Azure Cloud Services 및 Virtual Machines용 Microsoft 맬웨어 방지 프로그램

  • 아티클

Azure용 Microsoft 맬웨어 방지 프로그램은 바이러스, 스파이웨어 및 기타 악성 소프트웨어를 식별하고 제거하는 데 도움이 되는 평가판 실시간 보호 기능입니다. 알려진 악성 또는 원치 않는 소프트웨어가 Azure 시스템에서 스스로의 설치나 실행을 시도할 때 경고를 생성합니다.

이 솔루션은 MSE(Microsoft Security Essentials), Microsoft Forefront Endpoint Protection, Microsoft System Center Endpoint Protection, Microsoft Intune 및 클라우드용 Microsoft Defender와 동일한 맬웨어 방지 플랫폼을 기반으로 합니다. Azure를 위한 Microsoft 맬웨어 방지는 애플리케이션 및 테넌트 환경에 대한 단일 에이전트 솔루션이며 사용자의 개입 없이 백그라운드에서 실행되도록 설계됩니다. 보호는 맬웨어 방지 프로그램 모니터링을 포함하여 기본 보안 또는 고급 사용자 지정 구성을 사용하여 애플리케이션 워크로드의 필요에 따라 배포할 수 있습니다.

Azure에 Microsoft 맬웨어 방지 프로그램을 배포하고 사용할 때 다음과 같은 핵심 기능을 사용할 수 있습니다.

  • 실시간 보호 - Cloud Services 및 Virtual Machines에서 작업을 모니터링하여 악성 프로그램 실행을 검색 및 차단합니다.
  • 예약된 검색 - 주기적으로 검색을 수행하여 적극적으로 실행 중인 프로그램을 포함하여 맬웨어를 검색합니다.
  • 맬웨어 치료 - 자동으로 검색된 맬웨어에서 악성 파일을 삭제 또는 격리하고 악성 레지스트리 항목을 정리하는 것과 같은 작업을 수행합니다.
  • 서명 업데이트 - 자동으로 최신 보호 서명(바이러스 정의)을 설치하여 보호가 미리 결정된 빈도에 최신 상태가 되도록 합니다.
  • 맬웨어 방지 프로그램 엔진 업데이트 – Microsoft 맬웨어 방지 프로그램 엔진을 자동으로 업데이트합니다.
  • 맬웨어 방지 플랫폼 업데이트 - Microsoft Antimalware 플랫폼을 자동으로 업데이트합니다.
  • 활성 보호 - 검색된 위협 및 의심스러운 리소스에 대한 원격 분석 메타데이터를 Microsoft Azure에 보고하여 진화하는 위협 환경에 신속하게 대응하고 MAPS(Microsoft 활성 보호 시스템)를 통해 실시간 동기 서명 제공을 사용하도록 설정합니다.
  • 샘플 보고 - Microsoft 맬웨어 방지 서비스에 샘플을 제공하고 보고하여 서비스를 구체화하고 문제를 해결하는 데 사용합니다.
  • 제외 – 애플리케이션 및 서비스 관리자는 파일, 프로세스 및 드라이브에 대해 제외를 구성할 수 있습니다.
  • 맬웨어 방지 이벤트 수집 - 맬웨어 방지 서비스 상태, 의심스러운 활동, 수행된 수정 작업을 운영 체제 이벤트 로그에 기록하고 고객의 Azure Storage 계정에 수집합니다.

참고 항목

클라우드용 Microsoft Defender를 사용하여 Microsoft Antimalware를 배포할 수도 있습니다. 자세한 내용은 클라우드용 Microsoft Defender의 Endpoint Protection 설치를 읽어보세요.

아키텍처

Azure용 Microsoft 맬웨어 방지 프로그램에는 Microsoft 맬웨어 방지 클라이언트와 서비스, 맬웨어 방지 클래식 배포 모델, 맬웨어 방지 PowerShell cmdlet 및 Azure Diagnostics 확장이 포함되어 있습니다. Microsoft 맬웨어 방지 프로그램은 Windows Server 2008 R2, Windows Server 2012 및 Windows Server 2012 R2 운영 체제 제품군에서 지원됩니다. Windows Server 2008 운영 체제 및 Linux 둘 다에서 지원되지 않습니다.

Microsoft 맬웨어 방지 클라이언트 및 서비스는 기본적으로 Cloud Services 플랫폼에서 지원되는 모든 Azure 게스트 운영 체제 제품군에서 사용할 수 없는 상태로 설치됩니다. Microsoft Antimalware 클라이언트 및 서비스는 기본적으로 Virtual Machines 플랫폼에서 설치되지 않으며 보안 확장 프로그램에서 Azure Portal 및 Visual Studio Virtual Machine 구성을 통해 선택적 기능으로 사용 가능합니다.

