엔드포인트용 Microsoft Defender 대한 간소화된 연결을 사용하여 디바이스 온보딩
적용 대상:
중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
참고
간소화된 온보딩 방법은 현재 공개 미리 보기로 제공됩니다. 필수 구성 요소를 검토하여 요구 사항 및 지원되는 운영 체제를 확인해야 합니다.
엔드포인트용 Microsoft Defender 서비스는 프록시 구성을 사용하여 진단 데이터를 보고하고 서비스에 데이터를 전달해야 할 수 있습니다. 간소화된 연결 방법의 가용성 이전에는 다른 URL이 필요했고 엔드포인트용 Defender 고정 IP 범위는 지원되지 않았습니다. 전체 MDE 연결 프로세스에 대한 자세한 내용은 1단계: 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.
이 문서에서는 간소화된 디바이스 연결 방법과 엔드포인트용 Defender 클라우드 연결 서비스의 간단한 배포 및 관리를 사용하기 위해 새 디바이스를 온보딩하는 방법을 설명합니다. 이전에 온보딩된 디바이스를 마이그레이션하는 방법에 대한 자세한 내용은 디바이스를 간소화된 연결로 마이그레이션을 참조하세요.
네트워크 구성 및 관리를 간소화하기 위해 이제 감소된 URL 집합 또는 고정 IP 범위를 사용하여 엔드포인트용 Defender에 디바이스를 온보딩할 수 있습니다. 간소화된 URL 목록을 참조하세요.
엔드포인트용 Defender 인식 간소화된 도메인: *.endpoint.security.microsoft.com 엔드포인트용 Defender는 다음과 같은 핵심 엔드포인트 서비스를 대체합니다.
- 클라우드 보호/MAPS
- 맬웨어 샘플 제출 스토리지
- 자동 IR 샘플 스토리지
- 엔드포인트용 Defender 명령 & 제어
- EDR Cyberdata
호스트 이름 확인 또는 와일드카드 지원 없이 네트워크 디바이스를 지원하려면 엔드포인트용 전용 Defender 고정 IP 범위를 사용하여 연결을 구성할 수도 있습니다. 자세한 내용은 고정 IP 범위를 사용하여 연결 구성을 참조하세요.
참고
간소화된 연결 방법은 디바이스에서 엔드포인트용 Microsoft Defender 작동하는 방식을 변경하지 않으며 최종 사용자 환경을 변경하지 않습니다. 디바이스가 서비스에 연결하는 데 사용하는 URL 또는 IP만 변경됩니다.
중요
미리 보기 제한 사항 및 알려진 문제:
- 간소화된 연결은 API를 통한 온보딩을 지원하지 않습니다(클라우드 및 Intune Microsoft Defender 포함).
- 이 온보딩 메서드에는 표준 온보딩 메서드에 적용되지 않는 특정 필수 구성 요소가 있습니다.
통합 서비스
가 허용되고 간소화된 온보딩 패키지를 사용하여 디바이스를 온보딩하는 경우 *.endpoint.security.microsoft.com 간소화된 도메인에 통합된 다음 엔드포인트용 Defender URL은 더 이상 연결에 필요하지 않습니다. organization 관련된 통합되지 않은 다른 필수 서비스(예: CRL, SmartScreen/Network Protection 및 WNS)와의 연결을 유지해야 합니다.
업데이트된 필수 URL 목록은 여기에서 스프레드시트 다운로드를 참조하세요.
중요
IP 범위를 사용하여 구성하는 경우 EDR cyberdata 서비스를 별도로 구성해야 합니다. 이 서비스는 IP 수준에서 통합되지 않습니다. 자세한 내용은 아래 섹션을 참조하세요.
