디바이스 프록시 및 인터넷 연결 설정 구성

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender 센서를 사용하려면 Microsoft Windows HTTP(WinHTTP)가 센서 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신해야 합니다. 포함된 엔드포인트용 Defender 센서는 LocalSystem 계정을 사용하여 시스템 컨텍스트에서 실행됩니다. 센서는 WinHTTP(Microsoft Windows HTTP 서비스)를 사용하여 엔드포인트용 Defender 클라우드 서비스와 통신할 수 있도록 합니다.

앞으로 프록시를 인터넷의 게이트웨이로 사용하는 조직의 경우 네트워크 보호를 사용하여 앞으로 프록시 뒤에서 발생하는 연결 이벤트를 조사할 수 있습니다.

WinHTTP 구성 설정은 WinINet(Windows Internet) 검색 프록시 설정과는 독립적입니다(WinINet 및 WinHTTP 참조). 다음 검색 방법을 사용하여 프록시 서버를 검색할 수 있습니다.

  • 자동 검색 방법:

  • 수동 정적 프록시 구성:

    • 레지스트리 기반 구성

    • netsh 명령을 사용하여 구성된 WinHTTP: 안정적인 토폴로지의 데스크톱에만 적합합니다(예: 동일한 프록시 뒤에 있는 회사 네트워크의 데스크톱).

참고

Defender 바이러스 백신 및 EDR 프록시는 독립적으로 설정할 수 있습니다. 다음 섹션에서는 이러한 차이점에 유의해야 합니다.

레지스트리 기반 정적 프록시를 사용하여 프록시 서버를 수동으로 구성합니다.

컴퓨터가 인터넷에 연결할 수 없는 경우 진단 데이터를 보고하고 엔드포인트용 Defender 서비스와 통신하도록 Defender for Endpoint 검색 및 응답(EDR) 센서에 대한 레지스트리 기반 정적 프록시를 구성합니다.

참고

Windows 10 또는 Windows 11 또는 Windows Server 2019 또는 Windows Server 2022에서 이 옵션을 사용하는 경우 다음(이상) 빌드 및 누적 업데이트 롤업을 수행하는 것이 좋습니다.

이러한 업데이트는 CnC(명령 및 제어) 채널의 연결 및 안정성을 향상시킵니다.

정적 프록시는 GP(그룹 정책)를 통해 구성할 수 있습니다. 그룹 정책 값 아래의 두 설정은 모두 EDR 사용하기 위해 프록시 서버에 구성되어야 합니다. 그룹 정책은 관리 템플릿에서 사용할 수 있습니다.

  • 관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 서비스에 대한 인증된 프록시 사용 구성

    사용하도록 설정하고 인증된 프록시 사용 사용 안 함을 선택합니다.

    그룹 정책 setting1 상태 창

  • 관리 템플릿 > Windows 구성 요소 > 데이터 수집 및 미리 보기 빌드 > 연결된 사용자 환경 및 원격 분석 구성:

    프록시를 구성합니다.

    그룹 정책 설정2 상태 창

그룹 정책 레지스트리 키 레지스트리 항목
연결된 사용자 환경 및 원격 분석 서비스에 대해 인증된 프록시 사용 구성 HKLM\Software\Policies\Microsoft\Windows\DataCollection DisableEnterpriseAuthProxy 1(REG_DWORD)
연결된 사용자 환경 및 원격 분석 구성 HKLM\Software\Policies\Microsoft\Windows\DataCollection TelemetryProxyServer servername:port or ip:port

예: 10.0.0.6:8080 (REG_SZ)

Microsoft Defender 바이러스 백신 대한 정적 프록시 구성

Microsoft Defender 바이러스 백신 클라우드 제공 보호는 새로운 위협과 새로운 위협에 대해 거의 즉각적이고 자동화된 보호를 제공합니다. Defender 바이러스 백신이 활성 맬웨어 방지 솔루션인 경우 사용자 지정 표시 기에 연결이 필요합니다. 블록 모드의 EDR 경우 비 Microsoft 솔루션을 사용할 때 기본 맬웨어 방지 솔루션이 있습니다.

관리 템플릿에서 사용할 수 있는 그룹 정책 사용하여 정적 프록시를 구성합니다.

  1. 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 서버를 정의합니다.

  2. 사용하도록 설정하고 프록시 서버를 정의합니다. URL에는 http:// 또는 https:// 있어야 합니다. https:// 지원되는 버전은 Microsoft Defender 바이러스 백신 업데이트 관리를 참조하세요.

