Microsoft Defender XDR/MDE

Deploy Microsoft Defender for Endpoint (MDE). (6) Tagging

Pepuri 2023. 11. 19. 09:40
반응형

이전글

2023.10.29 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (5) Attack surface reduction Rule

 

 

이번에는 Device Group을 나눌 때 필요한 Tagging에 대해서 다뤄보겠습니다.

Web Protection 이나 Automated investigation and remediation (AIR) 을 사용할 때에는 Device Group으로 분류하여 운영합니다.

아래는 Device Group 나누는 설정 예시입니다.

Device Groups 예시

 

그런데, MDE에서는 Entra Id Intune 등록된 Device Group 가져올 없는 구조로 설계되어 있습니다.

MDE 구성도

 

Device Group 가져오면 편할 같은데, 안될까를 곰곰히 생각해보면, MDE 장치가 온보딩 된다는 것은 엄밀히 따지면 각각이 디바이스에 존재하는 활성화 한다는 개념입니다. 활성화된 센서는 AD Entra ID와는 아무런 상관관계게 없기 때문에 연계할 없는 구조일 것으로 예상됩니다.

 

그룹핑을 하려면 Name, Domain, Tag, OS 로만 지정할 있습니다. 문제는 4가지만 가지고는 100 이상의 장치를 올바르게 구분하기 어렵습니다.

 

그나마 가장 적합한 것은 Tag입니다.

 

Tag AD Intune 정책으로 구분하여 할당할 있습니다.

 

참고 자료

How to use tagging effectively (Part 1) - Microsoft Community Hub

Create and manage device tags | Microsoft Learn

 

Tag 지정하는 레지스트리 위치는 다음과 같습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging\

Tag registry

 

레지스트리로 입력한 부분과 UI에서 입력한 부분이 겹치지 않습니다. Tag 개념이 성격별로 분류하는 개념이기 때문에 여러 개를 가질 있다. 라고 이해하였습니다.

Tag 적용 결과

 

이번에는 GPO 배포해보겠습니다.

우선 AD에서는 Client OS Server OS 대한 구분을 진행하겠습니다.

Tagging 대상 OU

 

정책 생성

GPO 생성

 

 

Computer Configuration -> Preference -> Registry -> New -> Registry Item

레지스트리 생성

 

다음과 같이 입력합니다.

MDE Registry

 

Hive: HKEY_LOCAL_MACHINE
Key Path: SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging\
Value Name: Group
Value Type: REG_SZ
Value Data: TagName

 

아래와 같이 반영되는 것을 있습니다.

AD GPO Tagging

 

 

Intune에서 Tag 관리할 경우 아래와 같이 진행합니다.

Configuration profiles -> Create -> Windows 10 and later -> Templates -> Custom -> Create

Configuration Profiles

 

Name 입력

Intune Policy1

 

Add

Intune Policy2

 

아래와 같이 입력 -> Save

Intune Policy3

 

OMA-URI: ./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group
Data Type: String
Value: TagName

 

Next

Intune Policy4

 

대상 그룹 추가

Intune Policy5

 

Create

Intune Policy6

 

정책이 반영되면, 아래와 같이 레지스트리가 생성됩니다.

Intune Policy Tagging 결과

 

Device Inventory에서 확인

Intune TAG

 

다음 포스팅에서는 Device Group 및 AIR에 대해서 다루도록 하겠습니다.

 

다음글

2023.12.16 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (7) Automated investigation and remediation (AIR)

반응형