Azure Cloud Services 및 VM(Virtual Machines)용 Microsoft 맬웨어 방지 프로그램

Azure용 Microsoft 맬웨어 방지 프로그램은 바이러스, 스파이웨어 및 기타 악성 소프트웨어를 식별하고 제거하는 데 도움이 되는 평가판 실시간 보호 기능입니다. 알려진 악성 또는 원치 않는 소프트웨어가 Azure 시스템에서 스스로의 설치나 실행을 시도할 때 경고를 생성합니다.

이 솔루션은 MSE(Microsoft Security Essentials), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune 및 클라우드용 Microsoft Defender와 동일한 맬웨어 방지 플랫폼을 기반으로 합니다. Azure를 위한 Microsoft 맬웨어 방지는 애플리케이션 및 테넌트 환경에 대한 단일 에이전트 솔루션이며 사용자의 개입 없이 백그라운드에서 실행되도록 설계됩니다. 기본 보안 또는 고급 사용자 지정 구성(맬웨어 방지 모니터링 포함)을 사용하여 애플리케이션 워크로드의 요구 사항에 따라 보호를 배포할 수 있습니다.

Azure에 Microsoft 맬웨어 방지 프로그램을 배포하고 사용할 때 다음과 같은 핵심 기능을 사용할 수 있습니다.

• 실시간 보호 - Cloud Services 및 Virtual Machines에서 작업을 모니터링하여 악성 프로그램 실행을 검색 및 차단합니다.
• 예약된 검색 - 주기적으로 검색을 수행하여 적극적으로 실행 중인 프로그램을 포함하여 맬웨어를 검색합니다.
• 맬웨어 치료 - 자동으로 검색된 맬웨어에서 악성 파일을 삭제 또는 격리하고 악성 레지스트리 항목을 정리하는 것과 같은 작업을 수행합니다.
• 서명 업데이트 - 자동으로 최신 보호 서명(바이러스 정의)을 설치하여 보호가 미리 결정된 빈도에 최신 상태가 되도록 합니다.
• 맬웨어 방지 프로그램 엔진 업데이트 – Microsoft 맬웨어 방지 프로그램 엔진을 자동으로 업데이트합니다.
• 맬웨어 방지 플랫폼 업데이트 - Microsoft Antimalware 플랫폼을 자동으로 업데이트합니다.
• 활성 보호 - 검색된 위협 및 의심스러운 리소스에 대한 원격 분석 메타데이터를 Microsoft Azure에 보고하여 진화하는 위협 환경에 신속하게 대응하고 MAPS(Microsoft 활성 보호 시스템)를 통해 실시간 동기 서명 제공을 사용하도록 설정합니다.
• 샘플 보고 - Microsoft 맬웨어 방지 서비스에 샘플을 제공하고 보고하여 서비스를 구체화하고 문제를 해결하는 데 사용합니다.
• 제외 – 애플리케이션 및 서비스 관리자는 파일, 프로세스 및 드라이브에 대해 제외를 구성할 수 있습니다.
• 맬웨어 방지 이벤트 수집 - 맬웨어 방지 서비스 상태, 의심스러운 활동, 수행된 수정 작업을 운영 체제 이벤트 로그에 기록하고 고객의 Azure Storage 계정에 수집합니다.

참고 항목

클라우드용 Microsoft Defender를 사용하여 Microsoft Antimalware를 배포할 수도 있습니다. 자세한 내용은 클라우드용 Microsoft Defender의 Endpoint Protection 설치를 읽어보세요.

아키텍처

Azure용 Microsoft 맬웨어 방지는 다음과 같은 여러 구성 요소로 구성됩니다.

