엔드포인트용 Defender를 사용하여 비 Azure 서버를 Microsoft Defender for Cloud에 연결

클라우드용 Defender를 사용하면 엔드포인트용 Defender 에이전트를 배포하여 비 Azure 서버를 직접 온보딩할 수 있습니다. 이는 단일 통합 제품으로 클라우드 및 비클라우드 자산을 모두 보호합니다.

참고

Azure Arc를 통해 비 Azure 컴퓨터를 연결하려면 Azure Arc를 사용하여 비 Azure 컴퓨터를 클라우드용 Microsoft Defender에 연결을 참조하세요.

이 테넌트 수준 설정을 사용하면 추가 에이전트 배포 없이 엔드포인트용 Defender를 실행하는 비 Azure 서버를 클라우드용 Defender에 자동으로 기본적으로 온보딩할 수 있습니다. 이 온보딩 경로는 서버용 Defender에서 서버 보호를 통합하려는 혼합 및 하이브리드 서버 자산을 보유한 고객에게 이상적입니다.

가용성

측면	세부 정보
릴리스 상태	조지아
지원되는 운영 체제	엔드포인트용 Defender가 지원하는 모든 Windows 및 LinuxServer 운영 체제
필요한 역할 및 권한	이 설정을 관리하려면 선택한 구독에 대한 구독 소유자와 테넌트에 대한 Microsoft Entra 보안 관리자 이상의 권한이 필요합니다
환경	온-프레미스 서버 다중 클라우드 VM – 제한된 지원(제한 사항 섹션 참조)
지원되는 계획	서버용 Defender P1 서버용 Defender P2 – 제한된 기능(제한 사항 섹션 참조)

작동 방식

직접 온보딩은 엔드포인트용 Defender와 클라우드용 Defender 간의 원활한 통합으로, 서버에 추가 소프트웨어 배포가 필요하지 않습니다. 사용하도록 설정되면 구성한 지정된 Azure 구독에 따라 클라우드용 Defender의 엔드포인트용 Defender에 온보딩된 비 Azure 서버 디바이스도 표시됩니다(Microsoft Defender 포털의 일반적인 표시 외에도). Azure 구독은 라이선스, 청구, 경고 및 보안 인사이트에 사용되지만 Azure Policy, 확장 또는 게스트 구성과 같은 서버 관리 기능은 제공하지 않습니다.

바이러스 백신 정책, 공격 표면 감소 규칙 및 보안 인텔리전스 업데이트와 같은 서버 보안 설정을 관리하려면 추가 도구를 사용해야 합니다. Windows 서버 및 Linux 서버에 대한 이러한 설정을 관리하는 몇 가지 옵션이 있습니다.

• Windows Server:

  • 엔드포인트용 Defender 보안 설정 관리
  • 구성 관리자
  • 그룹 정책
  • PowerShell
  • WMI(Windows Management Instrumentation)

• Linux 서버:

  • 엔드포인트용 Defender 보안 설정 관리
  • 비 Microsoft 솔루션( Linux의 엔드포인트용 Defender에서 보안 설정 구성 참조)

직접 가입 활성화

직접 온보딩을 사용하도록 설정하는 것은 테넌트 수준에서 옵트인 가능한 설정입니다. 이는 동일한 Microsoft Entra 테넌트의 엔드포인트용 Defender에 온보딩된 기존 서버와 새 서버 모두에 영향을 미칩니다. 이 설정을 사용하도록 설정한 직후 서버 디바이스가 지정된 구독 아래에 표시됩니다. 경고, 소프트웨어 인벤토리 및 취약성 데이터는 Azure VM에서 작동하는 방식과 유사한 방식으로 Defender for Cloud와 통합됩니다.

시작하기 전에 다음을 수행하십시오.

• 필요한 권한이 있는지 확인하세요.
• 테넌트에 서버에 대한 엔드포인트용 Microsoft Defender 라이선스가 있는 경우 클라우드용 Defender에 이를 표시해야 합니다.
• 제한 사항 섹션을 검토합니다.

클라우드용 Defender 포털에서 사용을 허용

1. 클라우드용 Defender>환경 설정>직접 온보딩으로 이동합니다.

2. 직접 온보딩 토글을 켜기로 전환합니다.

3. 엔드포인트용 Defender에 직접 온보딩된 서버에 사용하려는 구독을 선택합니다.

4. 저장을 선택합니다.

이제 테넌트에서 직접 온보딩을 성공적으로 사용하도록 설정했습니다. 처음으로 사용하도록 설정한 후 지정된 구독에서 Azure 이외의 서버를 확인하는 데 최대 24시간이 걸릴 수 있습니다.

서버에 엔드포인트용 Defender 배포

온-프레미스 Windows 및 Linux 서버에 엔드포인트용 Defender 에이전트를 배포하는 것은 직접 온보딩 사용 여부와 관계없이 동일합니다. 자세한 내용은 엔드포인트용 Defender에 서버 온보딩 을 참조하세요.

현재 제한 사항

• 계획 지원: 직접 온보딩은 모든 서버용 Defender 계획 1 기능에 대한 액세스를 제공합니다. 그러나 서버용 Defender 플랜 2의 특정 기능을 사용하려면 Azure Monitor 에이전트를 배포해야 합니다. 이 에이전트는 비 Azure 머신에서 Azure Arc에서만 사용할 수 있습니다. 지정된 구독에서 Defender for Servers 플랜 2를 사용하도록 설정하면 엔드포인트용 Defender와 직접 온보딩된 서버는 모든 Defender for Servers 플랜 1 기능 및 플랜 2 에 포함된 Defender 취약성 관리 추가 기능과 액세스할 수 있습니다.

• 다중 클라우드 지원: 엔드포인트용 Defender 에이전트를 사용하여 AWS 및 GCP에서 VM을 직접 온보딩할 수 있습니다. 그러나 다중 클라우드 커넥터를 사용하여 AWS 또는 GCP 계정을 서버용 Defender에 동시에 연결하려는 경우에도 현재는 Azure Arc를 배포하는 것이 좋습니다.

• 동시 온보딩 제한 지원: 여러 방법을 사용하여 동시에 온보딩된 서버(예: Log Analytics 작업 영역 기반 온보딩과 직접 온보딩이 결합됨)의 경우 클라우드용 Defender는 이를 단일 디바이스 표현으로 상호 연결하기 위해 모든 노력을 기울입니다. 그러나 이전 버전의 엔드포인트용 Defender를 사용하는 디바이스는 특정 제한 사항에 직면할 수 있습니다. 경우에 따라 이로 인해 과도 청구가 발생할 수 있습니다. 일반적으로 최신 에이전트 버전을 사용하는 것이 좋습니다. 특히 이 제한 사항과 관련해서 엔드포인트용 Defender 에이전트 버전이 다음 최소 버전을 충족하거나 초과하는지 확인합니다.

  운영 체제	최소 에이전트 버전
  Windows Server 2019 이상	10.8555
  Windows Server 2016 또는 Windows 2012 R2 (최신 통합 솔루션)	10.8560
  Linux 서버	30.101.23052.009
  Linux(AMD64)	30.101.23052.009
  Linux(ARM64)	30.101.25022.004

다음 단계

이 문서에서는 비 Azure 서버를 Microsoft Defender for Cloud에 추가하는 방법을 설명합니다. 상태를 모니터링하려면 다음 문서에 설명된 대로 인벤토리 도구를 사용합니다.

• 자산 인벤토리로 리소스 탐색 및 관리