에이전트, 확장 및 서버용 Defender용 Azure Arc 계획
이 문서는 서버용 Microsoft Defender 배포를 위한 에이전트, 확장 및 Azure Arc 리소스를 계획하는 데 도움이 됩니다.
서버용 Defender는 클라우드용 Microsoft Defender에서 제공하는 유료 계획 중 하나입니다.
시작하기 전에
이 문서는 서버용 Defender 계획 가이드의 네 번째 문서입니다. 시작하기 전에 이전 문서를 검토합니다.
Azure Arc 요구 사항 검토
Azure Arc를 사용하면 AWS(Amazon Web Services), GCP(Google Cloud Platform) 및 온-프레미스 컴퓨터를 Azure에 온보딩하는 데 도움이 됩니다. 클라우드용 Defender는 Azure Arc를 사용하여 Azure가 아닌 컴퓨터를 보호합니다.
기본 클라우드 보안 태세 관리
AWS 및 GCP 컴퓨터에 대한 무료 기본 CSPM(클라우드 보안 태세 관리) 기능에는 Azure Arc가 필요하지 않습니다. 전체 기능을 위해 AWS 또는 GCP 컴퓨터에서 Azure Arc를 실행하는 것이 좋습니다.
온-프레미스 컴퓨터에는 Azure Arc 온보딩이 필요합니다.
Defender for Servers 플랜
서버용 Defender를 사용하려면 모든 AWS, GCP 및 온-프레미스 컴퓨터가 Azure Arc를 지원해야 합니다.
AWS 또는 GCP 다중 클라우드 커넥터를 사용하여 Azure Arc 에이전트를 AWS 또는 GCP 서버에 자동으로 온보딩할 수 있습니다.
Azure Arc 배포 계획
Azure Arc 배포를 계획하려면:
방화벽에서 Azure Arc에 대한 네트워크 포트를 엽니다.
Azure Arc는 연결된 컴퓨터 에이전트를 설치하여 Azure 외부에서 호스트되는 컴퓨터에 연결하고 관리합니다. 다음과 같은 정보를 검토합니다.
- 컴퓨터에서 수집된 에이전트 구성 요소 및 데이터.
- 에이전트에 대한 네트워크 및 인터넷 액세스.
- 에이전트에 대한 연결 옵션.
Log Analytics 에이전트 및 Azure Monitor 에이전트
참고 항목
Log Analytics 에이전트는 2024년 8월에 종료될 예정이며 클라우드용 Defender 업데이트된 전략의 일환으로 모든 서버용 Defender 기능이 Log Analytics 에이전트(MMA) 또는 AMA(Azure Monitor 에이전트)에 종속되지 않고 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 제공됩니다. 따라서 두 에이전트에 대한 공유 자동 프로비전 프로세스가 그에 따라 조정됩니다. 이 변경에 대한 자세한 내용은 이 공지를 참조하세요.
클라우드용 Defender는 Log Analytics 및 Azure Monitor 에이전트를 사용하여 컴퓨팅 리소스에서 정보를 수집합니다. 그런 다음, 더 많은 분석을 위해 Log Analytics 작업 영역으로 데이터를 보냅니다. 두 에이전트의 차이점 및 권장 사항을 검토합니다.
다음 표에서는 서버용 Defender에서 사용되는 에이전트에 대해 설명합니다.
| 기능 | Log Analytics 에이전트 | Azure Monitor 에이전트 |
|---|---|---|
| 에이전트에 의존하는 기본 CSPM 권장 사항(무료): OS 기준 권장 사항(Azure VM) | 
|
Azure Monitor 에이전트를 사용하면 Azure Policy 게스트 구성 확장이 사용됩니다. |
| 기본 CSPM: 시스템 업데이트 권장 사항(Azure VM) |
|
아직 사용할 수 없음 |
| 기본 CSPM: 맬웨어 방지/엔드포인트 보호 권장 사항(Azure VM) |
|
|
| 파일리스 공격 검색을 포함하여 OS 수준 및 네트워크 계층에서 공격 검색 계획 1은 공격 탐지를 위해 엔드포인트용 Defender 기능을 사용합니다. |
플랜 2 |
플랜 2 |
| 파일 무결성 모니터링(계획 2에만 해당) |
|
|
| 적응형 애플리케이션 제어(계획 2에만 해당) |
|
|
Qualys 확장
Qualys 확장은 서버용 Defender 계획 2에서 사용할 수 있습니다. 취약성 평가에 Qualys를 사용하려는 경우 확장이 배포됩니다.
