다음을 통해 공유

맬웨어 검사를 위한 고급 구성

  • 아티클

맬웨어 검사는 검사 결과를 다음으로 보내도록 구성할 수 있습니다.

  • Event Grid 사용자 지정 항목 - 모든 검사 결과를 기반으로 거의 실시간으로 자동 응답합니다.
  • Log Analytics 작업 영역 - 준수 및 감사를 위해 모든 검사 결과를 중앙 로그 리포지토리에 저장합니다.

맬웨어 검사 결과에 대한 응답 설정 방법에 대해 자세히 알아봅니다.

실습 랩인 Ninja 학습 지침을 통해 스토리지용 Defender에서 맬웨어 검사를 시도해 보는 것이 좋습니다. 검사 결과에 대한 응답 설정과 함께 엔드투엔드 맬웨어 검사를 테스트하는 방법에 대한 자세한 단계별 지침을 참조하세요. 이는 고객이 클라우드용 Microsoft Defender를 익히고 해당 기능에 대한 실무 환경을 제공하는 데 도움이 되는 '랩' 프로젝트의 일부입니다.

맬웨어 검사에 대한 로깅 설정

맬웨어 검사를 사용하도록 설정된 각 스토리지 계정에 대해 쿼리하기 쉬운 중앙 집중식 로그 리포지토리에 모든 검사 결과를 저장하기 위한 Log Analytics 작업 영역 대상을 정의할 수 있습니다.

스캔 로그를 위한 Log Analytics 대상을 구성하는 경우를 보여 주는 스크린샷.

Log Analytics에 검사 결과를 보내기 전에 Log Analytics 작업 영역을 만들거나 기존 작업 영역을 사용합니다.

Log Analytics 대상을 구성하려면 관련 스토리지 계정으로 이동하여 클라우드용 Microsoft Defender 탭을 열고 구성할 설정을 선택합니다.

REST API를 사용하여 이 구성을 수행할 수도 있습니다.

요청 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current/providers/Microsoft.Insights/diagnosticSettings/service?api-version=2021-05-01-preview

요청 본문:

{
    "properties": {
        "workspaceId": "/subscriptions/{subscriptionId}/resourcegroups/{resourceGroup}/providers/microsoft.operationalinsights/workspaces/{workspaceName}",
        "logs": [
            {
                "category": "ScanResults",
                "enabled": true,
                "retentionPolicy": {
                    "enabled": true,
                    "days": 180
                }
            }
        ]
    }
}

맬웨어 검사에 대한 Event Grid 설정

맬웨어 검사를 사용하도록 설정된 각 스토리지 계정에 대해 자동화를 위해 Event Grid 이벤트를 사용하여 모든 검사 결과를 보내도록 구성할 수 있습니다.

  1. 검사 결과를 보내기 위해 Event Grid를 구성하려면 먼저 사용자 지정 토픽을 미리 만들어야 합니다. 사용자 지정 토픽을 만드는 방법에 대한 지침은 Event Grid 설명서를 참조하세요. 대상 Event Grid 사용자 지정 토픽이 검사 결과를 보내려는 스토리지 계정과 동일한 지역에 생성되었는지 확인합니다.

  2. Event Grid 사용자 지정 토픽 대상을 구성하려면 관련 스토리지 계정으로 이동하여 클라우드용 Microsoft Defender 탭을 열고 구성할 설정을 선택합니다.

참고 항목

Event Grid 사용자 지정 토픽을 설정할 때 스토리지용 Defender 구독 수준 설정 재정의켜짐으로 설정하여 구독 수준 설정을 재정의하도록 해야 합니다.

검사 로그에 대해 Event Grid 대상을 사용하도록 설정하는 위치를 보여 주는 스크린샷.

REST API를 사용하여 이 구성을 수행할 수도 있습니다.

요청 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

요청 본문:

{ 
    "properties": { 
        "isEnabled": true, 
        "malwareScanning": { 
            "onUpload": { 
                "isEnabled": true, 
                "capGBPerMonth": 5000 
            }, 
            "scanResultsEventGridTopicResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.EventGrid/topics/{EventGridTopicName}" 
        }, 
        "sensitiveDataDiscovery": { 
            "isEnabled": true 
        }, 
        "overrideSubscriptionLevelSettings": true 
    } 
}

스토리지용 Defender 구독 수준 설정 재정의

구독 수준 설정은 구독의 각 스토리지 계정에 대한 스토리지용 Defender 설정을 상속합니다. 구독 수준에서 구성된 것과 다른 개별 스토리지 계정에 대한 설정을 구성하려면 스토리지용 Defender 구독 수준 설정 재정의를 사용합니다.

구독 설정 재정의는 일반적으로 다음 시나리오에 사용됩니다.

