서버용 Defender에 대한 일반적인 질문

예. 이제 구독 내의 특정 리소스에서 서버용 Defender를 관리하여 보호 전략을 완벽하게 제어할 수 있습니다. 이 기능을 사용하면 구독 수준에서 구성된 설정과 다른 사용자 지정 구성으로 특정 리소스를 구성할 수 있습니다. 리소스 수준에서 서버용 Defender를 사용하도록 설정하는 방법에 대해 자세히 알아봅니다. 그러나 연결된 AWS 계정 또는 GCP 프로젝트에서 서버용 Microsoft Defender를 사용하도록 설정하면 연결된 모든 컴퓨터가 서버용 Defender에 의해 보호됩니다.

서버에 대한 엔드포인트용 Microsoft Defender의 라이선스가 이미 있는 경우 서버용 Microsoft Defender 플랜 Plan 1 또는 2 라이선스의 해당 부분에 대해 비용을 지불할 필요가 없습니다.

할인을 요청하려면 도움말 및 지원 센터에서 새 지원 요청을 만들어 Azure Portal을 통해 클라우드용 Defender 지원 팀에 문의하세요.

1. Azure Portal에 로그인합니다.

2. 지원 및 문제 해결 선택

   

3. 도움말 + 지원을 선택합니다.

4. 지원 요청 만들기를 선택합니다.

5. 다음 정보를 입력합니다.

   

6. 다음을 선택합니다.

7. 다음을 선택합니다.

8. 추가 세부 정보 탭에서 고객 조직 이름, 테넌트 ID, 구매한 서버 라이선스에 대한 엔드포인트용 Microsoft Defender 수, 구매한 서버 라이선스에 대한 엔드포인트용 Microsoft Defender 만료 날짜 및 기타 모든 필수 필드를 입력합니다.

9. 다음을 선택합니다.

10. 만들기를 선택합니다.

구독에서 서버용 Defender를 사용하도록 설정하면 모든 컴퓨터의 전원 상태에 따라 요금이 청구됩니다.

Azure VM:

Azure Arc 머신:

서버용 Defender 플랜 1은 Log Analytics를 사용하지 않습니다. 구독 수준에서 서버용 Defender 플랜 2를 사용하도록 설정하면 클라우드용 Defender가 기본 Log Analytics 작업 영역에서 자동으로 계획을 사용하도록 설정합니다. 사용자 지정 작업 영역을 사용하는 경우 작업 영역에서 계획을 사용하도록 설정해야 합니다. 자세한 내용은 다음과 같습니다.

• 구독 및 연결된 사용자 지정 작업 영역에 대해 서버용 Defender를 켜면 둘 다에 대한 요금이 청구되지 않습니다. 시스템은 고유한 VM을 식별합니다.
• 구독 간 작업 영역에서 서버용 Defender를 사용하도록 설정하는 경우:
  • Log Analytics 에이전트의 경우 서버용 Defender 계획이 사용하도록 설정되지 않은 구독을 포함하여 모든 구독의 연결된 머신에 요금이 청구됩니다.
  • Azure Monitor 에이전트의 경우 서버용 Defender에 대한 청구 및 기능 적용 범위는 구독에서 사용하도록 설정되는 계획에 따라서만 달라집니다.

Log Analytics 작업 영역 수준에서 서버용 Microsoft Defender를 사용하도록 설정할 수 있지만 해당 작업 영역에 보고하는 서버만 보호되고 과금되며 해당 서버는 엔드포인트용 Microsoft Defender, 취약성 평가 및 Just-In-Time VM 액세스와 같은 일부 혜택을 받지 않습니다.

서버용 Defender 플랜 2를 사용하도록 설정하면 하루에 500MB의 무료 데이터 수집이 가능합니다. 허용량은 특히 클라우드용 Defender에서 직접 수집하는 보안 데이터 형식에 대한 것입니다.

