Microsoft Defender 바이러스 백신의 핵심인 고급 기술
적용 대상:
- Microsoft Defender XDR
- 엔드포인트용 Microsoft Defender 플랜 2
- 비즈니스용 Microsoft Defender
- 엔드포인트용 Microsoft Defender 플랜 1
- Microsoft Defender 바이러스 백신
- 개인용 Microsoft Defender
Microsoft Defender 다음 다이어그램에 표시된 것처럼 여러 지점에서 광범위한 위협 및 공격자 기술을 감지하고 중지하기 위해 내부적으로 고급 검색 및 방지 기술로 이어지는 여러 엔진과 바이러스 백신을 Microsoft Defender.
이러한 엔진의 대부분은 클라이언트에 기본 제공되며 대부분의 위협에 대한 고급 보호를 실시간으로 제공합니다.
이러한 차세대 보호 엔진은 업계 최고의 검색 및 차단 기능을 제공하고 보호가 다음과 같은지 확인합니다.
- 정확도: 일반적인 위협과 정교한 위협 모두, 보호를 통해 미끄러지도록 설계된 많은 위협이 감지되고 차단됩니다.
- 실시간: 위협은 디바이스에 켜지는 것을 방지하거나, 즉각적으로 중지되거나, 가능한 한 가장 적은 시간(일반적으로 몇 밀리초 이내)에 감지 및 수정됩니다.
- 지능형: 클라우드, ML(기계 학습) 및 Microsoft의 업계 최고의 광학 기능을 통해 보호가 보강되고 새롭고 알려지지 않은 위협에 더욱 효과적으로 적용됩니다.
하이브리드 검색 및 보호
Microsoft Defender 바이러스 백신은 하이브리드 검색 및 보호를 수행합니다. 즉, 검색 및 보호는 먼저 클라이언트 디바이스에서 발생하며, 새로 개발된 위협을 위해 클라우드와 함께 작동하므로 더 빠르고 효과적인 검색 및 보호를 제공합니다.
클라이언트에서 알 수 없는 위협이 발생하면 메타데이터 또는 파일 자체를 클라우드 보호 서비스로 전송합니다. 여기서 고급 보호는 즉시 새로운 위협을 검사하고 여러 원본의 신호를 통합합니다.
| 클라이언트에서 | 클라우드에서 |
|---|---|
|
ML(기계 학습) 엔진 경량 기계 학습 모델 집합은 밀리초 내에 평결을 내어 줍니다. 이러한 모델에는 공격자가 일반적으로 악용하는 특정 파일 형식을 위해 빌드된 특수 모델 및 기능이 포함됩니다. 예를 들어 PE(이식 가능한 실행 파일) 파일, PowerShell, Office 매크로, JavaScript, PDF 파일 등을 위해 빌드된 모델이 있습니다. |
메타데이터 기반 ML 엔진 파일 형식별 모델, 기능별 모델 및 악의적으로 강화된 단조 모델을 포함하는 특수 ML 모델은 클라이언트에서 보낸 의심스러운 파일에 대한 주요 설명을 분석합니다. 누적 앙상블 분류자는 이러한 모델의 결과를 결합하여 파일 사전 실행을 허용하거나 차단하는 실시간 평결을 만듭니다. |
|
동작 모니터링 엔진 동작 모니터링 엔진은 실행 후 잠재적인 공격을 모니터링합니다. 런타임 시 동작 시퀀스를 비롯한 프로세스 동작을 관찰하여 미리 결정된 규칙에 따라 특정 유형의 활동을 식별하고 차단합니다. |
동작 기반 ML 엔진 의심스러운 동작 시퀀스 및 고급 공격 기술은 실시간 클라우드 ML 모델을 사용하여 프로세스 트리 동작을 분석하는 트리거로 클라이언트에서 모니터링됩니다. 모니터링되는 공격 기술은 익스플로잇, 상승 및 지속성에서부터 횡적 이동 및 반출에 이르기까지 공격 체인에 걸쳐 있습니다. |
|
