엔드포인트용 Defender 통합 사용

  • 아티클

클라우드용 Microsoft Defender와 엔드포인트용 Microsoft Defender의 통합은 다양한 기능을 제공하는 클라우드 기반 엔드포인트 보안 솔루션을 제공합니다. 통합은 위험 기반 취약성 관리 및 평가를 제공하여 해결해야 할 취약성을 식별하고 우선 순위를 지정하는 데 도움이 됩니다. 또한 이 솔루션에는 엔드포인트의 공격 표면을 최소화하는 데 도움이 되는 공격 표면 감소는 물론, 위협을 검색하고 대응하기 위한 동작 기반 및 클라우드 기반 보호 기능도 포함되어 있습니다. 또한 엔드포인트용 Microsoft Defender는 EDR(엔드포인트 감지 및 응답), 자동 조사 및 수정, 관리 헌팅 서비스를 제공하여 조직이 보안 인시던트를 신속하게 검색, 조사 및 응답할 수 있도록 돕습니다.

필수 조건

클라우드용 Defender와 엔드포인트용 Microsoft Defender 통합을 사용하도록 설정하려면 컴퓨터가 엔드포인트용 Defender에 대한 필수 요구 사항을 충족하는지 확인해야 합니다.

  • 머신이 필요에 맞게 Azure와 인터넷에 연결되어 있는지 확인합니다.

  • 서버용 Microsoft Defender를 사용하도록 설정합니다. 빠른 시작: 클라우드용 Defender의 강화된 보안 기능 사용을 참조하세요.

    Important

    Defender for Cloud와 엔드포인트용 Microsoft Defender의 통합은 기본적으로 사용하도록 설정되어 있습니다. 따라서 강화된 보안 기능을 사용하도록 설정하면 서버용 Microsoft Defender가 엔드포인트에 대한 취약성, 설치된 소프트웨어 및 경고와 관련된 엔드포인트용 Microsoft Defender 데이터에 액세스하는 데 동의하는 것입니다.

  • Windows 서버의 경우 서버가 엔드포인트용 Microsoft Defender 온보딩 요구 사항을 충족하는지 확인합니다.

  • Linux 서버의 경우 Python이 설치되어 있어야 합니다. Python 3은 모든 배포판에 권장되지만 RHEL 8.x 및 Ubuntu 20.04 이상에는 필요합니다. 필요한 경우 Linux에 Python을 설치하기 위한 단계별 지침을 참조하세요.

  • Azure 테넌트 간에 구독을 이동한 경우 몇 가지 수동 준비 단계도 필요합니다. 자세한 내용은 Microsoft 지원팀에 문의하세요.

통합 사용

Windows

엔드포인트용 Defender 통합 솔루션은 Log Analytics 에이전트를 사용하거나 설치하지 않아도 됩니다. 통합 솔루션은 Azure Windows 2012 R2 및 2016 서버, Azure Arc를 통해 연결된 Windows 서버, 다중 클라우드 커넥터를 통해 연결된 Windows 다중 클라우드 서버에 자동으로 배포됩니다.

Windows 컴퓨터에 이미 배포했는지 여부에 따라 두 가지 방법 중 하나로 엔드포인트용 Defender를 Windows 컴퓨터에 배포합니다.

서버용 Defender가 사용하도록 설정되고 엔드포인트용 Microsoft Defender가 배포된 사용자

이미 엔드포인트용 Defender와의 통합을 사용하도록 설정한 경우 엔드포인트용 Defender 통합 솔루션을 Windows 컴퓨터에 배포할 시기와 배포 여부를 완전히 제어할 수 있습니다.

엔드포인트용 Defender 통합 솔루션을 배포하려면 REST API 호출 또는 Azure Portal을 사용해야 합니다.

  1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 엔드포인트용 Defender를 수신할 Windows 컴퓨터의 구독을 선택합니다.

  2. 서버용 Defender 플랜의 모니터링 검사 열에서 설정을 선택합니다.

    엔드포인트 보호 구성 요소의 상태는 일부입니다. 즉, 구성 요소의 일부가 사용하도록 설정되지 않았습니다.