Windows에서 Azure App Service를 사용하는 경우 웹앱을 호스트하는 기본 서버에서 Microsoft Antimalware를 사용할 수 있습니다. 이 프로그램은 Azure App Service 인프라를 보호하는 데 사용되며, 고객 콘텐츠에 대해서는 실행되지 않습니다.

참고 항목

Microsoft Defender 바이러스 백신은 Windows Server 2016 이상에서 지원되는 기본 제공 맬웨어 방지 기능입니다. Azure VM 맬웨어 방지 확장은 여전히 Microsoft Defender 바이러스 백신을 사용하여 Windows Server 2016 이상 및 Azure VM에 추가할 수 있습니다. 이 시나리오에서 확장은 Microsoft Defender 바이러스 백신에서 사용할 선택적 구성 정책을 적용합니다. 확장은 다른 맬웨어 방지 서비스를 배포하지 않습니다. 자세한 내용은 이 문서의 샘플 섹션을 참조하세요.

Microsoft 맬웨어 방지 워크플로

Azure 서비스 관리자는 다음 옵션을 사용하여 Virtual Machines와 Cloud Services에 기본 또는 사용자 지정 구성으로 Azure용 맬웨어 방지 프로그램을 사용할 수 있습니다.

  • Virtual Machines - Azure Portal의 보안 확장에서
  • Virtual Machines - 서버 탐색기에서 Visual Studio 가상 머신 구성 사용
  • Virtual Machines 및 Cloud Services - 맬웨어 방지 클래식 배포 모델 사용
  • Virtual Machines 및 Cloud Services - 맬웨어 방지 PowerShell cmdlet 사용

Azure Portal 또는 PowerShell cmdlet은 미리 결정된 고정된 위치의 Azure 시스템에 맬웨어 방지 확장 패키지 파일을 푸시합니다. Azure 게스트 에이전트(또는 패브릭 에이전트)는 입력으로 제공된 맬웨어 방지 구성 설정을 적용하는 맬웨어 방지 확장을 시작합니다. 이 단계에서는 기본 또는 사용자 지정 구성 설정을 사용하여 맬웨어 방지 서비스를 활성화합니다. 사용자 지정 구성이 제공되지 않는 경우 기본 구성 설정을 사용하여 맬웨어 방지 서비스를 활성화합니다. 자세한 내용은 이 문서의 샘플 섹션을 참조하세요.

일단 실행하면 Microsoft 맬웨어 방지 클라이언트는 인터넷에서 최신 보호 엔진 및 서명 정의를 다운로드하고 Azure 시스템에 로드합니다. Microsoft Antimalware 서비스는 “Microsoft Antimalware” 이벤트 원본에서 시스템 OS 이벤트 로그에 서비스 관련 이벤트를 기록합니다. 이벤트에는 맬웨어 방지 클라이언트 성능 상태, 보호 및 수정 상태, 새 일정과 이전 구성 설정, 엔진 업데이트 및 서명 정의 등이 포함됩니다.

클라우드 서비스 또는 가상 머신에 대해 맬웨어 방지 모니터링을 활성화하여 Azure 스토리지 계정에 생성될 때 맬웨어 방지 이벤트 로그 이벤트를 작성할 수 있습니다. 맬웨어 방지 서비스는 Azure Diagnostics 확장을 사용하여 Azure 시스템에서 고객의 Azure Storage 계정에 있는 테이블로 맬웨어 방지 이벤트를 수집합니다.

위의 시나리오에서 제공한 구성 단계 및 지원 옵션을 포함하는 배포 워크플로는 이 문서의 맬웨어 방지 프로그램 배포 시나리오 섹션에서 설명합니다.

Microsoft Antimalware in Azure

참고 항목

그러나 Microsoft 맬웨어 방지 확장을 사용하여 Virtual Machine Scale Sets를 배포하려면 Azure Resource Manager 템플릿 및 PowerShell/API를 사용할 수 있습니다. 이미 실행 중인 Virtual Machine에서 확장을 설치하기 위해 샘플 Python 스크립트 vmssextn.py를 사용할 수 있습니다. 이 스크립트는 확장 집합에 있는 기존의 확장 config를 가져와 VM 확장 집합에 있는 기존 확장 목록에 확장을 추가합니다.

기본 및 사용자 지정 맬웨어 방지 구성

사용자 지정 구성 설정을 제공하지 않는 경우 기본 구성 설정이 적용되어 Azure Cloud Services 또는 Virtual Machines에 대한 맬웨어 방지를 활성화합니다. 기본 구성 설정은 Azure 환경에서 실행하기 위해 사전에 최적화되었습니다. 필요에 따라 Azure 애플리케이션 또는 서비스 배포에 필요한 이러한 기본 구성 설정을 사용자 지정할 수 있으며 다른 배포 시나리오에 적용할 수 있습니다.

