네트워크 요구 사항
참고
Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.
Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.
이 문서에서는 Microsoft Defender for Cloud Apps 사용할 수 있도록 허용 목록에 필요한 포트 및 IP 주소 목록을 제공합니다.
데이터 센터 보기
아래 요구 사항 중 일부는 연결되어 있는 데이터 센터에 따라 다릅니다.
연결할 데이터 센터를 확인하려면 다음 단계를 수행합니다.
클라우드용 Defender 앱 포털의 메뉴 모음에서 물음표 아이콘을 선택합니다. 그런 다음, 정보를 선택합니다.
클라우드용 Defender 앱 버전 화면에서 지역 및 데이터 센터를 볼 수 있습니다.
포털 액세스
클라우드용 Defender 앱 포털에 액세스하려면 방화벽의 허용 목록에 다음 IP 주소 및 DNS 이름에 대한 아웃바운드 포트 443을 추가합니다.
portal.cloudappsecurity.com
*.portal.cloudappsecurity.com
cdn.cloudappsecurity.com
https://adaproddiscovery.azureedge.net
*.s-microsoft.com
*.msecnd.net
dev.virtualearth.net
*.cloudappsecurity.com
flow.microsoft.com
static2.sharepointonline.com
dc.services.visualstudio.com
*.blob.core.windows.net
미국 정부 GCC 높은 고객의 경우 클라우드용 Defender 앱 GCC High 포털에 대한 액세스를 제공하기 위해 방화벽의 허용 목록에 다음 DNS 이름을 추가해야 합니다.
portal.cloudappsecurity.us
*.portal.cloudappsecurity.us
cdn.cloudappsecurity.com
또한 사용하는 데이터 센터에 따라 다음 항목이 허용되어야 합니다.
| 데이터 센터 | IP 주소 | DNS 이름 |
|---|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.us.portal.cloudappsecurity.com |
| US2 | 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 | *.us2.portal.cloudappsecurity.com |
| US3 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.us3.portal.cloudappsecurity.com |
| EU1 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 | *.eu.portal.cloudappsecurity.com |
| EU2 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 | *.eu2.portal.cloudappsecurity.com |
| Gov US1 | 13.72.19.4, 52.227.143.223 | *.us1.portal.cloudappsecurity.us |
| GCC | 52.227.23.181, 52.227.180.126 | portal.cloudappsecuritygov.com, *.portal.cloudappsecuritygov.com, *.us1.portal.cloudappsecuritygov.com |
참고
와일드카드(*) 대신 특정 테넌트 URL만 열 수 있습니다. 예를 들어 위의 스크린샷에 따라 다음을 열 수 있습니다. mod244533.us.portal.cloudappsecurity.com
액세스 및 세션 컨트롤
환경과 관련된 설정을 사용하여 역방향 프록시에 대한 방화벽을 구성합니다.
상용 고객
상용 고객의 경우 클라우드용 Defender 앱 역방향 프록시를 사용하도록 설정하려면 방화벽의 허용 목록에 다음 IP 주소 및 DNS 이름에 대한 아웃바운드 포트 443을 추가합니다.
*.cas.ms
*.mcas.ms
*.admin-mcas.ms
mcasproxy.azureedge.net
또한 역방향 프록시 지역에서 사용하는 다음 IP 주소를 허용해야 합니다.
| IP 주소 | DNS 이름 | |
|---|---|---|
| 세션 컨트롤 | 오스트레일리아 남동부: 40.81.58.184, 40.81.58.180, 20.40.163.96, 20.40.163.88, 40.81.62.221, 40.81.62.206, 20.40.160.184, 20.40.163.130 브라질 남부: 191.235.123.114, 191.235.121.164, 191.235.122.101, 191.235.119.253, 191.233.23.29, 191.234.216.181, 191.233.21.52, 191.234.216.10 캐나다 중부: 40.82.187.211, 40.82.187.164, 52.139.18.234, 52.139.20.118, 40.82.187.199, 40.82.187.179, 52.139.19.215, 52.139.18.236 인도 중부: 20.193.137.191, 20.193.137.153, 20.193.138.1, 20.193.136.234, 20.193.131.246, 20.193.131.250, 20.193.131.247, 20.193.131.248 북유럽: 52.156.205.222, 52.156.204.99, 52.155.166.50, 52.142.127.127, 52.155.181.183, 52.155.168.45, 52.156.202.7, 52.142.124.23 동남 아시아: 40.65.170.125, 40.65.170.123, 52.139.245.40, 52.139.245.48, 40.119.203.158, 40.119.203.209, 20.184.61.67, 20.184.60.77 서유럽: 52.157.233.49, 52.157.235.27, 51.105.164.234, 51.105.164.241 영국 서부: 40.81.121.140, 40.81.121.135, 51.137.137.121, 51.137.137.118 미국 동부: 104.45.170.196, 104.45.170.182, 52.151.238.5, 52.151.237.243, 104.45.170.173, 104.45.170.176, 52.224.188.157, 52.224.188.168 미국 서부 2: 52.156.88.173, 52.149.61.128, 52.149.61.214, 52.149.63.211, 20.190.7.24, 20.190.6.224, 20.190.7.239, 20.190.7.233 |
