Azure Monitor 에이전트를 사용할 때 파일 무결성 모니터링 사용

  • 아티클

FIM(파일 무결성 모니터링)을 제공하기 위해 AMA(Azure Monitor 에이전트)는 데이터 수집 규칙에 따라 시스템에서 데이터를 수집합니다. 시스템 파일의 현재 상태를 이전 검사 중 상태와 비교하는 경우 FIM에서 의심스러운 수정에 대해 알려줍니다.

참고 항목

클라우드용 Defender 업데이트 전략의 일환으로 Azure Monitor 에이전트는 더 이상 서버용 Defender의 모든 기능을 수신할 필요가 없습니다. 이 페이지에 설명된 기능을 포함하여 현재 Azure Monitor 에이전트에 의존하는 모든 기능은 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 2024년 8월까지 사용할 수 있습니다. 컴퓨터에서 Defender for SQL Server의 전체 기능에 액세스하려면 Azure 모니터링 에이전트(AMA라고도 함)가 필요합니다. 기능 로드맵에 대한 자세한 내용은 이 공지를 참조하세요.

Azure Monitor 에이전트를 사용하는 파일 무결성 모니터링에서 제공하는 기능은 다음과 같습니다.

  • 통합 모니터링 에이전트와의 호환성 - 보안, 안정성을 향상시키고 데이터를 저장하는 멀티 호밍 환경을 용이하게 하는 Azure Monitor 에이전트와 호환됩니다.
  • 추적 도구와의 호환성- 클라이언트의 가상 머신에서 Azure Policy를 통해 배포된 CT(변경 내용 추적) 확장과 호환됩니다. AMA(Azure Monitor 에이전트)로 전환할 수 있습니다. 그러면 CT 확장에서 소프트웨어, 파일 및 레지스트리를 AMA로 푸시합니다.
  • 간소화된 온보딩- 클라우드용 Microsoft Defender에서 FIM을 온보딩할 수 있습니다.
  • 멀티 호밍 환경 – 하나의 중앙 작업 영역에서 관리 표준화를 제공합니다. 모든 VM에서 데이터 수집 및 유지 관리를 위해 단일 작업 영역을 가리키도록 LA(Log Analytics)에서 AMA로 전환할 수 있습니다.
  • 규칙 관리데이터 수집 규칙을 사용하여 데이터 수집의 다양한 측면을 구성하거나 사용자 지정합니다. 예를 들어 파일 수집 빈도를 변경할 수 있습니다.

이 문서에서는 다음 작업을 수행하는 방법을 알아봅니다.

가용성

측면 세부 정보
릴리스 상태: 미리 보기를
가격 책정: 서버용 Microsoft Defender Plan 2가 필요합니다.
필요한 역할 및 권한: 소유자
기여자
클라우드: 상업용 클라우드 - australiaeast, australiasoutheast, canadacentral, centralindia, centralus, eastasia, eastus2euap, eastus, eastus2, francecentral, japaneast, koreacentral, northcentralus, northeurope, southcentralus, southeastasia, switzerlandnorth, uksouth, westcentralus, westeurope, westus, westus2 지역에서만 지원됨
국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)
Azure Arc 지원 디바이스입니다.
연결된 AWS 계정
연결된 GCP 계정

필수 조건

AMA가 있는 컴퓨터에서 파일 변경 내용을 추적하려면 다음을 수행합니다.

AMA에서 파일 무결성 모니터링 사용

FIM(파일 무결성 모니터링)을 사용하도록 설정하려면 FIM 권장 사항을 사용하여 모니터링할 컴퓨터를 선택합니다.

  1. 클라우드용 Defender 사이드바에서 권장 사항 페이지를 엽니다.

  2. 컴퓨터에서 파일 무결성 모니터링을 사용하도록 설정해야 함 권장 사항을 선택합니다. 클라우드용 Defender 권장 사항에 대해 자세히 알아보세요.

  3. 파일 무결성 모니터링을 사용하려는 컴퓨터를 선택하고, 수정을 선택한 다음, X 리소스 수정을 선택합니다.

    권장 사항 수정은 다음을 수행합니다.

