데이터 수집, 에이전트, 작업 영역에 대한 일반적인 질문

모니터링 구성 요소가 필요한 Defender 플랜을 사용하도록 설정하면 데이터 수집이 자동으로 켜집니다.

자동 프로비전이 사용하도록 설정되면 클라우드용 Defender는 지원되는 모든 Azure VM 및 새로 만들어진 VM에서 Log Analytics 에이전트를 사용합니다. 자동 프로비저닝을 사용하는 것이 좋지만, 에이전트를 수동으로 설치할 수도 있습니다. Log Analytics 에이전트 확장을 설치하는 방법에 대해 알아봅니다.

에이전트는 프로세스 생성 이벤트 4688 및 이벤트 4688 내의 CommandLine 필드를 활성화합니다. VM에서 만들어진 새 프로세스는 EventLog에 의해 기록되고 클라우드용 Defender의 검색 서비스에 의해 모니터링됩니다. 각 새로운 프로세스에 대해 기록된 세부 정보에 대한 자세한 내용은 4688의 설명 필드를 참조하세요. 또한 에이전트는 VM에서 생성되는 4688 이벤트를 수집하고 검색에 저장합니다.

에이전트는 또한 적응형 애플리케이션 제어에 대한 데이터 수집을 사용하도록 설정하고 클라우드용 Defender는 모든 애플리케이션을 허용하도록 감사 모드에서 로컬 AppLocker 정책을 구성합니다. 이 정책을 사용하면 AppLocker가 이벤트를 생성하게 되고, 이 이벤트를 클라우드용 Defender에서 수집하여 활용합니다. 이 정책은 이미 AppLocker 정책이 구성된 머신에서는 구성할 수 없습니다.

클라우드용 Defender가 VM에서 의심스러운 작업을 감지하면 보안 연락처 정보가 제공된 경우 고객에게 이메일로 알립니다. 경고는 클라우드용 Defender의 보안 경고 대시보드에서도 볼 수 있습니다.

보안 취약성 및 위협을 모니터링하기 위해 클라우드용 Microsoft Defender는 Log Analytics 에이전트를 사용합니다. 이는 Azure Monitor 서비스에서 사용하는 것과 동일한 에이전트입니다.

해당 에이전트는 Microsoft Monitoring Agent(또는 “MMA”)라고도 합니다.

해당 에이전트는 연결된 머신에서 다양한 보안 관련 구성 세부 정보 및 이벤트 로그를 수집한 다음 추가 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 이러한 데이터의 예로는 운영 체제 유형 및 버전, 운영 체제 로그(Windows 이벤트 로그), 실행 중인 프로세스, 머신 이름, IP 주소, 로그인된 사용자를 들 수 있습니다.

다음 페이지에 설명된 대로, 이 에이전트에 지원되는 운영 체제 중 하나를 머신이 실행하고 있는지 확인하세요.

• Windows에서 지원되는 운영 체제에 대한 Log Analytics 에이전트

• Linux에서 지원되는 운영 체제에 대한 Log Analytics 에이전트

Log Analytics 에이전트가 수집하는 데이터에 대해 자세히 알아보세요.

다음과 같은 경우 Windows 또는 Linux IaaS VM이 요건 충족됩니다.

• Log Analytics 에이전트 확장이 VM에 현재 설치되어 있지 않습니다.
• VM이 실행 중인 상태입니다.
• Windows 또는 Linux Azure Virtual Machine 에이전트가 설치되어 있습니다.
• VM이 웹 애플리케이션 방화벽이나 차세대 방화벽과 같은 어플라이언스로 사용되지 않습니다.

에이전트에서 수집하는 보안 이벤트의 전체 목록은 “일반” 및 “최소” 보안 이벤트 설정에 대해 저장되는 이벤트 유형을 참조하세요.

모니터링 에이전트가 확장으로 설치되면 확장 구성을 통해 단일 작업 영역에만 보고할 수 있습니다. 클라우드용 Defender는 사용자 작업 영역에 대한 기존 연결을 재정의하지 않습니다. 클라우드용 Defender는 “Security” 또는 “SecurityCenterFree” 솔루션이 설치된 경우 이미 연결된 작업 영역에 VM의 보안 데이터를 저장합니다. 클라우드용 Defender는 이 프로세스에서 확장 버전을 최신 버전으로 업그레이드할 수 있습니다.

