다음을 통해 공유

클라우드용 Microsoft Defender 앱과 엔드포인트용 Microsoft Defender 통합

  • 아티클

엔드포인트용 Microsoft Defender 지능형 보호, 감지, 조사 및 대응을 위한 보안 플랫폼입니다. 엔드포인트용 Defender는 사이버 위협으로부터 엔드포인트를 보호하고, 고급 공격 및 데이터 위반을 감지하고, 보안 인시던트를 자동화하고, 보안 태세를 강화합니다.

이 문서에서는 클라우드 검색을 간소화하고 디바이스 기반 조사를 가능하게 하는 클라우드용 Microsoft Defender 앱과 엔드포인트용 Microsoft Defender 간에 사용할 수 있는 기본 제공 통합에 대해 설명합니다.

Important

이 문서에서는 엔드포인트용 Defender 로그의 섀도 IT 검색 기능에 중점을 둡니다. 엔드포인트용 Defender를 통한 섀도 IT 관리 기능에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 사용하여 검색된 앱 관리를 참조하세요.

필수 조건

  • 클라우드용 Microsoft Defender 앱 라이선스

  • (다음 버전 중 하나)

    • 계획 2를 사용하여 엔드포인트용 Microsoft Defender
    • 프리미엄 또는 독립 실행형 라이선스로 비즈니스용 Microsoft Defender

    자세한 내용은 Microsoft 엔드포인트 보안 계획 비교를 참조 하세요.

  • 다음 운영 체제 중 하나를 사용하는 앱:

    • Windows 10 버전 1709(OS 빌드 16299.1085 및 KB4493441)
    • Windows 10 버전 1803(OS 빌드 17134.704 및 KB4493464)
    • Windows 10 버전 1809(os Build 17763.379 with KB4489899) 이상 Windows 10 및 Windows 11 버전
    • 엔드포인트용 Defender 버전 20.123072.25.0 이상이 있는 디바이스의 macOS

  • macOS 앱에 대한 통합을 지원하려면 엔드포인트용 Microsoft Defender 네트워크 보호 기능을 설정해야 합니다. 네트워크 보호는 TCP 연결 닫기 이벤트만 감사하므로 UDP 프로토콜은 macOS 지원에 적용되지 않습니다. 자세한 내용은 네트워크 보호 켜기를 참조 하세요.

  • (권장) Microsoft Defender 바이러스 백신 사용:

참고 항목

Microsoft Defender 바이러스 백신 검색에 매우 권장되지만 필수는 아닙니다. Defender 바이러스 백신을 사용하지 않도록 설정한 경우에도 일부 검색 데이터를 계속 사용할 수 있습니다.

작동 방식

클라우드용 Defender 앱은 업로드한 로그를 사용하거나 자동 로그 업로드를 구성하여 엔드포인트에서 로그를 수집합니다. 기본 제공 통합을 사용하면 엔드포인트용 Defender 에이전트가 Windows에서 실행되고 네트워크 트랜잭션을 모니터링할 때 만드는 로그를 활용할 수 있습니다. 네트워크의 Windows 디바이스에서 섀도 IT 검색에 이 정보를 사용합니다.

통합에는 추가 배포 단계나 엔드포인트의 트래픽 라우팅 또는 미러링이 필요하지 않으며 다음과 같이 작동합니다.

  • 클라우드용 Defender 앱으로 전송되는 엔드포인트의 로그는 트래픽 활동에 대한 사용자 및 디바이스 정보를 제공합니다. 디바이스 컨텍스트를 사용자 이름과 페어링하면 네트워크를 통해 전체 그림을 제공하므로 어떤 사용자가 어떤 디바이스에서 어떤 활동을 했는지 확인할 수 있습니다.
  • 위험한 사용자를 식별할 때 사용자가 액세스한 디바이스를 확인하여 잠재적인 위험을 감지합니다. 위험한 디바이스를 식별하는 경우 해당 디바이스를 사용한 모든 사용자를 확인하여 추가 잠재적 위험을 감지합니다.
  • 트래픽 정보가 수집되면 조직에서 클라우드 앱 사용에 대해 자세히 알아볼 준비가 된 것입니다. 클라우드용 Defender 앱은 엔드포인트용 Defender 네트워크 보호 기능을 활용하여 클라우드 앱에 대한 엔드포인트 디바이스 액세스를 차단합니다. 검색된 앱을 관리하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 사용하여 검색된 앱 관리를 참조하세요.

macOS 디바이스와 통합하는 고객은 CPU 사용량이 급증하는 것을 관찰할 수 있습니다.

클라우드용 Defender 앱에서 엔드포인트용 Defender를 사용할 경우의 이점을 보여주는 비디오를 시청하세요.

엔드포인트용 Microsoft Defender 클라우드용 Defender 앱과 통합

클라우드용 Defender 앱과 엔드포인트용 Defender 통합을 사용하도록 설정하려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 탐색 창에서 설정>엔드포인트>일반>고급 기능을 선택합니다.
  2. 클라우드용 Microsoft Defender 앱을 켜기로 전환합니다.
  3. 적용을 선택합니다.

참고 항목

데이터가 클라우드용 Defender 앱에 표시되도록 통합된 후 최대 2시간이 걸립니다.

엔드포인트용 Defender 설정의 스크린샷.

엔드포인트용 Microsoft Defender 전송된 경고의 심각도를 구성하려면 다음을 수행합니다.

  1. Microsoft Defender 포털에서 설정>Cloud Apps>Cloud Discovery>엔드포인트용 Microsoft Defender 선택합니다.

  2. 경고에서 경고에 대한 전역 심각도 수준을 선택합니다.

  3. 저장을 선택합니다.

    엔드포인트용 Defender 경고 설정의 스크린샷.

다음 단계

앤드포인트용 Microsoft Defender에서 검색된 앱 조사

엔드포인트용 Microsoft Defender 검색된 앱 관리

엔드포인트용 Defender를 사용하여 섀도 IT 검색 및 차단

회사 네트워크를 벗어난 섀도 IT 검색

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.