XDR 포털의 탐색 메뉴 왼쪽에서 설정을 선택합니다.
설정 페이지에서 디바이스 검색을 선택합니다.

참고: 설정 아래에서 디바이스 검색이 보이지 않으면 계정 이니셜의 오른쪽 위 원을 선택하고 로그아웃을 클릭하여 로그아웃합니다. 시도할 수 있는 다른 옵션은 Ctrl+F5를 사용하여 페이지를 새로 고치거나 페이지 InPrivate를 여는 것입니다. 테넌트 이메일 자격 증명을 사용하여 다시 로그인합니다.
검색 설정에서 표준 검색(권장) 을 선택했는지 확인합니다.

힌트: 옵션이 표시되지 않으면 페이지를 새로 고칩니다.

작업 2: 디바이스 온보딩

이 작업에서는 온보딩 스크립트를 사용하여 엔드포인트용 Microsoft Defender에 디바이스를 온보딩합니다.

왼쪽 메뉴 모음에서 설정을 선택한 다음 설정 페이지에서 엔드포인트를 선택합니다.
디바이스 관리 섹션에서 온보딩을 선택합니다.

참고: 왼쪽 메뉴 모음의 자산 섹션에서 디바이스 온보딩을 수행할 수도 있습니다. 자산을 확장하고 디바이스를 선택합니다. 디바이스 인벤토리 페이지에서 컴퓨터 및 모바일이 선택된 상태에서 디바이스 온보딩까지 아래로 스크롤합니다. 그러면 설정 > 엔드포인트 페이지로 이동합니다.
“1. 디바이스 온보딩” 영역에서 배포 방법 드롭다운에 “로컬 스크립트(최대 디바이스 10대에 사용 가능)”가 표시되었는지 확인하고 온보딩 패키지 다운로드 단추를 선택합니다.
다운로드 팝업에서 마우스로 “WindowsDefenderATPOnboardingPackage.zip” 파일을 강조 표시하고 폴더에 표시 폴더 아이콘을 선택합니다. 힌트: 표시되지 않는 경우 파일은 c:\users\admin\downloads 디렉터리에 있어야 합니다.

팁: 브라우저에서 다운로드를 차단하는 경우 브라우저에서 다운로드를 허용하도록 설정합니다. Microsoft Edge 브라우저에서 “WindowsDefenderATPOnboardingPackage.zip은 일반적으로 다운로드되지 않습니다.”라는 메시지가 표시될 수 있습니다. 신뢰하는지 확인합니다…, 필요한 경우 줄임표 단추(…)를 선택한 다음 유지를 선택합니다. Microsoft Edge에서는 “WindowsDefenderATPOnboardingPackage.zip을 열기 전에 이를 신뢰하는지 확인합니다“라는 메시지가 포함된 두 번째 팝업이 나타납니다. 자세히 표시를 선택하여 선택 항목을 확장하고 계속 유지를 선택합니다.
다운로드한 zip 파일을 마우스 오른쪽 단추로 클릭하고, 모두 추출… 을 선택하고, 완료되면 압축을 푼 파일 표시가 선택되어 있는지 확인하고, 추출을 선택합니다.**
압축을 푼 “WindowsDefenderATPLocalOnboardingScript.cmd” 파일을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 속성 창의 오른쪽 아래에 있는 차단 해제 확인란을 선택하고 확인을 선택합니다.
압축을 푼 “WindowsDefenderATPLocalOnboardingScript.cmd” 파일을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다. 힌트: Windows SmartScreen 창이 표시되면 추가 정보를 선택하고 실행을 선택합니다.
“사용자 계정 컨트롤” 창이 표시되면 예를 선택하여 스크립트를 실행하고 스크립트에서 제시한 질문에 Y로 응답하도록 하고 Enter 키를 누릅니다. 스크립트 실행이 완료되면 명령 화면에 엔드포인트용 Microsoft Defender에 컴퓨터를 온보딩했습니다.라는 메시지가 표시됩니다.**
계속하려면 아무 키나 누르세요. 명령 프롬프트 창이 닫힙니다.

작업 3: 역할 구성

이 작업에서는 디바이스 그룹에 사용할 역할을 구성합니다.

Microsoft Defender XDR 포털의 왼쪽 메뉴 모음에서 설정을 선택한 다음 엔드포인트를 선택합니다.
권한 영역에서 역할을 선택합니다.
역할 켜기 단추를 선택합니다.
+ 역할 추가를 선택합니다.

역할 추가 대화 상자에서 다음을 입력합니다.

일반 설정	값
역할 이름	계층 1 지원
사용 권한	라이브 응답 기능 - 고급

다음을 선택합니다.
위쪽에서 할당된 사용자 그룹 탭을 선택합니다. sg-IT를 선택하고 선택한 그룹 추가를 선택합니다. 이 역할을 가진 Azure AD 사용자 그룹 아래에 표시되는지 확인합니다.**
완료되면 제출을 선택한 다음 완료를 선택합니다.

참고: “UserAuthEnforcementMode가 Rbac이고 이 작업에는 RbacV2 중 하나가 필요하므로 사용자는 이 작업을 수행할 수 없습니다” 오류가 표시되는 경우 확인을 선택하고 다시 시도합니다.

작업 4: 디바이스 그룹 구성

이 작업에서는 액세스 제어 및 자동화 구성을 허용하는 디바이스 그룹을 구성합니다.

Microsoft Defender XDR 포털의 왼쪽 메뉴 모음에서 설정을 선택한 다음 엔드포인트를 선택합니다.
권한 영역에서 디바이스 그룹을 선택합니다.
+ 디바이스 그룹 추가 아이콘을 선택합니다.

일반 탭에서 다음 정보를 입력합니다.

일반 설정	값
디바이스 그룹 이름	Regular
수정 수준	전체 - 자동으로 위협 수정