자세한 내용은 기존 에이전트 설치 시 자동 프로비저닝을 참조하세요.

Log Analytics 에이전트가 Azure 확장이 아닌 VM에 직접 설치된 경우 클라우드용 Defender는 Log Analytics 에이전트 확장을 설치하고 Log Analytics 에이전트를 최신 버전으로 업그레이드할 수 있습니다.

설치된 에이전트는 이미 구성된 작업 영역과 클라우드용 Defender에서 구성된 작업 영역에 계속 보고합니다. (멀티 호밍은 Windows 컴퓨터에서 지원됩니다.)

사용자 지정 사용자 작업 영역의 경우 클라우드용 Defender가 해당 작업 영역에 보고하는 VM 및 컴퓨터의 이벤트를 처리할 수 있도록 “Security” 또는 “SecurityCenterFree” 솔루션을 설치해야 합니다.

Linux 머신의 경우 에이전트 멀티 호밍은 아직 지원되지 않습니다. 기존 에이전트 설치가 검색되면 클라우드용 Defender는 자동으로 에이전트를 사용하거나 컴퓨터 구성을 변경하지 않습니다.

2019년 3월 17일 이전에 클라우드용 Defender에 온보딩된 구독의 기존 머신의 경우 에이전트 멀티 호밍은 아직 지원되지 않습니다. 기존 에이전트 설치가 검색되면 클라우드용 Defender는 자동으로 에이전트를 사용하거나 컴퓨터 구성을 변경하지 않습니다. 이러한 컴퓨터의 경우 해당 컴퓨터에서 에이전트 설치 문제를 해결하려면 “컴퓨터에서 모니터링 에이전트 상태 문제 해결” 권장 사항을 참조하세요.

자세한 내용은 다음 섹션 System Center Operations Manager 또는 OMS 직접 에이전트가 내 VM에 이미 설치되어 있으면 어떻게 되나요?를 참조하세요.

클라우드용 Defender는 System Center Operations Manager 에이전트가 시스템에 설치되어 있는 동안 Log Analytics 에이전트 설치를 허용하지 않는 Azure Policy를 구현합니다. 두 에이전트 모두 멀티홈 기능이 있고 System Center Operations Manager 및 Log Analytics 작업 영역에 보고할 수 있습니다. Operations Manager 에이전트와 Log Analytics 에이전트는 공통 런타임 라이브러리를 공유합니다. 참고 - Operations Manager 에이전트의 버전 2012가 설치되어 있는 경우 자동 프로비저닝을 설정하지 마십시오(Operations Manager 서버가 2012 버전인 경우에도 관리 기능이 손실될 수 있음).

Microsoft Monitoring Extension을 제거하면 클라우드용 Defender가 VM에서 보안 데이터를 수집할 수 없으며 일부 보안 권장 사항 및 경고를 사용할 수 없습니다. 24시간 이내에 클라우드용 Defender는 VM에 확장이 없음을 확인하고 확장을 다시 설치합니다.

시스템 업데이트, OS 취약성 및 엔드포인트 보호에 대한 보안 경고 및 권장 사항을 받으려면 클라우드용 Defender를 사용하여 확장을 배포하는 것이 좋습니다. 확장을 해제하면 이러한 경고 및 권장 사항이 제한됩니다. 특정 에이전트 또는 확장에 대한 자동 프로비저닝을 사용하지 않도록 설정할 수 있습니다.

특정 에이전트 또는 확장에 대한 자동 프로비저닝을 사용하지 않도록 설정하려면:

1. Azure Portal에서 클라우드용 Defender를 열고 환경 설정을 선택합니다.

2. 관련 구독을 선택합니다.

3. 서버용 Defender 플랜의 모니터링 검사 열에서 설정을 선택합니다.

   

4. 자동으로 프로비전되는 것을 중지할 확장을 끕니다.

   

5. 저장을 선택합니다.

다음 시나리오에 해당하는 경우 자동 프로비전을 옵트아웃할 수 있습니다.

• 클라우드용 Defender의 자동 에이전트 설치는 전체 구독에 적용됩니다. VM의 하위 집합에 자동 설치를 적용할 수 없습니다. Log Analytics 에이전트와 함께 설치할 수 없는 중요한 VM이 있는 경우 자동 프로비저닝을 옵트아웃해야 합니다.

