게스트 구성 권장 사항 수정
참고 항목
2024년 11월에 로그 분석 에이전트(MMA로도 알려짐)가 사용 중지될 예정이며, 이 페이지에 설명된 기능을 포함하는 현재 이 에이전트에 종속된 모든 서버용 Defender 기능은 사용 중지 날짜 전에 엔드포인트용 Microsoft Defender 통합 또는 에이전트 없는 검사를 통해 사용 가능합니다. 현재 Log Analytics 에이전트에 의존하는 각 기능의 로드맵에 대한 자세한 내용은 이 공지를 참조하세요.
클라우드용 Defender 구독에 연결된 VM(가상 머신)에 대한 기준이 잘못 구성되었는지 여부를 평가합니다. 평가는 잠재적인 위험을 초래할 수 있는 편차 또는 잘못된 구성을 식별하기 위해 미리 정의된 보안 기준에 대해 VM을 평가합니다. 강력하고 안전한 컴퓨팅 환경을 유지하기 위해 VM을 보안 모범 사례 및 조직 정책에 맞게 조정할 수 있습니다.
Azure Policy 게스트 구성을 통해 컴퓨터 정보가 수집되며, 다양한 규정 준수 벤치마크 및 규정을 다루는 Microsoft 벤치마크를 기반으로 평가가 이루어집니다. 예를 들어, CIS, STIG 등이 있습니다. 다음과 같은 정책을 구독에서 사용하기 위해 Azure Policy 게스트 구성을 사용할 수 있습니다.
참고 항목
이러한 정책을 제거하는 경우, Azure Policy 게스트 구성 확장의 이점에 액세스할 수 없습니다.
필수 조건
Defender 서버 플랜 2 가격 책정 정보에 대해 알아보려면 클라우드용 Defender 가격 책정 페이지를 검토하세요.
Important
클라우드용 Defender Portal 외부의 Azure Policy 게스트 구성에서 제공하는 추가 기능은 Azure Policy 게스트 구성 가격 책정 정책의 적용을 받으며 클라우드용 Defender 포함되지 않습니다. 예를 들어, 수정 및 사용자 지정 정책이 있습니다. Azure Policy 게스트 구성 가격 책정 페이지를 참조하여 자세한 내용을 확인하세요.
Azure Policy 게스트 구성에 대한 지원 매트릭스를 검토하세요.
다음과 같이 귀하의 머신에 Azure Policy 게스트 구성을 설치합니다.
Azure 머신: 클라우드용 Defender 포털의 권장 사항 페이지에서 머신에 게스트 구성 확장을 설치해야 합니다를 검색 및 선택하고 권장 사항 수정을 수행하세요.
Azure VM 전용 클라우드용 Defender 포털에서 관리 ID를 할당해야 합니다. 권장 사항 페이지로 이동합니다. 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포되어야 합니다를 검색 및 선택합니다. 다음으로 권장 사항 수정을 수행합니다.
(선택 사항) Azure VM 전용: 전체 구독에서 Azure Policy 게스트 구성을 사용하도록 설정합니다.
다음과 같이 Azure Policy 게스트 구성 확장을 전체 구독에 걸친 Azure 머신에서 사용하도록 설정합니다.
Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender를 검색하여 선택합니다.
환경 설정>구독>설정 & 모니터링으로 이동합니다.
게스트 구성 에이전트(미리 보기)를 켜기로 전환합니다.
계속을 선택합니다.
GCP 및 AWS: 클라우드용 Defender 경우 GCP 프로젝트를 연결하거나 Azure Arc 자동 프로비전 사용 설정된 AWS 계정을 연결하여 Azure Policy 게스트 구성이 자동으로 설치됩니다.
온-프레미스 머신: Azure Policy 게스트 구성은 Azure Arc 지원 컴퓨터 또는 VM으로 온-프레미스 머신을 온보딩할 때 기본적으로 사용하도록 설정됩니다.
게스트 구성 권장 사항을 검토 및 수정합니다.
구독에 Azure Policy 게스트 구성이 온보딩되면 클라우드용 Defender 보안 기준에 대한 VM 평가가 시작됩니다. 다음과 같은 권장 사항은 사용자 환경에 따라 잘못된 구성이 발견되는 경우 권장 사항 페이지에 표시될 수 있습니다.
다음을 수행하여 이를 검토 및 수정합니다.
Azure Portal에 로그인합니다.
클라우드용 Defender> 권장 사항으로 이동하세요**.
권장 사항 중에서 한 가지를 검색 및 선택합니다.
권장 사항을 검토합니다.
참고 항목
MMA(Microsoft Monitoring Agent)로도 알려진 로그 분석 에이전트의 사용 중단 프로세스 중, 동일한 컴퓨터에 대한 중복 권장 사항을 받을 수 있습니다. 이는 MMA와 Azure Policy 게스트 구성이 모두 동일한 컴퓨터를 평가하기 때문에 발생됩니다. 컴퓨터에서 MMA를 사용하지 않도록 설정하여 이를 방지할 수 있습니다.
API를 통한 권장 사항 쿼리
클라우드용 Defender는 권장 사항 정보를 쿼리하기 위해 API용 Azure Resource Graph 및 포털 쿼리를 사용합니다. 이러한 리소스를 활용함으로써 사용자 고유의 쿼리를 만들고 정보를 검색할 수 있습니다.
Azure Resource Graph에서 권장 사항을 검토하는 방법을 알아볼 수 있습니다.
사용 가능한 두 가지 샘플 쿼리는 다음과 같습니다.
특정 리소스에 대한 모든 비정상 규칙 쿼리
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'모든 비정상 규칙 및 각 컴퓨터의 비정상 컴퓨터의 양
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
더 심층적인 쿼리를 만드는 방법을 알아보기 위해 Azure Resource Graph의 쿼리 언어에 대해 자세히 알아볼 수 있습니다.
참고 항목
MMA(Microsoft Monitoring Agent)로도 알려진 로그 분석 에이전트의 사용 중단 프로세스 중, 동일한 컴퓨터에 대한 중복 권장 사항을 받을 수 있습니다. 이는 MMA와 Azure Policy 게스트 구성이 모두 동일한 컴퓨터를 평가하기 때문에 발생됩니다. 컴퓨터에서 MMA를 사용하지 않도록 설정하여 이를 방지할 수 있습니다.