학습 경로 4 - 랩 1 - 연습 1 - 엔드포인트용 Microsoft Defender 배포

랩 시나리오

랩 개요입니다.

여러분은 엔드포인트용 Microsoft Defender를 구현하고 있는 회사에서 일하는 보안 운영 분석가입니다. 귀하의 관리자가 몇몇 디바이스를 온보딩하여 보안 운영(SecOps) 팀 응답 절차에 필요한 변경 내용에 대한 인사이트를 제공하려고 합니다.

먼저 엔드포인트용 Defender 환경을 초기화합니다. 그런 다음 디바이스에서 온보딩 스크립트를 실행하여 배포할 초기 디바이스를 온보딩합니다. 환경에 대한 보안을 구성합니다. 마지막으로 디바이스 그룹을 만들고 적절한 디바이스를 할당합니다.

중요: 랩 가상 머신은 다양한 모듈을 통해 사용됩니다. 가상 머신을 저장해 두세요. 저장하지 않고 랩을 종료하면 일부 구성을 다시 실행해야 합니다.

참고: 첫 번째 모듈의 작업 3을 성공적으로 완료했는지 확인합니다.

이 랩의 예상 완료 시간은 30분입니다.

작업 1: 엔드포인트용 Microsoft Defender 초기화

이 작업에서는 엔드포인트용 Microsoft Defender 초기화를 수행합니다.

  1. 암호를 사용하여 WIN1 가상 머신에 관리자로 로그인(Pa55w.rd)합니다.

  2. 아직 Microsoft Defender XDR 포털에 접속하지 않은 경우 Microsoft Edge 브라우저를 시작합니다.

  3. Microsoft Edge 브라우저에서 Defender XDR 포털(https://security.microsoft.com)로 이동합니다.

  4. 랩 호스팅 공급자가 제공한 관리자 사용자 이름용 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.

  5. 랩 호스팅 공급자가 제공한 관리자의 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.

    팁: 관리자의 테넌트 메일 계정 및 암호는 리소스 탭에서 찾을 수 있습니다.

  6. Defender XDR 포털의 왼쪽 탐색 메뉴에서 아래로 스크롤하여 시스템 섹션을 확장한 후 설정을 선택합니다.

    참고: 일부 버전의 포털에는 시스템 섹션에 설정 옵션이 없을 수 있습니다. 설정보고서감사로 그룹화할 수 있습니다.

  7. 설정 페이지에서 디바이스 검색을 선택합니다.

    참고: 설정 아래에서 디바이스 검색이 보이지 않으면 계정 이니셜의 오른쪽 위 원을 선택하고 로그아웃을 클릭하여 로그아웃합니다. 시도할 수 있는 다른 옵션은 Ctrl+F5를 사용하여 페이지를 새로 고치거나 페이지 InPrivate를 여는 것입니다. 테넌트 이메일 자격 증명을 사용하여 다시 로그인합니다.

  8. 검색 설정에서 표준 검색(권장) 을 선택했는지 확인합니다.

    힌트: 옵션이 표시되지 않으면 페이지를 새로 고칩니다.

작업 2: 디바이스 온보딩

이 작업에서는 온보딩 스크립트를 사용하여 엔드포인트용 Microsoft Defender에 디바이스를 온보딩합니다.

  1. Defender XDR 포털의 왼쪽 탐색 메뉴에서 아래로 스크롤하여 시스템 섹션을 확장하고 설정을 선택한 다음 설정 페이지에서 엔드포인트를 선택합니다.

  2. 디바이스 관리 섹션에서 온보딩을 선택합니다.

    참고: 왼쪽 메뉴 모음의 자산 섹션에서 디바이스 온보딩을 수행할 수도 있습니다. 자산을 확장하고 디바이스를 선택합니다. 디바이스 인벤토리 페이지에서 컴퓨터 및 모바일이 선택된 상태에서 디바이스 온보딩까지 아래로 스크롤합니다. 그러면 설정 > 엔드포인트 페이지로 이동합니다.

  3. “1. 디바이스 온보딩” 영역에서 배포 방법 드롭다운에 “로컬 스크립트(최대 디바이스 10대에 사용 가능)”가 표시되었는지 확인하고 온보딩 패키지 다운로드 단추를 선택합니다.

  4. 다운로드 팝업에서 마우스로 “WindowsDefenderATPOnboardingPackage.zip” 파일을 강조 표시하고 폴더에 표시 폴더 아이콘을 선택합니다. 힌트: 표시되지 않는 경우 파일은 c:\users\admin\downloads 디렉터리에 있어야 합니다.

    팁: 브라우저에서 다운로드를 차단하는 경우 브라우저에서 다운로드를 허용하도록 설정합니다. Microsoft Edge 브라우저에서 “WindowsDefenderATPOnboardingPackage.zip은 일반적으로 다운로드되지 않습니다.”라는 메시지가 표시될 수 있습니다. 신뢰하는지 확인합니다…, 필요한 경우 줄임표 단추(…)를 선택한 다음 유지를 선택합니다. Microsoft Edge에서는 “WindowsDefenderATPOnboardingPackage.zip을 열기 전에 이를 신뢰하는지 확인합니다“라는 메시지가 포함된 두 번째 팝업이 나타납니다. 자세히 표시를 선택하여 선택 항목을 확장하고 계속 유지를 선택합니다.

