엔드포인트용 Defender를 사용하여 파일 무결성 모니터링으로 마이그레이션
클라우드용 Microsoft Defender Defender for Servers 계획 2에서 파일 무결성 모니터링 기능은 파일을 검색 및 분석하고 현재 상태를 이전 검사와 비교하여 엔터프라이즈 자산 및 리소스를 안전하게 유지하는 데 도움이 됩니다.
파일 무결성 모니터링은 엔드포인트용 Microsoft Defender 에이전트를 사용하여 수집 규칙에 따라 컴퓨터에서 데이터를 수집합니다. 엔드포인트용 Defender는 기본적으로 클라우드용 Defender 통합됩니다.
필수 조건
- 서버용 Defender 계획 2를 사용하도록 설정해야 합니다.
- 파일 무결성 모니터링은 현재 레거시 메서드를 사용하여 사용하도록 설정되어 있습니다.
- 제품 내 마이그레이션을 사용하려면 대상 구독에 대한 보안 관리자 권한과 대상 Log Analytics 작업 영역에 대한 소유자 권한이 필요합니다.
- Defender for Servers 플랜 2로 보호되는 컴퓨터는 엔드포인트용 Defender 에이전트를 실행해야 합니다. 사용자 환경 의 컴퓨터에서 에이전트 상태를 확인하려면 이 통합 문서를 사용하여 이 작업을 수행합니다.
- 구독에 대해 마이그레이션 도구를 한 번만 실행할 수 있습니다. 다시 실행하여 동일한 구독의 추가 또는 여러 작업 영역에서 규칙을 마이그레이션할 수 없습니다.
MMA를 통해 FIM에서 마이그레이션
이전 버전의 파일 무결성 모니터링은 Log Analytics 에이전트(MMA(Microsoft Monitoring Agent)라고도 함) 또는 AMA(Azure Monitor 에이전트)를 사용하여 데이터를 수집했습니다.
이전 버전의 파일 무결성 모니터링을 사용하지 않는 경우 엔드포인트용 Defender 에이전트를 사용하여 파일 무결성 모니터링에 직접 온보딩할 수 있습니다.
이전 버전의 파일 무결성 모니터링이 있는 경우 원활한 마이그레이션을 위해 제품 내 마이그레이션 환경을 사용하여 새 버전으로 마이그레이션할 수 있습니다.
또는 엔드포인트용 Defender에서 파일 무결성 모니터링을 사용하도록 설정한 다음 이전 에이전트를 사용하여 파일 무결성 모니터링을 제거할 수 있습니다.
제품 내 마이그레이션 도구를 사용하는 경우 다음을 수행할 수 있습니다.
- 마이그레이션하기 전에 현재 환경/상태를 검토합니다.
- MMA를 사용하고 Log Analytics 작업 영역에 상주하는 현재 파일 무결성 모니터링 규칙을 내보냅니다.
- 서버용 Defender 계획 2를 사용하도록 설정한 경우 새 환경으로 마이그레이션합니다.
다음 사항에 유의합니다.
- 이 도구를 사용하면 기존 모니터링 규칙을 새 환경으로 전송할 수 있습니다.
- 새 환경의 일부가 아닌 사용자 지정 및 레거시 기본 제공 규칙은 마이그레이션할 수 없지만 JSON 파일로 내보낼 수 있습니다.
- 마이그레이션 도구는 구독의 모든 머신을 나열하며, MMA를 사용하여 파일 무결성 모니터링에 실제로 온보딩된 모든 컴퓨터는 나열되지 않습니다.
- 레거시 버전에서는 Log Analytics 작업 영역에 연결된 MMA가 필요했습니다. 즉, 서버용 Defender 계획 2에서 보호되었지만 MMA를 실행하지 않은 컴퓨터는 파일 무결성 모니터링의 이점을 얻지 못했습니다.
- 새 환경을 사용하면 사용 범위의 모든 컴퓨터가 파일 무결성 모니터링의 이점을 누릴 수 있습니다.
- 새 환경에는 MMA 에이전트가 필요하지 않지만 마이그레이션 도구에서 원본 및 대상 작업 영역을 지정해야 합니다.
- 원본은 기존 규칙을 새 환경으로 전송하려는 작업 영역입니다.
- 대상은 모니터링되는 파일 및 레지스트리가 변경될 때 변경 로그가 기록되는 작업 영역입니다.
- 구독에서 새 환경을 사용하도록 설정한 후 사용 범위의 컴퓨터는 모두 동일한 파일 무결성 모니터링 규칙에서 적용됩니다.
- 파일 무결성 모니터링에서 개별 컴퓨터를 제외하려면 리소스 수준에서 서버용 Defender를 사용하도록 설정하여 서버용 Defender 계획 1로 일부 컴퓨터를 다운그레이드할 수 있습니다.
제품 내 환경을 사용하여 마이그레이션
클라우드용 Defender >워크로드 보호에서 파일 무결성 모니터링을 엽니다.
