Windows 엔드포인트 모니터링 구성

이 문서에서는 Microsoft Defender for IoT가 Windows 시스템을 선택적으로 적극 조사하도록 WEM(Windows 엔드포인트 모니터링)을 구성하는 방법을 설명합니다.

WEM은 서비스 팩 수준 등 Windows 디바이스에 대한 보다 집중적이고 정확한 정보를 제공할 수 있습니다.

지원되는 프로토콜

현재 Defender for IoT에서 Windows 엔드포인트 모니터링에 지원되는 유일한 프로토콜은 Windows 시스템 관리를 위한 Microsoft의 표준 스크립트 언어인 WMI입니다.

필수 조건

이 문서의 절차를 수행하기 전에 다음 사항을 먼저 수행해야 합니다.

• OT 네트워크 센서가 설치, 구성 및 활성화되었습니다.

• OT 네트워크 센서에 관리 사용자로 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링의 온-프레미스 사용자 및 역할을 참조하세요.

• OT 네트워크에 대한 모니터링 활성화 구성에 나열된 사전 요구 사항을 완료하고 활성 모니터링이 네트워크에 적합한지 확인합니다.

• OT 센서 콘솔에서 WEM 검사를 구성하기 전에 Windows 컴퓨터에서 방화벽 규칙과 WMI 도메인 검사도 구성해야 합니다.

필요한 방화벽 규칙 구성

UDP 포트 135 및 1024 이상의 모든 TCP 포트를 사용하여 센서의 나가는 트래픽을 검사된 서브넷으로 여는 방화벽 규칙을 구성합니다.

WMI 도메인 검사 구성

센서에서 WEM 검사를 구성하려면 먼저 검사할 Windows 컴퓨터에서 WMI 도메인 검사를 구성해야 합니다.

이 절차는 GPO(그룹 정책 개체)를 사용하여 WMI 검사를 구성하고, 방화벽 설정을 업데이트하고, WMI 네임스페이스에 대한 권한을 정의하고, 로컬 그룹을 정의하는 방법에 대해 설명합니다.

WMI 도메인 검사를 위한 사전 요구 사항

• Windows Management Instrumentation 서비스(winmgmt)가 자동 시작 모드인지 확인합니다.
• wmiuser라는 사용자를 만듭니다. 이 사용자가 Windows 컴퓨터에서 도메인 사용자의 구성원인지 확인합니다.

GPO(그룹 정책 개체) 구성

1. Windows 컴퓨터에서 WMIAccess라는 새 GPO를 만듭니다.

2. 새 WMIAccess GPO를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.

3. 그룹 정책 관리 편집기 창에서 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션을 선택합니다.

4. DCOM: SDDL(보안 설명자 정의 언어) 구문의 컴퓨터 액세스 제한 정책으로 이동하고 두 번 클릭하여 템플릿 보안 정책 설정 탭의 속성 창을 엽니다.

   다음 단계를 사용하여 이 정책에 대한 액세스를 구성합니다.

   1. 보안 편집을 선택한 다음 액세스 권한 대화 상자에서 추가를 선택합니다.

   2. 선택할 개체 이름 입력 상자에 wmiuser를 입력합니다. 이름 확인을 선택하여 설정을 확인한 다음 확인을 선택합니다.

      이제 wmiuser(wmiuser@DOMAIN.local)가 액세스 권한 대화 상자에 나열됩니다.

   3. 액세스 권한 대화 상자에서 다음을 수행합니다.

      1. 그룹 또는 사용자 이름 목록에서 wmiuser를 선택합니다.
      2. 익명 로그온 권한 상자에서 로컬 액세스 및 원격 액세스 모두에 대해 허용을 선택합니다.

      확인을 선택하여 액세스 권한 대화 상자를 닫습니다.

5. 그룹 정책 관리 편집기 창으로 돌아가서 컴퓨터 구성 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션이 선택되어 있는지 확인합니다.