다음 테이블에서는 맬웨어 방지 서비스에 사용할 수 있는 구성 설정을 요약합니다. 기본 구성 설정은 아래의 “Default”라는 레이블이 지정된 열에 표시됩니다.

Table 1

맬웨어 방지 프로그램 배포 시나리오

Azure Cloud Services 및 Virtual Machines에 대한 모니터링을 포함하여 맬웨어 방지 프로그램을 활성화하고 구성하는 시나리오는 이 섹션에서 설명됩니다.

가상 머신 - 맬웨어 방지 활성화 및 구성

Azure Portal을 사용하여 VM을 만드는 동시에 배포

Virtual Machines를 프로비전하는 동안 Azure Portal을 사용하여 Azure Virtual Machines에 대한 Microsoft 맬웨어 방지를 활성화하고 구성하려면 다음 단계를 수행합니다.

  1. Azure Portal에 로그인합니다.
  2. 새 가상 머신을 만들려면 Virtual Machines로 이동하고 추가를 선택하고 Windows Server를 선택합니다.
  3. 사용하려는 Windows Server의 버전을 선택합니다.
  4. 만들기를 실행합니다. Create virtual machine
  5. 이름, 사용자 이름, 암호를 제공하고 새 리소스 그룹을 만들거나 기존 리소스 그룹을 선택합니다.
  6. 확인을 선택합니다.
  7. VM 크기를 선택합니다.
  8. 다음 섹션에서는 요구에 따라 적절한 옵션을 선택하고 확장 섹션을 선택합니다.
  9. 확장 추가를 선택합니다.
  10. 새 리소스에서 Microsoft 맬웨어 방지 프로그램을 선택합니다.
  11. 만들기를 선택합니다.
  12. 확장 설치 섹션에서 파일, 위치 및 프로세스 제외를 다른 검색 옵션과 함께 구성할 수 있습니다. 확인을 선택합니다.
  13. 확인을 선택합니다.
  14. 설정 섹션으로 돌아가 확인을 선택합니다.
  15. 만들기 화면에서 확인을 선택합니다.

Windows용 맬웨어 방지 VM 확장 배포에 대해서는 이 Azure Resource Manager 템플릿을 참조하세요.

Visual Studio 가상 머신 구성을 사용하는 배포

Visual Studio를 사용하여 Microsoft 맬웨어 방지 서비스를 활성화하고 구성합니다.

  1. Visual Studio에서 Microsoft Azure에 연결합니다.

  2. 서버 탐색기Virtual Machines 노드에서 Virtual Machine을 선택합니다.

    Virtual Machine configuration in Visual Studio

  3. 마우스 오른쪽 단추로 구성을 클릭하여 Virtual Machine 구성 페이지를 확인합니다.

  4. 설치된 확장의 드롭다운 목록에서 Microsoft 맬웨어 방지 확장을 선택하고 추가를 클릭하여 기본 맬웨어 방지 구성을 사용하여 구성합니다. Installed extensions

  5. 기본 맬웨어 방지 구성을 사용자 지정하려면 설치된 확장 목록에서 맬웨어 방지 확장을 선택(강조 표시)하고 구성을 클릭합니다.

  6. 공용 구성 텍스트 상자의 지원되는 JSON 형식에서 기본 맬웨어 방지 구성을 사용자 지정 구성으로 대체하고 [확인]을 클릭합니다.

  7. 업데이트 단추를 클릭하여 Virtual Machine에 구성 업데이트를 푸시합니다.

    Virtual Machine configuration extension

참고 항목

맬웨어 방지에 대한 Visual Studio Virtual Machines 구성은 JSON 형식 구성만 지원합니다. 자세한 내용은 이 문서의 샘플 섹션을 참조하세요.

PowerShell cmdlet를 사용하는 배포

Azure 애플리케이션 또는 서비스는 PowerShell cmdlet을 사용하여 Azure Virtual Machines에 대해 Microsoft 맬웨어 방지를 활성화하고 구성할 수 있습니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 활성화 및 구성하려면

  1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
  2. Set-AzureVMMicrosoftAntimalwareExtension cmdlet을 사용하여 Virtual Machine에 대한 Microsoft Antimalware를 사용하도록 설정하고 구성합니다.

참고 항목

맬웨어 방지에 대한 Azure Virtual Machines 구성은 JSON 형식 구성만 지원합니다. 자세한 내용은 이 문서의 샘플 섹션을 참조하세요.

PowerShell cmdlet을 사용하여 맬웨어 방지 활성화 및 구성

Azure 애플리케이션 또는 서비스는 PowerShell cmdlet을 사용하여 Azure Cloud Services에 대해 Microsoft 맬웨어 방지를 활성화하고 구성할 수 있습니다. Microsoft Antimalware는 Cloud Services 플랫폼에서 비활성화된 상태로 설치되고 활성화하려면 Azure 애플리케이션의 작업이 필요합니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 활성화 및 구성하려면

  1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
  2. Set-AzureServiceExtension cmdlet을 사용하여 Cloud Services에 대한 Microsoft Antimalware를 사용하도록 설정하고 구성합니다.

