자동 프로비저닝 구성

  • 17분

클라우드용 Microsoft Defender는 Azure VM(가상 머신), 가상 머신 확장 집합, IaaS 컨테이너 및 비 Azure(온-프레미스 포함) 머신에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다.

누락된 업데이트, 잘못 구성된 OS 보안 설정, 엔드포인트 보호 상태, 상태 및 위협 방지에 대한 가시성을 제공하려면 데이터 컬렉션이 필요합니다. 데이터 수집은 컴퓨팅 리소스(VM, 가상 머신 확장 집합, IaaS 컨테이너 및 비 Azure 컴퓨터)에만 필요합니다. 에이전트를 프로비저닝하지 않더라도 클라우드용 Defender를 활용할 수 있습니다. 그러나 보안이 제한적이며 위에 나열된 기능은 지원되지 않습니다.

데이터는 다음을 사용하여 수집됩니다.

  • Log Analytics 에이전트 - 컴퓨터에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 데이터를 작업 영역에 복사합니다. 해당 데이터의 예로는 운영 체제 유형 및 버전, 운영 체제 로그(Windows 이벤트 로그), 실행 중인 프로세스, 머신 이름, IP 주소, 로그인된 사용자를 들 수 있습니다.

  • 보안 확장(예: Kubernetes에 대한 Azure Policy 추가 기능) - 특수 리소스 종류와 관련된 데이터를 Security Center에 제공할 수도 있습니다.

Screenshot of Auto provisioning settings.

자동 프로비저닝을 사용하는 이유

이 페이지에서 설명하는 모든 에이전트 및 확장은 수동으로 설치할 수 있습니다. 그러나 자동 프로비저닝은 지원되는 모든 리소스에 대한 더 빠른 보안 적용 범위를 보장하기 위해 필요한 모든 에이전트 및 확장을 기존 및 새 컴퓨터에 설치하여 관리 오버헤드를 줄입니다.

자동 프로비저닝의 작동 방식

클라우드용 Defender의 자동 프로비저닝 설정에는 지원되는 각 확장 유형에 대한 토글이 있습니다. 확장의 자동 프로비저닝을 사용하도록 설정할 때 정책이 없는 경우 해당 확장이 해당 유형의 모든 기존 및 향후 리소스에 프로비저닝되도록 적절한 배포 정책을 할당합니다.

Log Analytics 에이전트 자동 프로비저닝 사용

Log Analytics 에이전트에 대한 자동 프로비전이 설정되어 있으면 Defender for Cloud에서 지원되는 모든 Azure VM 및 새로 만든 Azure VM에 에이전트를 배포합니다.

Log Analytics 에이전트를 자동으로 프로비저닝하도록 설정하려면 다음을 수행합니다.

  1. 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

  2. 관련 구독을 선택합니다.

  3. 자동 프로비저닝 페이지에서 Log Analytics 에이전트에 대한 자동 프로비저닝 상태를 켜기로 설정합니다.

  4. 구성 옵션 창에서 사용할 작업 영역을 정의합니다.

클라우드용 Defender에서 생성된 기본 작업 영역에 Azure VM 연결 - 클라우드용 Defender에서 새 리소스 그룹 및 기본 작업 영역을 동일한 지리적 위치에 만들고 에이전트를 해당 작업 영역에 연결합니다. 구독에 여러 지리적 위치의 VM이 포함된 경우 Defender for Cloud에서 데이터 개인 정보 요구 사항을 준수하기 위해 여러 작업 영역을 만듭니다.

작업 영역 및 리소스 그룹에 대한 명명 규칙은 다음과 같습니다.

  • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]
  • 리소스 그룹: DefaultResourceGroup-[geo]

클라우드용 Defender는 구독에 대해 설정된 가격 책정 계층에 따라 작업 영역에서 클라우드용 Defender 솔루션을 자동으로 사용하도록 설정합니다.

다른 작업 영역에 Azure VM 연결 - 드롭다운 목록에서 수집된 데이터를 저장할 작업 영역을 선택합니다. 드롭다운 목록에는 모든 구독에 대한 모든 작업 영역이 포함됩니다. 이 옵션을 사용하여 서로 다른 구독에서 실행되는 가상 머신에서 데이터를 수집하고 선택한 작업 영역에 모두 저장할 수 있습니다.

이미 기존 Log Analytics 작업 영역이 있는 경우 동일한 작업 영역을 사용하는 것이 좋습니다(작업 영역에 대한 읽기 및 쓰기 권한 필요). 이 옵션은 조직에서 중앙 집중식 작업 영역을 사용하고 있고 보안 데이터 수집에 사용하려는 경우에 유용합니다. Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리에서 자세히 알아보세요.

선택한 작업 영역에서 이미 Security 또는 클라우드용 Defender Free 솔루션을 사용하도록 설정된 경우 가격 책정이 자동으로 설정됩니다. 그렇지 않은 경우 작업 영역에 클라우드용 Defender 솔루션을 설치합니다.

확장 자동 프로비저닝 사용

Log Analytics 에이전트 이외의 확장을 자동으로 프로비저닝하도록 설정하려면 다음을 수행합니다.

