에이전트 없는 컴퓨터 검사

  • 아티클

클라우드용 Microsoft Defender는 컴퓨터 검사를 통해 Azure, AWS 및 GCP 환경의 컴퓨팅 상태를 개선합니다. 요구 사항 및 지원은 클라우드용 Defender의 컴퓨팅 지원 매트릭스를 참조하세요.

VM(가상 머신)에 대한 에이전트 없는 검사는 다음을 제공합니다.

에이전트 없는 검사는 설치된 에이전트, 네트워크 연결 또는 컴퓨터 성능에 영향을 미치지 않고 작업 가능한 상태 문제를 식별하는 프로세스를 지원합니다. 에이전트 없는 검사는 Defender CSPM(클라우드 보안 태세 관리) 계획과 서버용 Defender P2 계획을 통해 사용할 수 있습니다.

가용성

측면 세부 정보
릴리스 상태: GA
가격 책정: Defender CSPM(클라우드 보안 상태 관리) 또는 서버 플랜 2용 Microsoft Defender가 필요합니다.
지원되는 사용 사례 취약성 평가(Defender 취약성 관리에 의해 구동됨)
소프트웨어 인벤토리(Defender 취약성 관리에 의해 구동됨)비밀 검사
맬웨어 검사(미리 보기)서버용 Defender 계획 2에서만 사용 가능
클라우드: Azure 상용 클라우드
Azure Government
21Vianet에서 운영하는 Microsoft Azure
연결된 AWS 계정
연결된 GCP 프로젝트
운영 체제 Windows
Linux
인스턴스 및 디스크 유형: Azure
표준 VM
비관리 디스크
가상 머신 확장 집합 - Flex
가상 머신 확장 집합 - Uniform

AWS
EC2
인스턴스 자동 크기 조정
ProductCode가 있는 인스턴스(유료 AMI)

GCP
컴퓨팅 인스턴스
인스턴스 그룹(관리 및 비관리)
암호화: Azure
암호화되지 않음
암호화됨 – PMK(플랫폼 관리형 키)와 함께 Azure Storage 암호화를 사용하는 관리 디스크
암호화됨 – PMK(플랫폼 관리형 키)를 사용하는 기타 시나리오
암호화됨 – CMK(고객 관리형 키)(미리 보기)

AWS
암호화되지 않음
암호화됨 - PMK
암호화됨 - CMK

GCP
Google 관리 암호화 키
CMEK(고객 관리 암호화 키)
CSEK(고객 제공 암호화 키)

에이전트 없는 검사 작동 방식

VM에 대한 에이전트 없는 검사는 클라우드 API를 사용하여 데이터를 수집합니다. 반면 에이전트 기반 방법은 런타임에 운영 체제 API를 사용하여 보안 관련 데이터를 지속적으로 수집합니다. 클라우드용 Defender는 VM 디스크의 스냅샷을 만들고 스냅샷에 저장된 운영 체제 구성 및 파일 시스템에 대한 대역 외 심층 분석을 수행합니다. 복사된 스냅샷은 VM과 동일한 지역에 유지됩니다. VM은 검사의 영향을 받지 않습니다.

복사된 디스크에서 필요한 메타데이터를 획득한 후 클라우드용 Defender는 디스크의 복사된 스냅샷을 즉시 삭제하고 메타데이터를 Microsoft 엔진으로 보내 구성 간격과 잠재적인 위협을 검색합니다. 예를 들어 취약성 평가에서 분석은 Defender 취약성 관리에 의해 수행됩니다. 결과는 보안 경고 페이지의 에이전트 기반 결과와 에이전트 없는 결과를 모두 통합하는 클라우드용 Defender에 표시됩니다.

디스크를 분석하는 검색 환경은 지역, 휘발성, 격리 및 매우 안전합니다. 검사와 관련이 없는 디스크 스냅샷 및 데이터는 메타데이터를 수집하는 데 필요한 시간(일반적으로 몇 분)보다 오래 저장되지 않습니다.

에이전트 없는 검사를 통해 운영 체제 데이터를 수집하는 프로세스의 다이어그램.

다음 단계

이 문서에서는 에이전트 없는 검사의 작동 방식과 머신에서 데이터를 수집하는 방법을 설명합니다.