• Microsoft 맬웨어 방지 클라이언트 및 서비스
• 맬웨어 방지 클래식 배포 모델
• 맬웨어 방지 PowerShell cmdlet
• Azure Diagnostics 확장

플랫폼 지원 및 배포

Virtual Machines:

• 기본적으로 설치되지 않음
• Azure Portal 또는 Visual Studio Virtual Machine 구성을 통해 선택적 보안 확장으로 사용 가능
• Windows Server 2008 R2, Windows Server 2012 및 Windows Server 2012 R2에서 지원됨
• Windows Server 2008 및 Linux 운영 체제에서 지원되지 않음

Cloud Services:

• 지원되는 모든 Azure 게스트 운영 체제에서 기본적으로 사용 안 함 상태로 설치됨
• 클라우드 서비스를 보호하기 위해 명시적 활성화 필요

Azure App Service:

• Windows 기반 웹앱을 호스팅하는 기본 서비스에서 사용
• 고객 콘텐츠가 아닌 Azure App Service 인프라 보호로만 제한됨
• 완전한 웹 애플리케이션 보안에 충분하지 않음( Azure 웹 애플리케이션 보안 모범 사례에 설명된 대로 더 많은 보안 제어 구현)

참고 항목

Microsoft Defender 바이러스 백신은 Windows Server 2016 이상에서 지원되는 기본 제공 맬웨어 방지 기능입니다. Azure VM 맬웨어 방지 확장은 여전히 Microsoft Defender 바이러스 백신을 사용하여 Windows Server 2016 이상 및 Azure VM에 추가할 수 있습니다. 이 시나리오에서 확장은 Microsoft Defender 바이러스 백신에서 사용할 선택적 구성 정책을 적용합니다. 확장은 다른 맬웨어 방지 서비스를 배포하지 않습니다. Microsoft Defender 바이러스 백신에 대한 자세한 내용은 Azure용 Microsoft 맬웨어 방지 프로그램을 사용하도록 설정하고 구성하는 코드 샘플을 참조하세요.

Microsoft 맬웨어 방지 워크플로

Azure 서비스 관리자는 다음 옵션을 사용하여 Virtual Machines와 Cloud Services에 기본 또는 사용자 지정 구성으로 Azure용 맬웨어 방지 프로그램을 사용할 수 있습니다.

• Virtual Machines - Azure Portal의 보안 확장에서
• Virtual Machines - 서버 탐색기에서 Visual Studio 가상 머신 구성 사용
• Virtual Machines 및 Cloud Services - 맬웨어 방지 클래식 배포 모델 사용
• Virtual Machines 및 Cloud Services - 맬웨어 방지 PowerShell cmdlet 사용

Azure Portal 또는 PowerShell cmdlet은 미리 결정된 고정된 위치의 Azure 시스템에 맬웨어 방지 확장 패키지 파일을 푸시합니다. Azure 게스트 에이전트(또는 패브릭 에이전트)는 입력으로 제공된 맬웨어 방지 구성 설정을 적용하는 맬웨어 방지 확장을 시작합니다. 이 단계에서는 기본 또는 사용자 지정 구성 설정을 사용하여 맬웨어 방지 서비스를 활성화합니다. 사용자 지정 구성이 제공되지 않는 경우 기본 구성 설정을 사용하여 맬웨어 방지 서비스를 활성화합니다. 맬웨어 방지 구성에 대한 자세한 내용은 Azure용 Microsoft 맬웨어 방지 프로그램을 사용하도록 설정하고 구성하는 코드 샘플을 참조하세요.

초기화 후 Microsoft 맬웨어 방지 클라이언트는 인터넷에서 최신 보호 엔진 및 서명 정의를 자동으로 검색하여 Azure 시스템에 적용합니다. 서비스는 모든 활동을 "Microsoft 맬웨어 방지" 이벤트 원본 아래의 운영 체제 이벤트 로그에 기록합니다. 이러한 로그에는 다음 정보가 포함됩니다.

