클라우드용 Defender 통합 EDR 솔루션으로 엔드포인트 보호: 엔드포인트용 Microsoft Defender

엔드포인트용 Microsoft Defender는 클라우드에서 제공하는 전체적인 엔드포인트 보안 솔루션입니다. 주요 기능은 다음과 같습니다.

  • 위험 기반 취약성 관리 및 평가
  • 공격 노출 영역 축소
  • 동작 기반 및 클라우드 기반 보호
  • EDR(엔드포인트 검색 및 응답)
  • 자동 조사 및 수정
  • 관리되는 헌팅 서비스

원래 Windows Defender ATP로 출시된 이 EDR 제품은 2019년에 Microsoft Defender ATP로 이름이 변경되었습니다.

Ignite 2020에서 Microsoft는 클라우드용 Microsoft Defender XDR 제품군을 출시했으며 이 EDR 구성 요소의 이름은 MDE(엔드포인트용 Microsoft Defender)로 변경되었습니다.

가용성

양상 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: 서버용 Microsoft Defender Plan 1 또는 Plan 2가 필요합니다.
지원되는 환경: Windows/Linux를 실행하는 Azure Arc 지원 컴퓨터
Linux(지원되는 버전)를 실행하는 Azure VM
Windows Server 2022, 2019, 2016, 2012 R2, 2008 R2 SP1, Azure Virtual Desktop(이전 명칭 Windows Virtual Desktop), Windows 10 Enterprise 다중 세션(이전 명칭 Enterprise for Virtual Desktops)을 실행하는 Azure VM
Windows 11 또는 Windows 10을 실행하는 Azure VM(Azure Virtual Desktop 또는 Windows 10 Enterprise 다중 세션을 실행하는 경우 제외)
필요한 역할 및 권한: * 통합을 사용하거나 사용하지 않도록 설정하려는 경우: 보안 관리자 또는 소유자
* 클라우드용 Defender에서 엔드포인트용 Defender 경고를 보려면 보안 읽기 권한자, 읽기 권한자, 리소스 그룹 기여자, 리소스 그룹 소유자, 보안 관리자, 구독 소유자 또는 구독 기여자
클라우드: 상용 클라우드
Azure Government(Windows만 해당)
Azure 중국 21Vianet
연결된 AWS 계정

엔드포인트용 Microsoft Defender와 클라우드용 Defender 통합의 이점

엔드포인트용 Microsoft Defender는 Azure, 하이브리드 클라우드(온-프레미스) 또는 AWS에서 호스팅되는 Windows 및 Linux 컴퓨터를 보호합니다. 보호에는 다음이 포함됩니다.

  • 고급 위반 후 검색 센서. 엔드포인트용 Defender의 센서는 컴퓨터에서 광범위한 동작 신호를 수집합니다.

  • Microsoft 위협 및 취약성 관리 솔루션의 취약성 평가. 엔드포인트용 Microsoft Defender가 설치되면 클라우드용 Defender는 위협 및 취약성 관리 모듈에서 발견한 취약성을 표시하고 이 모듈을 지원되는 취약성 평가 솔루션으로 제공할 수도 있습니다. 엔드포인트용 Microsoft Defender의 위협 및 취약성 관리를 통한 취약성 조사에서 자세히 알아보세요.

    이 모듈은 또한 소프트웨어 인벤토리 액세스에 설명된 소프트웨어 인벤토리 기능을 제공하며 자동 배포 설정을 통해 지원되는 컴퓨터에 대해 자동으로 사용하도록 설정할 수 있습니다.

  • 분석 기반, 클라우드 기반, 위반 후 검색. 엔드포인트용 Defender는 지속적으로 변화하는 위협에 빠르게 적응하며 고급 분석 기능과 빅 데이터를 활용합니다. 또한 Windows, Azure, Office 전반에 걸쳐 생성되는 신호를 통해 알려지지 않은 위협을 검색하는 Intelligent Security Graph의 기능을 통해 보안을 더욱 강화하며 신속하게 대응할 수 있도록 조치 가능한 경고를 제공합니다.

  • 위협 인텔리전스. 엔드포인트용 Defender는 공격자 도구, 기술, 절차를 식별할 때 경고를 생성합니다. 이 과정에서는 Microsoft 위협 확인 담당자와 보안 팀에서 생성하며 파트너가 제공한 정보를 통해 강화된 데이터를 활용합니다.

엔드포인트용 Defender를 클라우드용 Defender와 통합하면 다음과 같은 추가 기능의 이점을 얻을 수 있습니다.

  • 자동 온보딩. 클라우드용 Defender는 클라우드용 Defender에 연결된 지원되는 모든 컴퓨터에서 엔드포인트용 Defender 센서를 자동으로 사용하도록 설정합니다.