이 허용양은 모든 노드의 일일 평균 요금입니다. 총 일일 무료 한도는 [컴퓨터 수] x 500MB와 같습니다. 일부 컴퓨터에서는 100MB를 보내고 다른 컴퓨터에서는 800MB를 보내더라도 총액이 총 일일 무료 한도를 초과하지 않으면 추가 요금이 청구되지 않습니다.

클라우드당 Defender 청구는 Log Analytics 청구와 밀접하게 연관되어 있습니다. 서버용 Microsoft Defender는 다음과 같은 보안 데이터 형식의 하위 집합에 대해 머신에 매일 노드당 500MB의 할당량을 제공합니다.

• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• SysmonEvent
• ProtectionStatus
• 업데이트 관리 솔루션이 작업 영역에서 실행되고 있지 않거나 솔루션 대상 지정을 사용하는 경우 Update 및 UpdateSummary 데이터 형식.

작업 영역이 레거시 노드당 가격 책정 계층에 있는 경우 클라우드용 Defender 및 Log Analytics 할당량이 결합되어 청구 가능한 모든 수집된 데이터에 공동으로 적용됩니다.

예. Azure 구독, 연결된 AWS 계정 또는 연결된 GCP 프로젝트에서 서버용 Defender로 보호되는 모든 머신에 대해 요금이 청구됩니다. 머신이라는 용어에는 Azure 가상 머신, Azure Virtual Machines Scale Sets 및 Azure Arc 지원 서버가 포함됩니다. Log Analytics가 설치되지 않은 머신에는 Log Analytics 에이전트에 종속되지 않는 보호 기능이 적용됩니다.

이전에는 엔드포인트용 Microsoft Defender가 Log Analytics 에이전트에서 프로비전되었습니다. Linux 및 Windows Server 2019를 포함하도록 지원을 확장할 때 자동 온보딩을 수행할 확장도 추가했습니다.

클라우드용 Defender는 다음을 실행하는 컴퓨터에 확장을 자동으로 배포합니다.

• Windows Server 2019 및 Windows Server 2022
• MDE 통합 솔루션 통합이 사용하도록 설정된 경우 Windows Server 2012 R2 및 2016
• Azure Virtual Desktop의 Windows 10.
• 클라우드용 Defender가 OS 버전을 인식하지 못하는 경우(예: 사용자 지정 VM 이미지가 사용되는 경우) 다른 버전의 Windows Server. 이 경우에는 Log Analytics 에이전트가 엔드포인트용 Microsoft Defender를 계속 프로 비전합니다.
• Linux.

통합을 사용하도록 설정했지만 여전히 컴퓨터에서 실행 중인 확장이 표시되지 않는 경우:

1. 조사할 문제가 있는지 확인하려면 최소 12시간을 기다려야 합니다.
2. 12시간이 지난 후에도 여전히 컴퓨터에서 확장이 실행되고 있지 않으면 통합을 위한 필수 조건을 충족했는지 확인합니다.
3. 조사 중인 컴퓨터와 관련된 구독에 대해 서버용 Microsoft Defender 요금제를 사용하도록 설정했는지 확인합니다.
4. Azure 테넌트 간에 Azure 구독을 이동한 경우 클라우드용 Defender가 엔드포인트용 Defender를 배포하기 전에 몇 가지 수동 준비 단계가 필요합니다. 자세한 내용은 Microsoft 지원에 문의하세요.

서버에 대한 엔드포인트용 Defender 라이선스는 서버용 Microsoft Defender에 포함되어 있습니다.

아니요. 서버용 Defender의 엔드포인트용 Defender 통합을 통해 컴퓨터에서 맬웨어 보호 기능도 얻을 수 있습니다.

• 엔드포인트용 Defender 통합 솔루션 통합이 사용하도록 설정된 Windows Server 2012 R2에서 서버용 Defender는 활성 모드에서 Microsoft Defender 바이러스 백신을 배포합니다.
• 최신 Windows Server 운영 체제에서 Microsoft Defender 바이러스 백신은 운영 체제의 일부이며 활성 모드에서 사용하도록 설정됩니다.
• Linux에서 서버용 Defender는 맬웨어 방지 구성 요소를 포함하는 엔드포인트용 Defender를 배포하고 구성 요소를 수동 모드로 설정합니다.