| 범주 | 통합 URL |
|---|---|
| MAPS: 클라우드 제공 보호 | *.wdcp.microsoft.com *.wd.microsoft.com |
| 클라우드 보호 & macOS 및 Linux용 보안 인텔리전스 업데이트 |
unitedstates.x.cp.wd.microsoft.com europe.x.cp.wd.microsoft.com unitedkingdom.x.cp.wd.microsoft.comx.cp.wd.microsoft.com https://www.microsoft.com/security/encyclopedia/adlpackages.aspx |
| 맬웨어 샘플 제출 스토리지 | ussus1eastprod.blob.core.windows.net ussus2eastprod.blob.core.windows.net ussus3eastprod.blob.core.windows.net ussus4eastprod.blob.core.windows.net wsus1eastprod.blob.core.windows.net wsus2eastprod.blob.core.windows.net ussus1westprod.blob.core.windows.net ussus2westprod.blob.core.windows.net ussus3westprod.blob.core.windows.net ussus4westprod.blob.core.windows.net wsus1westprod.blob.core.windows.netwsus2westprod.blob.core.windows.net usseu1northprod.blob.core.windows.net wseu1northprod.blob.core.windows.net usseu1westprod.blob.core.windows.net wseu1westprod.blob.core.windows.net ussuk1southprod.blob.core.windows.net wsuk1southprod.blob.core.windows.net ussuk1westprod.blob.core.windows.net wsuk1westprod.blob.core.windows.net |
| 엔드포인트용 Defender 자동 IR 샘플 스토리지 | automatedirstrprdcus.blob.core.windows.net automatedirstrprdeus.blob.core.windows.net automatedirstrprdcus3.blob.core.windows.net automatedirstrprdeus3.blob.core.windows.net automatedirstrprdneu.blob.core.windows.net automatedirstrprdweu.blob.core.windows.net automatedirstrprdneu3.blob.core.windows.net automatedirstrprdweu3.blob.core.windows.net automatedirstrprduks.blob.core.windows.net automatedirstrprdukw.blob.core.windows.net |
| 엔드포인트용 Defender 명령 및 제어 | winatp-gw-cus.microsoft.com winatp-gw-eus.microsoft.com winatp-gw-cus3.microsoft.com winatp-gw-eus3.microsoft.com winatp-gw-neu.microsoft.com winatp-gw-weu.microsoft.com winatp-gw-neu3.microsoft.com winatp-gw-weu3.microsoft.com winatp-gw-uks.microsoft.com winatp-gw-ukw.microsoft.com |
| EDR Cyberdata | events.data.microsoft.com us-v20.events.data.microsoft.com eu-v20.events.data.microsoft.com uk-v20.events.data.microsoft.com |
시작하기 전에
엔드포인트용 Defender에 대해 간소화된 연결 방법을 사용하려면 디바이스가 특정 필수 조건을 충족해야 합니다. 온보딩을 계속하기 전에 필수 구성 요소가 충족되는지 확인합니다.
필수 구성 요소
라이센스:
- 엔드포인트용 Microsoft Defender 플랜 1
- 엔드포인트용 Microsoft Defender 플랜 2
- 비즈니스용 Microsoft Defender
- Microsoft Defender 취약성 관리
최소 KB 업데이트(Windows)
- SENSE 버전: 10.8040.*/ 2022년 3월 8일 이상(표 참조)
Microsoft Defender 바이러스 백신 버전(Windows)
- 맬웨어 방지 클라이언트: 4.18.2211.5
- 엔진: 1.1.19900.2
- 바이러스 백신(보안 인텔리전스): 1.391.345.0
Defender 바이러스 백신 버전(macOS/Linux)
- MDE 제품 버전 101.24022.*+를 사용하여 macOS 지원 버전
- MDE 제품 버전 101.24022.*+를 사용한 Linux 지원 버전
지원되는 운영 체제
- Windows 10 버전 1809 이상
- Windows 10 버전 1607, 1703, 1709, 1803은 간소화된 온보딩 패키지에서 지원되지만 다른 URL 목록이 필요합니다. 간소화된 URL 시트를 참조하세요.
- Windows 11
- Windows Server 2019
- Windows Server 2022
- Windows Server 2012 R2, Server 2016 R2, 완전히 업데이트된 엔드포인트용 Defender 최신 통합 솔루션(MSI를 통해 설치).
- MDE 제품 버전 101.24022.*+를 사용하여 macOS 지원 버전
- MDE 제품 버전 101.24022.*+를 사용한 Linux 지원 버전
중요
- MMA 에이전트에서 실행되는 디바이스는 간소화된 연결 방법에서 지원되지 않으며 표준 URL 집합(Windows 7, Windows 8.1, Windows Server 2008 R2 MMA, Server 2012 & 2016 R2를 최신 통합 에이전트로 업그레이드하지 않음)을 계속 사용해야 합니다.
- Windows Server 2012 R2 및 Server 2016 R2는 새 메서드를 활용하기 위해 통합 에이전트로 업그레이드해야 합니다.
