네트워크 디바이스 검색 및 취약성 관리

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Defender 취약성 관리
• Microsoft Defender XDR

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

네트워크 디바이스 검색 및 취약성 평가 블로그(게시 04-13-2021)는 엔드포인트용 Defender의 새로운 네트워크 디바이스 검색 기능에 대한 인사이트를 제공합니다. 이 문서에서는 네트워크 디바이스 검색 이 해결하도록 설계된 과제에 대한 개요와 이러한 새로운 기능을 사용하는 방법에 대한 자세한 정보를 제공합니다.

네트워크 검색 기능은 Microsoft Defender 포털 및 Microsoft Defender XDR 콘솔의 디바이스 인벤토리 섹션에서 사용할 수 있습니다.

각 네트워크 세그먼트에서 지정된 엔드포인트용 Microsoft Defender 디바이스를 사용하여 미리 구성된 네트워크 디바이스에 대해 정기적으로 인증된 검사를 수행합니다. 검색되면 엔드포인트용 Defender의 취약성 관리 기능은 검색된 스위치, 라우터, WLAN 컨트롤러, 방화벽 및 VPN 게이트웨이를 보호하는 통합 워크플로를 제공합니다.

네트워크 디바이스가 검색되고 분류되면 보안 관리자는 최신 보안 권장 사항을 수신하고 조직 전체에 배포된 네트워크 디바이스에서 최근에 발견된 취약성을 검토할 수 있습니다.

방법

엔드포인트용 Defender에는 네트워크 디바이스 자체에 내장된 센서가 없기 때문에 네트워크 디바이스는 표준 엔드포인트로 관리되지 않습니다. 이러한 유형의 디바이스에는 원격 검사가 디바이스에서 필요한 정보를 가져오는 에이전트 없는 접근 방식이 필요합니다. 네트워크 토폴로지 및 특성에 따라 단일 디바이스 또는 엔드포인트용 Microsoft Defender 온보딩된 일부 디바이스는 SNMP(읽기 전용)를 사용하여 네트워크 디바이스의 인증된 검사를 수행합니다.

다음 두 가지 유형의 디바이스를 염두에 두어야 합니다.

• 디바이스 검사: 네트워크 디바이스를 검사하는 데 사용하는 이미 온보딩된 디바이스입니다.
• 네트워크 디바이스: 검사하고 온보딩하려는 네트워크 디바이스입니다.

네트워크 디바이스에 대한 취약성 관리

네트워크 디바이스가 검색되고 분류되면 보안 관리자는 최신 보안 권장 사항을 수신하고 조직 전체에 배포된 네트워크 디바이스에서 최근에 발견된 취약성을 검토할 수 있습니다.

지원되는 운영 체제

현재 지원되는 운영 체제는 다음과 같습니다.

• Cisco IOS, IOS-XE, NX-OS
• Fortinet FortiOS
• Juniper JUNOS
• HPE Aruba 네트워킹 ArubaOS, AOS-CX
• HPE ArubaOS, Procurve Switch Software
• Palo Alto Networks PAN-OS

고객 사용량에서 수집된 데이터를 기반으로 시간이 지남에 따라 더 많은 네트워킹 공급업체 및 OS가 추가될 예정입니다. 따라서 이 목록에 지정되지 않은 경우에도 모든 네트워크 디바이스를 구성하는 것이 좋습니다.

시작하는 방법

첫 번째 단계는 인증된 네트워크 검사를 수행하는 디바이스를 선택하는 것입니다.

1. 검사하려는 네트워크 디바이스의 관리 포트에 대한 네트워크 연결이 있는 엔드포인트용 Defender 온보딩 디바이스(클라이언트 또는 서버)를 결정합니다.

2. 엔드포인트용 Defender 검사 디바이스와 대상 네트워크 디바이스 간의 SNMP 트래픽을 허용해야 합니다(예: 방화벽).

3. 취약성에 대해 평가되는 네트워크 디바이스를 결정합니다(예: Cisco 스위치 또는 Palo Alto Networks 방화벽).

4. 엔드포인트용 Defender 검사 디바이스가 구성된 네트워크 디바이스를 쿼리할 수 있도록 구성된 모든 네트워크 디바이스에서 SNMP 읽기 전용이 사용하도록 설정되어 있는지 확인합니다. 이 기능의 적절한 기능에는 'SNMP 쓰기'가 필요하지 않습니다.

5. 검사할 네트워크 디바이스(또는 이러한 디바이스가 배포된 서브넷)의 IP 주소를 가져옵니다.

6. 네트워크 디바이스의 SNMP 자격 증명을 가져옵니다(예: Community String, noAuthNoPriv, authNoPriv, authPriv). 새 검사 작업을 구성할 때 자격 증명을 제공해야 합니다.

7. 프록시 클라이언트 구성: 엔드포인트용 Defender 디바이스 프록시 요구 사항 외에는 추가 구성이 필요하지 않습니다.

