Defender for Cloud는 데이터를 어떻게 수집하나요?
Defender for Cloud는 Azure VM(Virtual Machines), Virtual Machine Scale Sets, IaaS 컨테이너 및 비 Azure(온-프레미스 포함) 컴퓨터에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. 일부 Defender 계획에는 워크로드에서 데이터를 수집하기 위한 모니터링 구성 요소가 필요합니다.
누락된 업데이트, 잘못 구성된 OS 보안 설정, 엔드포인트 보호 상태, 상태 및 위협 방지에 대한 가시성을 제공하려면 데이터 컬렉션이 필요합니다. 데이터 수집은 VM, Virtual Machine Scale Sets, IaaS 컨테이너 및 비 Azure 컴퓨터와 같은 컴퓨팅 리소스에서만 필요합니다.
에이전트를 프로비전하지 않더라도 Microsoft Defender for Cloud를 활용할 수 있습니다. 그러나 보안이 제한되며 나열된 기능은 지원되지 않습니다.
데이터는 다음을 사용하여 수집됩니다.
- AMA(Azure Monitor 에이전트)
- 엔드포인트용 Microsoft Defender(MDE)
- Log Analytics 에이전트
- Kubernetes용 Azure Policy과 같은 보안 구성 요소
클라우드용 Defender를 사용하여 모니터링 구성 요소를 배포하는 이유는 무엇인가요?
워크로드 보안에 대한 표시 유형은 모니터링 구성 요소가 수집하는 데이터에 따라 다릅니다. 구성 요소는 지원되는 모든 리소스에 대한 보안 적용 범위를 보장합니다.
확장을 수동으로 설치하는 프로세스를 저장하기 위해 클라우드용 Defender는 기존 및 새 컴퓨터에 필요한 모든 확장을 설치하여 관리 오버헤드를 줄입니다. 클라우드용 Defender는 적절한 존재하지 않는 경우 배포 정책을 구독의 워크로드에 할당합니다. 이 정책 유형을 사용하면 해당 유형의 기존 및 미래의 모든 리소스에서 확장이 프로비저닝됩니다.
팁
Azure Policy 효과 이해에서 없는 경우 배포를 포함하여 Azure Policy 효과에 대해 자세히 알아보세요.
모니터링 구성 요소를 사용하는 계획은 무엇인가요?
이러한 계획은 모니터링 구성 요소를 사용하여 데이터를 수집합니다.
- 서버용 Defender
- Azure Arc 에이전트(다중 클라우드 및 온-프레미스 서버용)
- 엔드포인트에 대한 Microsoft Defender
- 취약점 평가
- Azure Monitor 에이전트 또는 Log Analytics 에이전트
- 컴퓨터의 SQL 서버용 Defender
- Azure Arc 에이전트(다중 클라우드 및 온-프레미스 서버용)
- Azure Monitor 에이전트 또는 Log Analytics 에이전트
- 자동 SQL 서버 검색 및 등록
- 컨테이너용 Defender
- Azure Arc 에이전트(다중 클라우드 및 온-프레미스 서버용)
- Defender 센서, Kubernetes용 Azure Policy, Kubernetes 감사 로그 데이터
확장의 가용성
Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
AMA(Azure Monitor 에이전트)
| 측면 | 세부 정보 |
|---|---|
| 릴리스 상태: | 일반적으로 사용 가능 (GA) |
| 관련 Defender 계획: | Virtual Machines의 SQL Server용 Defender |
| 필수 역할 및 권한(구독 수준): | 담당자 |
| 지원되는 대상: |  Azure Virtual Machines Azure Arc 지원 머신 |
| 정책 기반: | 예 |
| 클라우드: | 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
클라우드용 Defender에서 Azure Monitor 에이전트를 사용하는 방법에 대해 자세히 알아봅니다.
Log Analytics 에이전트
| 측면 | Azure 가상 머신 | Azure Arc 지원 머신 |
|---|---|---|
| 릴리스 상태: | 일반적으로 사용 가능 (GA) | 일반적으로 사용 가능 (GA) |
| 관련 Defender 계획: | 에이전트 기반 보안 권장 사항에 대한 기본 CSPM(클라우드 보안 태세 관리) 서버용 Microsoft Defender Microsoft Defender for SQL |
에이전트 기반 보안 권장 사항에 대한 기본 CSPM(클라우드 보안 태세 관리) 서버용 Microsoft Defender Microsoft Defender for SQL |
| 필수 역할 및 권한(구독 수준): | 담당자 | 담당자 |
| 지원되는 대상: | Azure Virtual Machines |
Azure Arc 지원 머신 |
| 정책 기반: | 아니요 |
예 |
| 클라우드: | 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
Log Analytics 에이전트에 대해 지원되는 운영 체제
Defender for Cloud는 Log Analytics 에이전트에 따라 달라집니다. 다음 페이지에 설명된 대로, 이 에이전트에 지원되는 운영 체제 중 하나를 머신이 실행하고 있는지 확인하세요.
