엔드포인트용 Microsoft Defender 지원되는 Windows 버전에서 고급 공격 탐지 및 조사 기능을 제공하는 하위 수준 운영 체제를 지원합니다.
엔드포인트용 Defender 보안 솔루션에 하위 수준 Windows 클라이언트 엔드포인트를 온보딩하려면 다음을 수행합니다.
하위 수준 Windows 클라이언트가 다음 운영 체제 중 하나를 실행하는 경우 Defender 배포 도구를 사용합니다.
- Windows 7 SP1 Pro
- Windows 7 SP1 Enterprise
- Windows Server 2008 R2 SP1
Defender 배포 도구는 적절한 Defender 엔드포인트 보안 솔루션을 설치합니다. 이 솔루션에 대한 자세한 내용은 Defender 배포 도구를 사용하여 Defender 엔드포인트 보안 배포를 참조하세요. 이전에 MMA(Microsoft Monitoring Agent)를 사용하여 디바이스를 이미 온보딩한 경우 이 도구를 사용하여 업그레이드를 수행할 수 있습니다.
하위 수준 Windows 클라이언트가 Windows 8.1 또는 Windows 8.1 Pro 실행하는 경우 MMA(Microsoft Monitoring Agent)를 설치하고 구성합니다.
팁
디바이스를 온보딩한 후 검색 테스트를 실행하여 서비스에 올바르게 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Defender 엔드포인트에서 검색 테스트 실행을 참조하세요.
Defender 배포 도구를 사용하여 Defender 엔드포인트 보안 배포
엔드포인트 보안 솔루션에 대한 Microsoft Defender Windows 7 SP1 및 Windows Server 2008 R2 SP1 디바이스에 사용할 수 있습니다. 이 솔루션은 다른 솔루션에 비해 해당 디바이스에 대한 고급 보호 기능 및 향상된 기능을 제공합니다. 다음 표에서는 솔루션의 현재 지원되는 기능을 간략하게 설명합니다.
| 기능 | 기능 |
|---|---|
| 고급 헌팅 | Kusto 쿼리 언어 사용하여 이벤트 간 사냥 |
| 수동 모드의 바이러스 백신 | 비 Microsoft 맬웨어 방지 솔루션과 공존할 수 있습니다. |
| 사용자 지정 파일 표시기 | 해시 또는 인증서 정보를 기반으로 파일 허용, 차단, 격리 |
| 디바이스 및 파일 응답 기능 | 디바이스 격리, 파일 차단 및 가져오기, 조사 패키지 수집, 바이러스 백신 검사 실행 참고: 다른 응답 기능은 지원되지 않습니다. |
| 차세대 보호 | 실시간 동작 모니터링, 클라우드 제공 및 정의 기반 맬웨어 차단 및 수정으로 Defender 바이러스 백신. 예약된 검사 및 수동으로 트리거된 검사. 참고: 네트워크 보호, 공격 표면 감소 규칙, 제어된 폴더 액세스 및 IP 및 URL 표시기를 포함한 관련 기능은 지원되지 않습니다. |
| 운영 체제 및 소프트웨어 취약성 평가 | Defender 취약성 관리 Windows 및 설치된 소프트웨어의 취약성에 대한 인사이트를 제공합니다. 참고: Windows 7 SP1 및 Windows Server 2008 R2에는 다음 기능을 사용할 수 없습니다. - 보안 구성 평가 - "다시 부팅 보류 중" 환경 - 프리미엄 기능: 보안 기준 평가, 브라우저 확장, 인증서 및 애플리케이션 차단 |
| 보안 설정 관리 | Defender 바이러스 백신 기능에 대한 정책 적용. 사용 가능한 기능에 대한 설정만 적용됩니다. |
| 감지 센서 | 디바이스 타임라인, 헌팅 및 손상 및 공격 지표를 기반으로 경고를 생성하기 위한 다양한 검색 이벤트입니다. |
| 공격 중단: 디바이스/IP 포함 | 횡적 이동을 활용하여 공격을 종료하는 자동화된 공격 중단. |
| (자동) 업데이트 | 맬웨어 방지 및 검색 구성 요소에 대한 정기적인 업데이트입니다. |
엔드포인트용 Defender에서 지원하는 모든 Windows 버전에 대한 온보딩을 간소화하는 간단한 자체 업데이트 애플리케이션인 Defender 배포 도구를 사용하여 솔루션을 다운로드하고 설치할 수 있습니다. 배포 도구는 필수 구성 요소를 처리하고, 이전 솔루션에서 마이그레이션을 자동화하며, 복잡한 온보딩 스크립트, 별도의 다운로드 및 수동 설치의 필요성을 제거합니다. 도구 및 사용 방법에 대한 자세한 내용은 Defender 배포 도구를 사용하여 Windows 디바이스에 Microsoft Defender 엔드포인트 보안 배포를 참조하세요.
Microsoft Monitoring Agent 설치 및 구성(Windows 8.1만 해당)
클라이언트가 Windows 8.1 또는 8.1 Pro를 실행하는 경우에만 MMA 및 SCEP를 통해 하위 수준 Windows 클라이언트를 온보딩하는 것이 좋습니다. 다른 모든 Windows 운영 체제의 경우 Defender 배포 도구를 사용합니다.
시작하기 전에
다음 세부 정보를 검토하여 최소 시스템 요구 사항을 확인합니다.
2018년 2월 월간 업데이트 롤업 설치 - Windows 업데이트 카탈로그의 직접 다운로드 링크는 여기에서 사용할 수 있습니다.
2019년 3월 12일 이상 서비스 스택 업데이트 설치 - Windows 업데이트 카탈로그의 직접 다운로드 링크는 여기에서 사용할 수 있습니다.