- Windows 10 1607, 1703, 1709, 1803은 새 온보딩 옵션을 활용할 수 있지만 더 긴 목록을 사용합니다. 자세한 내용은 간소화된 URL 시트를 참조하세요.
| Windows OS | 최소 KB 필요(2022년 3월 8일) |
|---|---|
| Windows 11 | KB5011493(2022년 3월 8일) |
| Windows 10 1809, Windows Server 2019 | KB5011503(2022년 3월 8일) |
| Windows 10 19H2 (1909) | KB5011485(2022년 3월 8일) |
| Windows 10 20H2, 21H2 | KB5011487(2022년 3월 8일) |
| Windows 10 22H2 | KB5020953(2022년 10월 28일) |
| Windows 10 1803* | < 서비스 종료 > |
| Windows 10 1709* | < 서비스 종료 > |
| Windows Server 2022 | KB5011497(2022년 3월 8일) |
| Windows Server 2012 R2, 2016* | 통합 에이전트 |
| Windows Server 2016 R2 | 통합 에이전트 |
간소화된 연결 프로세스
다음 그림에서는 간소화된 연결 프로세스 및 해당 단계를 보여 줍니다.
1단계. 클라우드 연결을 위한 네트워크 환경 구성
필수 구성 요소가 충족되었는지 확인하면 네트워크 환경이 간소화된 연결 방법을 지원하도록 올바르게 구성되어 있는지 확인합니다. 간소화된 방법(미리 보기)을 사용하여 엔드포인트용 Defender 서비스와의 연결을 보장하기 위해 네트워크 환경 구성에 설명된 단계를 따릅니다.
간소화된 방법으로 통합된 엔드포인트용 Defender 서비스는 더 이상 연결에 필요하지 않습니다. 그러나 일부 URL은 통합에 포함되지 않습니다.
간소화된 연결을 사용하면 다음 옵션을 사용하여 클라우드 연결을 구성할 수 있습니다.
옵션 1: 간소화된 도메인을 사용하여 연결 구성
간소화된 엔드포인트용 Defender 도메인 *.endpoint.security.microsoft.com()과의 연결을 허용하도록 환경을 구성합니다. 자세한 내용은 엔드포인트용 Defender 서비스와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.
업데이트된 목록에 나열된 나머지 필수 서비스와의 연결을 유지해야 합니다. 예를 들어 인증 해지 목록, Windows 업데이트, SmartScreen이 있습니다.
옵션 2: 고정 IP 범위를 사용하여 연결 구성
간소화된 연결을 통해 IP 기반 솔루션을 URL 대신 사용할 수 있습니다. 이러한 IP는 다음 서비스를 다룹니다.
- 지도
- 맬웨어 샘플 제출 스토리지
- 자동 IR 샘플 스토리지
- 엔드포인트용 Defender 명령 및 제어
중요
IP 메서드를 사용하는 경우 EDR 사이버 데이터 서비스를 별도로 구성해야 합니다(이 서비스는 URL 수준에서만 통합됨). 또한 SmartScreen, CRL, Windows 업데이트 및 기타 서비스를 비롯한 다른 필수 서비스와의 연결을 유지해야 합니다.
IP 범위를 최신 상태로 유지하려면 엔드포인트용 Microsoft Defender 서비스에 대해 다음 Azure 서비스 태그를 참조하는 것이 좋습니다. 최신 IP 범위는 항상 서비스 태그에 있습니다. 자세한 내용은 Azure IP 범위를 참조하세요.
| 서비스 태그 이름 | 엔드포인트용 Defender 서비스 포함 |
|---|---|
| MicrosoftDefenderForEndpoint | MAPS, 맬웨어 샘플 제출 스토리지, 자동 IR 샘플 스토리지, 명령 및 제어. |
| OneDsCollector | EDR Cyberdata 참고: 이 서비스 태그 아래의 트래픽은 엔드포인트용 Defender로 제한되지 않으며 다른 Microsoft 서비스에 대한 진단 데이터 트래픽을 포함할 수 있습니다. |
다음 표에서는 현재 고정 IP 범위를 나열합니다. 최신 목록은 Azure 서비스 태그를 참조하세요.
| 지역 | IP 범위 |
|---|---|
| US | 20.15.141.0/24 20.242.181.0/24 20.10.127.0/2413.83.125.0/24 |
| Eu | 4.208.13.0/24 20.8.195.0/24 |
| 영국 | 20.26.63.224/28 20.254.173.48/28 |
| Au | 68.218.120.64/28 20.211.228.80/28 |
중요
엔드포인트용 Defender 보안 및 규정 준수 표준을 준수하면 데이터가 테넌트의 물리적 위치에 따라 처리되고 저장됩니다. 클라이언트 위치에 따라 트래픽은 이러한 IP 지역(Azure 데이터 센터 지역에 해당)을 통해 흐를 수 있습니다. 자세한 내용은 데이터 스토리지 및 개인 정보를 참조하세요.