  5. 다운로드한 zip 파일을 마우스 오른쪽 단추로 클릭하고, 모두 추출… 을 선택하고, 완료되면 압축을 푼 파일 표시가 선택되어 있는지 확인하고, 추출을 선택합니다.**

  6. 압축을 푼 “WindowsDefenderATPLocalOnboardingScript.cmd” 파일을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다. 속성 창의 오른쪽 아래에 있는 차단 해제 확인란을 선택하고 확인을 선택합니다.

  7. 압축을 푼 “WindowsDefenderATPLocalOnboardingScript.cmd” 파일을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 선택합니다. 힌트: Windows SmartScreen 창이 표시되면 추가 정보를 선택하고 실행을 선택합니다.

  8. “사용자 계정 컨트롤” 창이 표시되면 를 선택하여 스크립트를 실행하고 스크립트에서 제시한 질문에 Y로 응답하도록 하고 Enter 키를 누릅니다. 스크립트 실행이 완료되면 명령 화면에 엔드포인트용 Microsoft Defender에 컴퓨터를 온보딩했습니다.라는 메시지가 표시됩니다.**

  9. 계속하려면 아무 키나 누르세요. 명령 프롬프트 창이 닫힙니다.

작업 3: 역할 구성

이 작업에서는 디바이스 그룹에 사용할 역할을 구성합니다.

  1. Microsoft Defender XDR 포털 탐색 메뉴에서 System 섹션을 확장하고 Settings을 선택한 다음 Microsoft Defender XDR을 선택합니다.

  2. 계정 섹션에서 Permissions and Roles을 선택합니다.

  3. 페이지를 아래로 스크롤하여 Go to Permissions and roles 링크를 선택합니다.

  4. Permissions and roles 페이지에서 + Create custom role을 선택합니다.

  5. 기본 페이지에서 역할 추가 대화 상자에 다음을 입력합니다.

    기본 설정
    역할 이름 계층 1 지원

  6. 다음을 선택합니다.

  7. Permissions 페이지에서 다음 권한을 선택합니다.

    사용 권한 그룹 설명
    보안 운영 일상적인 작업을 관리하고 인시던트 및 권고에 대응합니다.

  8. 보안 작업 팝업 페이지에서 All read and manage permissions 라디오 단추를 선택합니다.

  9. Apply를 선택한 후 Next를 선택합니다.

  10. Assign users and data sources 페이지에서 Create assignment 단추를 선택합니다.

  11. 할당 추가 대화 상자에서 다음을 입력합니다.

    할당 설정
    할당 이름 계층 1 지원
    Employees sg-IT
    데이터 원본 기본값 유지

  12. Add를 선택하고 Next를 선택합니다.

  13. 완료되면 제출을 선택한 다음 완료를 선택합니다.

작업 4: 디바이스 그룹 구성

이 작업에서는 액세스 제어 및 자동화 구성을 허용하는 디바이스 그룹을 구성합니다.

  1. Microsoft Defender XDR 포털 왼쪽 메뉴 모음에서 시스템 섹션을 확장하고 설정을 선택한 다음 엔드포인트를 선택합니다.

  2. 권한 영역에서 디바이스 그룹을 선택합니다.

  3. + 디바이스 그룹 추가 아이콘을 선택합니다.

  4. 일반 탭에서 다음 정보를 입력합니다.

    일반 설정
    디바이스 그룹 이름 Regular
    수정 수준 전체 수정

  5. 다음을 선택합니다.

  6. 디바이스 탭에서 OS 조건으로 Windows 11을 선택하고 다음을 선택합니다.

    참고: 일부 랩 호스팅 공급자에서는 WIN1용 Windows 10 이미지를 구성했을 수 있습니다. 둘 중 하나 또는 둘 다를 선택할 수 있습니다.

  7. 미리 보기 디바이스 탭에서 미리 보기 표시 단추를 누르면 WIN1 가상 머신이 표시될 수 있지만 데이터가 아직 채워지지 않았을 가능성이 높습니다. 다음을 선택하여 작업을 계속할 수 있습니다.

  8. 사용자 액세스 탭에서 sg-IT를 선택한 다음 선택한 그룹 추가 단추를 클릭합니다. 이 디바이스 그룹에 대한 액세스 권한을 가진 Azure AD 사용자 그룹 아래에 표시되는지 확인합니다.**

  9. 완료되면 제출을 선택한 다음 완료를 선택합니다.

  10. 디바이스 그룹 구성이 변경되었습니다. 변경 내용 적용을 선택하여 일치 항목을 확인하고 그룹화를 다시 계산합니다.

  11. 이제 만든 “일반” 및 동일한 수정 수준을 가진 “그룹화되지 않은 디바이스(기본값)”의 두 가지 디바이스 그룹을 포함하려고 합니다.

연습 2 계속 진행