서버용 Microsoft Defender 이해
서버용 Microsoft Defender는 Azure, AWS, GCP 또는 온-프레미스에서 실행 중인 Windows 및 Linux 머신에 위협 탐지 및 고급 방어 기능을 제공합니다. 하이브리드 및 다중 클라우드 환경에서 머신을 보호하기 위해 클라우드용 Defender는 Azure Arc를 사용합니다.
서버용 Microsoft Defender는 두 가지 플랜으로 제공됩니다.
서버용 Microsoft Defender 플랜 1 - 엔드포인용 Microsoft Defender를 서버에 배포하고 다음 기능을 제공합니다.
- 엔드포인트용 Microsoft Defender 라이선스는 사용자가 아닌 시간당 요금이 청구되므로 가상 머신을 사용 중인 경우에만 보호하는 비용이 절감됩니다.
- 엔드포인트용 Microsoft Defender는 모든 클라우드 워크로드에 자동으로 배포되므로 스핀업 시 보호된다는 것을 알 수 있습니다.
- 엔드포인트용 Microsoft Defender의 경고 및 취약성 데이터는 클라우드용 Microsoft Defender에 표시됩니다.
서버용 Microsoft Defender 플랜 2(이전의 서버용 Defender) - 플랜 1의 이점과 다른 모든 서버용 Microsoft Defender 기능에 대한 지원이 포함됩니다.
서버용 Microsoft Defender 플랜을 사용하도록 설정하려면 다음을 수행합니다.
환경 설정으로 이동하여 구독을 선택합니다.
서버용 Microsoft Defender를 사용하도록 설정하지 않은 경우 켜기로 설정합니다. 플랜 2는 기본적으로 선택됩니다.
서버용 Defender 플랜을 변경하려면 다음을 수행합니다.
플랜/가격 열에서 플랜 변경을 선택합니다. 원하는 플랜을 선택하고 확인을 선택합니다.
플랜 기능
다음 표에는 각 플랜에 포함된 항목이 개략적으로 설명되어 있습니다.
| 기능 | 서버용 Defender 플랜 1 | 서버용 Defender Plan 2 |
|---|---|---|
| Azure, AWS, GCP의 리소스에 대한 자동 온보딩 | 예 | 예 |
| Microsoft 위협 및 취약성 관리 | 예 | 예 |
| 클라우드용 Microsoft Defender 또는 Microsoft Defender 포털을 사용하는 유연성 | 예 | 예 |
| 클라우드용 Microsoft Defender 및 엔드포인트용 Microsoft Defender 통합(경고, 소프트웨어 인벤토리, 취약성 평가) | 예 | 예 |
| 로그 분석(500MB 무료) | 예 | |
| Qualys를 사용한 취약성 평가 | 예 | |
| 위협 탐지: OS 수준, 네트워크 계층, 컨트롤 플레인 | 예 | |
| 적응 애플리케이션 컨트롤 | 예 | |
| 파일 무결성 모니터링 | 예 | |
| Just-in time VM 액세스 | 예 | |
| 적응형 네트워크 강화 | 예 |
서버용 Defender의 이점은?
서버용 Microsoft Defender와 함께 제공되는 위협 탐지 및 보호 기능에는 다음이 포함됩니다.
엔드포인트용 Microsoft Defender 통합 라이선스 - 서버용 Microsoft Defender에는 엔드포인트용 Microsoft Defender가 포함되어 있습니다. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다. 따라서 서버용 Microsoft Defender를 사용하도록 설정하면 클라우드용 Defender가 취약점, 설치된 소프트웨어 및 엔드포인트에 대한 경고와 관련된 엔드포인트용 Microsoft Defender 데이터에 액세스하는 데 동의하는 것입니다.
엔드포인트용 Defender는 위협을 감지하면 경고를 트리거합니다. 경고는 Defender for Cloud에 표시됩니다. Defender for Cloud에서 엔드포인트용 Defender 콘솔로 피벗하고 자세히 조사하여 공격 범위를 확인할 수도 있습니다.