*.mcas.ms *.admin-mcas.ms |
| 액세스 제어 | 오스트레일리아 남동부: 40.81.63.7, 40.81.59.90, 40.81.62.222, 40.81.62.212, 20.42.228.161 브라질 남부: 191.235.123.242, 191.235.122.224, 20.197.208.38, 20.197.208.36,191.235.228.36 북유럽: 40.67.251.0, 52.156.206.47, 52.155.182.49, 52.155.181.181, 20.50.64.15 서유럽: 52.157.234.222, 52.157.236.195 동남 아시아: 40.65.170.137, 40.65.170.26, 40.119.203.98, 40.119.203.208, 20.43.132.128 영국 서부: 40.81.127.139, 40.81.127.25, 51.137.163.32 미국 동부: 104.45.170.184, 104.45.170.185, 104.45.170.174, 104.45.170.127, 20.49.104.46 미국 서부 2: 52.149.59.151, 52.156.89.175, 20.72.216.133, 20.72.216.137,20.115.232.7 캐나다 중부: 20.48.202.161 |
*.access.mcas.ms *.us.access-control.cas.ms *.us2.access-control.cas.ms *.eu.access-control.cas.ms *.prod04.access-control.cas.ms *.prod05.access-control.cas.ms |
| SAML 프록시 | 북유럽: 20.50.64.15 미국 동부: 20.49.104.26 미국 서부 2: 20.42.128.102 |
*.us.saml.cas.ms *.us2.saml.cas.ms *.us3.saml.cas.ms *.eu.saml.cas.ms *.eu2.saml.cas.ms |
미국 정부 제품
미국 정부 GCC 높은 고객의 경우 클라우드용 Defender 앱 역방향 프록시를 사용하도록 설정하려면 방화벽의 허용 목록에 다음 DNS 이름에 대한 아웃바운드 포트 443을 추가합니다.
*.mcas-gov.us
*.admin-mcas-gov.us
mcasproxy.azureedge.net
또한 역방향 프록시 지역에서 사용되는 다음 IP 주소를 허용해야 합니다.
미국 정부 GCC 높은 고객의 경우:
| IP 주소 | DNS 이름 | |
|---|---|---|
| 세션 컨트롤 | US Gov 애리조나: 52.244.144.65, 52.244.43.90, 52.244.43.225, 52.244.215.117 US Gov 버지니아: 13.72.27.223, 13.72.27.219, 13.72.27.220, 13.72.27.222 |
*.mcas-gov.us *.admin-mcas-gov.us |
| 액세스 제어 | US Gov 애리조나: 52.244.215.83, 52.244.212.197 US Gov 버지니아: 13.72.27.216, 13.72.27.215, 52.127.50.130 |
*.access.mcas-gov.us *.access.cloudappsecurity.us |
| SAML 프록시 | 미국 애리조나 주 정부: 20.140.49.129 US Gov 버지니아: 52.227.216.80 |
*.saml.cloudappsecurity.us |
미국 정부 GCC 고객의 경우:
| IP 주소 | DNS 이름 | |
|---|---|---|
| 세션 컨트롤 | US Gov 버지니아: 52.245.225.0, 52.245.224.229, 52.245.224.234, 52.245.224.228 | *.mcas-gov.ms *.admin-mcas-gov.ms |
| 액세스 제어 | US Gov 버지니아: 52.245.224.235, 52.245.224.227, 52.127.50.130 | *.access.mcas-gov.ms |
| SAML 프록시 | US Gov 버지니아: 52.227.216.80 | *.saml.cloudappsecuritygov.com |
SIEM 에이전트 연결
클라우드용 Defender 앱이 SIEM에 연결할 수 있도록 하려면 방화벽의 허용 목록에 다음 IP 주소에 대한 아웃바운드 포트 443을 추가합니다.
| 데이터 센터 | IP 주소 |
|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.80.125.22, 13.91.91.243, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| US2 | 13.80.125.22, 20.36.222.59, 20.36.222.60, 40.74.1.235, 40.74.6.204, 51.143.58.207, 52.137.89.147, 52.183.75.62, 52.184.165.82 |
| US3 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.90.218.196, 40.90.218.198, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| EU1 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.119.154.72, 51.143.58.207, 52.137.89.147, 52.157.238.58, 52.174.56.180, 52.183.75.62 |
| EU2 | 13.80.125.22, 40.74.1.235, 40.74.6.204, 40.81.156.154, 40.81.156.156, 51.143.58.207, 52.137.89.147, 52.183.75.62 |
| Gov US1 | 13.72.19.4, 52.227.143.223 |
| GCC | 52.227.23.181, 52.227.180.126 |
참고
- 클라우드용 Defender Apps SIEM 에이전트를 설정할 때 프록시를 지정하지 않은 경우 Azure TLS 인증서 변경 페이지에 나열된 URL에 대해 포트 80에서 http 연결을 허용해야 합니다. 클라우드용 Defender 앱 포털에 연결할 때 인증서 해지 상태를 확인하는 데 사용됩니다.