    참고 항목

    상태가 꺼짐인 경우 Windows 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정한 적이 없는 사용자의 지침을 따릅니다.

  3. 사용하도록 설정되지 않은 구성 요소를 보려면 수정을 선택합니다.

    엔드포인트용 Microsoft Defender 지원을 사용하도록 설정하는 수정 단추의 스크린샷.

  4. Windows Server 2012 R2 및 2016 컴퓨터용 통합 솔루션을 사용하도록 설정하려면 사용을 선택합니다.

    Windows Server 2012 R2 및 2016 컴퓨터에 엔드포인트용 Defender 통합 솔루션을 사용하도록 설정하는 스크린샷

  5. 변경 내용을 저장하려면 페이지 상단에서 저장을 선택한 다음 설정 및 모니터링 페이지에서 계속을 선택합니다.

클라우드용 Microsoft Defender는 다음을 수행합니다.

  • 서버용 Defender에 대한 데이터를 수집하는 Log Analytics 에이전트에서 기존 엔드포인트용 Defender 프로세스를 중지합니다.
  • 모든 기존 및 신규 Windows Server 2012 R2 및 2016 컴퓨터에 대해 엔드포인트용 Defender 통합 솔루션을 설치합니다.

클라우드용 Microsoft Defender는 자동으로 컴퓨터를 엔드포인트용 Microsoft Defender에 온보딩합니다. 온보딩은 최대 12시간까지 걸릴 수 있습니다. 통합이 사용하도록 설정된 후에 만들어진 새 컴퓨터의 경우 온보딩에 최대 1시간이 걸립니다.

참고 항목

서버용 Defender 플랜 2의 Windows 2012 R2 및 2016 서버에 엔드포인트용 Defender 통합 솔루션을 배포하지 않기로 선택한 다음 서버용 Defender를 플랜 1로 다운그레이드하면 엔드포인트용 Defender 통합 솔루션이 해당 서버에 배포되지 않으므로 기존 배포가 그대로 유지됩니다. 사용자의 명시적인 동의 없이 변경되지 않습니다.

Windows에 대한 엔드포인트용 Microsoft Defender와의 통합을 한 번도 설정한 적이 없는 사용자

Windows 통합을 사용하도록 설정한 적이 없는 경우 Endpoint Protection을 통해 클라우드용 Defender는 Windows 및 Linux 컴퓨터 모두에 엔드포인트용 Defender를 배포할 수 있습니다.

엔드포인트용 Defender 통합 솔루션을 배포하려면 REST API 호출 또는 Azure Portal을 사용해야 합니다.

  1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 엔드포인트용 Defender를 수신할 컴퓨터의 구독을 선택합니다.

  2. 엔드포인트 보호 구성 요소의 상태에서 켜기를 선택하여 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정합니다.

    엔드포인트용 Microsoft Defender 사용하도록 설정하는 상태 토글의 스크린샷.

엔드포인트용 Defender 에이전트 통합 솔루션은 선택한 구독의 모든 컴퓨터에 배포됩니다.

Linux

Windows 컴퓨터에 이미 배포했는지 여부에 따라 이러한 방법 중 하나로 엔드포인트용 Defender를 Linux 컴퓨터에 배포합니다.

참고 항목

자동 배포를 사용하도록 설정하면 Linux에 대한 엔드포인트용 Defender 설치는 fanotify를 사용하여 기존에 실행 중인 서비스와 엔드포인트용 Defender 오작동을 일으키거나 엔드포인트용 Defender의 영향을 받을 수 있는 기타 서비스(예: 보안 서비스)가 있는 시스템에서 중단됩니다. 잠재적인 호환성 문제의 유효성을 검사한 후 이러한 서버에 엔드포인트용 Defender를 수동으로 설치하는 것이 좋습니다.

클라우드용 Defender의 강화된 보안 기능이 사용하도록 설정되어 있고 Windows용 엔드포인트용 Microsoft Defender가 있는 기존 사용자

엔드포인트용 Defender(Windows)와의 통합을 이미 설정한 경우에는 엔드포인트용 Defender를 Linux에 배포할 시간과 배포 여부를 완전히 제어할 수 있습니다.