메모리 검사 엔진 이 엔진은 실행 중인 프로세스에서 사용하는 메모리 공간을 검사하여 코드 난독 처리를 통해 숨길 수 있는 악의적인 동작을 노출합니다. |
AMSI(맬웨어 방지 검사 인터페이스) 쌍을 이루는 ML 엔진 클라이언트 쪽 및 클라우드 쪽 모델 쌍은 실행 전 및 사후 스크립팅 동작에 대한 고급 분석을 수행하여 파일리스 및 메모리 내 공격과 같은 고급 위협을 포착합니다. 이러한 모델에는 PowerShell, JavaScript, VBScript 및 Office VBA 매크로를 포함하여 다루는 각 스크립팅 엔진에 대한 모델 쌍이 포함됩니다. 통합에는 스크립팅 엔진의 동적 콘텐츠 호출 및/또는 동작 계측이 모두 포함됩니다. |
|
AMSI 통합 엔진 딥 인앱 통합 엔진을 사용하면 AMSI를 통해 파일리스 및 메모리 내 공격을 검색하여 코드 난독 처리를 방지할 수 있습니다. 이 통합은 스크립트 클라이언트 쪽의 악의적인 동작을 차단합니다. |
파일 분류 ML 엔진 다중 클래스 심층 신경망 분류자는 전체 파일 콘텐츠를 검사하고, 더 많은 분석이 필요한 공격에 대한 추가 방어 계층을 제공합니다. 의심스러운 파일은 실행에서 보관되고 분류를 위해 클라우드 보호 서비스에 제출됩니다. 몇 초 내에 전체 콘텐츠 딥 러닝 모델은 분류를 생성하고 클라이언트에 회신하여 파일을 허용하거나 차단합니다. |
|
추론 엔진 추론 규칙은 알려진 악성 특성과 유사한 파일 특성을 식별하여 새로운 위협 또는 수정된 버전의 알려진 위협을 파악합니다. |
폭발 기반 ML 엔진 의심스러운 파일이 샌드박스에서 폭발합니다. 딥 러닝 분류자는 관찰된 동작을 분석하여 공격을 차단합니다. |
|
에뮬레이션 엔진 에뮬레이션 엔진은 동적으로 맬웨어의 압축을 풀고 런타임 시 작동 방식을 검사합니다. 콘텐츠의 동적 에뮬레이션 및 에뮬레이션 종료 시의 메모리 콘텐츠와 에뮬레이션 중 동작을 모두 검사하면 맬웨어 패커가 무효화되고 다형성 맬웨어의 동작이 노출됩니다. |
평판 ML 엔진 Microsoft 전체의 도메인 전문가 평판 원본 및 모델은 악의적이거나 의심스러운 URL, 도메인, 이메일 및 파일에 연결된 위협을 차단하기 위해 쿼리됩니다. 원본에는 MICROSOFT Intelligent Security Graph를 통한 다른 Microsoft 서비스 중에서 URL 평판 모델용 Windows Defender SmartScreen 및 전자 메일 첨부 파일 전문가 지식을 위한 Office 365용 Defender 포함됩니다. |
|
네트워크 엔진 네트워크 활동을 검사하여 위협으로부터 악의적인 활동을 식별하고 중지합니다. |
스마트 규칙 엔진 전문가가 작성한 스마트 규칙은 연구원의 전문 지식과 위협에 대한 집단적 지식을 기반으로 위협을 식별합니다. |
|
CommandLine 검사 엔진 이 엔진은 실행하기 전에 모든 프로세스의 명령줄을 검사합니다. 프로세스에 대한 명령줄이 악의적인 것으로 확인되면 실행이 차단됩니다. |
CommandLine ML 엔진 여러 고급 ML 모델은 클라우드에서 의심스러운 명령줄을 검사합니다. 명령줄이 악의적인 것으로 확인되면 클라우드는 클라이언트에 신호를 보내 해당 프로세스가 시작되지 않도록 차단합니다. |
자세한 내용은 Microsoft 365 Defender가 2023 MITRE Engenuity ATT&CK® Evaluations: Enterprise에서 100% 보호 범위를 보여 줍니다.
