서버용 Defender
클라우드용 Microsoft Defender Defender for Servers 계획은 보안 상태를 개선하고 수정하기 위한 실행 가능한 권장 사항을 제공하여 조직의 컴퓨터에 대한 보안 위험 및 노출을 줄입니다. 서버용 Defender는 실시간 보안 위협 및 공격으로부터 컴퓨터를 보호하는 데도 도움이 됩니다.
참고 항목
서버용 Defender에서 Log Analytics 에이전트 및 AMA(Azure Monitoring Agent) 사용에 대한 지원이 종료되었습니다. 대부분의 계획 기능에서 이러한 에이전트의 사용은 에이전트 없는 컴퓨터 검색 또는 엔드포인트용 Microsoft Defender 통합으로 대체됩니다.
서버용 Defender 혜택
서버용 Defender는 다양한 보안 이점을 제공합니다.
- 다중 클라우드 및 온-프레미스 컴퓨터 보호: 서버용 Defender는 다중 클라우드 환경(Azure, AWS, GCP) 및 온-프레미스에서 Windows 및 Linux 머신을 보호합니다.
- 관리 및 보고 중앙 집중화: 클라우드용 Defender 서버용 Defender로 보호되는 컴퓨터를 포함하여 모니터링되는 리소스의 단일 보기를 제공합니다. 데이터를 필터링, 정렬 및 상호 참조하여 컴퓨터 보안을 이해하고 조사하고 분석할 수 있습니다.
- Defender 서비스와 통합: 서버용 Defender는 엔드포인트 및 Microsoft Defender 취약성 관리 Defender에서 제공하는 보안 기능과 기본적으로 통합됩니다.
- 태세 개선 및 위험 감소: 서버용 Defender는 규정 준수 표준에 따라 컴퓨터의 보안 상태를 평가하고 보안 상태를 수정하고 개선하기 위한 실행 가능한 보안 권장 사항을 제공합니다.
- 에이전트 없는 검사의 이점: 서버용 Defender 플랜 2는 에이전트 없는 컴퓨터 검사를 제공합니다. 엔드포인트에서 에이전트가 필요 없으면 소프트웨어 인벤토리를 검색하고, 머신의 취약성을 평가하고, 머신 비밀을 검색하고, 맬웨어 위협을 검색할 수 있습니다.
- 거의 실시간으로 위협으로부터 보호: 서버용 Defender는 실시간 위협을 식별 및 분석하고 필요에 따라 보안 경고를 실행합니다.
- 지능형 위협 탐지 가져오기: 클라우드용 Defender MSRC(Microsoft Security Response Center)를 비롯한 여러 위협 인텔리전스 원본이 있는 고급 보안 분석 및 기계 학습 기술을 사용하여 이벤트를 평가하고 위협을 감지합니다.
엔드포인트용 Defender 통합
엔드포인트용 Defender 및 Defender for Vulnerability Management는 기본적으로 클라우드용 Defender 통합됩니다.
이 기본 통합을 통해 Defender for Servers는 엔드포인트용 Defender의 엔드포인트 감지 및 응답(EDR) 기능과 Defender for Vulnerability Management에서 제공하는 취약성 검사, 소프트웨어 인벤토리 및 프리미엄 기능을 활용할 수 있습니다.
통합에 대해 자세히 알아봅니다.
서버용 Defender 플랜
서버용 Defender는 다음 두 가지 계획을 제공합니다.
- Defender for Servers 플랜 1 은 진입 수준이며 엔드포인트용 Defender 통합에서 제공하는 EDR 기능에 중점을 둡니다.
- 서버용 Defender 플랜 2 는 계획 1과 동일한 기능과 추가 기능을 제공합니다.
