네트워크 디바이스 검색 및 취약성 관리

  • 아티클
  • 읽는 데 8분 걸림

적용 대상:

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

2021)년 4월 13일 게시된 네트워크 디바이스 검색 및 취약성 평가 블로그(는 엔드포인트용 Defender의 새로운 네트워크 디바이스 검색 기능에 대한 인사이트를 제공합니다. 이 문서에서는 네트워크 디바이스 검색 이 해결하도록 설계된 과제에 대한 개요와 이러한 새로운 기능 사용을 시작하는 방법에 대한 자세한 정보를 제공합니다.

네트워크 검색 기능은 Microsoft 365 Defender 포털 및 Microsoft 365 Defender 콘솔의 디바이스 인벤토리 섹션에서 사용할 수 있습니다.

각 네트워크 세그먼트에서 지정된 엔드포인트용 Microsoft Defender 디바이스를 사용하여 미리 구성된 네트워크 디바이스에 대해 정기적으로 인증된 검사를 수행합니다. 검색된 엔드포인트용 Defender의 위협 및 취약성 관리 기능은 검색된 스위치, 라우터, WLAN 컨트롤러, 방화벽 및 VPN 게이트웨이를 보호하는 통합 워크플로를 제공합니다.

네트워크 디바이스가 검색되고 분류되면 보안 관리자는 최신 보안 권장 사항을 수신하고 조직 전체에 배포된 네트워크 디바이스에서 최근에 발견된 취약성을 검토할 수 있습니다.

방법

엔드포인트용 Defender에는 네트워크 디바이스 자체에 기본 제공되는 센서가 없으므로 네트워크 디바이스는 표준 엔드포인트로 관리되지 않습니다. 이러한 유형의 디바이스에는 원격 검사에서 디바이스에서 필요한 정보를 가져오는 에이전트 없는 접근 방식이 필요합니다. 네트워크 토폴로지 및 특성에 따라 단일 디바이스 또는 엔드포인트용 Microsoft Defender 온보딩된 일부 디바이스는 SNMP(읽기 전용)를 사용하여 네트워크 디바이스의 인증된 검사를 수행합니다.

유의해야 할 두 가지 유형의 디바이스가 있습니다.

  • 평가 디바이스: 네트워크 디바이스를 검사하는 데 사용할 이미 온보딩된 디바이스입니다.
  • 네트워크 디바이스: 스캔하고 온보딩하려는 네트워크 디바이스입니다.

네트워크 디바이스에 대한 취약성 관리

네트워크 디바이스가 검색되고 분류되면 보안 관리자는 최신 보안 권장 사항을 수신하고 조직 전체에 배포된 네트워크 디바이스에서 최근에 발견된 취약성을 검토할 수 있습니다.

지원되는 운영 체제

현재 지원되는 운영 체제는 다음과 같습니다.

  • Cisco IOS, IOS-XE, NX-OS
  • Juniper JUNOS
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

고객 사용량에서 수집된 데이터를 기반으로 시간이 지남에 따라 더 많은 네트워킹 공급업체 및 OS가 추가될 예정입니다. 따라서 이 목록에 지정되지 않은 경우에도 모든 네트워크 디바이스를 구성하는 것이 좋습니다.

시작하는 방법

첫 번째 단계는 인증된 네트워크 검사를 수행할 디바이스를 선택하는 것입니다.

  1. 검사하려는 네트워크 디바이스의 관리 포트에 대한 네트워크 연결이 있는 엔드포인트용 Defender 온보딩 디바이스(클라이언트 또는 서버)를 결정합니다.

  2. 엔드포인트용 Defender 평가 디바이스와 대상 네트워크 디바이스 간의 SNMP 트래픽을 허용해야 합니다(예: 방화벽).

  3. 취약성을 평가할 네트워크 디바이스를 결정합니다(예: Cisco 스위치 또는 Palo Alto Networks 방화벽).