자세한 내용은 이 문서의 샘플 섹션을 참조하세요.

Cloud Services 및 Virtual Machines - PowerShell cmdlet를 사용하여 구성

Azure 애플리케이션 또는 서비스는 PowerShell cmdlet을 사용하여 Cloud Services 및 Virtual Machines에 대해 Microsoft 맬웨어 방지 구성을 검색할 수 있습니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지 구성을 검색하려면

  1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
  2. Virtual Machines의 경우: Get-AzureVMMicrosoftAntimalwareExtension Antimalware cmdlet을 사용하여 맬웨어 방지 구성을 가져옵니다.
  3. Cloud Services의 경우: Get-AzureServiceExtension cmdlet을 사용하여 맬웨어 방지 구성을 가져옵니다.

샘플

PowerShell cmdlet을 사용하여 맬웨어 방지 구성 제거

Azure 애플리케이션 또는 서비스는 클라우드 서비스 또는 Virtual Machine과 연관된 관련 Azure 맬웨어 방지 및 진단 서비스 확장에서 맬웨어 방지 구성 및 관련된 맬웨어 방지 모니터링 구성을 제거할 수 있습니다.

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 제거하려면

  1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
  2. Virtual Machines의 경우: Remove-AzureVMMicrosoftAntimalwareExtension cmdlet을 사용합니다.
  3. Cloud Services의 경우:Remove-AzureServiceExtension cmdlet을 사용합니다.

Azure Preview 포털을 사용하여 가상 머신에 대한 맬웨어 방지 이벤트 컬렉션을 사용하려면

  1. Virtual Machine 블레이드에서 모니터링 렌즈의 아무 위치나 클릭합니다.
  2. 메트릭 블레이드에서 진단 명령을 클릭합니다.
  3. 상태 ON을 선택하고 Windows 이벤트 시스템에 대한 옵션을 선택합니다
  4. . 목록에서 다른 모든 옵션의 선택을 취소하거나 애플리케이션 서비스 요구 사항을 활성화된 상태로 선택할 수 있습니다.
  5. “오류”, “경고”, “정보” 등의 맬웨어 방지 이벤트 범주는 Azure Storage 계정에 캡처됩니다.

맬웨어 방지 이벤트는 Windows 이벤트 시스템 로그에서 Azure Storage 계정으로 수집됩니다. 맬웨어 방지 이벤트를 수집하려면 적절한 Storage 계정을 선택하여 Virtual Machine에 대한 Storage 계정을 구성할 수 있습니다.

Metrics and diagnostics

Azure Resource Manager VM에 대한 PowerShell cmdlet을 사용하여 맬웨어 방지 사용 및 구성

PowerShell cmdlet을 사용하여 Azure Resource Manager VM용 Microsoft Antimalware를 활성화하고 구성하려면 다음을 수행합니다.

  1. GitHub에서 이 설명서를 사용하여 PowerShell 환경을 설정합니다.
  2. Set-AzureRmVMExtension cmdlet을 사용하여 VM에 대한 Microsoft Antimalware를 사용하도록 설정하고 구성합니다.

다음 코드 예제를 사용할 수 있습니다.

PowerShell cmdlet을 사용하여 Azure CS-ES(Cloud Service Extended Support)에 대한 맬웨어 방지 사용 및 구성

PowerShell cmdlet을 사용하여 Microsoft 맬웨어 방지를 활성화 및 구성하려면

  1. PowerShell 환경 설정 - https://github.com/Azure/azure-powershell에서 설명서를 참조합니다.
  2. New-AzCloudServiceExtensionObject cmdlet을 사용하여 Cloud Services VM에 대한 Microsoft Antimalware를 사용하도록 설정하고 구성합니다.

다음 코드 샘플을 사용할 수 있습니다.

Azure Arc 지원 서버에 대한 PowerShell cmdlet을 사용하여 맬웨어 방지 사용 및 구성

PowerShell cmdlet을 사용하여 Azure Arc 지원 서버용 Microsoft Antimalware를 활성화하고 구성하려면 다음을 수행합니다.

  1. GitHub에서 이 설명서를 사용하여 PowerShell 환경을 설정합니다.
  2. New-AzConnectedMachineExtension cmdlet을 사용하여 Arc 지원 서버에 대한 Microsoft Antimalware를 활성화하고 구성합니다.

다음 코드 예제를 사용할 수 있습니다.

다음 단계

ARM(Azure Resource Manager) 가상 머신에 대해 Microsoft Antimalware를 사용하도록 설정하고 구성하려면 코드 샘플을 참조하세요.