Microsoft Intune 취약성 수정 에이전트

참고

취약성 수정 에이전트는 현재 제한된 공개 미리 보기로 제공되며 일부 고객 그룹에서만 사용할 수 있습니다. 액세스 권한을 얻는 데 관심이 있거나 자세히 알아보려면 영업 팀에 문의하여 자세한 내용과 다음 단계를 확인하세요.

Intune Security Copilot 취약성 수정 에이전트는 Microsoft Defender 취약성 관리 데이터를 사용하여 관리되는 디바이스에서 CVE(일반 취약성 및 노출)를 식별합니다. 결과는 수정을 위해 우선 순위가 지정되며 Intune 사용하여 위협을 해결하는 데 안내하는 단계별 지침을 포함합니다. 이 Copilot 에이전트는 위협을 조사, 식별 및 수정하는 데 걸리는 시간을 줄여 궁극적으로 organization 전반적인 보안 태세를 개선하는 데 도움이 될 수 있습니다.

에이전트가 실행되면 Microsoft Defender 취약성 관리 데이터를 분석하고 Intune 관리 센터에 표시되는 우선 순위가 지정된 제안 목록을 제공합니다. 각 제안으로 드릴인하여 다음을 포함하는 세부 정보를 볼 수 있습니다.

• 관련 취약성 수(CVE)
• 코필로트 지원 요약 영향 분석
• 권장 조치
• 영향을 받는 시스템
• 노출된 디바이스
• 잠재적 영향
• Intune 사용하여 수정하기 위한 단계별 지침

에이전트 제안을 수정한 후에는 에이전트가 시간이 지남에 따라 수정 작업을 추적하는 데 사용할 수 있는 레코드를 보존하도록 적용된 것으로 표시할 수 있습니다.

CVE 세부 정보 및 권장되는 수정 지침은 시간이 지남에 따라 변경될 수 있으므로 에이전트의 후속 실행은 새 세부 정보, 디바이스 수 및 수정 단계를 제공할 수 있습니다. 위협의 후속 보고서를 관리할 때 이전에 적용된 솔루션의 레코드를 사용하면 이전 수정 사항에 따라 특정 위험에 대한 변경 내용을 추적하는 데 도움이 될 수 있습니다.

팁

취약성 수정 에이전트는 에이전트 및엔드포인트 보안 노드 모두에서 Intune 관리 센터에서 액세스할 수 있습니다. 각 경로는 동일한 에이전트에 대한 액세스를 제공합니다. 이 설명서에서 해당 위치에 대한 참조는 에이전트 노드 를 사용합니다.

이 문서의 내용은 다음과 같습니다.

• 에이전트를 사용하기 위한 필수 구성 요소를 나열합니다.
• 에이전트 작동 방식을 설명합니다.
• 에이전트를 설정하는 방법을 보여줍니다.
• 에이전트를 갱신하거나 제거하는 방법을 보여줍니다.

Intune 및 일반적인 기능의 다른 Security Copilot 에이전트에 대한 자세한 내용은 Microsoft Intune Security Copilot 에이전트를 참조하세요.

필수 구성 요소

클라우드 요구 사항

에이전트는 퍼블릭 클라우드에서만 지원됩니다. 정부 클라우드에서는 지원되지 않습니다.

라이선스 요구 사항

Microsoft Intune Security Copilot 에이전트를 사용하려면 다음 라이선스가 필요합니다.

• Microsoft Intune 계획 1 구독
• 충분한 보안 컴퓨팅 단위(SCU)가 있는 Microsoft Security Copilot
• Microsoft Defender 취약성 관리 - 이 기능은 엔드포인트용 Microsoft Defender P2 또는 Defender 취약성 관리 독립 실행형에서 제공됩니다.

플러그 인 요구 사항

플러그 인을 사용하면 Security Copilot 에이전트가 Microsoft 서비스에 연결하고 특수한 작업을 수행할 수 있습니다. 이 에이전트에는 다음 플러그 인이 필요합니다.

• Microsoft Intune
• Microsoft Defender

Intune Copilot를 사용하는 경우 Intune 플러그 인이 이미 활성화되어 있습니다. 플러그 인에 대해 자세히 알아보세요.

디바이스 플랫폼 요구 사항

취약성 수정 에이전트는 다음 플랫폼 및 애플리케이션에 대한 평가 및 권장 사항을 지원합니다.

• Windows
• Intune 앱

역할 요구 사항

에이전트를 사용하도록 설정하고 구성 하려면 다음 역할이 있는 계정을 사용합니다.