• Log Analytics 에이전트 확장을 설치하면 에이전트 버전이 업데이트됩니다. 이는 직접 에이전트와 System Center Operations Manager 에이전트에 적용됩니다. 후자의 경우에는 Operations Manager 및 Log Analytics 에이전트가 공용 런타임 라이브러리를 공유하며, 이는 프로세스에서 업데이트됩니다. 설치된 Operations Manager 에이전트가 2012 버전이고 업그레이드된 경우 Operations Manager 서버도 2012 버전이면 관리 기능이 손실될 수 있습니다. 설치된 Operations Manager 에이전트가 2012 버전인 경우 자동 프로비저닝을 옵트아웃하는 것이 좋습니다.

• 구독 내에 자신의 사용자 지정 작업 영역이 있고 구독당 작업 영역을 여러 개 만들지 않으려는 경우 두 가지 옵션이 있습니다.

  • 자동 프로비전을 옵트아웃할 수 있습니다. 마이그레이션 후 기본 작업 영역 설정을 기존 Log Analytics 작업 영역을 사용하려면 어떻게 해야 하나요?의 설명에 따라 설정합니다.

  • 또는 마이그레이션이 완료되고, Log Analytics 에이전트가 VM에 설치되고, VM이 생성된 작업 영역에 연결되도록 허용할 수 있습니다. 그런 다음 이미 설치된 에이전트를 재구성하도록 선택하여 기본 작업 영역 설정을 설정하고 자신의 사용자 지정 작업 영역을 선택합니다. 자세한 내용은 기존 Log Analytics 작업 영역을 사용하려면 어떻게 해야 하나요?를 참조하세요.

마이그레이션이 완료되면 클라우드용 Defender는 VM에서 보안 데이터를 수집할 수 없으며 일부 보안 권장 사항 및 경고는 사용할 수 없습니다. 옵트아웃하는 경우 Log Analytics 에이전트를 수동으로 설치합니다. 옵트아웃에 권장되는 단계를 참조하세요.

클라우드용 Defender가 VM에서 보안 데이터를 수집하고 권장 사항 및 경고를 제공할 수 있도록 Log Analytics 에이전트 확장을 수동으로 설치합니다. 설치 지침에 대해서는 Windows VM용 에이전트 설치 또는 Linux VM용 에이전트 설치를 참조하세요.

에이전트를 기존 사용자 지정 작업 영역 또는 클라우드용 Defender에서 만든 작업 영역에 연결할 수 있습니다. 사용자 지정 작업 영역에 “Security” 또는 “SecurityCenterFree” 솔루션이 활성화되어 있지 않으면 솔루션을 적용해야 합니다. 적용하려면 사용자 지정 작업 영역을 선택하고 환경 설정>Defender 플랜 페이지를 통해 가격 책정 계층을 적용합니다.

클라우드용 Defender는 선택한 옵션에 따라 작업 영역에서 올바른 솔루션을 사용하도록 설정합니다.

Log Analytics 에이전트를 수동으로 제거할 수 있지만 권장되지는 않습니다. OMS 확장을 제거하면 클라우드용 Defender 권장 사항 및 경고가 제한됩니다.

수동으로 에이전트를 제거하려면:

1. 포털에서 Log Analytics을 엽니다.

2. Log Analytics 페이지에서 작업 영역을 선택합니다.

3. 모니터링하지 않을 VM을 선택하고 연결 끊기를 선택합니다.

   

예. 클라우드용 Microsoft Defender는 Azure Monitor를 활용하여 Log Analytics 에이전트를 사용하여 Azure VM 및 서버에서 데이터를 수집합니다. 데이터를 수집하려면 각 VM과 서버가 HTTPS를 사용하여 인터넷에 연결되어야 합니다. 직접 연결하거나 프록시를 사용하거나 OMS 게이트웨이를 통해 연결할 수 있습니다.

에이전트는 시스템 리소스의 명목 양을 소비하며 성능에 거의 영향을 미치지 않습니다. 성능 영향과 에이전트 및 확장에 대한 자세한 내용은 계획 및 작업 가이드를 참조하세요.

에이전트 없는 검사는 에이전트가 동일한 분석을 수행하기 위해 수집하는 데이터와 유사한 데이터를 수집합니다. 원시 데이터, PII 또는 중요한 비즈니스 데이터는 수집되지 않으며 메타데이터 결과만 클라우드용 Defender로 전송됩니다.

