Log Analytics 에이전트를 사용한 파일 무결성 모니터링

  • 아티클

FIM(파일 무결성 모니터링)을 제공하기 위해 Log Analytics 에이전트에서 데이터를 Log Analytics 작업 영역에 업로드합니다. 이러한 항목의 현재 상태와 이전 검색 중의 상태를 비교하여 의심스러운 수정을 수행되었을 때 FIM에게 알려줍니다.

참고 항목

Log Analytics 에이전트(MMA라고도 함)가 2024년 8월에 사용 중지되도록 설정되어 있으므로 이 페이지에 설명된 기능을 포함하여 현재 사용하는 모든 서버용 Defender 기능은 사용 중지 날짜 전에 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 사용할 수 있습니다. 현재 Log Analytics 에이전트에 의존하는 각 기능의 로드맵에 대한 자세한 내용은 이 공지 사항를 참조하세요.

이 문서에서는 다음을 수행하는 방법을 알아봅니다.

참고 항목

파일 무결성 모니터링은 모니터링되는 SQL Server에 다음 계정을 만들 수 있습니다. NT Service\HealthService
계정을 삭제하면 계정이 자동으로 다시 생성됩니다.

가용성

측면 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: 서버용 Microsoft Defender Plan 2가 필요합니다.
FIM은 Log Analytics 에이전트를 사용하여 Log Analytics 작업 영역에 데이터를 업로드합니다. 업로드하는 데이터의 양에 따라 데이터 요금이 부과됩니다. 자세한 내용은 Log Analytics 가격을 참조하세요.
필요한 역할 및 권한: 작업 영역 소유자는 FIM을 사용하거나 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 Log Analytics에 대한 Azure 역할을 참조하세요.
읽기 권한자는 결과를 볼 수 있습니다.
클라우드: 상용 클라우드
국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)
Azure Automation의 변경 내용 추적 솔루션을 사용할 수 있는 지역에서만 지원됩니다.
Azure Arc 지원 디바이스입니다.
연결된 Log Analytics 작업 영역에 대해 지원되는 지역을 참조하세요.
변경 내용 추적에 대해 자세히 알아보세요.
연결된 AWS 계정

Log Analytics 에이전트를 사용하여 파일 무결성 모니터 사용

FIM은 클라우드용 Defender 페이지에서만 사용할 수 있습니다. 현재 FIM을 사용하기 위한 REST API는 없습니다.

  1. 워크로드 보호 대시보드의 고급 보호 영역에서 파일 무결성 모니터링을 선택합니다.

    Screenshot of screenshot of opening the File Integrity Monitoring dashboard.

    각 작업 영역에 대해 제공되는 정보는 다음과 같습니다.

    • 지난 주에 발생한 총 변경 횟수(작업 영역에서 FIM을 사용하지 않는 경우 대시(-)가 표시될 수 있음)
    • 작업 영역에 보고하는 총 컴퓨터 및 VM 수
    • 작업 영역의 지리적 위치
    • 작업 영역이 속한 Azure 구독

  2. 이 페이지를 사용하여 다음을 수행합니다.

    • 각 작업 영역의 상태 및 설정에 액세스 및 보기

    • Upgrade plan icon. 보안 강화 기능을 사용하도록 작업 영역을 업그레이드합니다. 이 아이콘은 작업 영역 또는 구독이 서버용 Microsoft Defender를 통해 보호되지 않음을 나타냅니다. FIM 기능을 사용하려면 이 플랜으로 구독을 보호해야 합니다. 서버용 Defender를 사용하도록 설정하는 방법에 대해 알아봅니다.

    • Enable icon 작업 영역 아래의 모든 머신에서 FIM을 사용하도록 설정하고 FIM 옵션을 구성합니다. 이 아이콘은 작업 영역에 대해 FIM을 사용할 수 없음을 나타냅니다. 설정 또는 업그레이드 단추가 없고 공간이 비어 있으면 작업 영역에서 FIM이 이미 사용하도록 설정된 것입니다.

      Screenshot of enabling FIM for a specific workspace.

  3. 사용을 선택합니다. 작업 영역 아래에 Windows 및 Linux 머신 수를 포함하여 작업 영역의 세부 정보가 표시됩니다.

    Screenshot of FIM workspace details page.

    또한 Windows 및 Linux에 권장되는 설정도 나열됩니다. 권장 항목의 전체 목록을 보려면 Windows 파일, 레지스트리Linux 파일을 펼칩니다.

  4. FIM에서 모니터링하지 않으려는 권장 엔터티에 대한 확인란을 선택 취소합니다.

  5. 파일 무결성 모니터링 적용을 선택하여 FIM을 사용하도록 설정합니다.

언제든지 설정을 변경할 수 있습니다. 모니터링된 엔터티 편집에 대해 자세히 알아보세요.

파일 무결성 모니터링 사용 안 함

FIM은 Azure 변경 내용 추적 솔루션을 사용하여 환경의 변경 내용을 추적하고 식별합니다. FIM을 사용하지 않도록 설정하면 선택한 작업 영역에서 변경 내용 추적 솔루션이 제거됩니다.

FIM을 사용하지 않도록 설정하려면:

  1. 작업 영역에 대한 파일 무결성 모니터링 대시보드에서 사용 안 함을 선택합니다.

    Screenshot of disabling file integrity monitoring from the settings page.

  2. 제거를 선택합니다.

작업 영역, 엔터티 및 파일 모니터링

모니터링된 작업 영역 감사

FIM을 사용하는 작업 영역에 대한 파일 무결성 모니터링 대시보드가 표시됩니다. 작업 영역에서 FIM을 사용하도록 설정한 후이거나 FIM이 이미 사용되는 파일 무결성 모니터링 창에서 작업 영역을 선택하면 FIM 대시보드가 열립니다.

Screenshot of the FIM dashboard and its various informational panels.

작업 영역에 대한 FIM 대시보드에서 표시하는 세부 항목은 다음과 같습니다.

  • 작업 영역에 연결된 총 컴퓨터 수
  • 선택한 기간 동안 발생한 총 변경 횟수
  • 변경 유형에 대한 분석(파일, 레지스트리)
  • 변경 범주에 대한 분석(수정됨, 추가됨, 제거됨)

대시보드 맨 위에서 필터를 선택하여 변경 내용이 표시되는 기간을 변경합니다.

Screenshot of time period filter for the FIM dashboard.

서버 탭에는 이 작업 영역에 보고하는 모든 머신이 나열됩니다. 대시보드에서 각 컴퓨터에 대해 나열하는 항목은 다음과 같습니다.

  • 선택한 기간 동안 발생한 총 변경 횟수
  • 파일 변경 또는 레지스트리 변경으로 인한 총 변경 횟수에 대한 분석

머신을 선택하면 선택한 기간 동안의 변경 내용을 식별하는 결과와 함께 쿼리가 나타납니다. 자세한 내용을 확인하려면 변경 내용을 펼칠 수 있습니다.

Screenshot of log Analytics query showing the changes identified by Microsoft Defender for Cloud's file integrity monitoring.

변경 탭(아래 그림 참조)에는 선택한 기간 동안 작업 영역에 대한 모든 변경 내용이 나열됩니다. 대시보드에서 변경된 각 엔터티에 대해 나열하는 항목은 다음과 같습니다.

  • 변경이 발생한 머신
  • 변경 유형(레지스트리 또는 파일)
  • 변경 범주(수정됨, 추가됨, 제거됨)
  • 변경 날짜 및 시간

Screenshot of Microsoft Defender for Cloud's file integrity monitoring changes tab.

검색 필드에서 변경 내용을 입력하거나 변경 탭 아래에 나열된 항목을 선택하면 변경 세부 정보가 열립니다.

Screenshot of Microsoft Defender for Cloud's file integrity monitoring showing the details pane for a change.

모니터링된 엔터티 수정

  1. 작업 영역에 대한 파일 무결성 모니터링 대시보드의 도구 모음에서 설정을 선택합니다.

    Screenshot of accessing the file integrity monitoring settings for a workspace.

    모니터링할 수 있는 각 요소 유형에 대한 탭이 있는 작업 영역 구성이 열립니다.

    • Windows 레지스트리
    • Windows 파일
    • Linux 파일
    • 파일 콘텐츠
    • Windows 서비스

    각 탭에는 해당 범주에서 편집할 수 있는 엔터티가 나열됩니다. 클라우드용 Defender에서는 나열된 각 엔터티에 대해 FIM이 사용하거나(true) 사용하지 않도록(false) 설정되었는지를 식별합니다. 엔터티를 편집하여 FIM을 사용하거나 사용하지 않도록 설정합니다.

    Screenshot of workspace configuration for file integrity monitoring in Microsoft Defender for Cloud.

  2. 탭 중 하나에서 항목을 선택하고 변경 내용 추적 편집 창에서 사용 가능한 필드를 편집합니다. 표시되는 옵션은 다음과 같습니다.

    • 파일 무결성 모니터링 사용 설정(True) 또는 해제(False)
    • 엔터티 이름 제공 또는 변경
    • 값 또는 경로 제공 또는 변경
    • 엔터티 삭제

  3. 변경 내용을 삭제하거나 저장합니다.

모니터링할 새 엔터티 추가

  1. 작업 영역에 대한 파일 무결성 모니터링 대시보드의 도구 모음에서 설정을 선택합니다.

    작업 영역 구성이 열립니다.

  2. 작업 영역 구성에서 다음을 수행합니다.

    1. 추가하려는 엔터티의 형식에 대한 탭(Windows 레지스트리, Windows 파일, Linux 파일, 파일 콘텐츠 또는 Windows 서비스)을 선택합니다.

    2. 추가를 선택합니다.

      이 예에서는 Linux 파일을 선택했습니다.

      Screenshot of adding an element to monitor in Microsoft Defender for Cloud's file integrity monitoring.

  3. 추가를 선택합니다. 변경 내용 추적에 추가가 열립니다.

  4. 필요한 정보를 입력하고 저장을 선택합니다.

와일드 카드를 사용하여 폴더 및 경로 모니터링

와일드 카드를 사용하여 디렉터리에 대한 추적을 간소화합니다. 와일드 카드를 사용하여 폴더 모니터링을 구성한 경우 다음 규칙이 적용됩니다.

  • 와일드 카드는 여러 파일을 추적하는 데 필요합니다.
  • Wild카드는 경로의 마지막 세그먼트(예: C:\folder\file )에서만 사용할 수 있습니다./etc/*.conf
  • 환경 변수에 유효하지 않은 경로가 포함된 경우 유효성 검사는 성공하지만 인벤토리가 실행되면 경로가 실패합니다.
  • 경로를 설정할 때 너무 많은 폴더를 트래버스하게 되는 c:\*.*와 같은 일반 경로를 방지합니다.

파일 무결성 모니터링을 사용하는 기준 비교

FIM(파일 무결성 모니터링)은 리소스의 중요한 영역이 변경되면 알리므로 권한 없는 작업을 조사하고 처리할 수 있습니다. FIM은 Windows 파일, Windows 레지스트리 및 Linux 파일을 모니터링합니다.

기본 제공 재귀 레지스트리 검사 사용

FIM 레지스트리 하이브 기본값은 일반적인 보안 영역 내에서 재귀적 변경 내용을 모니터링하는 편리한 방법을 제공합니다. 예를 들어 악의적 사용자는 시작 또는 종료 시 실행을 구성하여 LOCAL_SYSTEM 컨텍스트에서 실행되도록 스크립트를 구성할 수 있습니다. 이 유형의 변경 내용을 모니터링하려면 기본 제공 검사를 사용하도록 설정하세요.

Registry.

참고 항목

재귀 검사는 권장 보안 하이브에만 적용되고 사용자 지정 레지스트리 경로에는 적용되지 않습니다.

사용자 지정 레지스트리 검사 추가

FIM 기준은 운영 체제 및 지원 애플리케이션의 알려진 정상 상태의 특징을 식별하는 것으로 시작합니다. 이 예에서는 Windows Server 2008 이상의 암호 정책 구성을 중점적으로 다룹니다.

정책 이름 레지스트리 설정
도메인 컨트롤러: 컴퓨터 계정 암호의 변경 거부 MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RefusePasswordChange
도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명 MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireSignOrSeal
도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SealSecureChannel
도메인 구성원: 보안 채널 데이터 디지털 서명(가능한 경우) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\SignSecureChannel
도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함 MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DisablePasswordChange
도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간 MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\MaximumPasswordAge
도메인 구성원: 고급 세션 키 요청(Windows 2000 이상) MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RequireStrongKey
네트워크 보안: NTLM 제한: 이 도메인에서 NTLM 인증 MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\RestrictNTLMInDomain
네트워크 보안: NTLM 제한: 이 도메인에서 서버 예외 추가 MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\DCAllowedNTLMServers
네트워크 보안: NTLM 제한: 이 도메인에서 NTLM 인증 감사 MACHINE\System\CurrentControlSet\Services \Netlogon\Parameters\AuditNTLMInDomain

참고 항목

다양한 운영 체제 버전에서 지원되는 레지스트리 설정에 대한 자세한 내용은 그룹 정책 설정 참조 스프레드시트를 참조하세요.

레지스트리 기준을 모니터링하도록 FIM을 구성하려면:

  1. 변경 내용 추적을 위해 Windows 레지스트리 추가 창에서 Windows 레지스트리 키 텍스트 상자를 선택합니다.

  2. 다음 레지스트리 키를 입력합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    Screenshot of enable FIM on a registry.

Windows 파일 변경 내용 추적

  1. 변경 내용 추적에 대해 Windows 파일 추가 창의 경로 입력 텍스트 상자에서 추적하려는 파일이 있는 폴더를 입력합니다. 다음 그림의 예에서 Contoso 웹앱ContosWebApp 폴더 구조 내의 D:\ 드라이브에 있습니다.

  2. 설정 클래스의 이름을 제공하고, 재귀를 사용하도록 설정하고, 와일드 카드(*) 접미사로 최상위 폴더를 지정하여 사용자 지정 Windows 파일 항목을 만듭니다.

    Screenshot of enable FIM on a file.

변경 데이터 검색

파일 무결성 모니터링 데이터는 Azure Log Analytics/ConfigurationChange 테이블 집합 내에 있습니다.

  1. 리소스별로 변경 내용의 요약을 검색할 시간 범위를 설정합니다.

    다음 예제에서는 레지스트리 및 파일 범주에서 지난 14일간의 모든 변경 내용을 검색합니다.

    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType

  2. 레지스트리 변경의 세부 정보를 보려면:

    1. where 절에서 Files를 제거합니다.
    2. 요약 줄을 제거하고 순서 절로 바꿉니다.
    ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry')
| order by Computer, RegistryKey

보고서는 보관을 위해 CSV로 내보내거나 Power BI 보고서로 보낼 수 있습니다.

FIM data.

다음 단계

클라우드용 Defender에 대해 자세히 알아보세요.