자세한 내용은 다음과 같습니다.
Qualys 확장은 Azure 지역에 따라 두 Qualys 데이터 센터 지역 중 하나에 분석을 위한 메타데이터를 보냅니다.
- 유럽 Azure 지역 내에서 작업하는 경우 Qualys 유럽 데이터 센터에서 데이터 처리가 수행됩니다.
- 다른 지역의 경우 미국 데이터 센터에서 데이터 처리가 수행됩니다.
컴퓨터에서 Qualys를 사용하려면 확장을 설치해야 하며 컴퓨터가 관련 네트워크 엔드포인트와 통신할 수 있어야 합니다.
- 유럽 데이터 센터:
https://qagpublic.qg2.apps.qualys.eu - 미국 데이터 센터:
https://qagpublic.qg3.apps.qualys.com
- 유럽 데이터 센터:
게스트 구성 확장
확장은 VM 내에서 감사 및 구성 작업을 수행합니다.
- Azure Monitor 에이전트를 사용하는 경우 클라우드용 Defender는 이 확장을 사용하여 Windows 및 Linux 컴퓨터에서 운영 체제 보안 기준 설정을 분석합니다.
- Azure Arc 지원 서버 및 게스트 구성 확장은 무료이지만 클라우드용 Defender 범위를 벗어난 Azure Arc 서버에서 게스트 구성 정책을 사용하는 경우 더 많은 비용이 부과될 수 있습니다.
Azure Policy 게스트 구성 확장에 대해 자세히 알아봅니다.
엔드포인트용 Defender 확장
서버용 Defender를 사용하도록 설정하면 클라우드용 Defender가 엔드포인트용 Defender 확장을 자동으로 배포합니다. 확장은 운영 체제 내에서 스크립트를 실행하여 컴퓨터에 엔드포인트용 Defender 센서를 배포하고 통합하는 관리 인터페이스입니다.
- Windows 컴퓨터 확장:
MDE.Windows - Linux 컴퓨터 확장:
MDE.Linux - 컴퓨터는 최소 요구 사항을 충족해야 합니다.
- 일부 Windows Server 버전에는 특정 요구 사항이 있습니다.
운영 체제 지원 확인
서버용 Defender를 배포하기 전에 에이전트 및 확장에 대한 운영 체제 지원을 확인합니다.
- 엔드포인트용 Defender에서 운영 체제가 지원되는지 확인합니다.
- Azure Arc Connect Machine 에이전트에 대한 요구 사항을 확인합니다.
- Log Analytics 에이전트 및 Azure Monitor 에이전트에 대한 운영 체제 지원을 확인합니다.
에이전트 프로비전 검토
서버용 Defender를 포함하여 클라우드용 Defender 계획을 사용하도록 설정하면 서버용 Defender와 관련된 일부 에이전트를 자동으로 프로비전하도록 선택할 수 있습니다.
- Azure VM용 Log Analytics 에이전트 및 Azure Monitor 에이전트
- Azure Arc VM용 Log Analytics 에이전트 및 Azure Monitor 에이전트
- Qualys 에이전트
- 게스트 구성 에이전트
서버용 Defender 계획 1 또는 플랜 2를 사용하도록 설정하면 엔드포인트용 Defender 확장이 구독의 지원되는 모든 컴퓨터에서 자동으로 프로비전됩니다.