  • 단일 창. 클라우드용 Defender 포털 페이지에는 엔드포인트용 Defender 경고가 표시됩니다. 추가로 조사하려면 경고 프로세스 트리 및 인시던트 그래프와 같은 추가 정보가 표시되는 엔드포인트용 Microsoft Defender의 자체 포털 페이지를 사용합니다. 그리고 이전 기간(최대 6개월 전)의 모든 동작이 표시되는 세부 컴퓨터 타임라인도 확인할 수 있습니다.

    Microsoft Defender for Endpoint's own Security Center

엔드포인트 테넌트용 Microsoft Defender에 대한 요구 사항은 무엇인가요?

클라우드용 Defender를 사용하여 컴퓨터를 모니터링하면 엔드포인트용 Defender 테넌트가 자동으로 만들어집니다.

  • 위치: 엔드포인트용 Defender에서 수집한 데이터는 프로비저닝 중 식별되는 대로 테넌트의 지리적 위치에 저장됩니다. 고객 데이터 - 가명 양식 - 미국에 있는 중앙 스토리지 및 처리 저장소 및 처리 시스템에도 저장될 수 있습니다. 위치를 구성한 후에는 변경할 수 없습니다. 엔드포인트용 Microsoft Defender에 대한 라이선스가 있고 다른 위치로 데이터를 이동해야 하는 경우 Microsoft 지원에 문의하여 테넌트를 다시 설정합니다.
  • 구독 이동: Azure 테넌트 간에 Azure 구독을 이동한 경우 클라우드용 Defender가 엔드포인트용 Defender를 배포하기 전에 몇 가지 수동 준비 단계가 필요합니다. 자세한 내용은 Microsoft 지원에 문의하세요.

엔드포인트용 Microsoft Defender 통합 사용 설정

필수 구성 요소

머신이 엔드포인트용 Defender에 필요한 요구 사항을 충족하는지 확인합니다.

  1. 머신이 필요에 맞게 Azure와 인터넷에 연결되어 있는지 확인합니다.

  2. 서버용 Microsoft Defender를 사용하도록 설정합니다. 빠른 시작: 클라우드용 Defender의 강화된 보안 기능 사용을 참조하세요.

    중요

    Defender for Cloud와 엔드포인트용 Microsoft Defender의 통합은 기본적으로 사용하도록 설정되어 있습니다. 따라서 강화된 보안 기능을 사용하도록 설정하면 서버용 Microsoft Defender가 엔드포인트에 대한 취약성, 설치된 소프트웨어 및 경고와 관련된 엔드포인트용 Microsoft Defender 데이터에 액세스하는 데 동의하는 것입니다.

  3. Windows 서버의 경우 서버가 엔드포인트용 Microsoft Defender 온보딩 요구 사항을 충족하는지 확인합니다.

  4. Azure 테넌트 간에 구독을 이동한 경우 몇 가지 수동 준비 단계도 필요합니다. 자세한 내용은 Microsoft 지원에 문의하세요.

통합 사용

새 MDE 통합 솔루션은 Log Analytics 에이전트를 사용하거나 설치하지 않아도 됩니다. 통합 솔루션은 Azure Arc를 통해 연결된 모든 Windows 서버와 다중 클라우드 커넥터를 통해 연결된 다중 클라우드 서버에 대해 자동으로 배포됩니다. 단, 서버용 Defender 플랜 2로 보호되는 Azure의 Windows 2012 R2 및 2016 서버는 예외입니다. 해당 컴퓨터에 MDE 통합 솔루션을 배포하도록 선택할 수 있습니다.

Windows 컴퓨터에 이미 배포했는지 여부에 따라 두 가지 방법 중 하나로 엔드포인트용 Defender를 Windows 컴퓨터에 배포합니다.

서버용 Defender가 사용하도록 설정되고 엔드포인트용 Microsoft Defender가 배포된 사용자

이미 엔드포인트용 Defender와의 통합을 사용하도록 설정한 경우 MDE 통합 솔루션을 Windows 컴퓨터에 배포할 시기와 배포 여부를 완전히 제어할 수 있습니다.

  1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 엔드포인트용 Defender를 수신할 Windows 컴퓨터의 구독을 선택합니다.

  2. 통합을 선택합니다. 다음과 같이 엔드포인트용 Microsoft Defender에서 데이터에 액세스하도록 허용 확인란을 선택하면 통합이 사용됩니다.

    The integration between Microsoft Defender for Cloud and Microsoft's EDR solution, Microsoft Defender for Endpoint, is enabled.