• 클라이언트 건강 상태
• 보호 및 수정 활동
• 구성 변경
• 엔진 및 서명 정의 업데이트
• 기타 운영 이벤트

클라우드 서비스 또는 가상 머신에 대해 맬웨어 방지 모니터링을 활성화하여 Azure 스토리지 계정에 생성될 때 맬웨어 방지 이벤트 로그 이벤트를 작성할 수 있습니다. 맬웨어 방지 서비스는 Azure Diagnostics 확장을 사용하여 Azure 시스템에서 고객의 Azure Storage 계정에 있는 테이블로 맬웨어 방지 이벤트를 수집합니다.

위의 시나리오에서 제공한 구성 단계 및 지원 옵션을 포함하는 배포 워크플로는 이 문서의 맬웨어 방지 프로그램 배포 시나리오 섹션에서 설명합니다.

참고 항목

그러나 Microsoft 맬웨어 방지 확장을 사용하여 Virtual Machine Scale Sets를 배포하려면 Azure Resource Manager 템플릿 및 PowerShell/API를 사용할 수 있습니다. 이미 실행 중인 Virtual Machine에서 확장을 설치하기 위해 샘플 Python 스크립트 vmssextn.py를 사용할 수 있습니다. 이 스크립트는 확장 집합의 기존 확장 구성을 가져오고 Azure Virtual Machines Scale Sets의 기존 확장 목록에 확장을 추가합니다.

기본 및 사용자 지정 맬웨어 방지 구성

사용자 지정 구성 설정을 제공하지 않는 경우 기본 구성 설정이 적용되어 Azure Cloud Services 또는 Virtual Machines에 대한 맬웨어 방지를 활성화합니다. 기본 구성 설정은 Azure 환경에서 실행하기 위해 미리 선택됩니다. 필요에 따라 Azure 애플리케이션 또는 서비스 배포에 필요한 이러한 기본 구성 설정을 사용자 지정할 수 있으며 다른 배포 시나리오에 적용할 수 있습니다.

다음 테이블에서는 맬웨어 방지 서비스에 사용할 수 있는 구성 설정을 요약합니다. 기본 구성 설정은 아래의 “Default”라는 레이블이 지정된 열에 표시됩니다.

맬웨어 방지 프로그램 배포 시나리오

Azure Cloud Services 및 Virtual Machines에 대한 모니터링을 포함하여 맬웨어 방지 프로그램을 활성화하고 구성하는 시나리오는 이 섹션에서 설명됩니다.

가상 머신 - 맬웨어 방지 활성화 및 구성

Azure Portal을 사용하여 VM을 만드는 동시에 배포

Virtual Machines를 프로비전하는 동안 Azure Portal을 사용하여 Azure Virtual Machines에 대한 Microsoft 맬웨어 방지를 활성화하고 구성하려면 다음 단계를 수행합니다.

1. Azure Portal에 로그인합니다.
2. 새 가상 머신을 만들려면 Virtual Machines로 이동하고 추가를 선택하고 Windows Server를 선택합니다.
3. 사용하려는 Windows Server의 버전을 선택합니다.
4. 만들기를 실행합니다.
5. 이름, 사용자 이름, 암호를 제공하고 새 리소스 그룹을 만들거나 기존 리소스 그룹을 선택합니다.
6. 확인을 선택합니다.
7. VM 크기를 선택합니다.
8. 다음 섹션에서는 요구에 따라 적절한 옵션을 선택하고 확장 섹션을 선택합니다.
9. 확장 추가를 선택합니다.
10. 새 리소스에서 Microsoft 맬웨어 방지 프로그램을 선택합니다.
11. 만들기를 선택합니다.
12. 확장 설치 섹션에서 파일, 위치 및 프로세스 제외를 다른 검색 옵션과 함께 구성할 수 있습니다. 확인을 선택합니다.
13. 확인을 선택합니다.
14. 설정 섹션으로 돌아가 확인을 선택합니다.
15. 만들기 화면에서 확인을 선택합니다.

Windows용 맬웨어 방지 VM 확장 배포에 대해서는 이 Azure Resource Manager 템플릿을 참조하세요.