컴퓨터용 취약성 평가 도구 - 서버용 Microsoft Defender에는 컴퓨터에 대한 취약성 검색 및 관리 도구가 포함되어 있습니다. 클라우드용 Defender의 설정 페이지에서 컴퓨터에 배포할 도구를 선택할 수 있습니다. 발견된 취약성은 보안 권장 사항에 표시됩니다.
Microsoft 위협 및 취약성 관리 - 엔드포인트용 Microsoft Defender를 사용하여 추가 에이전트나 정기 검사 없이 실시간으로 취약성 및 잘못된 구성을 검색합니다. 위협 및 취약성 관리는 위협 환경, 조직에서의 탐지, 취약한 디바이스에 대한 중요한 정보 및 비즈니스 컨텍스트에 따라 취약성의 우선 순위를 지정합니다.
Qualys에서 제공하는 취약성 스캐너 - Qualys의 스캐너는 Azure 및 하이브리드 가상 머신에서 실시간으로 취약성을 식별하기 위한 최고의 도구 중 하나입니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Defender for Cloud 내에서 원활하게 처리됩니다.
JIT(Just-In-Time) VM(가상 머신) 액세스 - 위협 행위자는 RDP 또는 SSH와 같은 개방형 관리 포트를 사용하여 액세스 가능한 머신을 적극적으로 헌팅합니다. 모든 가상 머신은 공격의 대상이 될 수 있습니다. VM이 손상되면 사용자 환경 내 추가 리소스를 공격하는 진입점으로 사용됩니다.
서버용 Microsoft Defender를 사용하도록 설정하면 Just-In-Time VM 액세스를 사용하여 VM에 대한 인바운드 트래픽을 잠글 수 있습니다. 필요할 때까지 원격 액세스 포트를 닫은 상태로 유지하면 공격에 대한 노출이 줄어들고 필요할 때 VM에 쉽게 연결할 수 있습니다.
FIM(파일 무결성 모니터링) - 변경 모니터링이라고도 하는 FIM(파일 무결성 모니터링)은 운영 체제, 애플리케이션 소프트웨어 및 다른 요소의 파일과 레지스트리에서 공격으로 간주될 수 있는 변경을 검사합니다. 비교 메서드는 파일의 현재 상태가 파일의 마지막 검사와 다른지 확인하는 데 사용됩니다. 이 비교를 통해 파일에 유효하거나 의심스러운 수정 사항이 있는지 확인할 수 있습니다.
서버용 Microsoft Defender를 사용하도록 설정하면 FIM을 사용하여 Windows 파일, Windows 레지스트리 및 Linux 파일의 무결성에 대한 유효성을 검사할 수 있습니다.
AAC(적응형 애플리케이션 제어) - 적응형 애플리케이션 제어는 머신에 대해 알려진 안전한 애플리케이션의 허용 목록을 정의하기 위한 인텔리전트 자동 솔루션입니다.
적응형 애플리케이션 제어를 사용하도록 설정하고 구성하면 안전한 것으로 정의한 애플리케이션이 아닌 다른 애플리케이션이 실행될 경우 보안 경고가 표시됩니다.
ANH(적응형 네트워크 강화) - NSG(네트워크 보안 그룹)를 적용하여 리소스에서 들어오고 나가는 트래픽을 필터링하면 네트워크 보안 상태가 개선됩니다. 그러나 NSG를 통과하는 실제 트래픽이 정의된 NSG 규칙의 하위 집합인 경우도 있을 수 있습니다. 이러한 경우 실제 트래픽 패턴에 따라 NSG 규칙을 강화하여 보안 상태를 더욱 개선할 수 있습니다.
적응형 네트워크 강화는 NSG 규칙을 강화하기 위한 권장 사항을 제공합니다. 실제 트래픽, 알려진 신뢰할 수 있는 구성, 위협 인텔리전스, 기타 손상 지표를 고려하는 기계 학습 알고리즘을 사용합니다. 그런 다음, ANH는 특정 IP/포트 튜플의 트래픽만 허용하는 권장 사항을 제공합니다.