Intune 역할:

• 다음 권한이 있는 운영자 또는 사용자 지정 역할만 읽습니다.
  • 관리되는 앱/읽기
  • 모바일 앱/읽기
  • 디바이스 구성/읽기

Microsoft Defender 역할:

• 에이전트가 ID에 사용하는 계정에는 Microsoft Defender XDR RBAC 구성에 맞는 권한이 할당되어야 합니다.
  • 통합 RBAC:보안 읽기 권한자 역할
  • 세분화된 RBAC: 통합 RBAC 보안 읽기 권한자 역할과 동일한 권한이 있는 사용자 지정 RBAC 역할

Security Copilot 역할:

• 코필로트 소유자

---

에이전트를 사용하고 결과를 보려면 다음 역할이 있는 계정을 사용합니다.

Intune 역할:

• 읽기 전용 연산자 또는 해당 권한

Security Copilot 역할:

• 코필로트 기여자

에이전트 작동 방식

취약성 수정 에이전트는 자동화된 평가를 수행하여 관리되는 디바이스의 취약성을 식별하고 우선 순위를 지정합니다. 작동 방식은 다음과 같습니다.

1. 데이터 수집 - 에이전트는 Microsoft Defender 취약성 관리 취약성 데이터를 수집하여 관리되는 디바이스에서 CVE(일반적인 취약성 및 노출)를 분석합니다.

2. 분석 및 우선 순위 지정 - 에이전트는 취약성 데이터를 평가하고 CVSS 점수, 노출 영향 및 디바이스 수와 같은 요인에 따라 위협의 우선 순위를 지정하여 가장 중요한 문제에 먼저 집중합니다.

3. 수정 지침 - 식별된 각 취약성에 대해 에이전트는 정책 권장 사항 및 구성 지침을 포함하여 Intune 기능에 맞게 조정된 단계별 수정 지침을 제공합니다.

4. 추적 및 보고 - 에이전트는 제안된 수정에 대한 기록을 유지하고 시간이 지남에 따라 적용된 솔루션을 추적하여 보안 개선 노력을 측정할 수 있도록 합니다.

에이전트 ID

기본적으로 취약성 수정 에이전트는 에이전트를 설정하는 데 사용되는 관리자 계정의 ID 및 권한으로 실행됩니다. 설치 후 이 ID를 변경할 수 있습니다.

• ID를 변경해도 에이전트의 실행 기록에는 영향을 주지 않으며 사용 가능한 상태로 유지됩니다.

• 에이전트 동작은 에이전트가 실행되는 사용자 ID의 권한으로 제한됩니다.

• 에이전트는 에이전트의 ID로 할당된 Intune 관리자 계정의 ID 및 사용 권한에서 영구적으로 실행됩니다.

에이전트 ID는 각 에이전트 실행과 함께 새로 고쳐지고 에이전트가 90일 연속으로 실행되지 않으면 만료됩니다. 만료 날짜가 가까워지면 각 Copilot 소유자와 Copilot 기여자 에이전트 개요 페이지를 볼 때 에이전트 ID 갱신에 대한 경고 배너를 받습니다. 에이전트 인증이 만료되면 인증이 갱신될 때까지 후속 에이전트 실행이 실패합니다. 인증 갱신에 대한 자세한 내용은 에이전트 갱신을 참조하세요.

중요

에이전트 인증이 갱신되면 에이전트는 인증 갱신 단추를 클릭하는 개인의 자격 증명을 사용하기 시작합니다.

운영 고려 사항

취약성 수정 에이전트를 실행하기 전에 다음 사항에 유의하세요.

• 관리자는 에이전트를 수동으로 시작해야 합니다. 에이전트가 시작되면 에이전트를 중지하거나 일시 중지할 수 있는 옵션이 없습니다.
• Microsoft Intune 관리 센터 내에서만 에이전트를 시작합니다.
• 연결된 CVE는 Windows 클라이언트 운영 체제 버전이 있는 디바이스에서 CVE 수를 포함하지만 Windows Server Edition이 있는 디바이스는 제외됩니다. CVE는 CVSS(일반적인 취약성 점수 매기기 시스템) 규모에 따라 낮음, 보통, 높음 및 위험으로 분류됩니다.
• 노출된 디바이스 목록에는 Microsoft Entra 있는 디바이스만 포함되며 Windows Server 버전이 아닙니다.
• 에이전트는 공개 미리 보기에서 scope 태그를 지원하지 않습니다.
• 에이전트를 설정하는 사용자만 Microsoft Security Copilot 포털에서 세션 세부 정보를 볼 수 있습니다.

