통합 Qualys 스캐너로 취약성 검사 사용(더 이상 사용되지 않음)

Important

Qualys에서 제공하는 서버용 Defender의 취약성 평가 솔루션은 2024년 5월 1일에 완료될 예정으로 사용 중지됩니다. 현재 Qualys에서 제공하는 기본 제공 취약성 평가를 사용하고 있는 경우 Microsoft Defender 취약성 관리 취약성 검사 솔루션으로 전환할 계획을 세워야 합니다.

취약성 평가 서비스를 Microsoft Defender 취약성 관리와 통합하기로 한 결정에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

Microsoft Defender 취약성 관리로의 전환에 관한 일반적인 질문을 확인합니다.

Qualys를 계속 사용하려는 고객은 BYOL(Bring Your Own 라이선스) 방법을 사용하면 됩니다.

모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. 클라우드용 Defender는 연결된 머신을 정기적으로 검사하여 취약성 평가 도구가 실행 중임을 확인합니다.

취약성 평가 솔루션이 배포되지 않은 머신이 확인되면 클라우드용 Defender는 머신에는 취약성 평가 솔루션이 있어야 함과 같은 보안 권장 사항을 생성합니다. 이 권장 사항을 사용하여 Azure 가상 머신과 Azure Arc를 사용하도록 설정된 하이브리드 컴퓨터에 취약성 평가 솔루션을 배포해야 합니다.

클라우드용 Defender에는 컴퓨터에 대한 취약성 검사가 포함되어 있습니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Defender for Cloud 내에서 원활하게 처리됩니다. 이 페이지에서는 이 검사기의 세부 정보와 배포 방법에 대한 지침을 제공합니다.

통합 취약성 평가 솔루션은 Azure 가상 머신과 하이브리드 머신을 모두 지원합니다. 취약성 평가 검사기를 온-프레미스 및 다중 클라우드 컴퓨터에 배포하려면 먼저 비 Azure 컴퓨터를 클라우드용 Defender에 연결에서 설명한 대로 Azure Arc를 사용하여 해당 컴퓨터를 Azure에 연결합니다.

클라우드용 Defender의 통합 취약성 평가 솔루션은 Azure Arc에서 원활히 작동합니다. Azure Arc를 배포하면 컴퓨터가 클라우드용 Defender에 표시되며 Log Analytics 에이전트가 필요하지 않습니다.

Qualys에서 제공하는 취약성 평가를 사용하지 않으려면 Microsoft Defender 취약성 관리를 사용하거나 자체 Qualys 라이선스, Rapid7 라이선스 또는 다른 취약성 평가 솔루션을 사용하여 BYOL 솔루션을 배포할 수 있습니다.

가용성

측면 세부 정보
릴리스 상태: GA(일반 공급)
머신 형식(하이브리드 시나리오): Azure Virtual Machines
Azure Arc 지원 머신
가격 책정: 서버용 Microsoft Defender Plan 2가 필요합니다.
필요한 역할 및 권한: 소유자(리소스 그룹 수준)는 스캐너를 배포할 수 있습니다.
보안 읽기 권한자는 발견 사항을 볼 수 있습니다.
클라우드: 상용 클라우드
국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)
연결된 AWS 계정

통합 취약성 검사기 개요

클라우드용 Microsoft Defender에 포함된 취약성 검사기는 Qualys에서 구동됩니다. Qualys 검사기는 취약성을 실시간으로 식별하는 최고의 도구 중 하나입니다. 서버용 Microsoft Defender에서만 사용할 수 있습니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Defender for Cloud 내에서 원활하게 처리됩니다.

통합 취약성 검사기 작동 방식

취약성 검사기 확장은 다음과 같이 작동합니다.

  1. 배포 - 클라우드용 Microsoft Defender는 컴퓨터를 모니터링하고 선택한 컴퓨터에 Qualys 확장을 배포하기 위한 권장 사항을 제공합니다.

  2. 정보 수집 - 확장이 아티팩트를 수집하고 정의된 지역의 Qualys 클라우드 서비스에서 분석을 위해 보냅니다.

  3. 분석 - Qualys 클라우드 서비스가 취약성 평가를 수행하고 발견 사항을 클라우드용 Defender로 보냅니다.

    Important

    고객의 개인 정보 보호, 기밀성 및 보안을 보장하기 위해, 고객 정보를 Qualys와 공유하지 않습니다. Azure에 기본 제공되는 개인 정보 보호 표준에 대해 자세히 알아보세요.

  4. 보고서 - 결과는 클라우드용 Defender에서 사용할 수 있습니다.

클라우드용 Microsoft Defender의 기본 제공 취약성 스캐너에 대한 프로세스 흐름 다이어그램.

Azure 및 하이브리드 머신에 통합 검사기 배포

  1. Azure Portal에서 Defender for Cloud를 엽니다.

  2. 클라우드용 Defender 메뉴에서 권장 사항 페이지를 엽니다.

  3. 컴퓨터에 취약성 평가 솔루션이 있어야 함 권장 사항을 선택합니다.

    권장 사항 페이지의 컴퓨터 그룹화입니다.

    컴퓨터 server16-test는 Azure Arc 지원 컴퓨터입니다. 온-프레미스 및 다중 클라우드 컴퓨터에 취약성 평가 검사기를 배포하려면 비 Azure 컴퓨터를 클라우드용 Defender에 연결을 참조하세요.

    클라우드용 Defender는 Azure Arc에서 원활히 작동합니다. Azure Arc를 배포하면 컴퓨터가 클라우드용 Defender에 표시되며 Log Analytics 에이전트가 필요하지 않습니다.

