다음을 통해 공유

Azure Arc 지원 서버를 클라우드용 Microsoft Defender에 연결

  • 아티클

이 문서에서는 Azure Arc 지원 서버를 클라우드용 Microsoft Defender에 온보딩하는 방법에 대한 지침을 제공합니다. 이렇게 하면 보안 관련 구성과 이벤트 로그 수집을 시작하여 작업을 권장하고 전반적인 Azure 보안 상태를 개선할 수 있습니다.

다음 절차에서는 Azure 구독에서 클라우드용 Microsoft Defender 표준 계층을 사용하고 구성합니다. 이렇게 하면 고급 위협 방지 및 검색 기능이 제공됩니다. 프로세스에는 다음이 포함됩니다.

  • 분석에 필요한 로그와 이벤트가 집계되는 Log Analytics 작업 영역 설정
  • 클라우드용 Defender 기본 보안 정책 할당
  • 클라우드용 Microsoft Defender 권장 사항 검토
  • 빠른 수정 수정을 사용하여 Azure Arc 지원 서버에서 권장 구성 적용

Important

이 문서의 절차에서는 온-프레미스나 다른 클라우드에서 실행 중인 VM 또는 서버를 이미 배포하고 Azure Arc에 연결했다고 가정합니다. 그렇지 않은 경우 다음 정보가 이를 자동화하는 데 도움이 될 수 있습니다.

필수 조건

  1. Azure Arc Jumpstart 리포지토리를 복제합니다.

    git clone https://github.com/microsoft/azure_arc

  2. 앞의 설명처럼 이 가이드는 이미 VM이나 운영 체제 미설치 서버를 Azure Arc에 배포하고 연결한 지점에서 시작합니다. 이 시나리오에서는 Azure Arc에 이미 연결되어 있고 Azure에서 리소스로 표시되는 GCP(Google Cloud Platform) 인스턴스를 사용합니다. 다음 스크린샷과 같습니다.

    A screenshot of an Azure Arc-enabled server in the Azure portal.

    A screenshot of details from an Azure Arc-enabled server in the Azure portal.

  3. Azure CLI 설치 또는 업데이트. Azure CLI는 버전 2.7 이상을 실행해야 합니다. az --version을 사용하여 현재 설치된 버전을 확인합니다.

  4. Azure 서비스 주체를 만듭니다.

    VM이나 운영 체제 미설치 서버를 Azure Arc에 연결하려면 기여자 역할이 할당된 Azure 서비스 주체가 필요합니다. 이를 만들려면 Azure 계정에 로그인하고 다음 명령을 실행합니다. Azure Cloud Shell에서 이 명령을 실행할 수도 있습니다.

    az login
az account set -s <Your Subscription ID>
az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor --scopes "/subscriptions/<Your Subscription ID>"

    예시:

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor --scopes "/subscriptions/00000000-0000-0000-0000-000000000000"

    출력은 다음과 같습니다.

    {
  "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "displayName": "http://AzureArcServers",
  "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
}

참고 항목

서비스 주체의 범위를 특정 Azure 구독 및 리소스 그룹으로 지정하는 것이 좋습니다.

클라우드용 Microsoft Defender 온보딩

  1. 클라우드용 Microsoft Defender에서 수집한 데이터는 Log Analytics 작업 영역에 저장됩니다. 클라우드용 Defender에서 만든 기본값이나 사용자가 만든 사용자 지정 기본값을 사용할 수 있습니다. 전용 작업 영역을 만들려면 ARM 템플릿(Azure Resource Manager 템플릿) 매개 변수 파일을 편집하여 배포를 자동화하고 작업 영역의 이름과 위치를 제공하면 됩니다.

    A screenshot of an ARM template.

