다음을 통해 공유

클라우드용 Microsoft Defender 문제 해결 가이드

이 가이드는 조직에서 클라우드용 Microsoft Defender와 관련된 문제를 해결해야 하는 IT 전문가, 정보 보안 분석이 및 클라우드 관리자를 위한 것입니다.

문제가 발생하거나 지원 팀의 조언이 필요한 경우 Azure Portal의 문제 진단 및 해결 섹션에서 솔루션을 찾을 수 있습니다.

클라우드용 Defender의 문제 진단 및 해결을 위한 페이지를 보여 주는 Azure Portal의 스크린샷.

감사 로그를 사용하여 문제 조사

문제 해결 정보를 찾는 첫 번째 장소는 실패한 구성 요소에 대한 감사 로그입니다. 감사 로그에서 다음과 같은 세부 정보를 볼 수 있습니다.

  • 수행된 작업입니다.
  • 작업을 시작한 사람입니다.
  • 작업이 발생한 시간
  • 작업의 상태입니다.

감사 로그에는 리소스에서 수행된 모든 쓰기 작업(PUT, POST, DELETE)이 포함되지만 읽기 작업(GET)은 포함되지 않습니다.

Log Analytics 에이전트 문제를 해결합니다.

클라우드용 Defender는 Log Analytics 에이전트를 사용하여 데이터를 수집하고 저장합니다. 이 문서의 정보는 Log Analytics 에이전트로 전환한 후 클라우드용 Defender 기능을 나타냅니다.

경고 형식은 다음과 같습니다.

  • VMBA(Virtual Machine 동작 분석)
  • 네트워크 분석
  • Azure SQL Database 및 Azure Synapse Analytics 분석
  • 컨텍스트 정보

경고 형식에 따라 다음 리소스를 사용하여 경고를 조사하는 데 필요한 정보를 수집할 수 있습니다.

  • Windows VM(가상 머신) 이벤트 뷰어의 보안 로그
  • Linux의 감사 디먼(auditd)
  • Azure 활동 로그 및 공격 리소스에 대한 진단 로그를 사용하도록 설정합니다.

경고 설명 및 관련성에 대한 피드백을 공유할 수 있습니다. 경고로 이동하여 이 정보가 유용했나요? 단추를 선택하고 이유를 선택한 다음 피드백을 의견을 입력하여 피드백을 설명합니다. 이 피드백 채널을 지속적으로 모니터링하여 경고를 개선하고 있습니다.

Log Analytics 에이전트 프로세스 및 버전 확인

Azure Monitor와 마찬가지로 클라우드용 Defender는 Log Analytics 에이전트를 사용하여 Azure Virtual Machines에서 보안 데이터를 수집합니다. 데이터 수집을 사용하도록 설정하고 대상 컴퓨터에 에이전트를 올바르게 설치한 후에는 HealthService.exe 프로세스가 실행되어야 합니다.

서비스 관리 콘솔(services.msc)을 열어 Log Analytics 에이전트 서비스가 실행 중인지 확인합니다.

작업 관리자의 Log Analytics 에이전트 서비스 스크린샷

사용 중인 에이전트 버전을 확인하려면 작업 관리자를 엽니다. 프로세스 탭에서 Log Analytics 에이전트 서비스를 찾아 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다. 세부 정보 탭에서 파일 버전을 찾습니다.

Log Analytics 에이전트 서비스에 대한 세부 정보 스크린샷.

Log Analytics 에이전트 설치 시나리오 확인

컴퓨터에 Log Analytics 에이전트를 설치하는 경우 다른 결과를 생성할 수 있는 두 가지 설치 시나리오가 있습니다. 지원되는 시나리오는 다음과 같습니다.

  • 클라우드용 Defender에 의해 자동으로 설치된 에이전트: 클라우드용 Defender 및 로그 검색에서 경고를 볼 수 있습니다. 리소스가 속한 구독에 대한 보안 정책에서 구성한 이메일 주소로 이메일 알림을 받습니다.

  • Azure에 있는 VM에 수동으로 설치된 에이전트: 이 시나리오에서 2017년 2월 이전에 수동으로 다운로드하고 설치한 에이전트를 사용하는 경우 작업 영역이 속한 구독에서 필터링할 때에만 클라우드용 Defender 포털의 경고를 볼 수 있습니다. 리소스가 속한 구독에서 필터링하는 경우 경고가 표시되지 않습니다. 작업 영역이 속한 구독에 대한 보안 정책에서 구성한 이메일 주소로 이메일 알림을 받습니다.

    필터링 문제를 방지하려면 최신 버전의 에이전트를 다운로드합니다.

에이전트의 네트워크 연결 문제 모니터링

에이전트가 클라우드용 Defender에 연결하고 등록하려면 Azure 네트워크 리소스에 대한 DNS 주소 및 네트워크 포트에 액세스할 수 있어야 합니다. 이 액세스를 사용하도록 설정하려면 다음 작업을 수행합니다.

  • 프록시 서버를 사용하는 경우 에이전트 설정에서 적절한 프록시 서버 리소스가 올바르게 구성되었는지 확인합니다.
  • Log Analytics에 대한 액세스를 허용하도록 네트워크 방화벽을 구성합니다.