비 Microsoft 엔드포인트 솔루션에서 전환하는 방법에 대한 자세한 지침은 엔드포인트용 Microsoft Defender 설명서인 마이그레이션 개요에서 제공됩니다.

서버용 Defender 계획 1 and 계획 2는 엔드포인트용 Microsoft Defender 계획 2의 기능을 제공합니다.

현재 사용할 수 있는 적용 옵션은 없습니다. 적응형 애플리케이션 제어는 안전한 것으로 정의된 애플리케이션 이외의 애플리케이션이 실행될 때 보안 경고를 제공하기 위한 것입니다. 다양한 이점이 있으며(적응형 애플리케이션 제어의 이점은 무엇인가요?) 이 페이지에 나와 있는 것처럼 사용자 지정 가능합니다.

서버용 Microsoft Defender에는 컴퓨터에 대한 취약성 검사가 포함됩니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Defender for Cloud 내에서 원활하게 처리됩니다. 이 스캐너에 대한 자세한 내용과 배포 방법에 대한 지침은 클라우드용 Defender의 통합 Qualys 취약성 평가 솔루션을 참조하세요.

클라우드용 Defender가 스캐너를 배포할 때 경고가 생성되지 않도록 하기 위해 적응형 애플리케이션 제어 권장 허용 목록에는 모든 컴퓨터에 대한 스캐너가 포함됩니다.

인벤토리 보기에는 CSPM(클라우드 보안 태세 관리) 관점에서 클라우드용 Defender 연결된 리소스가 나열됩니다. 필터는 활성 권장 사항이 있는 리소스만 표시합니다.

예를 들어, 8개의 구독에 대한 액세스 권한이 있지만 현재 7개만 권장 사항이 있는 경우 리소스 종류 = 구독으로 필터링하면 활성 권장 사항이 있는 7개 구독만 표시됩니다.

모든 클라우드용 Defender 모니터링 리소스에 에이전트가 필요한 것은 아닙니다. 예를 들어, 클라우드용 Defender는 Azure Storage 계정 또는 PaaS 리소스(예: 디스크, Logic Apps, Data Lake Analysis 및 Event Hubs)를 모니터링하기 위해 에이전트가 필요하지 않습니다.

가격 책정 또는 에이전트 모니터링이 리소스와 관련이 없는 경우 해당 인벤토리의 열에는 아무것도 표시되지 않습니다.

적응형 네트워크 강화 권장 사항은 다음 특정 포트(UDP 및 TCP 모두)에서만 지원됩니다.

13, 17, 19, 22, 23, 53, 69, 81, 111, 119, 123, 135, 137, 138, 139, 161, 162, 389, 445, 512, 514, 593, 636, 873, 1433, 1434, 1900, 2049, 2301, 2323, 2381, 3268, 3306, 3389, 4333, 5353, 5432, 5555, 5800, 5900, 5900, 5985, 5986, 6379, 6379, 7000, 7001, 7199, 8081, 8089, 8545, 9042, 9160, 9300, 11211, 16379, 26379, 27017, 37215

적응형 네트워크 강화는 클라우드용 Microsoft Defender의 에이전트가 없는 기능으로, 이 네트워크 강화 도구를 활용하기 위해 어떤 것도 머신에 설치할 필요가 없습니다.

알고리즘을 실행한 결과 클라우드용 Defender가 기존 NSG 구성에 따라 허용해야 하는 트래픽을 식별하지 않는 경우 모든 트래픽 거부 규칙을 사용하는 것이 좋습니다. 따라서 권장 규칙은 지정된 포트에 대한 모든 트래픽을 거부하는 것입니다. 이 유형의 규칙 이름은 “시스템 생성”으로 표시됩니다. 이 규칙을 적용한 후 NSG의 실제 이름은 프로토콜, 트래픽 방향, “DENY”, 난수로 구성된 문자열이 됩니다.

