엔드포인트용 Microsoft Defender를 사용한 파일 무결성 모니터링
엔드포인트용 Microsoft Defender 수집 규칙에 따라 컴퓨터에서 데이터를 수집하여 FIM(파일 무결성 모니터링)을 제공합니다. 시스템 파일의 현재 상태를 이전 검사 중 상태와 비교하는 경우 FIM에서 의심스러운 수정에 대해 알려줍니다.
FIM을 사용하면 다음을 수행 가능합니다.
- 미리 정의된 목록에서 실시간으로 중요한 파일 및 Windows 레지스트리에 대한 변경 내용을 모니터링합니다.
- 지정된 작업 영역에서 감사된 변경 내용에 대해 액세스 및 분석합니다.
- 서버용 Defender 플랜 2에 포함되어 있는 500MB 혜택을 이용합니다.
- 규정 준수 유지 관리: PCI-DSS, CIS, NIST 등의 관련 보안 규정 준수 표준에 관한 기본 제공 지원을 FIM이 제공합니다.
잠재적으로 의심스러운 활동에 관해 FIM이 경고합니다. 다음 활동이 포함됩니다.
- 파일 및 레지스트리 키 생성 또는 삭제
- 파일의 크기, 이름, 위치 또는 콘텐츠의 해시 변경 등의 파일 수정
- 레지스트리 크기, 형식 및 콘텐츠의 변경 내용을 포함하는 레지스트리 변경
- 변경 원본을 포함하는 변경 내용에 관한 세부 정보. 변경한 사람을 나타내는 계정 세부 정보 및 시작 프로세스에 관한 정보가 여기에 포함됩니다.
모니터링해야 하는 파일을 참조하여 모니터링할 파일에 대한 지침을 확인하세요.
가용성
측면 | 세부 정보 |
---|---|
릴리스 상태: | 미리 보기를 |
가격 책정: | 서버용 Microsoft Defender Plan 2가 필요합니다. |
필요한 역할 및 권한: | FIM을 사용하거나 사용하지 않도록 작업 영역 소유자 또는 보안 관리자가 설정 가능합니다. 자세한 내용을 확인하려면, 로그 분석용 Azure 역할을 참조하세요. 읽기 권한자는 결과를 볼 수 있습니다. |
클라우드: | 상용 클라우드 Azure Arc 지원 디바이스입니다. 연결된 AWS 계정 연결된 GCP 계정 |
필수 조건
다음과 같은 사항을 수행하여 엔드포인트용 Defender를 통해 컴퓨터에서 파일 및 레지스트리의 변경 내용을 추적합니다.
서버용 Defender 플랜 2를 사용하도록 설정합니다.
모니터링하려는 컴퓨터에서 엔드포인트용 Defender를 사용하도록 설정
파일 무결성 모니터링 사용
Azure Portal에서 사용
다음 단계를 따라, Azure Portal에서 FIM을 사용하도록 설정합니다.
Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender를 검색하여 선택합니다.
클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.
관련 구독을 선택합니다.
서버용 Defender 계획을 찾아 설정을 선택합니다.
파일 무결성 모니터링 섹션에서 토글을 켜기로 전환합니다. 그런 다음 구성 편집을 선택하세요.
FIM 구성 창이 열립니다. FIM 데이터를 저장하려는 작업 영역을 작업 영역 선택 드롭다운에서 선택합니다. 새로 만들기를 선택하면 새 작업 영역을 생성할 수 있습니다.
Important
서버용 Defender 플랜 2 고객에게 제공되는 500MB 혜택에 해당하는 데이터 형식에는 엔드포인트용 Defender에서 제공하는 FIM에서 수집된 이벤트가 포함됩니다. 자세한 정보를 보려면, 하루 허용량에는 어떤 데이터 형식이 포함되나요?를 참조하세요.
모니터링할 파일 및 레지스트리를 선택하려면, FIM 구성 창의 하단 섹션에서 Windows 레지스트리, Windows 파일 및 Linux 파일 탭을 선택합니다. 모든 파일 및 레지스트리를 모니터링하려면, 각 탭에서 상위 선택 항목을 선택합니다. 적용을 선택하여 변경 내용을 저장합니다.