또한 Log Analytics 에이전트가 클라우드용 Defender에 데이터를 전송하도록 제대로 구성되었는지 확인합니다.
기존 에이전트 설치의 경우 Log Analytics 에이전트 배포
다음 사용 사례에서는 에이전트 또는 확장이 이미 설치된 경우 Log Analytics 에이전트 배포가 작동하는 방식을 설명합니다.
Log Analytics 에이전트가 컴퓨터에 설치되어 있지만 확장으로 설치되지 않음(직접 에이전트) - Log Analytics 에이전트가 VM에 직접 설치되어 있는 경우(Azure 확장이 아님) 클라우드용 Defender에서 Log Analytics 에이전트 확장을 설치하고 Log Analytics 에이전트를 최신 버전으로 업그레이드할 수 있습니다. 설치된 에이전트는 이미 구성된 작업 영역과 클라우드용 Defender에서 구성된 작업 영역에 계속 보고합니다. (멀티 호밍은 Windows 컴퓨터에서 지원됩니다.)
Log Analytics가 클라우드용 Defender의 기본 작업 영역이 아닌 사용자 작업 영역으로 구성된 경우 해당 작업 영역에 보고하는 VM 및 컴퓨터에서 클라우드용 Defender가 이벤트 처리를 시작하도록 “Security” 또는 “SecurityCenterFree” 솔루션을 설치해야 합니다.
Linux 컴퓨터의 경우 에이전트 멀티 호밍은 아직 지원되지 않습니다. 기존 에이전트 설치가 검색되면 Log Analytics 에이전트가 배포되지 않습니다.
2019년 3월 17일 이전에 클라우드용 Defender에 온보딩된 구독에 있는 기존 컴퓨터의 경우 기존 에이전트가 검색되면 Log Analytics 에이전트 확장이 설치되지 않고 머신에 영향을 주지 않습니다. 이러한 컴퓨터의 경우 해당 컴퓨터에서 에이전트 설치 문제를 해결하려면 "컴퓨터의 모니터링 에이전트 상태 문제 해결" 권장 사항을 참조하세요
System Center Operations Manager 에이전트가 컴퓨터에 설치되어 있음 - Defender for Cloud에서 Log Analytics 에이전트 확장을 기존 Operations Manager에 나란히 설치합니다. 기존 Operations Manager 에이전트는 Operations Manager 서버에 정상적으로 계속 보고합니다. Operations Manager 에이전트 및 Log Analytics 에이전트는 일반적인 런타임 라이브러리를 공유하며 이는 이 프로세스 중에 최신 버전으로 업데이트됩니다.
기존 VM 확장이 있음:
- 모니터링 에이전트가 확장으로 설치되면 확장 구성을 통해 단일 작업 영역에만 보고할 수 있습니다. 클라우드용 Defender는 사용자 작업 영역에 대한 기존 연결을 재정의하지 않습니다. 클라우드용 Defender "Security" 또는 "SecurityCenterFree" 솔루션이 설치된 경우 이미 연결된 작업 영역에 VM의 보안 데이터를 저장합니다. 클라우드용 Defender는 이 프로세스에서 확장 버전을 최신 버전으로 업그레이드할 수 있습니다.
- 기존 확장에서 데이터를 보내는 작업 영역을 확인하려면 Log Analytics 에이전트 연결 확인에 설명된 대로 TestCloud커넥트ion.exe 도구를 실행하여 클라우드용 Microsoft Defender 연결의 유효성을 검사합니다. 또는 Log Analytics 작업 영역을 열고, 작업 영역을 선택하고, VM을 선택하고, Log Analytics 에이전트 연결을 확인하는 방법도 있습니다.
- Log Analytics 에이전트가 클라이언트 워크스테이션에 설치되어 있고 기존 Log Analytics 작업 영역에 보고하는 환경을 갖고 있는 경우 Microsoft Defender for Cloud에서 지원하는 운영 체제 목록을 검토하여 현재 운영 체제가 지원되는지 확인하세요.
Log Analytics 에이전트 작업에 대해 자세히 알아봅니다.