6. DCOM: SDDL(보안 설명자 정의 언어) 구문의 컴퓨터 실행 제한 정책으로 이동하고 두 번 클릭하여 템플릿 보안 정책 설정 탭의 속성 창을 엽니다.

   다음 단계를 사용하여 이 정책에 대한 액세스를 구성합니다.

   1. 보안 편집을 선택한 다음 액세스 권한 대화 상자에서 추가를 선택합니다.

   2. 선택할 개체 이름 입력 상자에 wmiuser를 입력합니다. 이름 확인을 선택하여 설정을 확인한 다음 확인을 선택합니다.

      이제 wmiuser(wmiuser@DOMAIN.local)가 액세스 권한 대화 상자에 나열됩니다.

   3. 액세스 권한 대화 상자에서 다음을 수행합니다.

      1. 그룹 또는 사용자 이름 목록에서 wmiuser를 선택합니다.
      2. 관리자 권한 상자에서 로컬 시작, 원격 시작, 로컬 활성화 및 원격 활성화 옵션에 대해 허용을 선택합니다.

      확인을 선택하여 액세스 권한 대화 상자를 닫습니다.

방화벽 구성

1. 이전에 만든 WMIAccess GPO로 돌아가서 편집을 선택합니다.

2. 그룹 정책 관리 편집기 대화 상자에서 컴퓨터 구성 > Windows 설정 > 보안 설정으로 이동하여 고급 보안 기능이 있는 Windows Defender 방화벽 노드를 확장합니다.

3. 고급 보안 기능이 있는 Windows Defender 방화벽에서 인바운드 규칙을 마우스 오른쪽 단추로 클릭하고 새 규칙...을 선택합니다.

4. 새 인바운드 규칙 마법사에서 미리 정의된 규칙을 선택한 다음 드롭다운 메뉴에서 Windows Management Instrumentation을 선택합니다.

5. 다음을 선택하여 작업을 계속할 수 있습니다. 미리 정의된 규칙 창에서 규칙 상자의 모든 규칙이 선택되어 있는지 확인합니다.

6. 계속하려면 다음을 선택한 후 연결 허용>마침을 선택합니다.

WMI 네임스페이스에 대한 권한 구성

이 절차는 WMI 네임스페이스에 대한 사용 권한을 정의하는 방법을 설명하며 일반 GPO로는 완료할 수 없습니다.

관리자가 아닌 계정을 사용하여 WEM 검사를 실행하려는 경우 이 절차는 매우 중요하며 WMI를 사용한 로그인 시도를 허용하도록 지시된 대로 정확히 수행해야 합니다.

1. Windows 컴퓨터에서 실행 대화 상자를 열고 wmimgmt.msc를 입력합니다.

2. wmimgmt - [콘솔 루트\WMI 컨트롤(로컬)] 대화 상자에서 WMI 컨트롤(로컬)을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

3. WMI 컨트롤(로컬) 속성 대화 상자에서 보안 탭 >루트>보안을 선택합니다.

4. ROOT\SECURITY 보안 대화 상자에서 wmiuser 계정이 그룹 또는 사용자 이름 상자에 나열되어 있는지 확인합니다.

   1. 추가를 선택하고 선택할 개체 이름 입력 상자에 wmiuser를 입력합니다.
   2. 이름 확인>확인을 선택합니다.

5. 그룹 또는 사용자 이름 상자에서 wmiuser 계정을 선택합니다. 인증된 사용자에 대한 권한 상자에서 다음 권한에 대해 허용을 선택합니다.

   • 실행 방법
   • 계정 사용
   • 원격으로부터 사용 가능
   • 보안 읽기

6. ROOT\SECURITY 보안 대화 상자에서 고급을 선택합니다. 그런 다음 루트에 대한 고급 보안 설정 대화 상자에서 wmiuser 계정 >편집을 선택합니다.

7. 루트에 대한 권한 항목 대화 상자의 적용 대상 드롭다운 메뉴에서 이 네임스페이스 및 모든 하위 네임스페이스를 선택합니다.