  4. 엔드포인트용 Defender 평가 디바이스가 구성된 네트워크 디바이스를 쿼리할 수 있도록 구성된 모든 네트워크 디바이스에서 SNMP 읽기 전용이 사용하도록 설정되어 있는지 확인합니다. 이 기능의 적절한 기능에는 'SNMP 쓰기'가 필요하지 않습니다.

  5. 검사할 네트워크 디바이스(또는 이러한 디바이스가 배포된 서브넷)의 IP 주소를 가져옵니다.

  6. 네트워크 디바이스의 SNMP 자격 증명을 가져옵니다(예: Community String, noAuthNoPriv, authNoPriv, authPriv). 새 평가 작업을 구성할 때 자격 증명을 제공해야 합니다.

  7. 프록시 클라이언트 구성: 엔드포인트용 Defender 디바이스 프록시 요구 사항 이외의 추가 구성은 필요하지 않습니다.

  8. 네트워크 스캐너를 인증하고 제대로 작동하도록 하려면 다음 도메인/URL을 추가해야 합니다.

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    참고

    엔드포인트용 Defender에서 허용되는 데이터 수집 목록에 모든 URL을 지정하지는 않습니다.

사용 권한

평가 작업을 구성하려면 다음 사용자 권한 옵션이 필요합니다. Defender에서 보안 설정을 관리 합니다. 설정 역할****로 이동하여 > 사용 권한을 찾을 수 있습니다. 자세한 내용은 역할 기반 액세스 제어에 대한 역할 만들기 및 관리를 참조하세요.

네트워크 스캐너 설치

  1. 네트워크 평가 에서 Microsoft 365 보안 > 설정 > 엔드포인트 > 평가 작업 으로 이동합니다.

    1. Microsoft 365 Defender 포털에서 설정 > 평가 작업 페이지로 이동합니다.

  2. 네트워크 스캐너를 다운로드하여 지정된 엔드포인트용 Defender 평가 디바이스에 설치합니다.

    스캐너 다운로드 단추

네트워크 스캐너 설치 & 등록

지정된 평가 디바이스 자체 또는 다른 디바이스(예: 개인 클라이언트 디바이스)에서 로그인 프로세스를 완료할 수 있습니다.

참고

사용자가 로그인하는 계정과 로그인 프로세스를 완료하는 데 사용되는 디바이스는 모두 디바이스가 엔드포인트용 Microsoft Defender 위해 온보딩된 동일한 테넌트에 있어야 합니다.

네트워크 스캐너 등록 프로세스를 완료하려면 다음을 수행합니다.

  1. 명령줄에 표시되는 URL을 복사하고 따르고 제공된 설치 코드를 사용하여 등록 프로세스를 완료합니다.

    참고

    URL을 복사하려면 명령 프롬프트 설정을 변경해야 할 수 있습니다.

  2. "Defender에서 보안 설정 관리"라는 엔드포인트용 Defender 권한이 있는 Microsoft 계정을 사용하여 코드를 입력하고 로그인합니다.

  3. 완료되면 로그인을 확인하는 메시지가 표시됩니다.

새 평가 작업 구성

설정 평가 작업 페이지에서 네트워크 평가 작업 추가 를 선택합니다. 설정 프로세스에 따라 정기적으로 검사하고 디바이스 인벤토리에 추가할 네트워크 디바이스를 선택합니다.

네트워크 디바이스 인벤토리에서 디바이스 중복을 방지하려면 각 IP 주소가 여러 평가 디바이스에서 한 번만 구성되었는지 확인합니다.

네트워크 평가 작업 추가 단추

네트워크 평가 작업 단계 추가:

  1. 네트워크 스캐너가 설치된 '평가 작업' 이름 및 '평가 디바이스'를 선택합니다. 이 디바이스는 정기적으로 인증된 검사를 수행합니다.

  2. 검사할 대상 네트워크 디바이스(또는 이러한 디바이스가 배포된 서브넷)의 IP 주소를 추가합니다.

  3. 대상 네트워크 디바이스의 필수 SNMP 자격 증명을 추가합니다.

  4. 새로 구성된 네트워크 평가 작업을 저장하여 주기적인 네트워크 검사를 시작합니다.