- SIEM 에이전트 연결에는 정품 Microsoft Defender for Cloud Apps 인증서 사용이 필요합니다.
앱 커넥터
클라우드용 Defender 앱에서 일부 타사 앱에 액세스하려면 이러한 IP 주소를 사용할 수 있습니다. IP 주소를 사용하면 클라우드용 Defender 앱이 로그를 수집하고 클라우드용 Defender 앱 콘솔에 대한 액세스를 제공할 수 있습니다.
참고
클라우드용 Defender 앱이 이러한 IP 주소에서 거버넌스 작업 및 검사를 수행하므로 공급업체의 활동 로그에 이러한 IP 주소가 표시 될 수 있습니다.
타사 앱에 연결하려면 클라우드용 Defender 앱이 다음 IP 주소에서 연결할 수 있도록 설정합니다.
| 데이터 센터 | IP 주소 |
|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.68.76.47, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.42.54.148, 104.209.35.177, 40.83.194.192, 40.83,.194.193, 40.83.194.194, 40.83.194.195, 40.83.194.196, 40.83.194.197, 40.83.194.198, 40.83.194.199, 40.83.194.200, 40.83.194.201, 40.83.194.202, 40.83.194.203, 40.83.194.204, 40.83.194.205, 40.83.194.206, 40.83.194.207 |
| US2 | 13.68.76.47, 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.42.54.148, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189, 20.57.54.192, 20.57.54.193, 20.57.54.194, 20.57.54.195, 20.57.54.196, 20.57.54.197, 20.57.54.198, 20.57.54.199, 20.57.54.200, 20.57.54.201, 20.57.54.202, 20.57.54.203, 20.57.54.204, 20.57.54.205, 20.57.54.206, 20.57.54.207 |
| US3 | 13.68.76.47, 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242, 104.42.54.148, 52.156.123.128, 52.156.123.129, 52.156.123.130, 52.156.123.131, 52.156.123.132, 52.156.123.133, 52.156.123.134, 52.156.123.135, 52.156.123.136, 52.156.123.137, 52.156.123.138, 52.156.123.139, 52.156.123.140, 52.156.123.141, 52.156.123.142, 52.156.123.143 |
| EU1 | 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.115.25.50, 40.119.154.72, 51.105.55.62, 51.105.179.157, 51.137.200.32, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180, 20.73.240.208, 20.73.240.209, 20.73.240.210, 20.73.240.211, 20.73.240.212, 20.73.240.213, 20.73.240.214, 20.73.240.215, 20.73.240.216, 20.73.240.217, 20.73.240.218, 20.73.240.219, 20.73.240.220, 20.73.240.221, 20.73.240.222, 20.73.240.223 |
| EU2 | 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.105.55.62, 51.137.200.32, 51.145.108.227, 51.145.108.250, 20.58.119.224, 20.58.119.225, 20.58.119.226, 20.58.119.227, 20.58.119.228, 20.58.119.229, 20.58.119.230, 20.58.119.231, 20.58.119.232, 20.58.119.233, 20.58.119.234, 20.58.119.235, 20.58.119.236, 20.58.119.237, 20.58.119.238, 20.58.119.239 |
| Gov US1 | 52.227.138.248, 52.227.142.192, 52.227.143.223 |
| GCC | 52.227.23.181, 52.227.180.126 |
타사 DLP 통합
클라우드용 Defender 앱이 stunnel을 통해 ICAP 서버로 데이터를 보낼 수 있도록 하려면 동적 원본 포트 번호로 이러한 IP 주소에 대한 DMZ 방화벽을 엽니다.
- 원본 주소 - 이러한 주소는 API 커넥터 타사 앱에 대해 위에 나열된 대로 허용되어야 합니다.
- 원본 TCP 포트 - 동적
- 대상 주소 - 외부 ICAP 서버에 연결된 stunnel의 하나 또는 두 개의 IP 주소
- 대상 TCP 포트 - 네트워크에 정의된 대로
참고
- 기본적으로 stunnel 포트 번호는 11344로 설정됩니다. 필요한 경우 다른 포트로 변경할 수 있지만 새 포트 번호를 기록해 두어야 합니다.