  1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 엔드포인트용 Defender를 수신할 Linux 컴퓨터의 구독을 선택합니다.

  2. 서버용 Defender 플랜의 모니터링 검사 열에서 설정을 선택합니다.

    엔드포인트 보호 구성 요소의 상태는 일부입니다. 즉, 구성 요소의 일부가 사용하도록 설정되지 않았습니다.

    참고 항목

    상태가 꺼짐이 선택되지 않은 경우 Windows 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정한 적이 없는 사용자의 지침을 따릅니다.

  3. 사용하도록 설정되지 않은 구성 요소를 보려면 수정을 선택합니다.

    엔드포인트용 Microsoft Defender 지원을 사용하도록 설정하는 수정 단추의 스크린샷.

  4. Linux 컴퓨터에 대한 배포를 사용하도록 설정하려면 사용을 선택합니다.

    Linux용 엔드포인트용 Microsoft Defender 클라우드용 Defender 및 Microsoft의 EDR 솔루션 간의 통합을 사용하도록 설정하는 스크린샷

  5. 변경 내용을 저장하려면 페이지 상단에서 저장을 선택한 다음 설정 및 모니터링 페이지에서 계속을 선택합니다.

    클라우드용 Microsoft Defender는 다음을 수행합니다.

    • Linux 머신을 엔드포인트용 Defender에 자동으로 온보딩합니다.
    • 엔드포인트용 Defender의 이전 설치를 검색하고 클라우드용 Defender와 통합하도록 재구성합니다.

    클라우드용 Microsoft Defender는 자동으로 컴퓨터를 엔드포인트용 Microsoft Defender에 온보딩합니다. 온보딩은 최대 12시간까지 걸릴 수 있습니다. 통합이 사용하도록 설정된 후에 만들어진 새 컴퓨터의 경우 온보딩에 최대 1시간이 걸립니다.

    참고 항목

    다음에 이 Azure Portal 페이지로 돌아가면 Linux 머신에 사용 단추가 표시되지 않습니다. Linux용 통합을 사용하지 않도록 설정하려면 Endpoint Protection에서 끄기 토글하고 계속을 선택하여 Windows에서도 통합을 사용하지 않도록 설정해야 합니다.

  6. Linux 머신에 엔드포인트용 Defender가 설치되었는지 확인하려면 머신에서 다음 셸 명령을 실행합니다.

    mdatp health

    엔드포인트용 Microsoft Defender가 설치되어 있으면 해당 상태가 표시됩니다.

    healthy : true

    licensed: true

    또한 Azure Portal을 보면 MDE.Linux라는 새 Azure 확장이 머신에 있는 것을 볼 수 있습니다.

엔드포인트용 Microsoft Defender(Windows)와의 통합을 한 번도 설정한 적이 없는 신규 사용자

Windows 통합을 사용하도록 설정한 적이 없는 경우 Endpoint Protection을 통해 클라우드용 Defender는 Windows 및 Linux 컴퓨터 모두에 엔드포인트용 Defender를 배포할 수 있습니다.

  1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 엔드포인트용 Defender를 수신할 Linux 컴퓨터의 구독을 선택합니다.

  2. 서버용 Defender 플랜의 모니터링 검사 열에서 설정을 선택합니다.

  3. 엔드포인트 보호 구성 요소의 상태에서 켜기를 선택하여 엔드포인트용 Microsoft Defender와의 통합을 사용하도록 설정합니다.

    엔드포인트용 Microsoft Defender 사용하도록 설정하는 상태 토글의 스크린샷.

    클라우드용 Microsoft Defender는 다음을 수행합니다.

    • Windows 및 Linux 머신을 엔드포인트용 Defender에 자동으로 온보딩합니다.
    • 엔드포인트용 Defender의 이전 설치를 검색하고 클라우드용 Defender와 통합하도록 재구성합니다.

    온보딩은 최대 1시간이 소요될 수 있습니다.

  4. 계속저장을 선택하여 설정을 저장합니다.