보호 기능 계획
계획 기능은 표에 요약되어 있습니다.
| 기능 | 지원 계획 | 세부 정보 |
|---|---|---|
| 다중 클라우드 및 하이브리드 지원 | 계획 1 및 2에서 지원됨 | 서버용 Defender는 azure VM, AWS/GCP VM 및 클라우드용 Defender 연결된 온-프레미스 컴퓨터를 보호할 수 있습니다. 서버 용 Defender 지원 및 요구 사항을 검토합니다. |
| 엔드포인트용 Defender 자동 온보딩 | 계획 1 및 2에서 지원됨 | 클라우드용 Defender 연결된 컴퓨터에 엔드포인트용 Defender 확장을 설치하여 자동으로 엔드포인트용 Defender에 컴퓨터를 온보딩합니다. |
| 엔드포인트용 Defender EDR | 계획 1 및 2에서 지원됨 | 지원되는 엔드포인트는 엔드포인트 용 Defender EDR 기능을 사용하여 거의 실시간으로 위협 탐지를 받습니다. |
| 위협 탐지(OS 수준) | 계획 1 및 2에서 지원됨 | 엔드포인트용 Defender와 통합하면 OS 수준 위협 탐지가 제공됩니다. |
| 통합 경고 및 인시던트 | 계획 1 및 2에서 지원됨 | 엔드포인트용 Defender 경고 및 연결된 머신에 대한 인시던트가 클라우드용 Defender 표시되고 Defender 포털에서 드릴다운됩니다. 자세히 알아보기. |
| 위협 감지(Azure 네트워크 계층) | 플랜 2에서만 지원됨 | 에이전트 없는 검색은 Azure VM에 대한 네트워크 기반 보안 경고를 포함하여 네트워크의 제어 평면을 대상으로 하는 위협을 검색합니다. |
| 소프트웨어 인벤토리 검색 | 계획 1 및 2에서 지원됨 | 소프트웨어 인벤토리 검색(Defender 취약성 관리에서 제공)은 클라우드용 Defender 통합됩니다. |
| 취약성 검사(에이전트 기반) | 계획 1 및 2에서 지원됨 | 엔드포인트용 Defender 에이전트를 사용하여 서버 용 Defender는 Defender 취약성 관리를 사용하여 머신의 취약성 을 평가합니다. |
| 취약성 검사(에이전트 없는) | 플랜 2에서만 지원됨 | 에이전트 없는 검사 기능의 일부로 클라우드용 Defender Defender 취약성 관리를 사용하여 에이전트 없는 취약성 평가를 제공합니다. 에이전트 없는 평가는 에이전트 기반 취약성 검사에 추가됩니다. |
| OS 기준이 잘못 구성되었습니다. | Linux 및 Windows 컴퓨팅 보안 기준을 기반으로 하는 OS 권장 사항은 플랜 2에서만 지원됩니다. 클라우드용 Defender 다른 MCSB 권장 사항은 무료 기본 자세 관리에 계속 포함됩니다. |
클라우드용 Defender 기본 제공 Azure 정책 이니셔티브를 사용하여 기본 MCSB(Microsoft Cloud Security Benchmark) 이니셔티브를 포함하여 보안 구성을 평가하고 적용합니다. 서버용 Defender는 Azure 컴퓨터 구성 확장을 사용하여 컴퓨터 정보를 수집합니다. |
| 규정 준수 평가 | 계획 1 및 2에서 지원됨 | 무료 기본 상태 관리의 일환으로 클라우드용 Defender 몇 가지 기본 규정 준수 표준을 제공합니다. 서버용 Defender 요금제(또는 다른 유료 플랜)를 사용하도록 설정한 경우 추가 규정 준수 표준을 사용하도록 설정할 수 있습니다. |
| OS 시스템 업데이트 | 플랜 2에서만 지원됨 | 서버용 Defender는 컴퓨터를 평가하여 업데이트 및 패치가 설치되어 있는지 확인합니다. Azure Update Manager를 사용하여 업데이트 정보를 수집합니다. Defender for Servers 계획 2에서 Azure 업데이트 통합을 활용하려면 온-프레미스, AWS 및 GCP 머신을 Azure Arc와 함께 온보딩해야 합니다. 자세히 알아보세요. |
| Defender for Vulnerability Management 프리미엄 기능 | 플랜 2에서만 지원됨 | Defender for Servers 플랜 2에는 Defender 취약성 관리의 프리미엄 기능이 포함되어 있습니다. 프리미엄 기능에는 인증서 평가, OS 보안 기준 평가 등이 포함되며 Defender 포털에서만 사용할 수 있습니다. |