Azure 네트워크 리소스는 다음과 같습니다.

에이전트 리소스 포트 HTTPS 검사 안 함
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
*.blob.core.windows.net 443
*.azure-automation.net 443

Log Analytics 에이전트 온보딩에 문제가 있는 경우 Operations Management Suite 온보딩 문제 해결을 참조하세요.

부적절하게 작동하는 맬웨어 방지 보호 문제 해결

게스트 에이전트는 Microsoft Antimalware 확장에서 수행하는 모든 작업의 부모 프로세스입니다. 게스트 에이전트 프로세스가 실패하면 게스트 에이전트의 자식 프로세스로 실행되는 Microsoft Antimalware 보호도 실패할 수 있습니다.

다음은 몇 가지 문제 해결 팁입니다.

  • 대상 VM이 사용자 지정 이미지에서 만들어진 경우 VM 작성자가 게스트 에이전트를 설치했는지 확인합니다.
  • 대상이 Linux VM인 경우 맬웨어 방지 확장의 Windows 버전 설치가 실패합니다. Linux 게스트 에이전트에는 특정 OS 및 패키지 요구 사항이 있습니다.
  • 이전 버전의 게스트 에이전트를 사용하여 VM을 만든 경우 이전 에이전트에는 최신 버전으로 자동 업데이트하는 기능이 없을 수 있습니다. 고유한 이미지를 만들 때는 항상 최신 버전의 게스트 에이전트를 사용합니다.
  • 일부 타사 관리 소프트웨어는 게스트 에이전트를 사용하지 않도록 설정하거나 특정 파일 위치에 대한 액세스를 차단할 수 있습니다. VM에 타사 관리 소프트웨어가 설치된 경우 맬웨어 방지 에이전트가 제외 목록에 있는지 확인합니다.
  • 방화벽 설정 및 네트워크 보안 그룹이 게스트 에이전트와 주고받는 네트워크 트래픽을 차단하지 않는지 확인합니다.
  • 디스크 액세스를 방해하는 액세스 제어 목록이 없는지 확인합니다.
  • 게스트 에이전트가 제대로 작동하려면 충분한 디스크 공간이 필요합니다.

기본적으로 Microsoft Antimalware 사용자 인터페이스는 사용하지 않도록 설정되어 있습니다. 하지만 Azure Resource Manager VM에서는 Microsoft Antimalware 사용자 인터페이스를 사용하도록 설정할 수 있습니다.

대시보드 로드 관련 문제 해결

워크로드 보호 대시보드를 로드하는 데 문제가 발생하는 경우 구독에서 클라우드용 Defender를 처음 활성화한 사용자와 데이터 수집을 켜려는 사용자에게 구독에 대한 소유자 또는 기여자 역할이 있는지 확인하세요. 그렇다면 구독에 대한 읽기 권한자 역할이 있는 사용자는 대시보드, 경고, 권장 사항 및 정책을 볼 수 있습니다.

Azure DevOps 조직의 커넥터 문제 해결

Azure DevOps 조직을 온보딩할 수 없는 경우 다음 문제 해결 팁을 시도해 보세요.

  • Azure Portal의 미리 보기 버전이 아닌 버전을 사용하고 있는지 확인합니다. Azure 미리 보기 포털에서는 권한 부여 단계가 작동하지 않습니다.

  • 액세스를 권한 부여할 때 어떤 계정에 로그인했는지 아는 것이 중요합니다. 왜냐하면 이 계정이 시스템이 온보딩에 사용하는 계정이 되기 때문입니다. 사용자의 계정은 동일한 이메일 주소와 연결될 수 있지만 다른 테넌트와 연결될 수도 있습니다. 올바른 계정/테넌트 조합을 선택했는지 확인합니다. 조합을 변경해야 하는 경우:

    1. Azure DevOps 프로필 페이지에서 드롭다운 메뉴를 사용하여 다른 계정을 선택합니다.

      계정을 선택하는 데 사용되는 Azure DevOps 프로필 페이지의 스크린샷.

    2. 올바른 계정/테넌트 조합을 선택한 후 클라우드용 Defender의 환경 설정으로 이동하여 Azure DevOps 커넥터를 편집합니다. 커넥터를 다시 권한 부여하여 올바른 계정/테넌트 조합으로 업데이트합니다. 그러면 드롭다운 메뉴에 올바른 조직 목록이 표시됩니다.

  • 온보딩하려는 Azure DevOps 조직에 대한 프로젝트 컬렉션 관리자 역할이 있는지 확인합니다.

  • Azure DevOps 조직에 대해 OAuth를 통한 타사 애플리케이션 액세스 토글이 켜짐인지 확인합니다. OAuth 액세스 사용하도록 설정에 대해 자세히 알아봅니다.

Microsoft 지원에 문의

클라우드용 Defender Q&A 페이지에서도 클라우드용 Defender에 대한 문제 해결 정보를 찾을 수 있습니다.

추가 지원이 필요한 경우 Azure Portal에서 새 지원 요청을 열 수 있습니다. 도움말 + 지원 페이지에서 지원 요청 만들기를 선택합니다.

Azure Portal에서 지원 요청을 만들기 위한 선택 항목의 스크린샷.

참고 항목