필수 구성 요소로 게스트 구성 확장을 배포하려면 다음을 수행합니다.

• 선택한 컴퓨터에 대해 보안 모범 사례 구현 보안 제어에서 컴퓨터에 게스트 구성 확장 설치 보안 권장 사항을 따릅니다.

• 대규모로 가상 머신에서 게스트 구성 정책 사용을 위한 필수 구성 요소 배포 정책 이니셔티브를 할당합니다.

해당 없음 탭의 리소스 목록에는 이유 열이 포함되어 있습니다. 몇 가지 일반적인 이유는 다음과 같습니다.

구독 수준에서 서버 플랜을 사용하도록 설정하면 클라우드용 Defender가 자동으로 기본 작업 영역에서 서버 플랜을 사용하도록 설정합니다. 클라우드용 Defender에서 만든 기본 작업 영역에 Azure VM 연결 옵션을 선택하고 적용을 선택하여 기본 작업 영역에 연결합니다.

그러나 기본 작업 영역 대신 사용자 지정 작업 영역을 사용하는 경우 사용하도록 설정되지 않은 모든 사용자 지정 작업 영역에서 서버 플랜을 사용하도록 설정해야 합니다.

사용자 지정 작업 영역을 사용하고 구독 수준에서만 플랜을 사용하도록 설정하는 경우 Microsoft Defender for servers should be enabled on workspaces 권장 사항이 권장 사항 페이지에 나타납니다. 이 권장 사항은 수정 단추를 사용하여 작업 영역 수준에서 서버 플랜을 사용하도록 설정하는 옵션을 제공합니다. 서버 계획이 작업 영역에 대해 사용하도록 설정되지 않은 경우에도 구독의 모든 VM에 대해 요금이 청구됩니다. VM은 엔드포인트용 Microsoft Defender, VA 솔루션(MDVM/Qualys) 및 Just-In-Time VM 액세스와 같은 Log Analytics 작업 영역에 의존하는 기능의 이점을 누릴 수 없습니다.

구독 및 연결된 작업 영역 모두에서 서버 플랜을 사용하도록 설정하면 이중 요금이 발생하지 않습니다. 시스템은 각각의 고유한 VM을 식별합니다.

구독 간 작업 영역에서 서버 계획을 사용하도록 설정하면 서버 계획을 사용하도록 설정하지 않은 구독을 포함하여 모든 구독의 연결된 VM에 대한 요금이 청구됩니다.

예. Azure 구독 또는 연결된 AWS 계정에서 서버용 Microsoft Defender를 사용하도록 설정하면 Azure 구독 또는 AWS 계정에 연결된 모든 컴퓨터에 대한 요금이 청구됩니다. 컴퓨터이라는 용어에는 Azure Virtual Machines, Azure Virtual Machine Scale Sets 인스턴스 및 Azure Arc 지원 서버가 포함됩니다. Log Analytics가 설치되지 않은 머신에는 Log Analytics 에이전트에 종속되지 않는 보호 기능이 적용됩니다.

머신이 여러 작업 영역에 보고하고 모두 서버용 Defender를 사용하도록 설정한 경우 연결된 각 작업 영역에 대해 요금이 청구됩니다.

예. 데이터를 둘 이상의 서로 다른 Log Analytics 작업 영역에 보내도록(멀티호밍) Log Analytics 에이전트를 구성한 경우 각 작업 영역에 대해 500MB의 데이터를 무료로 수집할 수 있습니다. 노드, 보고된 작업 영역, 하루 단위로 계산되며, ‘보안’ 또는 ‘맬웨어 방지’ 솔루션이 설치된 모든 작업 영역에서 사용할 수 있습니다. 500MB 제한을 초과하여 수집되는 모든 데이터에 대해 요금이 청구됩니다.

작업 영역에 연결된 각 VM(가상 머신)에 대해 매일 500MB의 무료 데이터 수집이 허용됩니다. 이 할당은 특히 클라우드용 Defender에서 직접 수집한 보안 데이터 형식에 적용됩니다.