  • 맬웨어 검사 또는 데이터 민감도 위협 감지 기능을 사용하거나 사용하지 않도록 설정합니다.
  • 맬웨어 검사를 위한 사용자 지정 설정을 구성합니다.
  • 특정 스토리지 계정의 스토리지용 Microsoft Defender를 사용하지 않도록 설정합니다.

참고 항목

전체 구독에서 스토리지용 Defender를 사용하도록 설정하여 모든 기존 및 향후 스토리지 계정을 보호하는 것이 좋습니다. 그러나 Defender 보호에서 특정 스토리지 계정을 제외하려는 경우도 있습니다. 제외하기로 결정한 경우 아래 단계에 따라 재정의 설정을 사용한 다음 관련 스토리지 계정을 사용하지 않도록 설정합니다. 스토리지용 Defender(클래식)를 사용하는 경우 스토리지 계정을 제외할 수도 있습니다.

Azure Portal

Azure Portal을 사용하여 구독 수준에서 구성된 것과 다른 개별 스토리지 계정의 설정을 구성하려면 다음을 수행합니다.

  1. Azure Portal에 로그인합니다.

  2. 사용자 지정 설정을 구성하려는 스토리지 계정으로 이동합니다.

  3. 스토리지 계정 메뉴의 보안 + 네트워킹 섹션에서 클라우드용 Microsoft Defender를 선택합니다.

  4. 스토리지용 Microsoft Defender에서 설정을 선택합니다.

  5. 스토리지용 Defender 구독 수준 설정 재정의(고급 설정 아래)의 상태를 켜짐으로 설정합니다. 이렇게 하면 설정이 이 스토리지 계정에 대해서만 저장되고 구독 설정에 의해 오버런되지 않습니다.

  6. 변경하려는 설정을 구성합니다.

    1. 맬웨어 검사 또는 중요한 데이터 위협 검색을 사용하도록 설정하려면 상태를 켜짐으로 설정합니다.

    2. 맬웨어 검사 설정을 수정하려면 다음을 수행합니다.

      1. 업로드 시 맬웨어 검사가 아직 사용하도록 설정되지 않은 경우 켜짐으로 전환합니다.

      2. 스토리지 계정의 맬웨어 검사에 대한 월별 임계값을 조정하려면 월별 검색된 GB 제한 설정이라는 매개 변수를 원하는 값으로 수정할 수 있습니다. 이 매개 변수는 특히 각 스토리지 계정에 대해 매달 맬웨어를 검사할 수 있는 최대 데이터 양을 결정합니다. 무제한 검사를 허용하려면 이 매개 변수의 선택을 취소할 수 있습니다. 기본적으로 한도가 5,000GB에서 설정됩니다.

  7. 이 스토리지 계정의 스토리지용 Defender를 사용하지 않도록 설정하려면 스토리지용 Microsoft Defender의 상태를 끄기로 설정합니다.

    Azure Portal에서 스토리지용 Defender를 끄는 위치를 보여 주는 스크린샷.

    저장을 선택합니다.

REST API

REST API를 사용하여 구독 수준에서 구성된 것과 다른 개별 스토리지 계정의 설정을 구성하려면 다음을 수행합니다.

이 엔드포인트를 사용하여 PUT 요청을 만듭니다. 엔드포인트 URL의 subscriptionId, resourceGroupName 및 accountName을 사용자 고유의 Azure 구독 ID, 리소스 그룹 및 스토리지 계정 이름으로 알맞게 바꿉니다.

요청 URL:

PUT
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/providers/Microsoft.Security/DefenderForStorageSettings/current?api-version=2022-12-01-preview

요청 본문:

{
    "properties": {
        "isEnabled": true,
        "malwareScanning": {
            "onUpload": {
                "isEnabled": true,
                "capGBPerMonth": 5000
            }
        },
        "sensitiveDataDiscovery": {
            "isEnabled": true
        },
        "overrideSubscriptionLevelSettings": true
    }
}

  1. 맬웨어 검사 또는 중요한 데이터 위협 감지를 사용하도록 설정하려면 관련 기능에서 isEnabled 값을 true로 설정합니다.

  2. 맬웨어 검사 설정을 수정하려면 onUpload에서 관련 필드를 편집하고 isEnabled의 값이 true인지 확인합니다. 무제한 검사를 허용하려면 capGBPerMonth 매개 변수에 -1 값을 할당합니다.

  3. 이 스토리지 계정의 스토리지용 Defender를 사용하지 않도록 설정하려면 다음 요청 본문을 사용합니다.

    {
    "properties": {
        "isEnabled": false,
        "overrideSubscriptionLevelSettings": true
    }
}

매개 변수 overrideSubscriptionLevelSettings를 추가하고 해당 값이 true로 설정되어 있는지 확인합니다. 이렇게 하면 설정이 이 스토리지 계정에 대해서만 저장되고 구독 설정에 의해 오버런되지 않습니다.

다음 단계

맬웨어 검사 설정에 대해 자세히 알아보세요.