서버용 Microsoft Defender를 사용하여 Azure Arc 지원 서버 보호

  • 6분

Tailwind Traders는 클라우드용 Microsoft Defender의 향상된 보안 기능에 더 관심이 있습니다. 이러한 향상된 보안 기능에는 취약성 평가, 파일 무결성 모니터링 및 적응형 애플리케이션 제어가 포함됩니다. 이 단원에서는 서버용 Microsoft Defender와 함께 Azure Arc 지원 서버가 어떻게 더 많은 보안 기능을 잠금 해제할 수 있는지 알아봅니다.

서버용 Microsoft Defender 개요

서버용 Microsoft Defender는 클라우드용 Microsoft Defender의 향상된 보안 기능 중 하나입니다. 서버용 Defender는 Azure, 온-프레미스 또는 다중 클라우드 환경에서 실행 여부에 관계없이 Windows 및 Linux 머신에 위협 감지 및 고급 방어를 추가합니다. 서버용 Defender의 핵심 이점은 다음과 같습니다.

  • 엔드포인트용 Microsoft Defender 통합
  • 가상 머신 동작 분석(및 보안 경고)
  • 파일리스 보안 경고
  • Qualys 통합 취약점 스캐너
  • 파일 무결성 모니터링
  • 적응 애플리케이션 컨트롤
  • 규정 준수 대시보드 및 보고서
  • 누락된 OS 패치 평가
  • 잘못된 보안 구성 평가
  • Endpoint Protection 평가
  • 비 Microsoft 취약성 평가

엔드포인트용 Microsoft Defender와 통합

서버용 Defender에는 엔드포인트용 Microsoft Defender가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Defender for Cloud에 표시됩니다. Defender for Cloud에서 엔드포인트용 Defender 콘솔로 피벗하고 자세한 조사를 수행하여 공격 범위를 파악할 수도 있습니다. 서버용 Defender를 사용하도록 설정하면 Defender for Cloud에서 취약성, 설치된 소프트웨어 및 경고와 관련된 엔드포인트용 Defender 데이터에 액세스할 수 있습니다.

취약성 평가 도구

서버용 Defender에는 선택한 취약성 검색 및 관리 도구가 포함되어 있습니다. Defender for Cloud의 설정 페이지에서 이러한 도구를 머신에 배포할지 여부를 선택할 수 있습니다. 검색된 모든 취약성은 보안 권장 사항에 표시됩니다.

  • Microsoft 위협 및 취약성 관리: 더 많은 에이전트 또는 정기적인 검사 없이 엔드포인트용 Defender를 사용하여 실시간으로 취약성 및 잘못된 구성을 검색합니다. 위협 및 취약성 관리는 위협 환경, 중요한 정보 및 비즈니스 컨텍스트에 따라 취약성의 우선 순위를 지정합니다.
  • Qualys에서 제공하는 취약성 스캐너: Qualys는 하이브리드 가상 머신의 취약성을 실시간으로 식별하기 위한 주요 도구 중 하나입니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 것이 Defender for Cloud 내에서 원활하게 처리됩니다.

FIM(파일 무결성 모니터링)

FIM(파일 무결성 모니터링)은 운영 체제 및 애플리케이션 소프트웨어의 파일 및 레지스트리에서 공격을 나타낼 수 있는 변경 내용을 검사합니다. 비교 메서드는 파일의 현재 상태가 파일의 마지막 검사와 다른지 확인하는 데 사용됩니다. 이 비교를 사용하여 파일에 대해 유효하거나 의심스러운 수정이 이루어졌는지 확인할 수 있습니다.

서버용 Defender를 사용하도록 설정하면 FIM을 사용하여 Windows 파일, Windows 레지스트리 및 Linux 파일의 무결성을 확인할 수 있습니다.

AAC(적응형 애플리케이션 제어)

적응형 애플리케이션 제어는 머신에 대해 알려진 안전한 애플리케이션의 허용 목록을 정의하기 위한 자동화된 인텔리전트 솔루션입니다. 적응형 애플리케이션 컨트롤을 구성한 경우 안전한 것으로 정의한 애플리케이션 이외의 애플리케이션이 실행되는 경우 보안 경고가 표시됩니다.

파일리스 공격 탐지

파일리스 공격은 디스크 기반 검색 기술로 감지되지 않도록 메모리에 악성 페이로드를 삽입합니다. 그런 다음 공격자의 페이로드는 손상된 프로세스의 메모리 내에 유지되며 광범위한 악의적인 활동을 수행합니다.

파일리스 공격 탐지를 통해 자동화된 메모리 포렌식 기술은 파일리스 공격 도구 키트, 기술 및 동작을 식별합니다. 기본적으로 사용할 수 있는 이 솔루션은 런타임에 컴퓨터를 주기적으로 검사하고 프로세스 메모리에서 직접 인사이트를 추출합니다. 특정 인사이트에는 다음에 대한 식별이 포함됩니다.

  • 잘 알려진 도구 키트 및 암호화 마이닝 소프트웨어
  • Shellcode는 일반적으로 소프트웨어 취약성 악용의 페이로드로 사용되는 코드의 작은 조각입니다.
  • 프로세스 메모리에 삽입된 악성 실행 파일

파일리스 공격 탐지 기능은 네트워크 활동과 같은 프로세스 메타데이터에 대한 설명이 포함된 자세한 보안 경고를 생성합니다. 이러한 세부 정보를 통해 경고 심사, 상관 관계 및 다운스트림 응답 시간이 단축됩니다.