  2. ARM 템플릿을 배포하려면 배포 폴더로 이동하여 다음 명령을 실행합니다.

    az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `log_analytics-template.json` template file location> \
--parameters <The `log_analytics-template.parameters.json` template file location>

  3. 사용자 정의 작업 영역을 사용하려면 다음 명령을 통해 클라우드용 Defender에 기본 작업 영역이 아닌 작업 영역을 사용하라고 지시해야 합니다.

    az security workspace-setting create --name default \
--target-workspace '/subscriptions/<Your subscription ID>/resourceGroups/<Name of the Azure resource group>/providers/Microsoft.OperationalInsights/workspaces/<Name of the Log Analytics Workspace>'

  4. 클라우드용 Microsoft Defender 계층을 선택합니다. 무료 계층은 기본적으로 모든 Azure 구독에서 사용되며 지속적인 보안 평가와 실행 가능한 보안 권장 사항을 제공합니다. 이 가이드에서는 하이브리드 클라우드 워크로드에서 통합 보안 관리와 위협 방지를 제공하는 이러한 기능을 확장하는 Azure Virtual Machines용 표준 계층을 사용합니다. VM용 클라우드용 Microsoft Defender의 표준 계층을 사용하려면 다음 명령을 실행합니다.

    az security pricing create -n VirtualMachines --tier 'standard'

  5. 기본 클라우드용 Microsoft Defender 정책 이니셔티브를 할당합니다. 클라우드용 Defender는 정책에 따라 보안 권장 사항을 만듭니다. 정의 ID 1f3afdf9-d0c9-4c3d-847f-89da613e70a8을 사용하여 클라우드용 Defender 정책을 그룹화하는 특정 이니셔티브가 있습니다. 다음 명령은 클라우드용 Defender 이니셔티브를 구독에 할당합니다.

    az policy assignment create --name 'Azure Security Center Default <Your subscription ID>' \
--scope '/subscriptions/<Your subscription ID>' \
--policy-set-definition '1f3afdf9-d0c9-4c3d-847f-89da613e70a8'

Azure Arc 및 클라우드용 Microsoft Defender 통합

클라우드용 Microsoft Defender를 성공적으로 온보딩하면 Azure Arc 지원 서버를 포함하여 리소스를 보호하는 데 도움이 되는 권장 사항이 표시됩니다. 클라우드용 Defender는 Azure 리소스의 보안 상태를 주기적으로 분석하여 잠재적인 보안 취약성을 식별합니다.

VM 및 서버 아래의 컴퓨팅 및 앱 섹션에서 클라우드용 Microsoft Defender Azure VM, Azure 클래식 VM, 서버 및 Azure Arc 머신을 포함하여 VM 및 컴퓨터에 대해 검색된 모든 보안 권장 사항에 대한 개요를 제공합니다.

A screenshot of Compute & Apps in Microsoft Defender for Cloud.

Azure Arc 지원 서버에서 클라우드용 Microsoft Defender는 Log Analytics 에이전트를 설치할 것을 권장합니다. 각 권장 사항에는 다음도 포함됩니다.

  • 권장 사항의 짧은 설명
  • 보안 점수 영향(이 경우 높음 상태)
  • 권장 사항을 구현하기 위해 수행할 수정 단계.

다음 스크린샷과 같은 특정 권장 사항의 경우 여러 리소스에 대한 권장 사항을 신속하게 수정할 수 있는 빠른 수정도 표시됩니다.

A screenshot of a Microsoft Defender for Cloud recommendation for an Azure Arc-enabled server.

A screenshot of a Microsoft Defender for Cloud recommendation to install Log Analytics.

다음 수정 빠른 수정은 ARM 템플릿을 사용하여 Azure Arc 머신에 Log Analytics 에이전트 확장을 배포하는 것입니다.

A screenshot of a Microsoft Defender for Cloud Quick Fix ARM template.

클라우드용 Microsoft Defender에 사용되는 Log Analytics 작업 영역을 선택한 다음, 수정 1 리소스를 선택하여 워크로드 보호 대시보드에서 ARM 템플릿을 사용해 수정을 트리거할 수 있습니다.

A screenshot of how to trigger a remediation step in Microsoft Defender for Cloud.

Azure Arc 지원 서버에 권장 사항을 적용하면 리소스가 정상으로 표시됩니다.

A screenshot of a healthy Azure Arc-enabled server.

환경 정리

환경을 정리하려면 다음 단계를 완료합니다.

  1. 각 가이드의 분해 지침에 따라 각 환경에서 가상 머신을 제거합니다.

  2. Azure CLI에서 다음 스크립트를 실행하여 Log Analytics 작업 영역을 제거합니다. Log Analytics 작업 영역을 만들 때 사용한 작업 영역 이름을 제공합니다.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes