엔드포인트용 Microsoft Defender 및 Microsoft Defender 취약성 관리는 기본적으로 Defender for Cloud와 통합되어 다음을 제공합니다.
- 통합 보안 기능: 엔드포인트용 Defender, Defender 취약성 관리 및 클라우드용 Defender에서 제공하는 보안 기능이 함께 모여 서버용 Defender 계획으로 보호되는 머신에 대한 엔드투엔드 보호를 제공합니다.
- 라이선스: Defender for Servers 라이선스는 엔드포인트용 Defender 플랜 2가 클라이언트 엔드포인트에서 제공하는 것과 동일한 혜택을 서버에서 고객에게 부여합니다. 라이선스는 사용자당이 아닌 시간당 요금이 청구되므로 사용 중인 경우에만 VM을 보호하여 비용을 절감할 수 있습니다.
- 에이전트 프로비전: Defender for Cloud는 Defender for Cloud에 연결된 지원되는 컴퓨터에서 엔드포인트용 Defender 센서를 자동으로 프로비전할 수 있습니다.
- 통합 경고: 엔드포인트용 Defender의 경고 및 취약성 데이터는 Azure Portal의 클라우드용 Defender 표시됩니다. Defender 포털로 이동하여 자세한 경고 정보 및 컨텍스트를 드릴다운할 수 있습니다.
보안 기능
Defender for Cloud는 엔드포인트용 Defender 및 Defender 취약성 관리에서 제공하는 보안 기능을 통합합니다.
취약성 관리: Defender 취약성 관리에서 제공합니다.
- 기능에는 알려진 소프트웨어의 인벤토리, 지속적인 취약성 평가 및 인사이트, 디바이스에 대한 보안 점수, 우선 순위가 지정된 보안 권장 사항 및 취약성 수정이 포함됩니다.
- Defender 취약성 관리와의 통합은 서버용 Defender 플랜 2의 프리미엄 기능도 제공합니다.
공격 표면 감소: 공격 표면 감소 규칙을 사용하여 보안 노출을 줄입니다.
EDR(엔드포인트 검색 및 대응): EDR은 고급 위협 헌팅, 자동 조사 및 수정 기능을 비롯한 고급 위협을 검색, 조사 및 대응합니다.
위협 분석. 파트너가 제공하는 인텔리전스로 보강된 Microsoft 위협 사냥꾼 및 보안 팀에서 제공하는 위협 인텔리전스 데이터를 가져옵니다. 엔드포인트용 Defender에서 공격자 도구, 기술 및 절차를 식별할 때 보안 경고가 생성됩니다.
통합 아키텍처
Defender for Cloud를 사용하여 머신을 모니터링할 때 엔드포인트용 Defender가 자동으로 테넌트를 만듭니다.
엔드포인트용 Defender는 프로비전 중에 식별된 대로 테넌트의 지리적 위치에 수집된 데이터를 저장합니다.
- 고객 데이터는 가명화된 형태로 미국 중앙 스토리지 및 처리 시스템에 저장될 수도 있습니다.
- 위치를 구성한 후에는 변경할 수 없습니다.
- 엔드포인트용 Defender에 대한 라이선스가 있고 데이터를 다른 위치 로 이동해야 하는 경우 Microsoft 지원에 문의하여 테넌트 재설정을 요청하세요.
구독 간 이동
서버용 Defender for Endpoint를 동일한 테넌트에 있는 구독 간 또는 다른 테넌트 간에 이동할 수 있습니다.
동일한 테넌트 내 다른 구독으로 이동: 서버용 Defender for Endpoint 확장을 동일한 테넌트의 다른 구독으로 이동하려면 가상 머신에서 확장 중 하나인
MDE.Linux또는MDE.Windows확장을 삭제하십시오. Defender for Cloud는 자동으로 다시 배포합니다.테넌트 간에 구독 이동: Azure 테넌트 간에 Azure 구독을 이동하는 경우 클라우드용 Defender 엔드포인트용 Defender를 배포하기 전에 몇 가지 수동 준비 단계가 필요합니다. 자세한 내용은 Microsoft 지원에 문의하세요.
엔드포인트용 Defender의 건강 상태
서버용 Defender는 VM에 설치된 엔드포인트용 Defender 에이전트에 대한 가시성을 제공합니다.
필수 조건
다음 중 하나가 있어야 합니다.
- Defender for Servers P2를 사용하도록 설정했습니다.
또는 - Defender for Servers 플랜 1이 사용이 가능하게 설정된 Defender CSPM이 활성화됩니다.
서버용 Defender의 상태 문제에 대한 가시성
서버용 Defender는 다음 두 가지 주요 유형의 상태 문제에 대한 가시성을 제공합니다.
설치 문제: 에이전트 설치 중 오류입니다.
하트비트 문제: 에이전트가 설치되었지만 올바르게 보고되지 않는 문제입니다.
클라이언트 운영 체제가 설치된 경우와 같이 엔드포인트용 Defender가 특정 컴퓨터에 적용되지 않는 경우도 있습니다. 이러한 디바이스는 엔드포인트용 Defender 사용자 라이선스(예: Microsoft 365 E5)의 적용을 받아야 합니다. 이 상태는 마지막 쿼리에 설명된 대로 표시됩니다.
서버용 Defender는 각 문제 유형에 대한 특정 오류 메시지를 표시합니다. 이러한 메시지는 문제를 설명합니다. 사용 가능한 경우 문제를 해결하기 위한 지침도 찾을 수 있습니다.
상태는 4시간마다 업데이트됩니다. 이렇게 하면 문제가 지난 4시간 동안의 상태를 반영합니다.
엔드포인트용 Defender 상태 문제를 보려면 다음과 같이 보안 탐색기를 사용합니다.
언급된 문제가 있는 모든 비정상 VM(가상 머신)을 찾으려면 다음 스크린샷에 표시된 쿼리를 실행합니다.
이 데이터에 액세스하는 또 다른 방법은 다음 스크린샷에 나와 있습니다.
엔드포인트용 Defender가 제대로 작동하는 정상 VM을 모두 찾으려면 다음 스크린샷에 표시된 쿼리를 실행합니다.
엔드포인트용 Defender를 적용할 수 없는 VM 목록을 얻으려면 다음 스크린샷에 표시된 쿼리를 실행합니다.
다음 단계
서버용 Defender의 EDR 권장 사항에 대해 자세히 알아봅니다.