배너 메시지에서 여기를 클릭하여 환경을 마이그레이션합니다.
MMA 사용 중단 환경 준비 페이지에서 마이그레이션을 시작합니다.
새 FIM으로 마이그레이션 탭의 MDE를 통해 FIM의 새 버전으로 마이그레이션에서 작업 수행을 선택합니다.
새 FIM 탭으로 마이그레이션에서 레거시 파일 무결성 모니터링을 사용하도록 설정된 컴퓨터를 호스트하는 모든 구독을 볼 수 있습니다.
- 구독 의 총 컴퓨터는 모든 Azure VM 및 구독의 Azure Arc 지원 VM을 표시합니다.
- FIM 에 대해 구성된 컴퓨터는 레거시 파일 무결성 모니터링을 사용하도록 설정된 컴퓨터 수를 보여 줍니다.
각 구독 옆에 있는 작업 열에서 마이그레이션을 선택합니다.
구독의 업데이트 구독>검토 컴퓨터에서 레거시 파일 무결성 모니터링을 사용하도록 설정된 컴퓨터 목록과 관련 Log Analytics 작업 영역이 표시됩니다. 다음을 선택합니다.
마이그레이션 설정 탭에서 마이그레이션 원본으로 작업 영역을 선택합니다.
Windows 레지스트리 및 Windows/Linux 파일을 포함하여 작업 영역 구성을 검토합니다. 설정 및 파일을 마이그레이션할 수 있는지 여부를 나타냅니다.
마이그레이션할 수 없는 파일 및 설정이 있는 경우 작업 영역 설정을 파일로 저장을 선택할 수 있습니다.
FIM 데이터 저장을 위한 대상 작업 영역 선택에서 새 파일 무결성 모니터링 환경으로 변경 내용을 저장할 Log Analytics 작업 영역을 지정합니다. 동일한 작업 영역을 사용하거나 다른 작업 영역을 한 번 선택할 수 있습니다.
다음을 선택합니다.
검토 및 승인 탭에서 마이그레이션 요약을 검토합니다. 마이그레이션 프로세스를 시작하려면 이전을 선택합니다.
마이그레이션이 완료되면 마이그레이션 마법사에서 구독이 제거되고 마이그레이션된 파일 무결성 모니터링 규칙이 적용됩니다.
레거시 MMA 솔루션 사용 안 함
다음 지침에 따라 MMA를 사용하여 수동으로 파일 무결성 모니터링을 사용하지 않도록 설정합니다.
Log Analytics 작업 영역에서 Azure ChangeTracking 솔루션을 제거합니다.
제거한 후에는 새 파일 무결성 모니터링 이벤트가 수집되지 않습니다. 기록 이벤트는 테이블의 변경 내용 추적 섹션
ConfigurationChange아래에 있는 관련 Log Analytics 작업 영역에 저장됩니다. 이벤트는 작업 영역 데이터 보존 설정에 따라 저장됩니다.컴퓨터에서 MMA가 더 이상 필요하지 않은 경우 Log Analytics 에이전트 사용을 사용하지 않도록 설정할 수 있습니다.
- 컴퓨터에 에이전트가 필요하지 않은 경우 구독에서 자동 에이전트 프로비저닝을 해제합니다.
- 특정 컴퓨터의 경우 Azure Monitor 검색 및 제거 유틸리티를 사용하여 에이전트를 제거합니다.
AMA를 통해 FIM에서 마이그레이션
다음 지침에 따라 AMA를 사용하여 파일 무결성 모니터링에서 마이그레이션합니다.
또는 관련 파일 변경 내용 추적 데이터 수집 규칙(DCR)을 제거할 수 있습니다. 이렇게 하려면 Remove-AzDataCollectionRuleAssociation 및 Remove-AzDataCollectionRule의 지침을 따릅니다.
제거한 후에는 새 파일 무결성 모니터링 이벤트가 수집되지 않습니다. 기록 이벤트는 변경 내용 추적 섹션의 테이블
ConfigurationChange아래 관련 작업 영역에 저장됩니다. 이벤트는 작업 영역 데이터 보존 설정에 따라 저장됩니다.
AMA를 사용하여 파일 무결성 모니터링 이벤트를 계속 사용하려면 관련 작업 영역에 수동으로 연결하고 이 쿼리를 사용하여 변경 내용 추적 테이블의 변경 내용을 볼 수 있습니다.
ConfigurationChange
| where TimeGenerated > ago(14d)
| where ConfigChangeType in ('Registry', 'Files')
| summarize count() by Computer, ConfigChangeType
새 범위를 계속 온보딩하거나 모니터링 규칙을 구성하려면 데이터 수집 규칙을 수동으로 사용하고 데이터 수집을 사용자 지정해야 합니다.
다음 단계
파일 무결성 모니터링의 변경 내용을 검토합니다.