에이전트 없는 컴퓨터 검사

Microsoft Defender for Cloud 에이전트 없는 컴퓨터 검사는 Defender for Cloud 연결된 컴퓨터의 보안 상태를 향상시킵니다.

에이전트 없는 검사는 설치된 에이전트 또는 네트워크 연결이 필요하지 않으며 컴퓨터 성능에 영향을 주지 않습니다. 에이전트 없는 컴퓨터 검사:

EDR(엔드포인트 검색 및 응답) 설정을 검사합니다: 머신을 검사하여 EDR 솔루션을 실행하고 있는지 여부와 컴퓨터가 Microsoft Defender for Endpoint 통합되는 경우 설정이 올바른지 여부를 평가합니다. 자세한 정보
소프트웨어 인벤토리: Microsoft Defender 취약성 관리 기능을 사용하여 소프트웨어 인벤토리를 스캔합니다.
취약성에 대한 검사: 통합 Defender Vulnerability Management를 사용하여 취약성을 검사하기 위해 머신을 평가합니다.
컴퓨터에서 비밀 검색: 에이전트 없는 비밀 검색을 사용하여 컴퓨팅 환경에서 일반 텍스트 비밀을 찾습니다.
맬웨어에 대한 검사: Microsoft Defender 바이러스 백신 사용하여 맬웨어 및 바이러스에 대한 머신을 검사합니다.
Kubernetes 노드에서 실행되는 VM에 대한 취약성 평가 및 맬웨어 스캔은 Defender for Servers Plan 2 또는 Defender for Containers 계획이 활성화된 경우 사용 가능합니다. 상용 클라우드에서만 사용할 수 있습니다.

에이전트 없는 검사는 다음 Defender for Cloud 계획에서 사용할 수 있습니다.

Defender CSPM(Cloud Security Posture Management).
서버용 Defender Plan 2.
맬웨어 검색은 서버 계획 2에 대한 Defender만 사용할 수 있습니다.
에이전트 없는 검사는 Defender for Cloud 연결된 Azure VM, AWS EC2 및 GCP 컴퓨팅 인스턴스에 사용할 수 있습니다.

에이전트 없는 검사 아키텍처

에이전트 없는 검사의 작동 방식은 다음과 같습니다.

Defender for Cloud VM 디스크(루트 + 데이터 디스크)의 스냅샷을 만들고 스냅샷에 저장된 운영 체제 구성 및 파일 시스템에 대한 대역 외 심층 분석을 수행합니다.
- 복사된 스냅샷은 VM과 동일한 지역에 유지됩니다.
- 검사는 VM에 영향을 주지 않습니다.
Defender for Cloud 복사된 디스크에서 필요한 메타데이터를 가져오면 디스크의 복사된 스냅샷을 즉시 삭제하고 관련 Microsoft 엔진에 메타데이터를 보내 구성 간격 및 잠재적 위협을 검색합니다. 예를 들어 취약성 평가에서는 Defender Vulnerability Management 분석을 수행합니다.
Defender for Cloud 보안 경고 페이지에서 에이전트 기반 결과와 에이전트 없는 결과를 모두 통합하는 검색 결과를 표시합니다.
클라우드용 Defender는 지역적이며, 가변적이고, 격리되어 있으며, 보안 수준이 매우 높은 스캔 환경에서 디스크를 분석합니다. 검사와 관련이 없는 디스크 스냅샷 및 데이터는 메타데이터를 수집하는 데 필요한 시간(일반적으로 몇 분)보다 오래 저장되지 않습니다.

에이전트 없는 검사를 통해 운영 체제 데이터를 수집하는 프로세스의 다이어그램.

Defender for Cloud 에이전트 없는 검사를 수행하기 위해 특정 역할 및 권한을 사용했습니다.

기본 제공 역할 VM 스캐너 연산 자에는 스냅샷 프로세스에 필요한 VM 디스크에 대한 읽기 전용 권한이 있습니다. 자세한 사용 권한 목록은 다음과 같습니다.

CMK 암호화 디스크에 대한 커버리지가 활성화되면 더 많은 권한이 필요합니다.

에이전트 없는 검사를 사용하도록 설정하면 VmScanner 역할이 스캐너에 할당됩니다. 이 역할에는 스냅샷을 만들고 정리하고(태그로 범위 지정) VM의 현재 상태를 확인하는 최소 권한 집합이 있습니다. 자세한 권한은 다음과 같습니다.

attribute	값
SID	VmScannerDeleteSnapshotAccess
동작	ec2:DeleteSnapshot
조건	`"StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"}`
리소스	arn:aws:ec2:::snapshot/
효과	허용

attribute	값
SID	VmScannerAccess
동작	ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot
조건	없음
리소스	arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/
효과	허용

attribute	값
SID	VmScannerVerificationAccess
동작	ec2:DescribeSnapshots ec2:DescribeInstanceStatus
조건	없음
리소스	*
효과	허용

attribute	값
SID	VmScannerEncryptionKeyCreation
동작	kms:CreateKey
조건	없음
리소스	*
효과	허용

attribute	값
SID	VmScannerEncryptionKeyManagement
동작	kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:별칭생성 kms:ListResourceTags
조건	없음
리소스	`arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey`
효과	허용

attribute	값
SID	VmScannerEncryptionKeyUsage
동작	kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom
조건	없음
리소스	arn:aws:kms::${AWS::AccountId}: key/
효과	허용

온보딩하는 동안 인스턴스 상태를 얻고 스냅샷을 만드는 데 필요한 최소한의 권한으로 새 사용자 지정 역할이 만들어집니다.

또한 CMEK로 암호화된 디스크 검색을 지원하기 위해 기존 GCP KMS 역할에 대한 사용 권한이 부여됩니다. 역할은 다음과 같습니다.

클라우드용 Defender의 서비스 계정에 부여된 roles/MDCAgentlessScanningRole 역할로, 다음 권한을 갖습니다. compute.disks.createSnapshot, compute.instances.get
roles/cloudkms.cryptoKeyEncrypterDecrypter가 Defender for Cloud 컴퓨팅 엔진 서비스 에이전트에 부여됨

이 페이지가 도움이 되었나요?