Visual Studio 가상 머신 구성을 사용하는 배포

Visual Studio를 사용하여 Microsoft 맬웨어 방지 서비스를 활성화하고 구성합니다.

1. Visual Studio에서 Microsoft Azure에 연결합니다.

2. 서버 탐색기의 Virtual Machines 노드에서 Virtual Machine을 선택합니다.

   

3. 마우스 오른쪽 단추로 구성을 클릭하여 Virtual Machine 구성 페이지를 확인합니다.

4. 설치된 확장의 드롭다운 목록에서 Microsoft 맬웨어 방지 확장을 선택하고 추가를 선택하여 기본 맬웨어 방지 구성으로 구성합니다.

5. 기본 맬웨어 방지 구성을 사용자 지정하려면 설치된 확장 목록에서 맬웨어 방지 확장을 선택(강조 표시)하고 구성을 선택합니다.

6. 기본 맬웨어 방지 구성을 공용 구성 텍스트 상자에서 지원되는 JSON 형식의 사용자 지정 구성 으로 바꾸고 확인을 선택합니다.

7. 업데이트 단추를 선택하여 구성 업데이트를 Virtual Machine에 푸시합니다.

   

참고 항목

맬웨어 방지에 대한 Visual Studio Virtual Machines 구성은 JSON 형식 구성만 지원합니다. 샘플 구성에 대한 자세한 내용은 Azure용 Microsoft 맬웨어 방지 프로그램을 사용하도록 설정하고 구성하는 코드 샘플을 참조하세요.

PowerShell cmdlet를 사용하는 배포

Azure 애플리케이션 또는 서비스는 PowerShell cmdlet을 사용하여 Azure Virtual Machines에 대해 Microsoft 맬웨어 방지를 활성화하고 구성할 수 있습니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 활성화 및 구성하려면

1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
2. Set-AzureVMMicrosoftAntimalwareExtension cmdlet을 사용하여 Virtual Machine에 대한 Microsoft Antimalware를 사용하도록 설정하고 구성합니다.

참고 항목

맬웨어 방지에 대한 Azure Virtual Machines 구성은 JSON 형식 구성만 지원합니다. 샘플 구성에 대한 자세한 내용은 Azure용 Microsoft 맬웨어 방지 프로그램을 사용하도록 설정하고 구성하는 코드 샘플을 참조하세요.

PowerShell cmdlet을 사용하여 맬웨어 방지 활성화 및 구성

Azure 애플리케이션 또는 서비스는 PowerShell cmdlet을 사용하여 Azure Cloud Services에 대해 Microsoft 맬웨어 방지를 활성화하고 구성할 수 있습니다. Microsoft Antimalware는 Cloud Services 플랫폼에서 비활성화된 상태로 설치되고 활성화하려면 Azure 애플리케이션의 작업이 필요합니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 활성화 및 구성하려면

1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
2. Set-AzureServiceExtension cmdlet을 사용하여 Cloud Services에 대한 Microsoft Antimalware를 사용하도록 설정하고 구성합니다.

샘플 PowerShell 명령에 대한 자세한 내용은 Azure용 Microsoft 맬웨어 방지 프로그램을 사용하도록 설정하고 구성하는 코드 샘플을 참조하세요.

Cloud Services 및 Virtual Machines - PowerShell cmdlet를 사용하여 구성

Azure 애플리케이션 또는 서비스는 PowerShell cmdlet을 사용하여 Cloud Services 및 Virtual Machines에 대해 Microsoft 맬웨어 방지 구성을 검색할 수 있습니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지 구성을 검색하려면

1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
2. Virtual Machines의 경우: Get-AzureVMMicrosoftAntimalwareExtension Antimalware cmdlet을 사용하여 맬웨어 방지 구성을 가져옵니다.
3. Cloud Services의 경우: Get-AzureServiceExtension cmdlet을 사용하여 맬웨어 방지 구성을 가져옵니다.