    • ChangeTracking-Windows 또는 ChangeTracking-Linux 확장을 컴퓨터에 설치합니다.
    • 기본 설정에 따라 모니터링해야 하는 파일 및 레지스트리를 정의하는 이름이 지정된 Microsoft-ChangeTracking-[subscriptionId]-default-dcr 구독에 대한 DCR(데이터 수집 규칙)을 생성합니다. 수정에서 AMA가 설치되고 FIM이 사용하도록 설정된 구독의 모든 컴퓨터에 DCR을 연결합니다.
    • defaultWorkspace-[subscriptionId]-fim 명명 규칙 및 기본 작업 영역 설정을 사용하여 새 Log Analytics 작업 영역을 만듭니다.

    DCR 및 Log Analytics 작업 영역 설정은 나중에 업데이트할 수 있습니다.

  4. 클라우드용 Defender의 사이드바에서 워크로드 보호>파일 무결성 모니터링으로 차례로 이동하고, 배너를 선택하여 Azure Monitor 에이전트가 있는 컴퓨터에 대한 결과를 표시합니다.

    Screenshot of banner in File integrity monitoring to show the results for machines with Azure Monitor Agent.

  5. 파일 무결성 모니터링이 사용하도록 설정된 컴퓨터가 표시됩니다.

    Screenshot of File integrity monitoring results for machines with Azure Monitor Agent.

    추적된 파일의 변경 횟수를 볼 수 있으며, 변경 내용 보기를 선택하여 해당 컴퓨터에서 추적된 파일의 변경 내용을 확인할 수 있습니다.

추적된 파일 및 레지스트리 키 목록 편집

Azure Monitor 에이전트가 있는 컴퓨터에 대한 FIM(파일 무결성 모니터링)은 DCR(데이터 수집 규칙)을 사용하여 추적할 파일 및 레지스트리 키의 목록을 정의합니다. 각 구독에는 해당 구독의 컴퓨터에 대한 DCR이 있습니다.

FIM은 추적된 파일 및 레지스트리 키의 기본 구성을 사용하여 DCR을 만듭니다. DCR을 편집하여 FIM에서 추적하는 파일 및 레지스트리의 목록을 추가, 제거 또는 업데이트할 수 있습니다.

추적된 파일 및 레지스트리의 목록을 편집하려면 다음을 수행합니다.

  1. 파일 무결성 모니터링에서 데이터 수집 규칙을 선택합니다.

    액세스 권한이 있는 구독에 대해 만들어진 각 규칙을 볼 수 있습니다.

  2. 구독에 대해 업데이트하려는 DCR을 선택합니다.

    Windows 레지스트리 키, Windows 파일 및 Linux 파일의 목록에 있는 각 파일에는 이름, 경로 및 기타 옵션을 포함하여 파일 또는 레지스트리 키에 대한 정의가 포함되어 있습니다. 또한 사용False로 설정하여 정의를 제거하지 않고 파일 또는 레지스트리 키의 추적을 해제할 수 있습니다.

    시스템 파일 및 레지스트리 키 정의에 대해 자세히 알아보세요.

  3. 파일을 선택한 다음, 파일 또는 레지스트리 키 정의를 추가하거나 편집합니다.

  4. 추가를 선택하여 변경 내용을 저장합니다.

파일 무결성 모니터링에서 컴퓨터 제외

DCR에 연결된 구독의 모든 컴퓨터가 모니터링됩니다. 파일과 레지스트리 키가 추적되지 않도록 DCR에서 컴퓨터를 분리할 수 있습니다.

파일 무결성 모니터링에서 컴퓨터를 제외하려면 다음을 수행합니다.

  1. FIM 결과의 모니터링된 컴퓨터 목록에서 해당 컴퓨터에 대한 메뉴(...)를 선택합니다
  2. 데이터 수집 규칙 분리를 선택합니다.

Screenshot of the option to detach a machine from a data collection rule and exclude the machines from File Integrity Monitoring.

컴퓨터가 모니터링되지 않는 컴퓨터 목록으로 이동하고, 해당 컴퓨터에 대한 파일 변경 내용이 더 이상 추적되지 않습니다.

다음 단계

클라우드용 Defender에 대해 자세히 알아보세요.