| 맬웨어 검사(에이전트 없는) | 플랜 2에서만 지원됨 | 엔드포인트용 Defender 통합에서 제공하는 차세대 맬웨어 방지 보호 외에도 서버용 Defender 계획 2는 에이전트 없는 검사 기능의 일부로 맬웨어 검사를 제공합니다. |
| 컴퓨터 비밀 검사(에이전트 없는) | 플랜 2에서만 지원됨 | 에이전트 없는 비밀 검사 기능의 일부로 클라우드용 Defender 컴퓨터에서 일반 텍스트 비밀을 찾기 위한 컴퓨터 비밀 검색을 제공합니다. 비밀 검사는 Defender CSPM(Cloud Security Posture Management) 계획에서도 사용할 수 있습니다. |
| 파일 무결성 모니터링 | 플랜 2에서만 지원됨 | 파일 무결성 모니터링 은 파일 및 레지스트리에서 공격을 나타낼 수 있는 변경 내용을 검사합니다. 서버용 Defender 계획 2를 사용하도록 설정한 후 파일 무결성 모니터링을 구성합니다. 파일 무결성 모니터링은 엔드포인트용 Defender 확장을 사용하여 정보를 수집합니다. MMA를 사용한 이전 컬렉션 메서드는 이제 더 이상 사용되지 않습니다. 엔드포인트용 Defender 확장으로 마이그레이션하는 방법에 대해 자세히 알아봅니다. |
| Just-In-Time 가상 머신 액세스 | 플랜 2에서만 지원됨 | Just-In-Time 가상 머신 액세스 는 머신 포트를 잠가 공격 표면을 줄입니다. |
| 네트워크 맵 | 플랜 2에서만 지원됨 | 네트워크 맵은 네트워크 리소스를 강화하기 위한 권장 사항의 지리적 보기를 제공합니다. |
| 무료 데이터 수집(500MB) | 플랜 2에서만 지원됨 | 무료 데이터 수집은 Log Analytics 작업 영역의 특정 데이터 형식에 사용할 수 있습니다. 자세히 알아보기. |
배포 범위
구독 수준에서 서버용 Defender를 사용하도록 설정하는 것이 좋지만 다음과 같이 배포 세분성이 필요한 경우 리소스 수준에서 서버용 Defender를 사용하도록 설정하고 사용하지 않도록 설정할 수 있습니다.
| 범위 | 플랜 1 | 플랜 2 |
|---|---|---|
| Azure 구독에 대해 사용 | 예 | 예 |
| 리소스에 대해 사용 | 예 | 아니요 |
| 리소스 사용 안 함 | 예 | 예 |
- 계획 1은 서버당 리소스 수준에서 사용하도록 설정하고 사용하지 않도록 설정할 수 있습니다.
- 계획 2는 리소스 수준에서 사용하도록 설정할 수 없지만 리소스 수준에서 계획을 사용하지 않도록 설정할 수 있습니다.
사용하도록 설정한 후
계획을 사용하도록 설정한 후에는 다음이 적용됩니다.
- 평가 기간: 30일 평가판 기간이 시작됩니다. 이 평가판 기간을 중지, 일시 중지 또는 연장할 수 있는 방법은 없습니다. 전체 30일 평가판을 즐기려면 평가 목표를 달성하기 위해 미리 계획하세요.
- 엔드포인트 보호: 엔드포인트용 Defender 확장은 클라우드용 Defender 연결된 지원되는 모든 컴퓨터에 자동으로 설치됩니다. 필요한 경우 자동 프로비저닝을 사용하지 않도록 설정할 수 있습니다.
- 취약성 평가: Defender 취약성 관리는 엔드포인트용 Defender 확장이 설치된 컴퓨터에서 기본적으로 사용하도록 설정됩니다.
- 에이전트 없는 검사: 서버용 Defender 계획 2를 켜면 에이전트 없는 검색이 기본적으로 사용하도록 설정됩니다.
- OS 구성 평가: 서버용 Defender 계획 2를 사용하도록 설정하면 클라우드용 Defender Microsoft Cloud Security Benchmark의 컴퓨팅 보안 기준에 대한 운영 시스템 구성 설정을 평가합니다. 이 기능을 사용하려면 컴퓨터에서 Azure 컴퓨터 구성 확장을 실행해야 합니다. 확장 설정에 대해 자세히 알아봅니다.
- 파일 무결성 모니터링: 서버용 Defender 계획 2를 사용하도록 설정한 후 파일 무결성 모니터링을 설정합니다.
다음 단계
- 서버용 Defender에 대한 일반적인 질문을 검토합니다.
- 서버용 Defender 배포를 계획합니다.