Azure Monitor 에이전트를 사용할 때 파일 무결성 모니터링 사용
FIM(파일 무결성 모니터링)을 제공하기 위해 AMA(Azure Monitor 에이전트)는 데이터 수집 규칙에 따라 시스템에서 데이터를 수집합니다. 시스템 파일의 현재 상태를 이전 검사 중 상태와 비교하는 경우 FIM에서 의심스러운 수정에 대해 알려줍니다.
참고 항목
클라우드용 Defender 업데이트 전략의 일환으로 Azure Monitor 에이전트는 더 이상 서버용 Defender의 모든 기능을 수신할 필요가 없습니다. 이 페이지에 설명된 기능을 포함하여 현재 Azure Monitor 에이전트에 의존하는 모든 기능은 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 2024년 8월까지 사용할 수 있습니다. 컴퓨터에서 Defender for SQL Server의 전체 기능에 액세스하려면 Azure 모니터링 에이전트(AMA라고도 함)가 필요합니다. 기능 로드맵에 대한 자세한 내용은 이 공지를 참조하세요.
Azure Monitor 에이전트를 사용하는 파일 무결성 모니터링에서 제공하는 기능은 다음과 같습니다.
- 통합 모니터링 에이전트와의 호환성 - 보안, 안정성을 향상시키고 데이터를 저장하는 멀티 호밍 환경을 용이하게 하는 Azure Monitor 에이전트와 호환됩니다.
- 추적 도구와의 호환성- 클라이언트의 가상 머신에서 Azure Policy를 통해 배포된 CT(변경 내용 추적) 확장과 호환됩니다. AMA(Azure Monitor 에이전트)로 전환할 수 있습니다. 그러면 CT 확장에서 소프트웨어, 파일 및 레지스트리를 AMA로 푸시합니다.
- 간소화된 온보딩- 클라우드용 Microsoft Defender에서 FIM을 온보딩할 수 있습니다.
- 멀티 호밍 환경 – 하나의 중앙 작업 영역에서 관리 표준화를 제공합니다. 모든 VM에서 데이터 수집 및 유지 관리를 위해 단일 작업 영역을 가리키도록 LA(Log Analytics)에서 AMA로 전환할 수 있습니다.
- 규칙 관리 – 데이터 수집 규칙을 사용하여 데이터 수집의 다양한 측면을 구성하거나 사용자 지정합니다. 예를 들어 파일 수집 빈도를 변경할 수 있습니다.
이 문서에서는 다음 작업을 수행하는 방법을 알아봅니다.
가용성
측면 | 세부 정보 |
---|---|
릴리스 상태: | 미리 보기를 |
가격 책정: | 서버용 Microsoft Defender Plan 2가 필요합니다. |
필요한 역할 및 권한: | 소유자 기여자 |
클라우드: | 상업용 클라우드 - australiaeast , australiasoutheast , canadacentral , centralindia , centralus , eastasia , eastus2euap , eastus , eastus2 , francecentral , japaneast , koreacentral , northcentralus , northeurope , southcentralus , southeastasia , switzerlandnorth , uksouth , westcentralus , westeurope , westus , westus2 지역에서만 지원됨국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure) Azure Arc 지원 디바이스입니다. 연결된 AWS 계정 연결된 GCP 계정 |
필수 조건
AMA가 있는 컴퓨터에서 파일 변경 내용을 추적하려면 다음을 수행합니다.
서버용 Defender 계획 2를 사용하도록 설정합니다.
모니터링하려는 컴퓨터에 AMA 를 설치합니다.
AMA에서 파일 무결성 모니터링 사용
FIM(파일 무결성 모니터링)을 사용하도록 설정하려면 FIM 권장 사항을 사용하여 모니터링할 컴퓨터를 선택합니다.
클라우드용 Defender 사이드바에서 권장 사항 페이지를 엽니다.
컴퓨터에서 파일 무결성 모니터링을 사용하도록 설정해야 함 권장 사항을 선택합니다. 클라우드용 Defender 권장 사항에 대해 자세히 알아보세요.
파일 무결성 모니터링을 사용하려는 컴퓨터를 선택하고, 수정을 선택한 다음, X 리소스 수정을 선택합니다.
권장 사항 수정은 다음을 수행합니다.