   참고 항목

   전체 트리에 재귀적으로 권한을 적용해야 합니다.

8. 이 절차에서 연 모든 대화 상자가 닫힐 때까지 확인을 선택합니다.

로컬 성능 로그 사용자 그룹에 wmiuser 계정 추가

1. 성능 로그 사용자 그룹에 속한 사용자로 Windows 컴퓨터에 로그인합니다.

2. 실행 대화 상자를 열고 compmgmt.msc를 입력합니다.

3. 컴퓨터 관리 대화 상자에서 컴퓨터 관리(로컬) > 시스템 도구 > 로컬 사용자 및 그룹 > 그룹을 선택하고 성능 로그 사용자를 두 번 클릭합니다.

4. 추가를 선택한 다음 선택할 개체 이름 입력에서 wmiuser를 입력하여 wmiuser를 그룹에 추가합니다. 이름 확인을 선택한 다음 이 절차에서 연 모든 대화 상자가 닫힐 때까지 확인을 선택합니다.

센서 콘솔에서 WEM 검사 구성

WEM 검사를 구성하려면:

1. OT 센서 콘솔에서 시스템 설정>네트워크 모니터링>활성 검색>WMI(Windows 엔드포인트 모니터링)를 선택합니다.

2. 검사 범위 구성 편집 섹션에서 검사할 범위를 입력하고 해당 리소스에 액세스하는 데 필요한 사용자 이름과 암호를 추가합니다.

   • 최상의 검사 결과를 얻으려면 도메인 또는 로컬 관리자 권한으로 값을 입력하는 것이 좋습니다.
   • 검사하려는 범위 집합이 포함된 .csv 파일을 가져오려면 범위 가져오기를 선택합니다. .csv 파일에 FROM, TO, USER, PASSWORD, DISABLE 등의 데이터가 포함되어 있는지 확인합니다. 여기서 DISABLE은 TRUE/FALSE로 정의됩니다.
   • 현재 WEM 검사에 대해 구성된 모든 범위의 .csv 목록을 가져오려면 범위 내보내기를 선택합니다.

3. 검사가 실행됩니다 영역에서 검사 간격을 정의하여 검사를 매 시간마다 실행할지 특정 시간 기준으로 실행할지 설정합니다. 특정 시간 기준을 선택하면 검사 시간 추가 옵션이 나타납니다. 이 옵션을 사용하여 특정 시간에 실행되는 여러 검사를 구성할 수 있습니다.

   WEM 검사를 원하는 만큼 자주 실행하도록 구성할 수 있지만 한 번에 하나의 WEM 검사만 실행할 수 있습니다.

4. 저장을 선택한 후 다음 중 하나를 수행합니다.

   • 지금 수동으로 검사를 실행하려면 변경 내용 적용>수동 검사를 선택합니다.

   • 구성된 대로 나중에 검사를 실행하려면 변경 내용 적용을 선택한 다음 필요에 따라 창을 닫습니다.

검사 결과를 보려면:

1. 검사가 완료되면 센서 콘솔의 시스템 설정>네트워크 모니터링>활성 검색>WMI(Windows 엔드포인트 모니터링) 페이지로 돌아갑니다.

2. 검사 결과 보기를 선택합니다. 검사 결과가 포함된 .csv 파일이 컴퓨터에 다운로드됩니다.

다음 단계

자세한 내용은 다음을 참조하세요.

• 로컬 스크립트를 사용하여 Windows 워크스테이션 및 서버 검색
• 센서 콘솔에서 디바이스 인벤토리 보기
• Azure Portal에서 디바이스 인벤토리 보기
• OT 네트워크에 대한 모니터링 활성화 구성
• OT 모니터링의 역방향 조회 확인을 위한 DNS 서버 구성 »
• 디바이스 정보를 센서로 가져오기 »