    Microsoft Defender 바이러스 백신 프록시 서버

  3. 레지스트리 키 HKLM\Software\Policies\Microsoft\Windows Defender아래에서 정책은 레지스트리 값을 ProxyServer REG_SZ 설정합니다.

    레지스트리 값 ProxyServer 은 다음 문자열 형식을 사용합니다.

    <server name or ip>:<port>
    
    For example: http://10.0.0.6:8080
    

참고

복원력과 클라우드 제공 보호의 실시간 특성을 위해 Microsoft Defender 바이러스 백신 마지막으로 알려진 작업 프록시를 캐시합니다. 프록시 솔루션이 SSL 검사를 수행하지 않는지 확인합니다. 이렇게 하면 보안 클라우드 연결이 중단됩니다.

Microsoft Defender 바이러스 백신 정적 프록시를 사용하여 업데이트를 다운로드하기 위해 Windows 업데이트 또는 Microsoft 업데이트에 연결하지 않습니다. 대신 Windows 업데이트 사용하도록 구성된 경우 시스템 차원의 프록시를 사용하거나 구성된 대체 순서에 따라 구성된 내부 업데이트 원본을 사용합니다.

필요한 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 네트워크에 연결하기 위한 프록시 자동 구성(.pac)을 정의 할 수 있습니다. 여러 프록시를 사용하여 고급 구성을 설정해야 하는 경우 관리 템플릿 > Windows 구성 요소 > Microsoft Defender 바이러스 백신 > 주소를 정의 하여 프록시 서버를 우회하고 Microsoft Defender 바이러스 백신 해당 대상에 프록시 서버를 사용하지 못하도록 합니다.

cmdlet과 함께 PowerShell을 Set-MpPreference 사용하여 다음 옵션을 구성할 수 있습니다.

  • ProxyBypass
  • ProxyPacUrl
  • ProxyServer

참고

프록시를 올바르게 사용하려면 다음 세 가지 프록시 설정을 구성합니다.

  • MDE(엔드포인트용 Microsoft Defender)
  • AV(바이러스 백신)
  • 엔드포인트 검색 및 응답(EDR)

netsh 명령을 사용하여 수동으로 프록시 서버 구성

netsh를 사용하여 시스템 전체의 정적 프록시를 구성합니다.

참고

  • 이는 Windows 서비스를 포함하여 기본 프록시로 WinHTTP를 사용하는 모든 응용 프로그램에 영향을 미칩니다.
  • 토폴로지(예: 사무실에서 집까지)를 변경하는 랩톱은 netsh 명령으로 오작동합니다. 레지스트리 기반 정적 프록시 구성을 사용합니다.
  1. 승격된 명령줄을 열기:

    1. 시작(으)로 이동하고 cmd 를 입력하십시오.
    2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자(으)로 실행을 선택합니다.
  2. 다음 명령을 입력하고 Enter 를 누릅니다.

    netsh winhttp set proxy <proxy>:<port>
    

    예: netsh winhttp set proxy 10.0.0.6:8080

winhttp 프록시를 재설정하려면 다음 명령을 입력하고 Enter 를 누릅니다.

netsh winhttp reset proxy

자세한 내용은 Netsh 명령 구문, 컨텍스트 및 포맷을 참조하십시오.

프록시 서버에서 엔드포인트용 Microsoft Defender 서비스 URL에 대한 액세스 사용

기본적으로 프록시 또는 방화벽이 모든 트래픽을 차단하고 특정 도메인만 허용하는 경우 다운로드 가능한 시트에 나열된 도메인을 허용된 도메인 목록에 추가합니다.

다음 다운로드 가능한 스프레드시트에는 네트워크에서 연결할 수 있어야 하는 서비스 및 관련 URL이 나열되어 있습니다. 이러한 URL에 대한 액세스를 거부하는 방화벽 또는 네트워크 필터링 규칙이 없는지 확인합니다. 선택 사항으로, 특별히 허용 규칙을 만들어야 할 수 있습니다.


도메인 목록의 스프레드시트 설명
상용 고객을 위한 URL 목록 엔드포인트용 Microsoft Defender 상용 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다.

여기에서 스프레드시트를 다운로드합니다.

엔드포인트용 Microsoft Defender 계획 1 및 계획 2는 동일한 프록시 서비스 URL을 공유합니다.