  1. Azure Portal의 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.

  2. 관련 구독을 선택합니다.

  3. 자동 프로비저닝을 선택합니다.

  4. Microsoft 종속성 에이전트에 대해 자동 프로비저닝을 사용하도록 설정하는 경우 Log Analytics 에이전트도 자동으로 배포되도록 설정되어 있는지 확인합니다.

  5. 관련 확장에 대한 상태를 켜기로 전환합니다.

  6. 저장을 선택합니다. Azure Policy가 할당되고 수정 작업이 만들어집니다.

Log Analytics 에이전트에 대한 Windows 보안 이벤트 옵션

클라우드용 Defender에서 데이터 수집 계층을 선택하면 Log Analytics 작업 영역의 보안 이벤트 스토리지에만 영향을 줍니다. Log Analytics 에이전트는 작업 영역에 저장하도록 선택한 보안 이벤트 수준에 관계없이 클라우드용 Defender의 위협 방지에 필요한 보안 이벤트를 계속 수집하고 분석합니다. 보안 이벤트를 저장하도록 선택하면 작업 영역에서 해당 이벤트를 조사, 검색 및 감사할 수 있습니다.

클라우드용 Defender는 Windows 보안 이벤트 데이터를 저장하는 데 필요합니다. Log Analytics에 데이터를 저장하면 데이터 스토리지에 대한 추가 요금이 발생할 수 있습니다.

Microsoft Sentinel 사용자에 대한 정보

Microsoft Sentinel 사용자: 단일 작업 영역의 컨텍스트 내에서 보안 이벤트 수집은 Microsoft Defender for Cloud 또는 Microsoft Sentinel에서 구성할 수 있지만 둘 모두에서 구성할 수는 없습니다. 클라우드용 Microsoft Defender에서 이미 경고를 받고 있고 보안 이벤트를 수집하도록 설정된 작업 영역에 Microsoft Sentinel을 추가할 계획인 경우 두 가지 옵션이 있습니다.

  • 클라우드용 Defender의 보안 이벤트 컬렉션을 있는 그대로 둡니다. Microsoft Sentinel 및 클라우드용 Defender에서 이러한 이벤트를 쿼리하고 분석할 수 있습니다. 그러나 Microsoft Sentinel에서 커넥터의 연결 상태를 모니터링하거나 해당 구성을 변경할 수는 없습니다. 커넥터를 모니터링하거나 사용자 지정하는 것이 중요한 경우 두 번째 옵션을 고려합니다.

  • 클라우드용 Defender에서 보안 이벤트 컬렉션을 사용하지 않도록 설정합니다(Log Analytics 에이전트 구성에서 Windows 보안 이벤트를 없음으로 설정). 그런 다음, Microsoft Sentinel에서 보안 이벤트 커넥터를 추가합니다. 첫 번째 옵션과 마찬가지로 Microsoft Sentinel 및 클라우드용 Defender 모두에서 이벤트를 쿼리하고 분석할 수 있지만, 이제 Microsoft Sentinel에서만 커넥터의 연결 상태를 모니터링하거나 구성을 변경할 수 있습니다.

"일반" 및 "최소"에 대해 저장되는 이벤트 유형은 무엇인가요?

이러한 집합은 일반적인 시나리오를 해결하도록 설계되었습니다. 특정 집합을 구현하기 전에 요구에 적합한 집합을 평가하세요.

일반 및 최소 옵션에 대한 이벤트를 결정하기 위해 고객과 협력하고 업계 표준을 사용하여 각 이벤트에 대한 필터링되지 않은 빈도와 이를 사용하는 방법을 알아보았습니다. 그에 따라 이 프로세스에서는 다음 지침이 사용되었습니다.

  • 최소 - 이 집합에는 성공적인 보안 위반을 나타낼 수 있는 이벤트와 볼륨이 적은 중요한 이벤트만 포함하세요. 예를 들어 로그인 성공/실패(이벤트 ID 4624, 4625)는 이 집합에 포함되지만 로그아웃은 포함되지 않습니다. 로그아웃의 경우 감사에서는 중요하지만 검색에서는 중요하지 않으며 양이 비교적 많기 때문입니다. 이 집합에 포함되는 데이터 볼륨 중 대부분은 로그인 이벤트 및 프로세스 생성 이벤트(이벤트 ID 4688)입니다.

  • 일반 - 이 집합에서는 전체 사용자 감사 내역을 제공하세요. 예를 들어 사용자 로그인 및 사용자 로그아웃(이벤트 ID 4634)을 모두 이 집합에 포함합니다. Microsoft는 보안 그룹 변경, 주요 도메인 컨트롤러 Kerberos 작업, 그리고 업계의 조직에서 권장하는 기타 이벤트와 같은 감사 작업을 이 집합에 포함했습니다.

볼륨이 적은 이벤트는 일반 집합에 포함되었습니다. 모든 이벤트를 선택하는 대신 해당 이벤트를 선택하는 주된 이유는 특정 이벤트를 필터링하여 제외하기 위해서가 아니라 이벤트의 볼륨을 줄이기 위해서이기 때문입니다.