ChangeTracking-Windows
또는ChangeTracking-Linux
확장을 컴퓨터에 설치합니다.- 기본 설정에 따라 모니터링해야 하는 파일 및 레지스트리를 정의하는 이름이 지정된
Microsoft-ChangeTracking-[subscriptionId]-default-dcr
구독에 대한 DCR(데이터 수집 규칙)을 생성합니다. 수정에서 AMA가 설치되고 FIM이 사용하도록 설정된 구독의 모든 컴퓨터에 DCR을 연결합니다. defaultWorkspace-[subscriptionId]-fim
명명 규칙 및 기본 작업 영역 설정을 사용하여 새 Log Analytics 작업 영역을 만듭니다.
DCR 및 Log Analytics 작업 영역 설정은 나중에 업데이트할 수 있습니다.
클라우드용 Defender의 사이드바에서 워크로드 보호>파일 무결성 모니터링으로 차례로 이동하고, 배너를 선택하여 Azure Monitor 에이전트가 있는 컴퓨터에 대한 결과를 표시합니다.
파일 무결성 모니터링이 사용하도록 설정된 컴퓨터가 표시됩니다.
추적된 파일의 변경 횟수를 볼 수 있으며, 변경 내용 보기를 선택하여 해당 컴퓨터에서 추적된 파일의 변경 내용을 확인할 수 있습니다.
추적된 파일 및 레지스트리 키 목록 편집
Azure Monitor 에이전트가 있는 컴퓨터에 대한 FIM(파일 무결성 모니터링)은 DCR(데이터 수집 규칙)을 사용하여 추적할 파일 및 레지스트리 키의 목록을 정의합니다. 각 구독에는 해당 구독의 컴퓨터에 대한 DCR이 있습니다.
FIM은 추적된 파일 및 레지스트리 키의 기본 구성을 사용하여 DCR을 만듭니다. DCR을 편집하여 FIM에서 추적하는 파일 및 레지스트리의 목록을 추가, 제거 또는 업데이트할 수 있습니다.
추적된 파일 및 레지스트리의 목록을 편집하려면 다음을 수행합니다.
파일 무결성 모니터링에서 데이터 수집 규칙을 선택합니다.
액세스 권한이 있는 구독에 대해 만들어진 각 규칙을 볼 수 있습니다.
구독에 대해 업데이트하려는 DCR을 선택합니다.
Windows 레지스트리 키, Windows 파일 및 Linux 파일의 목록에 있는 각 파일에는 이름, 경로 및 기타 옵션을 포함하여 파일 또는 레지스트리 키에 대한 정의가 포함되어 있습니다. 또한 사용을 False로 설정하여 정의를 제거하지 않고 파일 또는 레지스트리 키의 추적을 해제할 수 있습니다.
시스템 파일 및 레지스트리 키 정의에 대해 자세히 알아보세요.
파일을 선택한 다음, 파일 또는 레지스트리 키 정의를 추가하거나 편집합니다.
추가를 선택하여 변경 내용을 저장합니다.
파일 무결성 모니터링에서 컴퓨터 제외
DCR에 연결된 구독의 모든 컴퓨터가 모니터링됩니다. 파일과 레지스트리 키가 추적되지 않도록 DCR에서 컴퓨터를 분리할 수 있습니다.
파일 무결성 모니터링에서 컴퓨터를 제외하려면 다음을 수행합니다.
- FIM 결과의 모니터링된 컴퓨터 목록에서 해당 컴퓨터에 대한 메뉴(...)를 선택합니다
- 데이터 수집 규칙 분리를 선택합니다.
컴퓨터가 모니터링되지 않는 컴퓨터 목록으로 이동하고, 해당 컴퓨터에 대한 파일 변경 내용이 더 이상 추적되지 않습니다.
다음 단계
클라우드용 Defender에 대해 자세히 알아보세요.
- 보안 정책 설정 - Azure 구독 및 리소스 그룹에 대한 보안 정책을 구성하는 방법을 알아봅니다.
- 보안 권장 사항 관리 - 권장 사항을 통해 Azure 리소스를 보호하는 방법을 알아봅니다.
- Azure 보안 블로그 - 최신 Azure 보안 뉴스 및 정보를 가져옵니다.