에이전트 없는 검사는 CSPM(클라우드 보안 상태 관리)용 Defender 및 서버용 Defender P2 플랜 모두에서 사용할 수 있습니다. 이를 사용하도록 설정할 때 클라우드용 Defender에 추가 비용이 발생하지 않습니다.

디스크 스냅샷은 CreatedBy 태그 키와 Microsoft Defender for Cloud 태그 값을 사용하여 만들어집니다. CreatedBy 태그는 리소스를 만든 사용자를 추적합니다.

청구 및 비용 관리 콘솔에서 태그를 활성화해야 합니다. 태그가 활성화되는 데 최대 24시간이 걸릴 수 있습니다.

태그를 활성화하면 AWS는 활성 태그별로 그룹화된 사용량과 비용을 포함하는 쉼표로 구분된 값(.CSV 파일)으로 비용 할당 보고서를 생성합니다.

각 작업 영역에 대해 500MB의 데이터를 무료로 수집할 수 있습니다. 노드, 보고된 작업 영역, 하루 단위로 계산되며, ‘보안’ 또는 ‘맬웨어 방지’ 솔루션이 설치된 모든 작업 영역에서 사용할 수 있습니다. 500MB 제한을 초과하여 수집되는 모든 데이터에 대해서는 요금이 청구됩니다.

클라우드용 Defender에서 만든 작업 영역은 노드 청구당 Azure Monitor 로그에 대해 구성되어 있지만 Azure Monitor 로그 요금은 발생시키지 않습니다. 클라우드용 Defender 청구는 항상 클라우드용 Defender 보안 정책과 작업 영역에 설치된 솔루션을 기반으로 합니다.

• 보안 강화 끄기 – 클라우드용 Defender는 기본 작업 영역에서 "SecurityCenterFree" 솔루션을 사용하도록 설정합니다. Defender 플랜이 사용하도록 설정되지 않은 경우에는 요금이 부과되지 않습니다.

• 모든 클라우드용 Microsoft Defender 플랜이 사용하도록 설정됨 – 클라우드용 Defender는 기본 작업 영역에서 "보안" 솔루션을 사용하도록 설정합니다.

로컬 통화 또는 지역의 가격 책정 세부 정보는 가격 책정 페이지를 참조하세요.

기본 작업 영역의 위치는 Azure 지역에 따라 다릅니다.

• 미국 및 브라질에 있는 VM의 경우 작업 영역 위치는 미국입니다.
• 캐나다에 있는 VM의 경우 작업 영역 위치는 캐나다입니다.
• 유럽에 있는 VM의 경우 작업 영역 위치는 유럽입니다.
• 영국에 있는 VM의 경우 작업 영역 위치는 영국입니다.
• 동아시아 및 동남 아시아에 있는 VM의 경우 작업 영역 위치는 아시아입니다.
• 대한민국에 있는 VM의 경우 작업 영역 위치는 대한민국입니다.
• 인도에 있는 VM의 경우 작업 영역 위치는 인도입니다.
• 일본에 있는 VM의 경우 작업 영역 위치는 일본입니다.
• 중국에 있는 VM의 경우 작업 영역 위치는 중국입니다.
• 오스트레일리아에 있는 VM의 경우 작업 영역 위치는 오스트레일리아입니다.

기본 작업 영역을 삭제하지 않는 것이 좋습니다. 클라우드용 Defender는 기본 작업 영역을 사용하여 VM의 보안 데이터를 저장합니다. 작업 영역을 삭제하면 클라우드용 Defender가 이 데이터를 수집할 수 없으며 일부 보안 권장 사항 및 경고를 사용할 수 없습니다.

복구하려면 삭제된 작업 영역에 연결된 VM에서 Log Analytics 에이전트를 제거합니다. 클라우드용 Defender는 에이전트를 다시 설치하고 새 기본 작업 영역을 만듭니다.

기존 Log Analytics 작업 영역을 선택하여 클라우드용 Defender에서 수집한 데이터를 저장할 수 있습니다. 기존 Log Analytics 작업 영역을 사용하려면 다음을 수행합니다.

• 작업 영역이 선택한 Azure 구독과 연결되어 있어야 합니다.
• 작업 영역에 액세스하려면 읽기 이상의 권한이 필요합니다.

기존 Log Analytics 작업 영역을 선택하려면 다음을 수행합니다.

1. Defender for Cloud 메뉴에서 환경 설정을 엽니다.

2. 관련 구독을 선택합니다.