네트워크 디바이스 검사 및 추가

설정 프로세스 중에 한 번 테스트 검사를 수행하여 다음을 확인할 수 있습니다.

  • 엔드포인트용 Defender 평가 디바이스와 구성된 대상 네트워크 디바이스 간에 연결이 있습니다.
  • 구성된 SNMP 자격 증명이 정확합니다.

각 평가 디바이스는 최대 1,500개의 성공적인 IP 주소 검사를 지원할 수 있습니다. 예를 들어 100개의 IP 주소만 성공적인 결과를 반환하는 10개의 다른 서브넷을 검색하는 경우 동일한 평가 디바이스의 다른 서브넷에서 1,400개의 IP 추가 주소를 검색할 수 있습니다.

검사할 IP 주소 범위/서브넷이 여러 개인 경우 테스트 검사 결과가 표시되는 데 몇 분 정도 걸립니다. 최대 1,024개의 주소에 대해 테스트 검사를 사용할 수 있습니다.

결과가 표시되면 주기적 검사에 포함할 디바이스를 선택할 수 있습니다. 검사 결과 보기를 건너뛰면 디바이스의 응답에 관계없이 구성된 모든 IP 주소가 네트워크 평가 작업에 추가됩니다. 검사 결과를 내보낼 수도 있습니다.

장치 인벤토리

새로 검색된 디바이스는 디바이스 인벤토리 페이지의 새 네트워크 디바이스 탭 아래에 표시됩니다. 디바이스가 업데이트될 때까지 평가 작업을 추가한 후 최대 2시간이 걸릴 수 있습니다.

디바이스 인벤토리의 네트워크 디바이스 섹션

문제 해결

네트워크 스캐너 설치에 실패했습니다.

필요한 URL이 방화벽 설정에서 허용된 도메인에 추가되었는지 확인합니다. 또한 디바이스 프록시 및 인터넷 연결 설정 구성에 설명된 대로 프록시 설정이 구성되었는지 확인합니다.

Microsoft.com/devicelogin 웹 페이지가 표시되지 않음

필요한 URL이 방화벽에서 허용된 도메인에 추가되었는지 확인합니다. 또한 디바이스 프록시 및 인터넷 연결 설정 구성에 설명된 대로 프록시 설정이 구성되었는지 확인합니다.

네트워크 디바이스는 몇 시간 후에 디바이스 인벤토리에 표시되지 않습니다.

평가 작업 구성을 완료한 후 수행된 초기 검사 후 몇 시간 후에 검사 결과를 업데이트해야 합니다.

디바이스가 아직 표시되지 않는 경우 네트워크 스캐너를 설치한 평가 디바이스에서 'MdatpNetworkScanService' 서비스가 실행 중인지 확인하고 관련 평가 작업 구성에서 "검색 실행"을 수행합니다.

5분 후에도 결과가 표시되지 않으면 서비스를 다시 시작합니다.

마지막으로 본 디바이스 시간이 24시간보다 깁니다.

스캐너가 제대로 실행되고 있는지 확인합니다. 그런 다음, 검사 정의로 이동하여 "테스트 실행"을 선택합니다. 관련 IP 주소에서 반환되는 오류 메시지를 확인합니다.

필요한 위협 및 취약성 관리 사용자 권한

등록이 "새 에이전트를 추가할 수 있는 충분한 권한이 없는 것 같습니다. 필요한 권한은 'Defender에서 보안 설정 관리'입니다."

아무 키나 눌러 종료합니다.

시스템 관리자에게 필요한 권한을 할당하도록 요청합니다. 또는 다른 관련 멤버에게 로그인 코드 및 링크를 제공하여 로그인 프로세스를 도와달라고 요청합니다.

다른 브라우저를 사용해 보거나 로그인 링크와 코드를 다른 디바이스에 복사합니다.

텍스트가 너무 작거나 명령줄에서 텍스트를 복사할 수 없습니다.

복사를 허용하고 텍스트 크기를 변경할 수 있도록 디바이스에서 명령줄 설정을 변경합니다.