PowerShell을 사용하여 Microsoft Defender for Cloud의 온보딩 자동화
Microsoft Defender for Cloud PowerShell 모듈을 사용하여 프로그래매틱한 방식으로 Azure 워크로드를 보호할 수 있습니다. PowerShell을 사용하면 작업을 자동화하고 수동 작업에 내재된 사용자 오류를 피할 수 있습니다. 이는 특히 모두 처음부터 보호해야 하는 수십만 개의 리소스가 있는 수십 개의 구독이 포함된 대규모 배포에 유용합니다.
PowerShell을 사용하여 Microsoft Defender for Cloud를 온보딩하면 Azure 리소스의 온보딩 및 관리를 프로그래매틱한 방식으로 자동화하고 필요한 보안 컨트롤을 추가할 수 있습니다.
이 문서에서는 전체 구독에서 Defender for Cloud를 배포하기 위해 환경에서 수정 및 사용될 수 있는 샘플 PowerShell 스크립트를 제공합니다.
이 예제에서는 ID <Subscription ID>
가 있는 구독에서 클라우드용 Defender 사용하도록 설정하고 고급 위협 방지 및 검색 기능을 제공하는 클라우드용 Microsoft Defender 향상된 보안 기능을 사용하도록 설정하여 높은 수준의 보호를 제공하는 권장 설정을 적용합니다.
클라우드용 Microsoft Defender에서 향상된 보안을 사용하도록 설정합니다.
Log Analytics 에이전트가 구독과 연결된 VM에서 수집하는 데이터를 보낼 Log Analytics 작업 영역을 설정합니다(이 예제에서는 기존 사용자 정의 작업 영역(myWorkspace)).
Log Analytics 에이전트를 배포하는 클라우드용 Defender의 자동 에이전트 프로비저닝을 활성화합니다.
조직의 CISO를 Defender for Cloud 경고 및 주요 이벤트의 보안 연락처로 설정합니다.
Defender for Cloud의 기본 보안 정책을 할당합니다.
필수 조건
Defender for Cloud cmdlet을 실행하기 전에 다음 단계를 수행해야 합니다.
관리자 권한으로 PowerShell을 실행합니다.
PowerShell에서 다음 명령을 실행합니다.
Set-ExecutionPolicy -ExecutionPolicy AllSigned
Install-Module -Name Az.Security -Force
PowerShell을 사용하여 Defender for Cloud 온보딩
Defender for Cloud 리소스 공급자에 구독을 등록합니다.
Set-AzContext -Subscription "<Subscription ID>"
Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
선택 사항: 구독의 적용 범위 수준(Microsoft Defender for Cloud의 향상된 보안 기능 활성화/비활성화)을 설정합니다. 정의되지 않은 경우 이러한 기능은 비활성됩니다.
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
에이전트가 보고할 Log Analytics 작업 영역을 구성합니다. 구독의 VM이 보고할 기존에 만든 Log Analytics 작업 영역이 있어야 합니다. 동일한 작업 영역에 보고할 여러 구독을 정의할 수 있습니다. 정의되지 않은 경우 기본 작업 영역이 사용됩니다.
Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
Azure VM에서 Log Analytics 에이전트 설치를 자동 프로비저닝합니다.
Set-AzContext -Subscription "<Subscription ID>"
Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
참고 항목
자동 프로비저닝을 사용하도록 설정하여 Azure 가상 머신이 Microsoft Defender for Cloud를 통해 자동으로 보호되도록 하는 것이 좋습니다.
클라우드용 Defender 업데이트 전략의 일환으로 AMA(Azure Monitor 에이전트)는 서버용 Defender 제품에 더 이상 필요하지 않습니다. 그러나 컴퓨터의 Defender for SQL Server는 여전히 필요합니다. 따라서 클라우드용 Defender 포털을 사용하여 AMA(Azure Monitor 에이전트)를 배포하면 컴퓨터의 SQL 서버에 새 배포 정책을 사용할 수 있습니다. SQL Server 대상 AMA(Azure Monitoring 에이전트) 자동 프로비전 프로세스로 마이그레이션하는 방법에 대해 자세히 알아보세요.선택 사항: 클라우드용 Defender에서 생성한 경고 및 알림의 수신자로 사용되는 온보딩한 구독의 보안 연락처 세부 정보를 정의하는 것이 좋습니다.
Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
기본 Defender for Cloud 정책 이니셔티브를 할당합니다.
Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
$Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
PowerShell을 사용하여 Microsoft Defender for Cloud를 성공적으로 온보딩하였습니다.
이제 이러한 PowerShell cmdlet을 자동화 스크립트와 함께 사용하여 구독 및 리소스를 프로그래밍 방식으로 반복할 수 있습니다. 이렇게 하면 시간이 절약되고 사용자 오류 가능성이 줄어듭니다. 이 샘플 스크립트를 참조로 사용할 수 있습니다.
참고 항목
PowerShell을 사용하여 Defender for Cloud에 대한 온보딩을 자동화하는 방법을 자세히 알아보려면 다음 문서를 참조하세요.
Defender for Cloud에 대한 자세한 내용은 다음 문서를 참조하세요.
- 클라우드용 Microsoft Defender의 보안 정책 설정 Azure 구독 및 리소스 그룹에 대한 보안 정책을 구성하는 방법을 알아봅니다.
- 클라우드용 Microsoft Defender의 보안 경고 관리 및 대응. 보안 경고를 관리하고 응답하는 방법을 알아봅니다.