서버용 Microsoft Defender를 사용하여 Azure Arc 지원 서버 보호

  • 6분

Tailwind Traders는 클라우드용 Microsoft Defender의 향상된 보안 기능에 더 관심이 있습니다. 이러한 향상된 보안 기능에는 취약성 평가, 파일 무결성 모니터링, 적응형 애플리케이션 제어 등이 포함됩니다. 이 단원에서는 서버용 Microsoft Defender와 함께 Azure Arc 지원 서버가 어떻게 훨씬 더 많은 보안 기능을 공개하는지 알아봅니다.

서버용 Microsoft Defender 개요

서버용 Microsoft Defender는 Microsoft Defender for Cloud의 향상된 보안 기능 중 하나입니다. 서버용 Microsoft Defender는 Azure, 온-프레미스 또는 다중 클라우드 환경에서 실행 여부에 관계없이 Windows 및 Linux 머신에 위협 탐지 및 고급 방어를 추가합니다. 서버용 Microsoft Defender의 주요 이점은 다음과 같습니다.

  • 엔드포인트용 Microsoft Defender 통합
  • 가상 머신 동작 분석(및 보안 경고)
  • 파일리스 보안 경고
  • 통합 Qualys 취약성 검사기
  • 파일 무결성 모니터링
  • 적응 애플리케이션 컨트롤
  • 규정 준수 대시보드 및 보고서
  • 누락된 OS 패치 평가
  • 잘못된 보안 구성 평가
  • Endpoint Protection 평가
  • 제3자 취약성 평가

엔드포인트용 Microsoft Defender와 통합

서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender가 포함됩니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Defender for Cloud에 표시됩니다. 클라우드용 Defender에서 엔드포인트용 Defender 콘솔로 피벗하고 자세히 조사하여 공격 범위를 확인할 수도 있습니다. 서버용 Microsoft Defender를 사용하도록 설정하면 클라우드용 Defender가 취약성, 설치된 소프트웨어, 경고 등과 관련된 엔드포인트용 Microsoft Defender 데이터에 액세스할 수 있습니다.

취약성 평가 도구

서버용 Microsoft Defender에는 선택한 취약성 탐지 및 관리 도구가 포함됩니다. 클라우드용 Defender의 설정 페이지에서 이 도구를 머신에 배포할지 여부를 선택할 수 있습니다. 발견된 취약성은 보안 권장 사항에 표시됩니다.

  • Microsoft 위협 및 취약성 관리: 추가적인 에이전트 또는 정기 검사 없이도 엔드포인트용 Defender를 사용하여 실시간으로 취약성과 잘못된 구성을 탐지합니다. 위협 및 취약성 관리는 위협 환경, 중요한 정보, 비즈니스 컨텍스트 등에 따라 취약성의 우선 순위를 지정합니다.
  • Qualys에서 제공하는 취약성 검사기: 하이브리드 가상 머신에서 취약성을 실시간으로 식별하기 위한 선두적인 도구 중 하나입니다. Qualys 라이선스 또는 Qualys 계정도 필요하지 않습니다. 모든 것이 클라우드용 Defender 내에서 원활하게 처리됩니다.

FIM(파일 무결성 모니터링)

FIM(파일 무결성 모니터링)은 운영 체제 및 애플리케이션 소프트웨어의 파일 및 레지스트리에서 공격을 나타낼 수 있는 변경 내용을 검사합니다. 비교 메서드는 파일의 현재 상태가 파일의 마지막 검사와 다른지 확인하는 데 사용됩니다. 이 비교를 통해 파일에 유효하거나 의심스러운 수정 사항이 있는지 확인할 수 있습니다.

서버용 Microsoft Defender를 사용하도록 설정하면 FIM을 사용하여 Windows 파일, Windows 레지스트리 및 Linux 파일의 무결성에 대한 유효성을 검사할 수 있습니다.

AAC(적응형 애플리케이션 제어)

적응형 애플리케이션 제어는 머신에 대해 알려진 안전한 애플리케이션의 허용 목록을 정의하기 위한 자동화된 인텔리전트 솔루션입니다. 적응형 애플리케이션 제어를 구성한 경우 안전으로 정의한 애플리케이션 이외의 애플리케이션이 실행되는 경우 보안 경고가 표시됩니다.

파일리스 공격 탐지

파일리스 공격은 디스크 기반 검사 기술을 통한 검색을 방지하기 위해 악의적인 페이로드를 메모리에 삽입합니다. 그러면 공격자 페이로드가 손상된 프로세스의 메모리 내에서 유지되며 광범위한 악의적인 활동을 수행합니다.

파일리스 공격 탐지를 통해 자동화된 메모리 포렌식 기술은 파일리스 공격 도구 키트, 기술 및 동작을 식별합니다. 기본적으로 사용할 수 있는 이 솔루션은 런타임에 머신을 주기적으로 검사하고 프로세스 메모리에서 직접 인사이트를 추출합니다. 특정 인사이트에는 다음에 대한 식별이 포함됩니다.

  • 잘 알려진 도구 키트 및 암호화 마이닝 소프트웨어
  • 작은 코드 조각인 셸코드는 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용됩니다.
  • 프로세스 메모리에 삽입된 악성 실행 파일

파일리스 공격 검색은 네트워크 활동 등의 프로세스 메타데이터를 사용한 설명을 포함하는 상세 보안 경고를 생성합니다. 이러한 세부 정보는 경고 심사, 상관 관계 및 다운스트림 응답 시간이 가속화됩니다.