- 클라우드용 Defender 앱이 이러한 IP 주소에서 거버넌스 작업 및 검사를 수행하므로 공급업체의 활동 로그에 이러한 IP 주소가 표시 될 수 있습니다.
타사 앱에 연결하고 외부 DLP 솔루션과 통합하려면 클라우드용 Defender 앱이 다음 IP 주소에서 연결할 수 있도록 설정합니다.
| 데이터 센터 | IP 주소 |
|---|---|
| US1 | 13.64.26.88, 13.64.29.32, 13.64.30.76, 13.64.30.117, 13.64.30.118, 13.64.31.116, 13.64.196.27, 13.64.198.19, 13.64.198.97, 13.64.199.41, 13.86.176.189, 13.86.176.211, 13.91.61.249, 13.91.91.243, 13.91.98.185, 13.93.216.68, 13.93.233.42, 40.118.211.172, 104.209.35.177 |
| US2 | 20.36.222.59, 20.36.222.60, 40.67.152.91, 40.67.154.160, 40.67.155.146, 40.67.159.55, 40.84.2.83, 40.84.4.93, 40.84.4.119, 52.184.165.82, 52.232.224.227, 52.232.225.84, 104.46.116.211, 104.46.116.211, 104.46.121.72, 104.46.121.72, 104.46.122.189, 104.46.122.189 |
| US3 | 40.90.218.196, 40.90.218.197, 40.90.218.198, 40.90.218.203, 40.90.220.190, 40.90.220.196, 51.143.120.236, 51.143.120.242 |
| EU1 | 13.80.22.71, 13.95.29.177, 13.95.30.46, 40.67.219.133, 40.114.217.8, 40.114.217.8, 40.115.24.65, 40.115.24.65, 40.115.25.50, 40.119.154.72, 51.105.179.157, 52.157.232.110, 52.157.233.92, 52.157.233.133, 52.157.238.58, 52.157.239.110, 52.174.56.180 |
| EU2 | 40.81.152.171, 40.81.152.172, 40.81.156.153, 40.81.156.154, 40.81.156.155, 40.81.156.156, 51.145.108.227, 51.145.108.250 |
메일 서버
기본 템플릿 및 설정에서 알림을 보낼 수 있도록 하려면 스팸 방지 허용 목록에 이러한 IP 주소를 추가합니다. 클라우드용 Defender 앱 전용 전자 메일 IP 주소는 다음과 같습니다.
- 65.55.234.192/26
- 207.46.50.192/26
- 65.55.52.224/27
- 94.245.112.0/27
- 111.221.26.0/27
- 207.46.200.0/27
전자 메일 보낸 사람 ID를 사용자 지정하려는 경우 Microsoft Defender for Cloud Apps 타사 전자 메일 서비스인 MailChimp®를 사용하여 사용자 지정할 수 있습니다. 작동하려면 Microsoft Defender for Cloud Apps 포털에서 설정 이동합니다. 메일 설정을 선택하고 MailChimp의 서비스 약관 및 개인정보처리방침을 검토합니다. 그런 다음, 사용자를 대신하여 MailChimp를 사용할 수 있는 권한을 Microsoft에 제공합니다.
보낸 사람 ID를 사용자 지정하지 않으면 모든 기본 설정을 사용하여 전자 메일 알림이 전송됩니다.
MailChimp를 사용하려면 스팸 방지 허용 목록에 이 IP 주소를 추가하여 알림을 보낼 수 있도록 합니다. 198.2.134.139(mail1.cloudappsecurity.com)
로그 수집기
로그 수집기를 사용하여 클라우드 검색 기능을 사용하도록 설정하고 조직에서 섀도 IT를 검색하려면 다음 항목을 엽니다.
로그 수집기가 데이터 원본에 대해 구성된 인바운드 FTP 및 Syslog 트래픽을 수신하도록 허용합니다.
로그 수집기가 포트 443에서 클라우드용 Defender Apps 포털(예
contoso.cloudappsecurity.com:)에 대한 아웃바운드 트래픽을 시작하고 포트 53(DNS 서비스)에 액세스할 수 있도록 허용합니다.로그 수집기가 443 포트에서 Azure Blob Storage에 대한 아웃바운드 트래픽을 시작하도록 허용합니다.
참고
- 방화벽에 고정 IP 주소 액세스 목록이 필요하고 URL 기반 허용을 지원하지 않는 경우 로그 수집기가 포트 443에서 Microsoft Azure 데이터 센터 IP 범위에 대한 아웃바운드 트래픽을 시작하도록 허용합니다.
- 로그 수집기를 설정할 때 프록시를 지정하지 않은 경우 Azure TLS 인증서 변경 페이지에 나열된 URL에 대해 포트 80에서 http 연결을 허용해야 합니다. 클라우드용 Defender 앱 포털에 연결할 때 인증서 해지 상태를 확인하는 데 사용됩니다.
다음 단계
문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.