2단계. 엔드포인트용 Defender 서비스에 연결하도록 디바이스 구성
연결 인프라를 통해 통신하도록 디바이스를 구성합니다. 디바이스가 필수 조건을 충족하고 센서 및 Microsoft Defender 바이러스 백신 버전을 업데이트해야 합니다. 자세한 내용은 디바이스 프록시 및 인터넷 연결 설정 구성 을 참조하세요.
3단계. 클라이언트 연결 사전 등록 확인
자세한 내용은 클라이언트 연결 확인을 참조하세요.
Windows 및 Xplat MDE 클라이언트 분석기 모두에서 다음 사전 등록 검사를 실행할 수 있습니다. 엔드포인트용 Microsoft Defender 클라이언트 분석기를 다운로드합니다.
엔드포인트용 Defender에 아직 온보딩되지 않은 디바이스에 대한 간소화된 연결을 테스트하려면 다음 명령을 사용하여 Windows용 클라이언트 분석기를 사용할 수 있습니다.
MDEClientAnalyzer 폴더 내에서 를 실행
mdeclientanalyzer.cmd -o <path to cmd file>합니다. 명령은 온보딩 패키지의 매개 변수를 사용하여 연결을 테스트합니다.를 실행
mdeclientanalyzer.cmd -g <GW_US, GW_UK, GW_EU>합니다. 여기서 매개 변수는 GW_US, GW_EU, GW_UK. GW는 간소화된 옵션을 나타냅니다. 해당 테넌트 지역에서 실행합니다.
추가 검사 클라이언트 분석기를 사용하여 디바이스가 필수 구성 요소를 충족하는지 여부를 테스트할 수도 있습니다.https://aka.ms/BetaMDEAnalyzer
참고
엔드포인트용 Defender에 아직 온보딩되지 않은 디바이스의 경우 클라이언트 분석기는 표준 URL 집합에 대해 테스트합니다. 간소화된 방법을 테스트하려면 이 문서의 앞부분에 나열된 스위치를 사용하여 실행해야 합니다.
4단계. 간소화된 연결에 필요한 새 온보딩 패키지 적용
전체 서비스 목록과 통신하도록 네트워크를 구성한 후에는 간소화된 방법을 사용하여 디바이스 온보딩을 시작할 수 있습니다. API를 통한 온보딩은 현재 지원되지 않습니다(클라우드용 Intune & Microsoft Defender 포함).
계속하기 전에 디바이스가 필수 구성 요소를 충족하고 센서를 업데이트하고 바이러스 백신 버전을 Microsoft Defender 확인합니다.
새 패키지를 얻으려면 Microsoft Defender XDR 설정 > 엔드포인트 > 디바이스 관리> 온보딩을 선택합니다.
해당 운영 체제를 선택하고 연결 유형 드롭다운 메뉴에서 "간소화됨(미리 보기)"을 선택합니다.
이 메서드에서 지원되는 새 디바이스(엔드포인트용 Defender에 온보딩되지 않음)의 경우 기본 배포 방법으로 업데이트된 온보딩된 패키지를 사용하여 이전 섹션의 온보딩 단계를 따릅니다.
- Windows 클라이언트 온보딩
- Windows Server 온보딩
- Windows가 아닌 장치 온보딩
- 디바이스에서 검색 테스트를 실행하여 엔드포인트용 Microsoft Defender 제대로 온보딩되었는지 확인합니다.
표준 온보딩 패키지를 사용하는 기존 온보딩 정책에서 디바이스를 제외합니다.
엔드포인트용 Defender에 이미 온보딩된 디바이스를 마이그레이션하는 경우 간소화된 연결로 디바이스 마이그레이션을 참조하세요. 디바이스를 다시 부팅하고 여기에서 특정 지침을 따라야 합니다.
기본 온보딩 패키지를 간소화로 설정할 준비가 되면 Microsoft Defender 포털(설정 > 엔드포인트 > 고급 기능)에서 다음 고급 기능 설정을 켤 수 있습니다.
참고
이 옵션을 계속 진행하기 전에 환경이 준비되었으며 모든 디바이스가 필수 조건을 충족하는지 확인합니다.
이 설정은 해당 운영 체제에 대한 기본 온보딩 패키지를 '간소화'로 설정합니다. 온보딩 페이지 내에서 표준 온보딩 패키지를 계속 사용할 수 있지만 드롭다운에서 특별히 선택해야 합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기