3단계: 엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결 확인

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender 클라이언트 분석기를 사용하여 클라이언트가 엔드포인트용 Defender 서비스 URL에 연결할 수 있는지 확인하여 엔드포인트가 서비스에 원격 분석을 통신할 수 있는지 확인합니다.

엔드포인트용 Defender 클라이언트 분석기에 대한 자세한 내용은 엔드포인트용 Microsoft Defender Client Analyzer를 사용하여 센서 상태 문제 해결을 참조하세요.

참고

온보딩 전과 온보딩 후 디바이스에서 엔드포인트용 Defender 클라이언트 분석기를 실행할 수 있습니다.

• 엔드포인트용 Defender에 온보딩된 디바이스에서 테스트할 때 도구는 온보딩 매개 변수를 사용합니다.
  
• 엔드포인트용 Defender에 아직 온보딩되지 않은 디바이스에서 테스트하는 경우 이 도구는 기본값인 미국, 영국 및 EU를 사용합니다.
  간소화된 연결(새 테넌트 기본값)에서 제공하는 통합 서비스 URL의 경우 엔드포인트용 Defender에 아직 온보딩되지 않은 디바이스를 테스트할 때 를 -o <path to MDE onboarding package >사용하여 를 실행 mdeclientanalyzer.cmd 합니다. 명령은 온보딩 스크립트의 지역 매개 변수를 사용하여 연결을 테스트합니다. 그렇지 않으면 기본 사전 온보딩 테스트가 표준 URL 집합에 대해 실행됩니다. 자세한 내용은 다음 섹션을 참조하세요.

프록시 구성이 성공적으로 완료되었는지 확인합니다. 그런 다음 WinHTTP는 사용자 환경의 프록시 서버를 통해 검색하고 통신할 수 있으며 프록시 서버는 엔드포인트용 Defender 서비스 URL에 대한 트래픽을 허용합니다.

1. 엔드포인트용 Defender 센서가 실행 중인 엔드포인트용 Microsoft Defender Client Analyzer 도구를 다운로드합니다.

2. 디바이스에서 MDEClientAnalyzer.zip 콘텐츠를 추출합니다.

3. 승격된 명령줄을 열기:

   1. 시작 (으)로 이동하고 cmd를 입력하십시오.
   2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.

4. 다음 명령을 입력하고 Enter를 누릅니다.

   HardDrivePath\MDEClientAnalyzer.cmd
   

   HardDrivePath를 MDEClientAnalyzer 도구가 다운로드된 경로로 바꿉다. 예를 들면

   C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
   

5. 이 도구는 HardDrivePath에서 사용할 폴더의MDEClientAnalyzerResult.zip 파일을 만들고 추출합니다.

6. MDEClientAnalyzerResult.txt 열고 서버 검색 및 서비스 URL에 대한 액세스를 사용하도록 설정하는 프록시 구성 단계를 수행했는지 확인합니다.

   이 도구는 엔드포인트용 Defender 서비스 URL의 연결을 확인합니다. 엔드포인트용 Defender 클라이언트가 상호 작용하도록 구성되어 있는지 확인합니다. 이 도구는 엔드포인트용 Defender 서비스와 통신하는 데 사용할 수 있는 각 URL에 대한 MDEClientAnalyzerResult.txt 파일에 결과를 출력합니다. 예를 들면

   Testing URL : https://xxx.microsoft.com/xxx
   1 - Default proxy: Succeeded (200)
   2 - Proxy auto discovery (WPAD): Succeeded (200)
   3 - Proxy disabled: Succeeded (200)
   4 - Named proxy: Doesn't exist
   5 - Command line proxy: Doesn't exist
   

연결 옵션 중 하나가 (200) 상태 반환하는 경우 엔드포인트용 Defender 클라이언트는 이 연결 방법을 사용하여 테스트된 URL과 제대로 통신할 수 있습니다.

그러나 연결 검사 결과가 오류를 나타내는 경우 HTTP 오류가 표시됩니다(HTTP 상태 코드 참조). 그런 다음 프록시 서버에서 엔드포인트용 Defender 서비스 URL에 대한 액세스 사용에서 표시된 테이블의 URL을 사용할 수 있습니다. 사용할 수 있는 URL은 온보딩 절차 중에 선택한 지역에 따라 달라집니다.