샘플

PowerShell cmdlet을 사용하여 맬웨어 방지 구성 제거

Azure 애플리케이션 또는 서비스는 Cloud Services 또는 Virtual Machines에서 관련 확장을 제거하여 Microsoft 맬웨어 방지 보호를 완전히 제거할 수 있습니다. 이 프로세스는 맬웨어 방지 보호 및 관련 모니터링 설정을 모두 제거하여 지정된 리소스에 대한 맬웨어 보호 및 이벤트 수집을 완전히 중단합니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 제거하려면

1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
2. Virtual Machines의 경우: Remove-AzureVMMicrosoftAntimalwareExtension cmdlet을 사용합니다.
3. Cloud Services의 경우:Remove-AzureServiceExtension cmdlet을 사용합니다.

Azure Preview 포털을 사용하여 가상 머신에 대한 맬웨어 방지 이벤트 컬렉션을 사용하려면

1. Virtual Machine 세부 정보 페이지에서 모니터링 섹션의 일부를 선택합니다.
2. 메트릭 섹션에서 진단 명령을 선택합니다.
3. 상태 켜기를 선택하고 Windows 이벤트 시스템에 대한 옵션을 선택합니다.
4. 목록에서 다른 모든 옵션의 선택을 취소하거나 애플리케이션 서비스 요구 사항을 활성화된 상태로 선택할 수 있습니다.
5. “오류”, “경고”, “정보” 등의 맬웨어 방지 이벤트 범주는 Azure Storage 계정에 캡처됩니다.

맬웨어 방지 이벤트는 Windows 이벤트 시스템 로그에서 Azure Storage 계정으로 수집됩니다. 맬웨어 방지 이벤트를 수집하려면 적절한 Storage 계정을 선택하여 Virtual Machine에 대한 Storage 계정을 구성할 수 있습니다.

Azure Resource Manager VM에 대한 PowerShell cmdlet을 사용하여 맬웨어 방지 사용 및 구성

PowerShell cmdlet을 사용하여 Azure Resource Manager VM용 Microsoft Antimalware를 활성화하고 구성하려면 다음을 수행합니다.

1. GitHub에서 이 설명서를 사용하여 PowerShell 환경을 설정합니다.
2. Set-AzVMExtension cmdlet을 사용하여 VM에 대해 Microsoft 맬웨어 방지 프로그램을 사용하도록 설정하고 구성합니다.

다음 코드 예제를 사용할 수 있습니다.

• ARM 템플릿 VM에 Microsoft 맬웨어 방지 배포
• Azure Service Fabric 클러스터에 Microsoft Antimalware 추가

PowerShell cmdlet을 사용하여 Azure CS-ES(Cloud Service Extended Support)에 대한 맬웨어 방지 사용 및 구성

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 활성화 및 구성하려면

1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
2. New-AzCloudServiceExtensionObject cmdlet을 사용하여 Cloud Services VM에 대한 Microsoft Antimalware를 사용하도록 설정하고 구성합니다.

다음 코드 샘플을 사용할 수 있습니다.

• 추가 지원(CS-ES)을 사용하여 Azure Cloud Service에 Microsoft Antimalware 추가

Azure Arc 지원 서버에 대한 PowerShell cmdlet을 사용하여 맬웨어 방지 사용 및 구성

PowerShell cmdlet을 사용하여 Azure Arc 지원 서버용 Microsoft Antimalware를 활성화하고 구성하려면 다음을 수행합니다.

1. GitHub에서 이 설명서를 사용하여 PowerShell 환경을 설정합니다.
2. New-AzConnectedMachineExtension cmdlet을 사용하여 Arc 지원 서버에 대한 Microsoft Antimalware를 활성화하고 구성합니다.

다음 코드 예제를 사용할 수 있습니다.

• Azure Arc 지원 서버에 대한 Microsoft Antimalware 추가

다음 단계

• Azure용 Microsoft 맬웨어 방지 프로그램을 사용하도록 설정하고 구성하는 코드 샘플
• 클라우드용 Microsoft Defender