  5. Linux 머신에 엔드포인트용 Defender가 설치되었는지 확인하려면 머신에서 다음 셸 명령을 실행합니다.

    mdatp health

    엔드포인트용 Microsoft Defender가 설치되어 있으면 해당 상태가 표시됩니다.

    healthy : true

    licensed: true

    또한 Azure Portal을 보면 MDE.Linux라는 새 Azure 확장이 머신에 있는 것을 볼 수 있습니다.

Azure Portal 대시보드에서 여러 구독을 사용하도록 설정합니다.

하나 이상의 구독에 Linux 컴퓨터에 대해 사용하도록 설정된 Endpoint Protection이 없는 경우 클라우드용 Defender 대시보드에 인사이트 패널이 표시됩니다. 인사이트 패널은 Windows 컴퓨터에 대해 엔드포인트용 Defender 통합이 사용하도록 설정되어 있지만 Linux 컴퓨터에 대해서는 사용하도록 설정되지 않은 구독에 대해 알려 줍니다. 인사이트 패널을 사용하여 각 구독에서 영향을 받는 리소스 수와 함께 영향을 받는 구독을 볼 수 있습니다. Linux 컴퓨터가 없는 구독에는 영향을 받는 리소스가 표시되지 않습니다. 그런 다음 구독을 선택하여 Linux 통합을 위한 Endpoint Protection을 사용하도록 설정할 수 있습니다.

인사이트 패널에서 사용을 선택한 후 클라우드용 Defender:

  • 선택한 구독에서 Linux 컴퓨터를 엔드포인트용 Defender에 자동으로 온보딩합니다.
  • 엔드포인트용 Defender의 이전 설치를 검색하고 클라우드용 Defender와 통합하도록 재구성합니다.

엔드포인트용 Defender 상태 통합 문서를 사용하여 Linux 컴퓨터에서 엔드포인트용 Defender의 설치 및 배포 상태를 확인합니다.

PowerShell 스크립트를 사용하여 여러 구독에서 사용

클라우드용 Defender GitHub 리포지토리에서 PowerShell 스크립트를 사용하여 여러 구독에 있는 Linux 컴퓨터에서 Endpoint Protection을 사용하도록 설정합니다.

Linux용 자동 업데이트 구성 관리

Windows에서는 지속적인 기술 자료 업데이트를 통해 엔드포인트용 Defender 버전 업데이트가 제공됩니다. Linux에서는 엔드포인트용 Defender 패키지를 업데이트해야 합니다. MDE.Linux 확장과 함께 서버용 Defender를 사용하면 엔드포인트용 Microsoft Defender에 대한 자동 업데이트가 기본적으로 사용하도록 설정됩니다. 엔드포인트용 Defender 버전 업데이트를 수동으로 관리하려면 컴퓨터에서 자동 업데이트를 사용하지 않도록 설정하면 됩니다. 이렇게 하려면 MDE.Linux 확장이 온보딩된 컴퓨터에 대해 다음 태그를 추가합니다.

  • 태그 이름: 'ExcludeMdeAutoUpdate'
  • 태그 값: 'true'

이 구성은 MDE.Linux 확장이 자동 업데이트를 시작하는 Azure VM 및 Azure Arc 컴퓨터에 대해 지원됩니다.

대규모로 엔드포인트용 Microsoft Defender 통합 솔루션 사용

제공된 REST API 버전 2022-05-01을 통해 대규모 엔드포인트용 Defender 통합 솔루션을 사용하도록 설정할 수도 있습니다. 자세한 내용은 API 설명서를 참조하세요.

다음은 엔드포인트용 Defender 통합 솔루션을 사용하도록 설정하기 위한 PUT 요청에 대한 요청 본문의 예입니다.

URI: https://management.azure.com/subscriptions/<subscriptionId>/providers/Microsoft.Security/settings/WDATP?api-version=2022-05-01

{
    "name": "WDATP",
    "type": "Microsoft.Security/settings",
    "kind": "DataExportSettings",
    "properties": {
        "enabled": true
    }
}

MDE 배포 상태 추적

엔드포인트용 Defender 배포 상태 통합 문서를 사용하여 Azure Arc를 통해 연결된 Azure VM 및 비 Azure 컴퓨터에서 엔드포인트용 Defender 배포 상태를 추적할 수 있습니다. 대화형 통합 문서는 엔드포인트용 Microsoft Defender 확장 배포 상태를 보여 주는 사용자 환경의 컴퓨터에 대한 개요를 제공합니다.