    사용자의 컴퓨터는 다음 그룹 중 하나 이상에 나타납니다.

    • 정상 리소스 – 클라우드용 Defender가 해당 컴퓨터에서 실행되는 취약성 평가 솔루션을 검색했습니다.
    • 비정상 리소스 – 해당 컴퓨터에 취약성 검사기 확장을 배포할 수 있습니다.
    • 해당되지 않는 리소스 - 이러한 머신은 취약성 스캐너 확장에 대해 지원되지 않습니다.
  4. 비정상 컴퓨터 목록에서 취약성 평가 솔루션을 받을 컴퓨터를 선택하고 재구성을 선택합니다.

    Important

    구성에 따라 이 목록이 다르게 나타날 수 있습니다.

    • 타사 취약성 검사기가 구성되지 않은 경우 배포할 기회가 제공되지 않습니다.
    • 선택한 머신이 서버용 Microsoft Defender로 보호되지 않는 경우 클라우드용 Defender 통합 취약성 검사기 옵션을 사용할 수 없습니다.

    권장 사항 페이지에 응답할 때 선택할 수정 흐름의 유형에 대한 옵션

  5. 권장 옵션인 통합 취약성 검사기 배포계속을 선택합니다.

  6. 한 번 더 확인하라는 메시지가 표시됩니다. 수정을 선택합니다.

    스캐너 확장은 몇 분 내에 선택한 모든 컴퓨터에 설치됩니다.

    확장이 성공적으로 배포되는 즉시 검사가 자동으로 시작됩니다. 검사는 12시간마다 실행됩니다. 이 간격은 구성할 수 없습니다.

    Important

    하나 이상의 컴퓨터에서 배포에 실패하는 경우 허용 목록에 다음 IP를 추가하여 대상 컴퓨터가 Qualys의 클라우드 서비스와 통신할 수 있는지 확인합니다(443 포트 사용 - HTTPS의 경우 기본값).

    • https://qagpublic.qg3.apps.qualys.com - Qualys 미국 데이터 센터

    • https://qagpublic.qg2.apps.qualys.eu - Qualys 유럽 데이터 센터

    머신이 Azure 유럽 지역(예: 유럽, 영국, 독일)에 있는 경우 해당 아티팩트는 Qualys의 유럽 데이터 센터에서 처리됩니다. 다른 곳에 있는 가상 머신에 대한 아티팩트는 미국 데이터 센터로 전송됩니다.

대규모 배포 자동화

참고 항목

이 섹션에서 설명하는 모든 도구는 클라우드용 Defender GitHub 커뮤니티 리포지토리에서 제공합니다. 여기서 클라우드용 Defender 배포 전체에서 사용할 스크립트, 자동화 및 기타 유용한 리소스를 찾을 수 있습니다.

이 도구 중 일부는 대규모 배포를 사용하도록 설정한 후에 연결된 새 머신에만 적용됩니다. 그 외의 도구는 기존 머신에도 배포됩니다. 여러 가지 방법을 결합하여 사용할 수 있습니다.

다음과 같이 몇 가지 방법으로 통합 스캐너의 대규모 배포를 자동화할 수 있습니다.

  • Azure Resource Manager – 이 방법은 Azure Portal의 권장 사항 논리 보기에서 사용할 수 있습니다. 수정 스크립트에는 자동화에 사용할 수 있는 관련 ARM 템플릿이 포함되어 있습니다. 수정 스크립트에는 자동화에 사용할 수 있는 관련 ARM 템플릿이 포함되어 있습니다.
  • DeployIfNotExists 정책 – 새로 만든 모든 머신이 스캐너를 수신하게 하는 사용자 지정 정책입니다. Azure에 배포를 선택하고 관련 매개 변수를 설정합니다. 리소스 그룹, 구독 또는 관리 그룹 수준에서 이 정책을 할당할 수 있습니다.
  • PowerShell 스크립트Update qualys-remediate-unhealthy-vms.ps1 스크립트를 사용하여 비정상 상태인 모든 가상 머신에 대해 확장을 배포합니다. 새 리소스에 설치하려면 Azure Automation으로 스크립트를 자동화합니다. 이 스크립트는 권장 사항을 통해 검색된 모든 비정상 머신을 찾고 Azure Resource Manager 호출을 실행합니다.
  • Azure Logic Apps샘플 앱을 기반으로 논리 앱을 빌드합니다. 클라우드용 Defender의 워크플로 자동화 도구를 사용하여, 리소스에 대해 머신에 취약성 평가 솔루션이 있어야 함 권장 사항이 생성될 때마다 검사기를 배포하도록 논리 앱을 트리거합니다.
  • REST API – 클라우드용 Defender REST API를 사용하여 통합 취약성 평가 솔루션을 배포하려면 URL https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​에 대한 PUT 요청을 만들고 관련 리소스 ID를 추가합니다.

주문형 검사 트리거

로컬 또는 원격으로 실행된 스크립트나 GPO(그룹 정책 개체)를 사용하여 머신 자체에서 주문형 검사를 트리거할 수 있습니다. 또는 패치 배포 작업의 마지막 부분에서 소프트웨어 배포 도구에 통합할 수 있습니다.

다음 명령을 실행하여 주문형 검사를 트리거합니다.

  • Windows 머신: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux 머신: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

다음 단계

또한 클라우드용 Defender는 다음에 대한 취약성 분석을 제공합니다.