Gov/GCC/DoD에 대한 URL 목록 엔드포인트용 Microsoft Defender Gov/GCC/DoD 고객을 위한 서비스 위치, 지리적 위치 및 OS에 대한 특정 DNS 레코드의 스프레드시트입니다.

여기에서 스프레드시트를 다운로드합니다.

프록시 또는 방화벽에 HTTPS 검색(SSL 검사)이 활성화된 경우 위의 표에 나열된 도메인을 HTTPS 검색에서 제외합니다. 방화벽에서 지리 열이 WW인 모든 URL을 엽니다. 지리 열이 WW가 아닌 행의 경우 특정 데이터 위치에 대한 URL을 엽니다. 데이터 위치 설정을 확인하려면 데이터 스토리지 위치 확인 및 엔드포인트용 Microsoft Defender 대한 데이터 보존 설정 업데이트를 참조하세요.

참고

버전 1803 이하에서 실행되는 디바이스를 Windows.settings-win.data.microsoft.com

v20을 포함하는 URL은 버전 1803 이상을 실행하는 Windows 디바이스가 있는 경우에만 필요합니다. 예를 들어 us-v20.events.data.microsoft.com 버전 1803 이상을 실행하고 미국 데이터 Storage 지역에 온보딩하는 Windows 디바이스에 필요합니다.

프록시 또는 방화벽이 엔드포인트용 Defender 센서로 익명 트래픽을 차단하고 시스템 컨텍스트에서 연결하여 이전에 나열된 URL에서 익명 트래픽이 허용되는지 확인하는 경우

참고

Microsoft는 프록시 서버를 제공하지 않습니다. 이러한 URL은 구성하는 프록시 서버를 통해 액세스할 수 있습니다.

MMA(Microsoft Monitoring Agent) - 이전 버전의 Windows 클라이언트 또는 Windows Server에 대한 프록시 및 방화벽 요구 사항

프록시 및 방화벽 구성 정보 목록의 정보는 Windows 7 SP1, Windows 8.1 및 Windows Server 2008 R2*와 같은 이전 버전의 Windows Log Analytics 에이전트(Microsoft Monitoring Agent라고도 함)와 통신하는 데 필요합니다.



에이전트 리소스 포트 방향 HTTP 검사 바이패스
*.ods.opinsights.azure.com 포트 443 아웃바운드
*.oms.opinsights.azure.com 포트 443 아웃바운드
*.blob.core.windows.net 포트 443 아웃바운드
*.azure-automation.net 포트 443 아웃바운드

참고

*이러한 연결 요구 사항은 이전 Windows Server 2016 엔드포인트용 Microsoft Defender MMA가 필요한 Windows Server 2012 R2에 적용됩니다. 이러한 운영 체제를 새 통합 솔루션으로 온보딩하는 지침은 Windows 서버를 온보딩하거나 엔드포인트용 Microsoft Defender 서버 마이그레이션 시나리오에서 새로운 통합 솔루션으로 마이그레이션하는 것입니다.

참고

클라우드 기반 솔루션으로 IP 범위가 변경 될 수 있습니다. DNS 확인 설정으로 이동하는 것이 좋습니다.

MMA(Microsoft Monitoring Agent) 서비스 URL 요구 사항 확인

이전 버전의 Windows MMA(Microsoft Monitoring Agent)를 사용할 때 특정 환경에 대한 와일드카드(*) 요구 사항을 제거하려면 다음 지침을 참조하세요.

  1. Microsoft Monitoring Agent(MMA)를 사용하여 이전 운영 체제를 엔드포인트용 Defender에 온보딩합니다(자세한 내용은 엔드포인트용 Defender 및 온보딩 Windows 서버에서 이전 버전의 Windows 온보딩 참조).

  2. 컴퓨터가 Microsoft 365 Defender 포털에 성공적으로 보고되는지 확인합니다.

  3. "C:\Program Files\Microsoft Monitoring Agent\Agent"에서 TestCloudConnection.exe 도구를 실행하여 연결의 유효성을 검사하고 특정 작업 영역에 필요한 URL을 가져옵니다.

  4. 엔드포인트용 Microsoft Defender URL 목록에서 해당 지역의 전체 요구 사항 목록을 확인합니다(서비스 URL 스프레드시트 참조).

    Windows PowerShell 관리자

.ods.opinsights.azure.com, *.oms.opinsights.azure.com 및 *.agentsvc.azure-automation.net URL 엔드포인트에 *사용되는 와일드카드(*)를 특정 작업 영역 ID로 바꿀 수 있습니다. 작업 영역 ID는 사용자 환경 및 작업 영역에 따라 다릅니다. Microsoft 365 Defender 포털 내 테넌트 온보딩 섹션에서 찾을 수 있습니다.

