탐지 정책 설정 기준과 격리 사례를 구체적으로 풀어내는 결
보안 인턴 기간에 Microsoft Defender for Endpoint를 활용해 엔드포인트 탐지 정책을 운영한 경험이 있습니다. 당시 조직 내 외주 직원 PC를 포함한 약 200대 엔드포인트를 관리했습니다.
탐지 정책은 행위 기반 탐지를 기본으로 설정했습니다. 시그니처만으로는 신종 변형 악성코드를 잡기 어렵기 때문에, EDR의 행위 분석 기능을 활성화하고 PowerShell 비정상 실행·레지스트리 조작 같은 의심 행위 패턴을 우선 모니터링 대상으로 설정했습니다.
실제로 외주 직원 PC에서 스크립트 기반 다운로더가 탐지된 사례가 있었습니다. EDR 콘솔에서 프로세스 트리를 확인하니 브라우저에서 PowerShell이 직접 실행되는 패턴이었고, 즉시 해당 PC를 네트워크에서 격리 처리했습니다. 이후 포렌식 분석으로 유사 패턴을 추출해 탐지 규칙에 추가했고, 같은 유형의 시도를 이후 3건 더 사전 차단할 수 있었습니다.
격리 정책은 탐지 즉시 자동 격리를 기본으로 하되, 오탐 위험이 높은 개발 도구 경로는 예외 처리 목록을 별도로 관리했습니다. 정책은 무조건 강하게 가는 것보다 오탐을 줄이는 균형이 중요하다는 것을 그 경험에서 배웠습니다.