Microsoft .NET Framework 4.5.2 이상 설치
참고
.NET 4.5를 설치하려면 설치 후 컴퓨터를 다시 시작해야 할 수 있습니다.
Azure Log Analytics 에이전트 최소 시스템 요구 사항을 충족합니다. 자세한 내용은 Log Analytics를 사용하여 사용자 환경의 컴퓨터에서 데이터 수집을 참조하세요.
설치 단계
에이전트 설정 파일 Windows 64비트 에이전트 또는 Windows 32비트 에이전트를 다운로드합니다.
참고
MMA 에이전트의 SHA-1 지원 사용 중단으로 인해 MMA 에이전트는 버전 10.20.18029 이상이어야 합니다.
작업 영역 ID를 가져옵니다.
- 엔드포인트용 Defender 탐색 창에서 설정 > 디바이스 관리 > 온보딩을 선택합니다.
- 운영 체제를 선택합니다.
- 작업 영역 ID 및 작업 영역 키를 복사합니다.
작업 영역 ID 및 작업 영역 키를 사용하여 다음 설치 방법 중 하나를 선택하여 에이전트를 설치합니다.
설치 프로그램을 사용하여 에이전트를 수동으로 설치합니다.
에이전트 설정 옵션 페이지에서 OMS(Log Analytics)Azure 에이전트 연결을 선택합니다.
참고
미국 정부 고객인 경우 "Azure 클라우드"에서 설치 마법사를 사용하는 경우 "Azure 미국 정부"를 선택하거나 명령줄 또는 스크립트를 사용하는 경우 "OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE" 매개 변수를 1로 설정해야 합니다.
프록시를 사용하여 인터넷에 연결하는 경우 프록시 및 인터넷 연결 설정 구성 섹션을 참조하세요.
완료되면 1시간 이내에 포털에 온보딩된 엔드포인트가 표시됩니다.
System Center Endpoint Protection 클라이언트 구성 및 업데이트
엔드포인트용 Defender는 System Center Endpoint Protection 통합되어 맬웨어 검색에 대한 가시성을 제공하고 잠재적으로 악성 파일 또는 의심되는 맬웨어를 금지하여 organization 공격 전파를 중지합니다.
이 통합을 사용하려면 다음 단계가 필요합니다.
- Endpoint Protection 클라이언트에 대한 2017년 1월 맬웨어 방지 플랫폼 업데이트 설치
- 고급 설정에 대한 SCEP 클라이언트 Cloud Protection Service 멤버 자격 구성
- Microsoft Defender 바이러스 백신 클라우드에 대한 연결을 허용하도록 네트워크를 구성합니다. 자세한 내용은 바이러스 백신 네트워크 연결 Microsoft Defender 구성 및 유효성 검사를 참조하세요.
프록시 및 인터넷 연결 설정 구성
서버에서 프록시를 사용하여 엔드포인트용 Defender와 통신해야 하는 경우 다음 방법 중 하나를 사용하여 프록시 서버를 사용하도록 MMA를 구성합니다.
프록시 또는 방화벽이 사용 중인 경우 서버가 SSL 차단 없이 모든 엔드포인트용 Microsoft Defender 서비스 URL에 직접 액세스할 수 있는지 확인합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 서비스 URL에 대한 액세스 사용을 참조하세요. SSL 가로채기를 사용하면 시스템이 엔드포인트용 Defender 서비스와 통신할 수 없습니다.
완료되면 1시간 이내에 포털에 온보딩된 Windows 서버가 표시됩니다.
엔드포인트 오프보딩
서비스에서 Windows 엔드포인트를 오프보딩하는 두 가지 옵션이 있습니다.
- MMA 에이전트 제거
- 엔드포인트용 Defender 작업 영역 구성 제거
참고
오프보딩을 사용하면 Windows 엔드포인트가 포털로 센서 데이터 전송을 중지하지만, 엔드포인트의 데이터(포함된 모든 경고에 대한 참조 포함)는 최대 6개월 동안 보존됩니다.
옵션 1: MMA 에이전트 제거
Windows 엔드포인트를 오프보딩하려면 MMA 에이전트를 제거하거나 엔드포인트용 Defender 작업 영역에 보고에서 분리할 수 있습니다. 에이전트를 오프보딩한 후 엔드포인트는 더 이상 엔드포인트용 Defender에 센서 데이터를 보내지 않습니다. 자세한 내용은 에이전트를 사용하지 않도록 설정하려면을 참조하세요.
옵션 2: 엔드포인트용 Defender 작업 영역 구성 제거
다음 방법 중 하나를 사용할 수 있습니다.
- MMA 에이전트에서 엔드포인트용 Defender 작업 영역 구성 제거
- PowerShell 명령을 실행하여 구성 제거
MMA 에이전트에서 엔드포인트용 Defender 작업 영역 구성 제거
Microsoft Monitoring Agent 속성에서 Azure Log Analytics(OMS) 탭을 선택합니다.
엔드포인트용 Defender 작업 영역을 선택하고 제거를 선택합니다.
PowerShell 명령을 실행하여 구성 제거
작업 영역 ID를 가져옵니다.
- 탐색 창에서 설정>온보딩을 선택합니다.
- 관련 운영 체제를 선택하고 작업 영역 ID를 가져옵니다.
관리자 권한 PowerShell을 열고 다음 명령을 실행합니다. 가져온 작업 영역 ID를 사용하고 를 바꿉니다
WorkspaceID.$AgentCfg = New-Object -ComObject AgentConfigManager.MgmtSvcCfg # Remove OMS Workspace $AgentCfg.RemoveCloudWorkspace("WorkspaceID") # Reload the configuration and apply changes $AgentCfg.ReloadConfiguration()