8. 스캐너를 인증하고 제대로 작동하려면 다음 도메인/URL을 추가해야 합니다.

   • login.windows.net
   • *.security.microsoft.com
   • login.microsoftonline.com
   • *.blob.core.windows.net/networkscannerstable/*

   참고

   허용된 데이터 수집의 엔드포인트용 Defender 설명 목록에 모든 URL이 지정되지는 않습니다.

권한

검사 작업을 구성하려면 Defender에서 보안 설정 관리라는 사용자 권한 옵션이 필요합니다. 설정> 역할로 이동하여 사용 권한을 찾을 수있습니다. 자세한 내용은 역할 기반 액세스 제어에 대한 역할 만들기 및 관리를 참조하세요.

스캐너에 대한 Windows 버전 필수 구성 요소

스캐너는 Windows 10 버전 1903 및 Windows Server 버전 1903 이상에서 지원됩니다. 자세한 내용은 Windows 10 버전 1903 및 Windows Server 버전 1903을 참조하세요.

참고

테넌트당 스캐너 설치는 40개로 제한됩니다.

스캐너 설치

1. Microsoft 365 보안>설정>디바이스 검색>인증 검사로 이동합니다.

2. 스캐너를 다운로드하여 지정된 엔드포인트용 Defender 검사 디바이스에 설치합니다.

   

스캐너 설치 & 등록

로그인 프로세스는 지정된 검사 디바이스 자체 또는 다른 디바이스(예: 개인 클라이언트 디바이스)에서 완료할 수 있습니다.

참고

사용자가 로그인한 계정과 로그인 프로세스를 완료하는 데 사용되는 디바이스는 모두 디바이스가 엔드포인트용 Microsoft Defender 온보딩된 동일한 테넌트에 있어야 합니다.

스캐너 등록 프로세스를 완료하려면 다음을 수행합니다.

1. 명령줄에 표시되는 URL을 복사하고 따르고 제공된 설치 코드를 사용하여 등록 프로세스를 완료합니다.

   참고

   URL을 복사하려면 명령 프롬프트 설정을 변경해야 할 수 있습니다.

2. 코드를 입력하고 "Defender에서 보안 설정 관리"라는 엔드포인트용 Defender 권한이 있는 Microsoft 계정을 사용하여 로그인합니다.

3. 완료되면 로그인했음을 확인하는 메시지가 표시됩니다.

스캐너용 업데이트

스캐너에는 기본적으로 정기적으로 업데이트를 찾도록 구성된 예약된 작업이 있습니다. 작업이 실행되면 클라이언트 디바이스의 스캐너 버전을 업데이트 위치의 에이전트 버전과 비교합니다. 업데이트 위치는 Windows에서 네트워크 공유 또는 인터넷과 같은 업데이트를 찾는 위치입니다.

두 버전 간에 차이가 있는 경우 업데이트 프로세스는 다른 파일을 결정하고 로컬 컴퓨터에서 업데이트해야 합니다. 필요한 업데이트가 결정되면 업데이트 다운로드가 시작됩니다.

새 네트워크 디바이스 인증 검사 구성

1. Microsoft Defender 포털에서 설정>디바이스 검색>인증 검사로 이동합니다.

2. 새 검사 추가를 선택하고 네트워크 디바이스 인증 검사를 선택하고 다음을 선택합니다.

   

3. 검사를 활성화할지 여부를 선택합니다.

4. 스캔 이름을 입력합니다.

5. 검사 디바이스: 네트워크 디바이스를 검사하는 데 사용하는 온보딩된 디바이스를 선택합니다.

6. 대상(범위): 검사할 IP 주소 범위 또는 호스트 이름을 입력합니다. 주소를 입력하거나 CSV 파일을 가져올 수 있습니다. 파일을 가져오면 수동으로 추가된 주소가 재정의됩니다.

7. 검사 간격 선택: 기본적으로 검사는 4시간마다 실행되며, 반복하지 않음을 선택하여 검사 간격을 변경하거나 한 번만 실행하도록 할 수 있습니다.

8. 인증 방법을 선택합니다.

   자격 증명을 제공하기 위해 azure KeyVault 사용을 선택할 수 있습니다. Azure KeyVault에서 자격 증명을 관리하는 경우 검색 디바이스에서 액세스할 Azure KeyVault URL 및 Azure KeyVault 비밀 이름을 입력하여 자격 증명을 제공할 수 있습니다. 비밀 값은 다음 표에 설명된 대로 선택한 인증된 메서드에 따라 달라집니다.

   인증 방법	Azure KeyVault 비밀 값
   AuthPriv	사용자; AuthPassword; PrivPassword
   AuthNoPriv	사용자; AuthPassword
   CommunityString	CommunityString

9. 다음을 선택하여 테스트 검사를 실행하거나 건너뜁니다.

10. 다음을 선택하여 설정을 검토하고 제출을 선택하여 새 네트워크 디바이스 인증 검사를 만듭니다.