엔드포인트용 Microsoft Defender 액세스

  1. 사용자 계정에 필요한 권한이 있는지 확인합니다. 자세한 내용은 Microsoft Defender Security Center에 대한 사용자 액세스 할당을 확인하세요.

  2. 익명 트래픽을 차단하는 프록시 또는 방화벽이 있는지 확인합니다. 엔드포인트용 Defender 센서는 시스템 컨텍스트에서 연결하므로 익명 트래픽이 허용되어야 합니다. 엔드포인트용 Defender 포털에 대한 방해 없이 액세스하도록 보장하려면 프록시 서버에서 서비스 URL에 대한 액세스 사용의 지침을 따르세요.

  3. Microsoft Defender 포털을 엽니다. Microsoft Defender XDR의 엔드포인트용 Microsoft Defender에 대해 알아봅니다.

테스트 경고 보내기

엔드포인트용 Defender에서 부드러운 테스트 경고를 생성하려면 엔드포인트의 관련 운영 체제에 대한 탭을 선택합니다.

Windows에서 테스트

Windows를 실행하는 엔드포인트:

  1. 'C:\test-MDATP-test' 폴더를 만듭니다.

  2. 원격 데스크톱을 사용하여 머신에 액세스합니다.

  3. 명령줄 창을 엽니다.

  4. 다음 명령을 복사하여 프롬프트에서 실행합니다. 명령 프롬프트 창이 자동으로 닫힙니다.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'

    테스트 경고를 생성하는 명령이 있는 명령 프롬프트 창입니다.

    명령이 성공하면 워크로드 보호 대시보드 및 엔드포인트용 Microsoft Defender 포털에 새 경고가 표시됩니다. 이 경고가 표시되려면 몇 분 정도 걸릴 수 있습니다.

  5. 클라우드용 Defender의 경고를 검토하려면 보안 경고>의심스러운 PowerShell 명령줄로 이동합니다.

  6. 조사 창에서 엔드포인트용 Microsoft Defender 포털로 이동하는 링크를 선택합니다.

    경고는 정보 심각도로 트리거됩니다.

Linux에서 테스트

Linux를 실행하는 엔드포인트:

  1. https://aka.ms/LinuxDIY에서 테스트 경고 도구를 다운로드합니다.

  2. Zip 파일의 내용을 추출하고 다음 셸 스크립트를 실행합니다.

    ./mde_linux_edr_diy

    명령이 성공하면 워크로드 보호 대시보드 및 엔드포인트용 Microsoft Defender 포털에 새 경고가 표시됩니다. 이 경고가 표시되려면 몇 분 정도 걸릴 수 있습니다.

  3. 클라우드용 Defender의 경고를 검토하려면 보안 경고>중요한 데이터가 포함된 파일 열거로 이동합니다.

  4. 조사 창에서 엔드포인트용 Microsoft Defender 포털로 이동하는 링크를 선택합니다.

    경고가 낮음 심각도로 트리거됩니다.

컴퓨터에서 엔드포인트용 Defender 제거

컴퓨터에서 엔드포인트용 Defender 솔루션을 제거하려면:

  1. 통합 사용하지 않도록 설정:

    1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 관련 컴퓨터의 구독을 선택합니다.
    2. Defender 계획 페이지에서 설정 및 모니터링을 선택합니다.
    3. 엔드포인트 보호 구성 요소의 상태에서 끄기를 선택하여 엔드포인트용 Microsoft Defender와의 통합을 사용하지 않도록 설정합니다.
    4. 계속저장을 선택하여 설정을 저장합니다.

  2. 컴퓨터에서 MDE.Windows/MDE.Linux 확장을 제거합니다.

  3. 엔드포인트용 Defender 설명서에서 엔드포인트용 Microsoft Defender 서비스의 디바이스 오프보드 단계를 따릅니다.

관련 콘텐츠