3. 서버용 Defender 플랜의 모니터링 검사 열에서 설정을 선택합니다.

4. Log Analytics 에이전트의 경우 구성 편집을 선택합니다.

   

5. 사용자 지정 작업 영역을 선택하고 기존 작업 영역을 선택합니다.

   

   팁

   이 목록에는 액세스 권한이 있고 Azure 구독에 존재하는 작업 영역만이 포함됩니다.

6. 적용을 선택합니다.

7. 계속을 선택합니다.

8. 저장을 선택하고 모니터링되는 VM을 다시 구성할지 확인합니다.

   Important

   이 선택은 기본 작업 영역에서 사용자 지정 작업 영역으로 구성을 변경하는 경우에만 관련이 있습니다. 한 사용자 지정 작업 영역에서 다른 작업 영역으로 설정을 변경하거나 사용자 지정 작업 영역에서 기본 작업 영역으로 설정을 변경하는 경우 변경 내용이 기존 머신에 적용되지 않습니다.

   • 새 작업 영역 설정을 새 VM에만 적용하려면 아니요를 선택합니다. 새 작업 영역 설정이 새 에이전트 설치(Log Analytics 에이전트가 설치되어 있지 않은 새로 검색된 VM)에만 적용됩니다.
   • 새 작업 영역 설정을 모든 VM에 적용하려면 예를 선택합니다. 또한 클라우드용 Defender에서 만든 작업 영역에 연결된 모든 VM은 새 대상 작업 영역에 다시 연결됩니다.

   참고 항목

   예를 선택하는 경우 모든 VM이 새 대상 작업 영역에 다시 연결될 때까지 클라우드용 Defender에서 만든 작업 영역을 삭제하지 마세요. 작업 영역을 너무 빨리 삭제하면 이 작업이 실패합니다.

VM에 Azure 확장으로 설치된 Log Analytics 에이전트가 이미 있는 경우 클라우드용 Defender는 기존 작업 영역 연결을 재정의하지 않습니다. 대신 클라우드용 Defender는 기존 작업 영역을 사용합니다. 보고하는 작업 영역에 “Security” 또는 “SecurityCenterFree” 솔루션이 설치된 경우 VM은 보호를 받습니다.

클라우드용 Defender 솔루션이 데이터 컬렉션 화면에서 선택한 작업 영역에 없는 경우 해당 위치에 설치되며, 이 솔루션은 관련 VM에만 적용됩니다. 솔루션을 추가하면 기본적으로 Log Analytics 작업 영역에 연결된 모든 Windows 및 Linux 에이전트에 의해 배포됩니다. 솔루션 대상 지정을 사용하면 솔루션에 범위를 적용할 수 있습니다.

클라우드용 Defender에서 VM이 만든 작업 영역에 이미 연결되어 있는지를 식별하는 경우 클라우드용 Defender를 통하여 가격 책정 구성에 따라 이 작업 영역에서 솔루션을 사용할 수 있습니다. 솔루션이 솔루션 대상 지정을 통해 관련 리소스에만 적용되므로 청구는 동일하게 유지됩니다.

• Defender 플랜이 사용하도록 설정되지 않음 – 클라우드용 Defender는 작업 영역에 “SecurityCenterFree” 솔루션을 설치하며 요금이 청구되지 않습니다.

• 모든 Microsoft Defender 플랜 사용 - 클라우드용 Defender는 작업 영역에 ‘보안’ 솔루션을 설치합니다.

  

VM에 Azure 확장으로 Log Analytics 에이전트가 이미 설치되어 있으면 클라우드용 Defender에서 기존 연결된 작업 영역 연결을 사용합니다. 클라우드용 Defender 솔루션이 작업 영역에 없는 경우 설치되고 솔루션은 솔루션 대상 지정을 통해 관련 VM에만 적용됩니다.

클라우드용 Defender는 VM에 Log Analytics 에이전트를 설치할 때 기존 작업 영역을 가리키지 않는 경우 클라우드용 Defender에서 만든 기본 작업 영역을 사용합니다.

보안 및 감사 솔루션은 서버용 Microsoft Defender를 사용하도록 설정하는 데 사용됩니다. 보안 및 감사 솔루션이 작업 영역에 이미 설치되어 있는 경우 클라우드용 Defender에서는 기존 솔루션을 사용합니다. 요금 청구는 변하지 않습니다.

다음 단계

클라우드용 Defender가 데이터를 수집하는 방법 알아보기