참고

네트워크 디바이스 인벤토리에서 디바이스 중복을 방지하려면 각 IP 주소가 여러 검사 디바이스에서 한 번만 구성되었는지 확인합니다.

네트워크 디바이스 검사 및 추가

설정 프로세스 중에 한 번 테스트 검사를 수행하여 다음을 확인할 수 있습니다.

• 엔드포인트용 Defender 검사 디바이스와 구성된 대상 네트워크 디바이스 간에 연결이 있습니다.
• 구성된 SNMP 자격 증명이 올바르습니다.

각 검사 디바이스는 최대 1,500개의 성공적인 IP 주소 검사를 지원할 수 있습니다. 예를 들어 100개의 IP 주소만 성공적인 결과를 반환하는 10개의 다른 서브넷을 검사하는 경우 동일한 검사 디바이스의 다른 서브넷에서 1,400개의 IP 추가 주소를 검색할 수 있습니다.

검사할 IP 주소 범위/서브넷이 여러 개인 경우 테스트 검사 결과가 표시되는 데 몇 분 정도 걸립니다. 최대 1,024개의 주소에 대해 테스트 검사를 사용할 수 있습니다.

결과가 표시되면 정기 검사에 포함할 디바이스를 선택할 수 있습니다. 검사 결과 보기를 건너뛰면 구성된 모든 IP 주소가 디바이스의 응답에 관계없이 네트워크 디바이스 인증 검사에 추가됩니다. 검사 결과를 내보낼 수도 있습니다.

장치 인벤토리

새로 검색된 디바이스는 디바이스 인벤토리 페이지의 새 네트워크 디바이스 탭 아래에 표시됩니다. 디바이스가 업데이트될 때까지 검사 작업을 추가한 후 최대 2시간이 걸릴 수 있습니다.

문제 해결

스캐너 설치에 실패했습니다.

필요한 URL이 방화벽 설정에서 허용된 도메인에 추가되었는지 확인합니다. 또한 디바이스 프록시 및 인터넷 연결 설정 구성에 설명된 대로 프록시 설정이 구성되어 있는지 확인합니다.

Microsoft.com/devicelogin 웹 페이지가 표시되지 않음

필요한 URL이 방화벽의 허용된 도메인에 추가되었는지 확인합니다. 또한 디바이스 프록시 및 인터넷 연결 설정 구성에 설명된 대로 프록시 설정이 구성되어 있는지 확인합니다.

네트워크 디바이스는 몇 시간 후에 디바이스 인벤토리에 표시되지 않습니다.

네트워크 디바이스 인증 검사 구성을 완료한 후 처음 검사한 후 몇 시간 후에 검사 결과를 업데이트해야 합니다.

디바이스가 아직 표시되지 않으면 스캐너를 설치한 디바이스에서 'MdatpNetworkScanService' 서비스가 실행 중인지 확인하고 관련 네트워크 디바이스 인증 검사 구성에서 "검색 실행"을 수행합니다.

5분 후에도 결과가 표시되지 않으면 서비스를 다시 시작합니다.

마지막으로 본 디바이스 시간이 24시간보다 길다

스캐너가 제대로 실행되고 있는지 확인합니다. 그런 다음, 검사 정의로 이동하여 "테스트 실행"을 선택합니다. 관련 IP 주소에서 반환되는 오류 메시지를 확인합니다.

스캐너가 구성되었지만 검사가 실행되고 있지 않습니다.

인증된 스캐너는 현재 FIPS(Federal Information Processing Standards)를 준수하지 않는 암호화 알고리즘을 사용하므로 organization FIPS 규격 알고리즘 사용을 적용할 때 스캐너가 작동할 수 없습니다.

FIPS를 준수하지 않는 알고리즘을 허용하려면 스캐너가 실행되는 디바이스에 대해 레지스트리에서 다음 값을 설정합니다.

사용 및 값이 0x0 DWORD 값으로Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy

FIPS 준수 알고리즘은 미국 연방 정부의 부서 및 기관과 관련하여만 사용됩니다.

필요한 Defender 취약성 관리 사용자 권한

등록이 오류로 끝났습니다. "새 에이전트를 추가할 수 있는 충분한 권한이 없는 것 같습니다. 필요한 권한은 'Defender에서 보안 설정 관리'입니다."

아무 키나 눌러 종료합니다.

시스템 관리자에게 필요한 권한을 할당하도록 요청합니다. 또는 다른 관련 멤버에게 로그인 코드 및 링크를 제공하여 로그인 프로세스를 도와달라고 요청합니다.

등록 프로세스의 명령줄에서 제공된 링크를 사용하여 등록 프로세스가 실패함

다른 브라우저를 사용해 보거나 로그인 링크와 코드를 다른 디바이스에 복사합니다.

텍스트가 너무 작거나 명령줄에서 텍스트를 복사할 수 없습니다.

텍스트 크기를 복사하고 변경할 수 있도록 디바이스의 명령줄 설정을 변경합니다.

관련 문서

• 장치 인벤토리
• Windows 인증 검사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.