프로비전 고려 사항
다음 표에서는 알아야 할 프로비전 고려 사항에 대해 설명합니다.
| 프로비저닝 | 세부 정보 |
|---|---|
| 엔드포인트용 Defender 센서 | 컴퓨터가 SCEP(System Center Endpoint Protection)라고도 하는 Microsoft Antimalware를 실행 중인 경우 Windows 확장은 컴퓨터에서 이를 자동으로 제거합니다. 레거시 MMA(Microsoft Monitoring Agent) 엔드포인트용 Defender 센서가 이미 실행 중인 컴퓨터에 배포하는 경우 클라우드용 Defender 및 엔드포인트용 Defender 통합 솔루션이 성공적으로 설치되면 확장이 중지되고 레거시 센서가 비활성화됩니다. 변경 내용은 투명하며 컴퓨터의 보호 기록은 유지됩니다. |
| AWS 및 GCP 컴퓨터 | AWS 또는 GCP 커넥터를 설정할 때 자동 프로비전을 구성합니다. |
| 수동 설치 | 클라우드용 Defender가 Log Analytics 에이전트 및 Azure Monitor 에이전트를 프로비전하지 않도록 하려면 에이전트를 수동으로 설치할 수 있습니다. 에이전트를 기본 클라우드용 Defender 작업 영역 또는 사용자 지정 작업 영역에 연결할 수 있습니다. 작업 영역에는 SecurityCenterFree(무료 기본 CSPM의 경우) 또는 보안 솔루션이 사용하도록 설정되어 있어야 합니다(서버용 Defender 계획 2). |
| 직접 실행되는 Log Analytics 에이전트 | Windows VM에 Log Analytics 에이전트가 실행 중이지만 VM 확장으로 실행되지 않는 경우 클라우드용 Defender에서 확장을 설치합니다. 에이전트는 클라우드용 Defender 작업 영역 및 기존 에이전트 작업 영역에 보고합니다. Linux VM에서는 멀티 호밍이 지원되지 않습니다. 기존 에이전트가 있는 경우 Log Analytics 에이전트가 자동으로 프로비전되지 않습니다. |
| Operations Manager 에이전트 | Log Analytics 에이전트는 Operations Manager 에이전트와 함께 작동할 수 있습니다. 에이전트는 Log Analytics 에이전트가 배포될 때 업데이트되는 공통 런타임 라이브러리를 공유합니다. |
| Log Analytics 확장 제거 | Log Analytics 확장을 제거하면 클라우드용 Defender 보안 데이터 및 권장 사항을 수집할 수 없으므로 경고가 누락됩니다. 24시간 이내에 클라우드용 Defender는 확장이 누락된 것을 확인하고 다시 설치합니다. |
자동 프로비전을 옵트아웃해야 하는 경우
다음 표에 설명된 상황에서 자동 프로비전을 옵트아웃할 수 있습니다.
| 상황 | 관련 에이전트 | 세부 정보 |
|---|---|---|
| 에이전트가 설치되어 있지 않아야 하는 중요한 VM이 있습니다. | Log Analytics 에이전트, Azure Monitor 에이전트 | 자동 프로비전은 전체 구독에 대한 것입니다. 특정 머신에 대해 옵트아웃할 수 없습니다. |
| Operations Manager 2012에서 System Center Operations Manager 에이전트 버전 2012를 실행하고 있습니다. | Log Analytics 에이전트 | 이 구성에서는 자동 프로비저닝을 켜지 마세요. 관리 기능이 손실될 수 있습니다. |
| 사용자 지정 작업 영역을 구성하려고 합니다. | Log Analytics 에이전트, Azure Monitor 에이전트 | 사용자 지정 작업 영역이 있는 두 가지 옵션이 있습니다. - 클라우드용 Defender를 처음 설정할 때 자동 프로비전을 옵트아웃합니다. 그런 다음 사용자 지정 작업 영역에서 프로비전을 구성합니다. - 자동 프로비전을 실행하여 컴퓨터에 Log Analytics 에이전트를 설치합니다. 사용자 지정 작업 영역을 설정한 다음 새 작업 영역 설정으로 기존 VM을 다시 구성합니다. |
다음 단계
다음 계획 단계를 수행한 후 배포를 시작할 수 있습니다.
- 서버용 Defender 계획을 사용하도록 설정합니다.
- Azure에 온-프레미스 컴퓨터를 연결합니다.
- 클라우드용 Defender에 AWS 계정을 연결합니다.
- 클라우드용 Defender에 GCP 프로젝트를 연결합니다.
- 서버용 Defender 배포의 크기 조정에 대해 알아봅니다.