엔드포인트에 대한 Microsoft Defender
| 측면 | Linux | Windows |
|---|---|---|
| 릴리스 상태: | 일반적으로 사용 가능 (GA) | 일반적으로 사용 가능 (GA) |
| 관련 Defender 계획: | 서버용 Microsoft Defender | 서버용 Microsoft Defender |
| 필수 역할 및 권한(구독 수준): | - 통합을 사용/사용하지 않도록 설정하려면: 보안 관리 또는 소유자 - 클라우드용 Defender 엔드포인트용 Defender 경고를 보려면: 보안 읽기 권한자, 읽기 권한자, 리소스 그룹 기여자, 리소스 그룹 소유자, 보안 관리, 구독 소유자 또는 구독 기여자 |
- 통합을 사용/사용하지 않도록 설정하려면: 보안 관리 또는 소유자 - 클라우드용 Defender 엔드포인트용 Defender 경고를 보려면: 보안 읽기 권한자, 읽기 권한자, 리소스 그룹 기여자, 리소스 그룹 소유자, 보안 관리, 구독 소유자 또는 구독 기여자 |
| 지원되는 대상: | Azure Arc 지원 머신 Azure Virtual Machines |
Azure Arc 지원 머신 Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop, Windows 10 Enterprise 다중 세션을 실행하는 Azure VM Windows 10이 실행되는 Azure VM |
| 정책 기반: | 아니요 |
아니요 |
| 클라우드: | 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
엔드포인트용 Microsoft Defender에 대해 자세히 알아봅니다.
취약점 평가
| 측면 | 세부 정보 |
|---|---|
| 릴리스 상태: | 일반적으로 사용 가능 (GA) |
| 관련 Defender 계획: | 서버용 Microsoft Defender |
| 필수 역할 및 권한(구독 수준): | 담당자 |
| 지원되는 대상: | Azure Virtual Machines Azure Arc 지원 머신 |
| 정책 기반: | 예 |
| 클라우드: | 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
게스트 구성
| 측면 | 세부 정보 |
|---|---|
| 릴리스 상태: | 미리 보기를 |
| 관련 Defender 계획: | 계획이 필요하지 않음 |
| 필수 역할 및 권한(구독 수준): | 담당자 |
| 지원되는 대상: | Azure Virtual Machines |
| 클라우드: | 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
Azure의 게스트 구성 확장에 대해 자세히 알아봅니다.
컨테이너용 Defender 확장
이 표에서는 컨테이너용 Microsoft Defender에서 제공하는 보호에 필요한 구성 요소에 대한 가용성 세부 정보를 보여 줍니다.
기본적으로 Azure Portal에서 컨테이너용 Defender를 사용하도록 설정하면 필요한 확장이 사용하도록 설정됩니다.
| 측면 | Azure Kubernetes Service 클러스터 | Azure Arc 지원 Kubernetes 클러스터 |
|---|---|---|
| 릴리스 상태: | • Defender 센서: GA • Kubernetes용 Azure Policy: GA(일반 공급) |
• Defender 센서: 미리 보기 • Kubernetes용 Azure Policy: 미리 보기 |
| 관련 Defender 계획: | 컨테이너용 Microsoft Defender | 컨테이너용 Microsoft Defender |
| 필수 역할 및 권한(구독 수준): | 소유자 또는 사용자 액세스 관리자 | 소유자 또는 사용자 액세스 관리자 |
| 지원되는 대상: | AKS Defender 센서는 RBAC를 사용하도록 설정된 AKS 클러스터만 지원합니다. | Arc 지원 Kubernetes에 지원되는 Kubernetes 배포 참조 |
| 정책 기반: | 예 |
예 |
| 클라우드: | Defender 센서: 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure Kubernetes에 대한 Azure Policy: 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
Defender 센서: 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure Kubernetes에 대한 Azure Policy: 상용 클라우드 Azure Government, 21Vianet에서 운영하는 Microsoft Azure |
컨테이너용 Defender 확장을 프로비전하는 데 사용되는 역할에 대해 자세히 알아봅니다.
문제 해결
- 모니터링 에이전트 네트워크 요구 사항을 파악하려면 모니터링 에이전트 네트워크 요구 사항 문제 해결을 참조하세요.
- 수동 온보딩 문제를 파악하려면 Operations Management Suite 온보딩 문제 해결 방법을 참조하세요.
다음 단계
이 페이지에서는 모니터링 구성 요소가 무엇인지와 이를 사용하도록 설정하는 방법에 대해 설명했습니다.
자세히 알아보기:
- 보안 경고에 대한 이메일 경고 설정
- Defender 플랜을 사용하여 워크로드 보호