중요

에이전트가 보고하는 데이터는 에이전트 제안을 통해 표시됩니다. 이 데이터는 해당 데이터가 Intune 역할 또는 scope 할당된 관리자 외부에 있는 경우에도 Intune 관리 센터 내에서 에이전트를 볼 수 있는 액세스 권한이 있는 관리자에게 표시될 수 있습니다.

에이전트 설정

에이전트는 설치 중에 사용되는 계정의 ID 및 권한으로 실행됩니다. 해당 작업은 해당 계정의 권한으로 제한되며 실행될 때마다 ID가 새로 고쳐집니다.

에이전트를 설정하려면 다음을 수행합니다.

1. Microsoft Intune 관리 센터에서에이전트>취약성 수정 에이전트로 이동합니다.

2. 개요에서 에이전트 설정을 선택합니다. 이 창에는 에이전트에 대한 세부 정보가 표시되지만 구성이 필요하지 않습니다.

3. 세부 정보를 검토하여 요구 사항이 있는지 확인하고 에이전트 시작을 선택하여 설정 창을 닫고 에이전트의 첫 번째 실행을 시작합니다.

   

설치가 완료되면 에이전트를 사용할 준비가 된 것입니다. 에이전트 사용에 대한 자세한 내용은 취약성 수정 에이전트 사용을 참조하세요.

에이전트 갱신

90일 동안 에이전트를 사용하지 않으면 에이전트 권한 부여가 만료되고 다시 인증될 때까지 에이전트 실행이 실패합니다. 언제든지 에이전트 인증을 갱신할 수 있습니다.

만료가 가까워짐에 따라 Intune 각 Copilot 소유자와 Copilot 기여자 볼 수 있는 에이전트 개요 페이지에 경고를 표시합니다. 에이전트 ID를 갱신하라는 경고 메시지가 표시됩니다.

에이전트 ID를 다시 인증하려면 인증 갱신을 선택합니다. 에이전트 인증을 갱신하면 에이전트는 로그인한 자격 증명을 자동으로 사용합니다. 로그인한 자격 증명을 사용하지 않으려면 에이전트 >설정 탭 >다른 ID 선택을 선택합니다.

갱신 후 경고 배너가 사라지고 알림 메시지가 갱신 성공인지 확인합니다.

에이전트 ID 변경

기본적으로 에이전트는 테넌트에서 에이전트를 설정한 관리 사용자의 ID로 실행됩니다. 설정 후 다른 사용자가 에이전트를 갱신할 때 에이전트 ID 가 변경되고 에이전트 설정을 편집하여 새 에이전트 ID를 명시적으로 할당할 수 있습니다.

에이전트 ID 변경은 에이전트의 실행 기록에 영향을 주지 않습니다.

새 ID를 할당하려면 Intune 관리 센터에서에이전트>취약성 수정 에이전트(미리 보기)로 이동하여 설정 탭을 선택합니다. ID에서 에이전트가 실행되는 현재 사용자 계정을 볼 수 있습니다. 다른 ID 선택을 선택하여 계정 로그인 프롬프트를 엽니다. 에이전트 ID로 사용할 새 계정을 선택하고 인증합니다.

중요

에이전트 동작은 에이전트가 실행되는 사용자의 ID에 할당된 권한 수준으로 제한됩니다. 에이전트가 실행되는 ID의 사용자에게 권한이 부족하면 에이전트가 실행되지 않습니다.

에이전트 제거

에이전트를 제거하면 제안 및 활동을 포함하여 생성된 모든 관련 데이터가 삭제됩니다. 이전에 적용된 제안은 변경되지 않은 상태로 유지됩니다.

에이전트 instance 제거하는 단계:

1. Microsoft Intune 관리 센터에서에이전트를 선택합니다.
2. 제거할 에이전트 instance 선택합니다.
3. 에이전트 제거를 선택하고 제거를 확인합니다.

제거 후:

• 에이전트 창이 원래 상태로 돌아갑니다.
• 관리자는 설치 프로세스를 반복하여 나중에 에이전트를 다시 설치할 수 있습니다.

참고

에이전트 instance 제거하려면 계정이 Security Copilot 소유자여야 합니다.

Intune 에이전트의 미래를 형성하는 데 도움이 됩니다.

Intune 에이전트 피드백 포럼에 참여하여 인사이트를 공유하고 Microsoft Intune 예정된 기능에 영향을 줍니다.

등록하고 자세히 알아보세요. https://aka.ms/IntuneAgentsForum

다음 단계

취약성 수정 에이전트를 사용하는 방법 알아보기

관련 콘텐츠

• 취약성 수정 에이전트 사용
• Microsoft Intune 에이전트 Security Copilot
• Microsoft Security Copilot
• Microsoft Defender 취약성 관리