데이터 허용량은 연결된 모든 컴퓨터에서 계산되는 일일 요금입니다. 총 일일 무료 한도는 [컴퓨터 수] x 500MB와 같습니다. 따라서 지정된 날짜에 일부 컴퓨터에서는 100MB를 보내고 다른 컴퓨터에서는 800MB를 보내더라도 모든 컴퓨터의 총 데이터가 일일 무료 한도를 초과하지 않으면 추가 요금이 청구되지 않습니다.

Defender for Cloud의 청구는 Log Analytics 청구와 밀접하게 연관되어 있습니다. 서버용 Microsoft Defender는 다음과 같은 보안 데이터 형식의 하위 집합에 대해 머신에 노드당 하루 500MB의 할당량을 제공합니다.

• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• SysmonEvent
• ProtectionStatus
• 업데이트 관리 솔루션이 작업 영역에서 실행되고 있지 않거나 솔루션 대상 지정을 사용하는 경우 Update 및 UpdateSummary 데이터 형식.

작업 영역이 레거시 노드당 가격 책정 계층에 있는 경우 Defender for Cloud 및 Log Analytics 할당량이 결합되어 청구 가능한 모든 수집된 데이터에 공동으로 적용됩니다. Microsoft Sentinel 고객이 혜택을 받을 수 있는 방법에 대한 자세한 내용은 Microsoft Sentinel 가격 책정 페이지를 참조하세요.

Azure Portal 또는 스크립트를 실행하여 두 가지 방법으로 데이터 사용량을 볼 수 있습니다.

Azure Portal에서 사용량을 보려면:

1. Azure Portal에 로그인합니다.

2. Log Analytics 작업 영역으로 이동합니다.

3. 작업 영역을 선택합니다.

4. 사용 및 예상 비용을 선택합니다.

   

각 가격 책정 계층에 대해 을 선택하여 다양한 가격 책정 계층에서 예상 비용을 볼 수도 있습니다.

스크립트를 사용하여 사용량을 보려면:

1. Azure Portal에 로그인합니다.

2. Log Analytics 작업 영역>로그로 이동합니다.

3. 시간 범위를 선택합니다. 시간 범위에 대해 알아봅니다.

4. 다음 쿼리를 복사하여 여기에 쿼리 입력 섹션에 붙여넣습니다.

   let Unit= 'GB';
   Usage
   | where IsBillable == 'TRUE'
   | where DataType in ('SecurityAlert', 'SecurityBaseline', 'SecurityBaselineSummary', 'SecurityDetection', 'SecurityEvent', 'WindowsFirewall', 'MaliciousIPCommunication', 'SysmonEvent', 'ProtectionStatus', 'Update', 'UpdateSummary')
   | project TimeGenerated, DataType, Solution, Quantity, QuantityUnit
   | summarize DataConsumedPerDataType = sum(Quantity)/1024 by  DataType, DataUnit = Unit
   | sort by DataConsumedPerDataType desc
   

5. 실행을 선택합니다.

   

Log Analytics 작업 영역에서 사용량 분석 방법을 배울 수 있습니다.

사용량에 따라 일일 허용량을 모두 사용할 때까지 요금이 청구되지 않습니다. 청구서를 받는 경우 500MB제한에 도달한 후 사용된 데이터 또는 클라우드용 Defender의 적용 범위에 속하지 않는 기타 서비스에 대해서만 청구됩니다.

특정 에이전트 집합으로 제한하여 비용을 관리하고 솔루션에 대해 수집되는 데이터 양을 제한할 수 있습니다. 솔루션 대상 지정을 사용하여 범위를 솔루션에 적용하고 작업 영역에 있는 컴퓨터의 하위 집합을 대상으로 지정합니다. 솔루션 대상 지정을 사용하는 경우 Defender for Cloud에서 솔루션이 없는 작업 영역을 나열합니다.

다음 단계

서버용 Defender 배포 계획