    참고

    이 확인란을 선택하지 않은 경우 엔드포인트용 Microsoft Defender(Windows)와의 통합을 한 번도 설정한 적이 없는 사용자의 지침을 따릅니다.

  3. MDE 통합 솔루션을 Windows Server 2012 R2 및 2016 컴퓨터에 배포하려면:

    1. 통합 솔루션 사용을 선택합니다.
    2. 저장을 선택합니다.
    3. 확인 메시지에서 정보를 확인하고 사용을 선택하여 계속합니다.

    Confirming the use of the MDE unified solution for Windows Server 2012 R2 and 2016 machines

    클라우드용 Microsoft Defender는 다음을 수행합니다.

    • 서버용 Defender에 대한 데이터를 수집하는 Log Analytics 에이전트에서 기존 MDE 프로세스를 중지합니다.
    • 모든 기존 및 신규 Windows Server 2012 R2 및 2016 컴퓨터에 대해 MDE 통합 솔루션을 설치합니다.
    • 통합 옵션에서 통합 솔루션 사용을 제거합니다.

    클라우드용 Microsoft Defender는 자동으로 컴퓨터를 엔드포인트용 Microsoft Defender에 온보딩합니다. 온보딩은 최대 12시간까지 걸릴 수 있습니다. 통합이 사용하도록 설정된 후에 만들어진 새 컴퓨터의 경우 온보딩에 최대 1시간이 걸립니다.

    참고

    서버용 Defender 플랜 2의 Windows 2012 R2 및 2016 서버에 MDE 통합 솔루션을 배포하지 않기로 선택한 다음 서버용 Defender를 플랜 1로 다운그레이드하면 MDE 통합 솔루션이 해당 서버에 배포되지 않으므로 기존 배포가 그대로 유지됩니다. 사용자의 명시적인 동의 없이 변경되지 않습니다.

Windows에 대한 엔드포인트용 Microsoft Defender와의 통합을 한 번도 설정한 적이 없는 사용자

Windows 통합을 사용하도록 한 번도 설정한 적이 없는 경우 엔드포인트용 Microsoft Defender에서 데이터에 액세스하도록 허용 옵션을 선택하면 클라우드용 Defender가 엔드포인트용 Defender를 Windows 머신과 Linux 머신 모두에 배포할 수 있습니다.

  1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 엔드포인트용 Defender를 수신할 컴퓨터의 구독을 선택합니다.

  2. 통합을 선택합니다.

  3. 엔드포인트용 Microsoft Defender에서 데이터에 액세스하도록 허용을 선택하고 저장을 선택합니다.

MDE 에이전트 통합 솔루션은 선택한 구독의 모든 컴퓨터에 배포됩니다.

엔드포인트용 Microsoft Defender 액세스

  1. 사용자 계정에 필요한 권한이 있는지 확인합니다. 자세한 내용은 Microsoft Defender Security Center에 대한 사용자 액세스 할당을 확인하세요.

  2. 익명 트래픽을 차단하는 프록시 또는 방화벽이 있는지 확인합니다. 엔드포인트용 Defender 센서는 시스템 컨텍스트에서 연결하므로 익명 트래픽이 허용되어야 합니다. 엔드포인트용 Defender 포털에 대한 방해 없이 액세스하도록 보장하려면 프록시 서버에서 서비스 URL에 대한 액세스 사용의 지침을 따르세요.

  3. 엔드포인트용 Defender Security Center 포털을 엽니다. 엔드포인트용 Defender Security Center 포털 개요에서 포털의 기능과 아이콘에 대해 자세히 알아봅니다.

테스트 경고 보내기

엔드포인트용 Defender에서 부드러운 테스트 경고를 생성하려면 엔드포인트의 관련 운영 체제에 대한 탭을 선택합니다.

Windows를 실행하는 엔드포인트:

  1. 'C:\test-MDATP-test' 폴더를 만듭니다.

  2. 원격 데스크톱을 사용하여 머신에 액세스합니다.

  3. 명령줄 창을 엽니다.

  4. 다음 명령을 복사하여 프롬프트에서 실행합니다. 명령 프롬프트 창이 자동으로 닫힙니다.

    powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\test-MDATP-test\\invoice.exe'); Start-Process 'C:\\test-MDATP-test\\invoice.exe'
    

    A command prompt window with the command to generate a test alert.

    명령이 성공하면 워크로드 보호 대시보드 및 엔드포인트용 Microsoft Defender 포털에 새 경고가 표시됩니다. 이 경고가 표시되려면 몇 분 정도 걸릴 수 있습니다.

  5. 클라우드용 Defender의 경고를 검토하려면 보안 경고>의심스러운 PowerShell 명령줄로 이동합니다.

  6. 조사 창에서 엔드포인트용 Microsoft Defender 포털로 이동하는 링크를 선택합니다.