참고

연결 분석기 도구의 클라우드 연결 검사는 PSExec 및 WMI 명령에서 시작된 공격 표면 감소 규칙 블록 프로세스 생성과 호환되지 않습니다. 연결 도구를 실행하려면 이 규칙을 일시적으로 사용하지 않도록 설정해야 합니다. 또는 분석기를 실행할 때 ASR 제외를 일시적으로 추가할 수 있습니다.

TelemetryProxyServer가 레지스트리 또는 그룹 정책 통해 설정되면 엔드포인트용 Defender가 대체되고 정의된 프록시에 액세스하지 못합니다.

간소화된 온보딩 방법에 대한 연결 테스트

간소화된 접근 방식을 사용하여 엔드포인트용 Defender에 아직 온보딩되지 않은 디바이스에서 연결을 테스트하는 경우(새 디바이스와 마이그레이션 디바이스 모두에 관련됨)

1. 관련 OS에 대한 간소화된 온보딩 패키지를 다운로드합니다.

2. 온보딩 패키지에서 .cmd 추출합니다.

3. 이전 섹션의 지침에 따라 클라이언트 분석기를 다운로드합니다.

4. MDEClientAnalyzer 폴더 내에서 를 실행 mdeclientanalyzer.cmd -o <path to onboarding cmd file> 합니다. 명령은 온보딩 스크립트의 지역 매개 변수를 사용하여 연결을 테스트합니다.

간소화된 온보딩 패키지를 사용하여 엔드포인트용 Defender에 온보딩된 디바이스에서 연결을 테스트하는 경우 정상적으로 엔드포인트용 Defender 클라이언트 분석기를 실행합니다. 도구는 구성된 온보딩 매개 변수를 사용하여 연결을 테스트합니다.

간소화된 온보딩 스크립트에 액세스하는 방법에 대한 자세한 내용은 간소화된 디바이스 연결을 사용하여 디바이스 온보딩을 참조하세요.

MMA(Microsoft Monitoring Agent) 서비스 URL 연결

이전 버전의 Windows에 MMA(Microsoft Monitoring Agent)를 사용할 때 특정 환경에 대한 와일드카드(*) 요구 사항을 제거하려면 다음 지침을 참조하세요.

1. MMA(Microsoft Monitoring Agent)를 사용하여 이전 운영 체제를 엔드포인트용 Defender에 온보딩합니다(자세한 내용은 엔드포인트용 Defender의 이전 버전의 Windows 온보딩 및 Windows 서버 온보딩 참조).

2. 컴퓨터가 Microsoft Defender 포털에 성공적으로 보고되었는지 확인합니다.

3. 에서 TestCloudConnection.exe 도구를 C:\Program Files\Microsoft Monitoring Agent\Agent 실행하여 연결의 유효성을 검사하고 특정 작업 영역에 필요한 URL을 가져옵니다.

4. 엔드포인트용 Microsoft Defender URL 목록에서 해당 지역의 전체 요구 사항 목록을 확인합니다(서비스 URL 스프레드시트 참조).

, *.oms.opinsights.azure.com및 *.agentsvc.azure-automation.net URL 엔드포인트에 *.ods.opinsights.azure.com사용되는 와일드카드(*)를 특정 작업 영역 ID로 바꿀 수 있습니다. 작업 영역 ID는 사용자 환경 및 작업 영역에만 적용됩니다. Microsoft Defender 포털 내 테넌트 온보딩 섹션에서 찾을 수 있습니다.

URL 엔드포인트를 *.blob.core.windows.net 테스트 결과의 "방화벽 규칙: *.blob.core.windows.net" 섹션에 표시된 URL로 바꿀 수 있습니다.

참고

클라우드용 Microsoft Defender 통해 온보딩하는 경우 여러 작업 영역을 사용할 수 있습니다. 각 작업 영역에서 온보딩된 컴퓨터에서 TestCloudConnection.exe 절차를 수행해야 합니다(작업 영역 간에 *.blob.core.windows.net URL이 변경되었는지 확인하려면).

다음 단계

Windows 클라이언트온보딩 Windows Server비 Windows 디바이스 온보딩