계속을 선택합니다.
저장을 선택합니다.
파일 무결성 모니터링 사용 안 함
새 이벤트는 FIM을 사용하지 않도록 설정한 뒤에는 수집되지 않습니다. 하지만 작업 영역의 보존 정책에 따라, 기능을 사용하지 않도록 설정하기 전에 수집된 데이터는 작업 영역에 남아 있습니다. 자세한 내용은 Log Analytics 작업 영역에서 데이터 보존 관리를 참조하세요.
Azure Portal에서 사용하지 않도록 설정
다음 단계를 따라, Azure Portal에서 FIM을 사용하지 않도록 설정합니다.
Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender를 검색하여 선택합니다.
클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.
관련 구독을 선택합니다.
서버용 Defender 계획을 찾아 설정을 선택합니다.
파일 무결성 모니터링 섹션에서 토글을 끄기로 전환합니다.
적용을 선택합니다.
계속을 선택합니다.
저장을 선택합니다.
엔터티 및 파일 모니터링
다음과 같은 단계를 수행하여 엔터티 및 파일을 모니터링합니다.
참고 항목
아직 FIM을 사용하도록 설정하지 않은 경우, 파일 무결성 모니터링을 사용할 수 없음이라는 메시지가 표시됩니다. 구독 온보딩을 선택한 뒤, 파일 무결성 모니터링을 사용하도록 설정의 지침을 따라 FIM을 사용하도록 설정합니다.
클라우드용 Defender 사이드바에서 워크로드 보호>파일 무결성 모니터링으로 이동합니다.
변경된 파일 및 레지스트리가 추적된 모든 리소스를 포함하는 창이 열립니다.
리소스를 선택하면, 해당 리소스의 추적된 파일 및 레지스트리에 관한 변경 내용을 표시하는 쿼리를 포함하는 창이 열립니다.
해당 구독에서 추적된 모든 파일 및 레지스트리가 포함된 쿼리가 열려면, 리소스의 구독(구독 이름 열 아래)을 선택합니다.
참고 항목
MMA를 통한 파일 무결성 모니터링을 이전에 사용한 경우, 해당 메서드로 돌아가기 위해 이전 환경으로 변경을 선택할 수 있습니다. 이는 더 이상 MMA를 통한 FIM 기능이 사용되지 않을 때까지 사용 가능합니다. 로그 분석 에이전트 사용 중지 준비를 참조하여 사용 중단 계획에 대한 자세한 내용을 확인하세요.
FIM 데이터 검색 및 분석
MDCFileIntegrityMonitoringEvents
테이블의 Azure 로그 분석 작업 공간 내에 파일 무결성 모니터링 데이터가 있습니다. 해당 테이블은 LogManagment
테이블 아래의 로그 분석 작업 영역에 표시됩니다.
리소스별로 변경 내용의 요약을 검색할 시간 범위를 설정합니다. 다음의 예시에서는 지난 14일 동안의 모든 변경 사항을 레지스트리 및 파일 범주에서 검색합니다.
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType in ('Registry', 'File') | summarize count() by Computer, MonitoredEntityType
다음을 수행하여 레지스트리 변경 내용에 관한 자세한 정보를 확인합니다.
where
절에서Files
을(를) 제거하세요.요약 줄을 순서 절로 바꾸세요.
MDCFileIntegrityMonitoringEvents | where TimeGenerated > ago(14d) | where MonitoredEntityType == 'Registry' | order by Computer, RegistryKey
CSV로 보고서를 내보내 보관하고, Power BI 보고서로 채널링하여 추가 분석을 할 수 있습니다.
관련 콘텐츠
클라우드용 Defender에 대해 자세히 알아보세요.
- 보안 정책 설정 - Azure 구독 및 리소스 그룹에 대한 보안 정책을 구성하는 방법을 알아봅니다.
- 보안 권장 사항 관리 - 권장 사항을 통해 Azure 리소스를 보호하는 방법을 알아봅니다.
- Azure 보안 블로그 - 최신 Azure 보안 뉴스 및 정보를 가져옵니다.