    경고는 정보 심각도로 트리거됩니다.

컴퓨터에서 엔드포인트용 Defender 제거

컴퓨터에서 엔드포인트용 Defender 솔루션을 제거하려면:

  1. 통합 사용하지 않도록 설정:

    1. 클라우드용 Defender의 메뉴에서 환경 설정을 선택하고 관련 컴퓨터의 구독을 선택합니다.
    2. 통합을 열고 엔드포인트용 Microsoft Defender가 내 데이터에 액세스하도록 허용 확인란의 선택을 취소합니다.
    3. 저장을 선택합니다.
  2. 컴퓨터에서 MDE.Windows/MDE.Linux 확장을 제거합니다.

  3. 엔드포인트용 Defender 설명서에서 엔드포인트용 Microsoft Defender 서비스의 디바이스 오프보드 단계를 따릅니다.

FAQ - 엔드포인트용 Microsoft Defender와 클라우드용 Microsoft Defender 통합

내 머신에서 실행되고 있는 "MDE.Windows" / "MDE.Linux" 확장은 무엇인가요?

이전에는 엔드포인트용 Microsoft Defender가 Log Analytics 에이전트에서 프로비전되었습니다. Linux 및 Windows Server 2019를 포함하도록 지원을 확장할 때 자동 온보딩을 수행할 확장도 추가했습니다.

클라우드용 Defender는 다음을 실행하는 컴퓨터에 확장을 자동으로 배포합니다.

  • Windows Server 2019 및 Windows Server 2022.
  • Azure Virtual Desktop의 Windows 10.
  • 클라우드용 Defender가 OS 버전을 인식하지 못하는 경우(예: 사용자 지정 VM 이미지가 사용되는 경우) 다른 버전의 Windows Server. 이 경우에는 Log Analytics 에이전트가 엔드포인트용 Microsoft Defender를 계속 프로 비전합니다.
  • Linux.

중요

MDE.Windows/MDE.Linux 확장을 삭제하면 엔드포인트용 Microsoft Defender가 제거되지 않습니다. '오프보딩'에 대한 내용은 Windows 서버 오프보딩을 참조하세요.

솔루션을 사용하도록 설정했지만 "MDE.Windows"/"MDE.Linux" 확장자가 내 컴퓨터에 표시되지 않습니다.

통합을 사용하도록 설정했지만 여전히 컴퓨터에서 실행 중인 확장이 표시되지 않는 경우:

  1. 솔루션을 사용하도록 설정한 후 12시간이 지나지 않은 경우 조사할 문제가 있는지 확인하려면 이 기간이 끝날 때까지 기다려야 합니다.
  2. 12시간이 지난 후에도 여전히 컴퓨터에서 확장이 실행되고 있지 않으면 통합을 위한 필수 조건을 충족했는지 확인합니다.
  3. 조사 중인 컴퓨터와 관련된 구독에 대해 서버용 Microsoft Defender 요금제를 사용하도록 설정했는지 확인합니다.
  4. Azure 테넌트 간에 Azure 구독을 이동한 경우 클라우드용 Defender가 엔드포인트용 Defender를 배포하기 전에 몇 가지 수동 준비 단계가 필요합니다. 자세한 내용은 Microsoft 지원에 문의하세요.

엔드포인트용 Microsoft Defender에 대한 라이선스 요구 사항은 무엇인가요?

엔드포인트용 Defender는 서버용 Microsoft Defender에 추가 비용 없이 포함됩니다. 또는 50대 이상의 머신에 대해 개별적으로 구매할 수 있습니다.

엔드포인트용 Microsoft Defender 라이선스가 이미 있는 경우 서버용 Microsoft Defender 할인을 받을 수 있나요?

이미 서버에 대한 엔드포인트용 Microsoft Defender 라이선스가 있는 경우 서버용 Microsoft Defender 플랜 2 라이선스의 해당 부분에 대한 비용을 지불하지 않습니다. Microsoft 365 라이선스에 대해 자세히 알아봅니다.

할인을 요청하려면 Defender for Cloud 지원 팀에 문의하세요. 지정된 작업 영역의 컴퓨터에 적용된 관련 작업 영역 ID, 지역 및 서버에 대한 엔드포인트용 Microsoft Defender 라이선스 수를 제공해야 합니다.

할인은 승인 날짜부터 적용되며 소급해서 적용되지 않습니다.

타사 EDR 도구에서 전환하려면 어떻게 할까요?

비 Microsoft 엔드포인트 솔루션에서 전환하는 방법에 대한 자세한 지침은 엔드포인트용 Microsoft Defender 설명서인 마이그레이션 개요에서 제공됩니다.

다음 단계