.blob.core.windows.net URL 엔드포인트는 *테스트 결과의 "방화벽 규칙: *.blob.core.windows.net" 섹션에 표시된 URL로 바꿀 수 있습니다.

참고

클라우드용 Microsoft Defender 통해 온보딩하는 경우 여러 작업 영역을 사용할 수 있습니다. 각 작업 영역에서 온보딩된 컴퓨터에서 TestCloudConnection.exe 프로시저를 수행해야 합니다(작업 영역 간에 *.blob.core.windows.net URL이 변경되었는지 확인하려면).

엔드포인트용 Microsoft Defender 서비스 URL에 대한 클라이언트 연결 확인

프록시 구성이 성공적으로 완료되었는지 확인합니다. 그런 다음 WinHTTP는 사용자 환경의 프록시 서버를 통해 검색하고 통신할 수 있으며 프록시 서버는 엔드포인트용 Defender 서비스 URL에 대한 트래픽을 허용합니다.

  1. 엔드포인트용 Defender 센서가 실행 중인 PC에 엔드포인트용 Microsoft Defender 클라이언트 분석기 도구를 다운로드합니다. 다운레벨 서버의 경우 최신 미리 보기 버전을 사용하여 클라이언트 분석기 도구 베타 엔드포인트용 Microsoft Defender 다운로드할 수 있습니다.

  2. 디바이스에서 MDEClientAnalyzer.zip 콘텐츠를 추출합니다.

  3. 승격된 명령줄을 열기:

    1. 시작(으)로 이동하고 cmd 를 입력하십시오.
    2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자(으)로 실행을 선택합니다.
  4. 다음 명령을 입력하고 Enter 를 누릅니다.

    HardDrivePath\MDEClientAnalyzer.cmd
    

    HardDrivePath 를 MDEClientAnalyzer 도구가 다운로드된 경로로 바꿉 있습니다. 예를 들면 다음과 같습니다.

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    
  5. 이 도구는 HardDrivePath 에서 사용할 폴더의MDEClientAnalyzerResult.zip 파일을 만들고 추출합니다.

  6. MDEClientAnalyzerResult.txt 열고 프록시 구성 단계를 수행하여 서버 검색 및 서비스 URL에 대한 액세스를 사용하도록 설정했는지 확인합니다.

    이 도구는 엔드포인트용 Defender 서비스 URL의 연결을 확인합니다. 엔드포인트용 Defender 클라이언트가 상호 작용하도록 구성되어 있는지 확인합니다. 이 도구는 엔드포인트용 Defender 서비스와 통신하는 데 잠재적으로 사용될 수 있는 각 URL의 MDEClientAnalyzerResult.txt 파일에 결과를 출력합니다. 예를 들면 다음과 같습니다.

    Testing URL : https://xxx.microsoft.com/xxx
    1 - Default proxy: Succeeded (200)
    2 - Proxy auto discovery (WPAD): Succeeded (200)
    3 - Proxy disabled: Succeeded (200)
    4 - Named proxy: Doesn't exist
    5 - Command line proxy: Doesn't exist
    

연결 옵션 중 하나가 (200) 상태를 반환하는 경우 엔드포인트용 Defender 클라이언트는 이 연결 방법을 사용하여 테스트된 URL과 제대로 통신할 수 있습니다.

그러나 연결 검사 결과가 오류를 나타내는 경우 HTTP 오류가 표시됩니다(HTTP 상태 코드 참조). 그런 다음 프록시 서버에서 Defender for Endpoint 서비스 URL에 대한 액세스 사용 설정에 표시된 테이블의 URL을 사용할 수 있습니다. 사용할 수 있는 URL은 온보딩 절차 중에 선택한 지역에 따라 달라집니다.

참고

연결 분석기 도구의 클라우드 연결 검사는 PSExec 및 WMI 명령에서 시작된 공격 표면 감소 규칙 블록 프로세스 생성과 호환되지 않습니다. 연결 도구를 실행하려면 이 규칙을 일시적으로 사용하지 않도록 설정해야 합니다. 또는 분석기를 실행할 때 ASR 제외를 일시적으로 추가할 수 있습니다.

TelemetryProxyServer가 레지스트리 또는 그룹 정책 통해 설정되면 엔드포인트용 Defender가 대체되고 정의된 프록시에 액세스하지 못합니다.