EDR(악용 방지)

필요한 역할: SPC 관리자 그룹 및 SPC 분석가 그룹.

이 완화 통제 범주는 엔드포인트 보호 에이전트 구성의 형태로 자산에서 사용할 수 있는 완화를 다룹니다. 이는 SCCM Microsoft 과 Microsoft Defender 완화 제어 통합 및 SentineOne과 같은 CrowdStrike 엔드포인트 보호 에이전트에 적용됩니다.

'주소 공간 레이아웃 임의 지정 강제 적용' 및 'DEP 강제 적용'과 같은 익스플로잇 완화 설정을 .와 같은 CrowdStrike엔드포인트 보호 도구에서 활성화할 수 있습니다. SPC 는 애플리케이션에 포함된 정책 및 엔드포인트 보호 도구와의 API 통합을 통해 장치에서 이 구성을 자동으로 탐지합니다.

를 사용하여 Exploit Protection(EDR) 탐지를 위한 필수 구성요소 CrowdStrike

1. 서비스 그래프 커넥터를 활성화 CrowdStrike 했는지 확인합니다. 이 애플리케이션은 ServiceNow Store에서 다운로드할 수 있습니다. 설치 및 구성 정보는 앱 목록에 포함되어 있습니다. 자세한 내용은 완화 통제 모니터링을 위한 통합 설치 및 구성 CrowdStrike 문서를 참조하십시오.
2. 작업 공간에서 API 통합이 CrowdStrike 활성화되어 보안 태세 통제 있는지 확인합니다.

EDR(Exploit Protection)의 완화 통제 및 정책 CrowdStrike

SCCM 및 Defender 완화 통제 통합을 사용한 Microsoft EDR(Exploit Protection) 탐지를 Microsoft 위한 필수 구성요소

Microsoft 스크립트 작성자 역할을 포함하는 SCCM 자격 증명입니다. 스크립트 작성자 역할은 SCCM 서버에서 완화 정보를 임포트하는 데 필요한 스크립트를 만드는 데 필요한 권한을 제공합니다.

자세한 내용은 Microsoft SCCM용 서비스 그래프 커넥터 및 Microsoft Defender 완화 통제 통합 설치 및 구성 문서를 참조하십시오.

Microsoft SCCM 및 Microsoft Defender 완화 통제 통합을 사용하는 EDR(Exploit Protection)의 완화 통제 및 정책:

• Defender – 익스플로잇 완화 – CFG

  Microsoft Defender 제어 흐름 가드.

• Defender – 익스플로잇 완화 – DEP

  Microsoft Defender 데이터 실행 방지.

• Defender – 익스플로잇 완화 – 필수 ASLR 및 상향식 ASLR

  Microsoft 수비수 힘 ASLR.

• MITRE 다룬 전술: 초기 접근, 실행, 자격 증명 접근, 방어 회피, 권한 에스컬레이션, 횡적 이동.
• MITRE 이 완화로 해결되는 기술: 드라이브 바이 손상(초기 액세스), 클라이언트 실행 악용(실행), 자격 증명 액세스에 대한 악용(자격 증명 액세스), 방어 회피에 대한 악용(방어 회피), 권한 에스컬레이션 악용(방어 회피), 원격 서비스 악용(횡적 이동).

SentinelOne 완화 통제 통합을 통한 EDR(악용 방지) 탐지를 위한 필수 구성요소