Docker 호스트 강화 - 클라우드용 Microsoft Defender는 IaaS Linux VM 또는 Docker 컨테이너를 실행하는 다른 Linux 머신에 호스트되는 관리되지 않는 컨테이너를 식별합니다. Defender for Cloud는 이러한 컨테이너의 구성을 지속적으로 평가합니다. 그런 다음, 이러한 항목을 CIS(Center for Internet Security) Docker 벤치마크와 비교합니다. Defender for Cloud는 CIS Docker 벤치마크의 전체 규칙 세트를 포함하며 컨테이너가 규칙을 위반할 경우 경고를 표시합니다.
파일리스 공격 검색 - 파일리스 공격은 디스크 기반 검사 기술의 검색을 방지하기 위해 악의적인 페이로드를 메모리에 삽입합니다. 그러면 공격자 페이로드가 손상된 프로세스의 메모리 내에서 유지되며 광범위한 악의적인 활동을 수행합니다.
파일리스 공격 탐지를 통해 자동화된 메모리 포렌식 기술은 파일리스 공격 도구 키트, 기술 및 동작을 식별합니다. 이 솔루션은 런타임에 머신을 정기적으로 검사하고, 프로세스의 메모리에서 직접 인사이트를 추출합니다. 특정 인사이트에는 다음에 대한 식별이 포함됩니다.
- 잘 알려진 도구 키트 및 암호화 마이닝 소프트웨어
- 셸코드는 작은 코드 조각으로, 일반적으로 소프트웨어 취약성을 악용하는 페이로드로 사용됩니다.
- 프로세스 메모리에 삽입된 악성 실행 파일
파일리스 공격 검색은 네트워크 활동 등의 프로세스 메타데이터를 사용한 설명을 포함하는 상세 보안 경고를 생성합니다. 이러한 세부 정보는 경고 심사, 상관 관계 및 다운스트림 응답 시간이 가속화됩니다. 이 방법은 이벤트 기반 EDR 솔루션을 보완하고 검색 범위를 더 확장합니다.
Linux auditd 경고 및 Log Analytics 에이전트 통합(Linux만 해당) - auditd 시스템은 시스템 호출을 모니터링해야 하는 커널 수준 하위 시스템으로 구성됩니다. 지정된 규칙 세트를 기준으로 필터링하고 이에 대한 메시지를 소켓에 씁니다. Defender for Cloud는 Log Analytics 에이전트 내에서 감사 패키지의 기능을 통합합니다. 이러한 통합을 통해 사전 요구 사항 없이 지원되는 모든 Linux 배포에서 auditd 이벤트를 수집할 수 있습니다.
Linux용 Log Analytics 에이전트는 감사된 레코드를 수집하고 이를 이벤트로 강화 및 집계합니다. Defender for Cloud는 Linux 신호를 사용하여 클라우드 및 온-프레미스 Linux 컴퓨터에서 악의적인 동작을 탐지하는 새 분석을 지속적으로 추가합니다. Windows 기능과 마찬가지로 이러한 분석에는 의심스러운 프로세스, 의심스러운 로그인 시도, 커널 모듈 로드 및 기타 활동을 확인하는 테스트가 포함됩니다. 이러한 활동은 컴퓨터가 공격을 받고 있거나 위반되었음을 나타낼 수 있습니다.
서버용 Defender는 데이터를 어떻게 수집하나요?
Windows의 경우 클라우드용 Microsoft Defender가 Azure 서비스와 통합되어 Windows 기반 컴퓨터를 모니터링하고 보호합니다. Defender for Cloud는 이러한 모든 서비스의 경고 및 수정 제안을 사용하기 쉬운 형식으로 제공합니다.
Linux의 경우 Defender for Cloud가 가장 일반적인 Linux 감사 프레임워크 중 하나인 auditd를 사용하여 Linux 컴퓨터에서 감사 레코드를 수집합니다.
하이브리드 및 다중 클라우드 시나리오의 경우 클라우드용 Defender는 Azure Arc와 통합되어 이러한 비 Azure 머신이 Azure 리소스로 표시되도록 합니다.