차세대 보호가 다른 엔드포인트용 Defender 기능과 작동하는 방식
하드웨어 기반 격리, 애플리케이션 제어, 악용 방지, 네트워크 보호, 제어된 폴더 액세스, 공격 표면 감소 규칙 및 네트워크 방화벽과 같은 고급 기능을 포함하는 공격 표면 감소와 함께 차세대 보호 엔진은 엔드포인트용 Microsoft Defender'의 사전 검색 기능, 디바이스에 침투하고 네트워크를 손상하기 전에 공격을 중지합니다.
Microsoft의 심층 방어 솔루션의 일환으로 이러한 엔진의 뛰어난 성능은 바이러스 백신 검색 및 기타 차세대 보호 기능이 엔드포인트 검색 및 대응, 자동화된 조사 및 수정, 고급 헌팅을 보강하는 엔드포인트용 Microsoft Defender 통합 엔드포인트 보호에 발생합니다위협 및 취약성 관리, 관리되는 위협 헌팅 서비스 및 기타 기능.
이러한 보호는 최신 작업 공간을 위한 Microsoft의 포괄적인 엔드 투 엔드 보안 솔루션인 Microsoft Defender XDR 통해 더욱 강화됩니다. microsoft의 보안 기술 전반에서 신호 공유 및 수정 오케스트레이션을 통해 Microsoft Defender XDR ID, 엔드포인트, 메일 및 데이터, 앱 및 인프라를 보호합니다.
메모리 보호 및 메모리 검사
MDAV(Microsoft Defender 바이러스 백신)는 다양한 엔진으로 메모리 보호를 제공합니다.
| 클라이언트 | 클라우드 |
|---|---|
| 동작 모니터링 | 동작 기반 Machine Learning |
| AMSI(맬웨어 방지 검사 인터페이스) 통합 | AMSI 쌍 기계 학습 |
| 에뮬레이션 | 폭발 기반 Machine Learning |
| 메모리 검사 | 해당 없음 |
메모리 기반 공격을 방지하는 데 도움이 되는 추가 계층은 ASR(공격 표면 감소) 규칙인 Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단하는 것입니다. 자세한 내용은 Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단을 참조하세요.
질문과 대답
Microsoft Defender 바이러스 백신은 매월 얼마나 많은 맬웨어 위협을 차단하나요?
Microsoft Defender 바이러스 백신 메모리 보호는 어떻게 도움이 됩니까?
바이러스 백신 메모리 공격 보호가 도움이 Microsoft Defender 한 가지 방법은 엔드포인트용 Windows Defender를 사용하여 반사 DLL 로드 검색을 참조하세요.
모두 하나의 특정 지리적 영역에서 검색/방지에 집중합니까?
아니요, 모든 지리적 지역(미주, EMEA 및 APAC)에 있습니다.
당신은 모두 특정 산업에 초점을 맞추고 있습니까?
우리는 모든 산업에 초점을 맞추고 있습니다.
검색/보호에 인간 분석가가 필요합니까?
펜 테스트를 수행할 때는 인간 분석가가 검색/보호에 참여하지 않는 경우, 실제 바이러스 백신 엔진(사전 검사) 효능이 실제로 어떻게 작동하는지, 그리고 인간 분석가가 참여하는 별도의 효용성을 확인해야 합니다. 관리되는 확장 검색 및 응답 서비스에 XDR용 Microsoft Defender 전문가 추가하여 SOC를 보강할 수 있습니다.
이러한 각 엔진은 맬웨어 및 공격 방법의 최신 균주를 잡는 데 점점 더 효과적일 수 있도록 지속적으로 개선 되었습니다. 이러한 향상된 기능은 업계 테스트에서 일관된 최고 점수로 표시되지만, 더 중요한 것은 위협 및 맬웨어 발생 이 중지되고 더 많은 고객이 보호됨으로 변환되는 것입니다.