학습 경로 3 - 랩 1 - 연습 1 - 클라우드용 Microsoft Defender 사용

랩 시나리오

랩 개요입니다.

여러분은 클라우드용 Microsoft Defender를 사용하여 클라우드 워크로드 보호를 구현하고 있는 회사에서 일하는 보안 운영 분석가입니다. 이 랩에서는 클라우드용 Microsoft Defender를 사용하도록 설정합니다.

참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.

작업 1: Azure Portal 액세스 및 구독 설정

이 작업에서는 이 랩과 향후 랩을 완료하는 데 필요한 Azure 구독을 설정합니다.

  1. WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.

  2. Microsoft Edge 브라우저를 열거나 이미 열려 있는 경우 새 탭을 엽니다.

  3. Microsoft Edge 브라우저에서 https://portal.azure.com의 Azure Portal로 이동합니다.

  4. 랩 호스팅 공급자가 제공한 관리자 사용자 이름용 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.

  5. 랩 호스팅 공급자가 제공한 관리자의 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.

  6. Azure Portal의 검색 창에 구독을 입력하고 구독을 선택합니다.

  7. 표시된 “Azure Pass - 스폰서쉽” 구독(또는 선택한 언어로 이에 상응하는 이름)을 선택합니다.

    참고: 구독이 표시되지 않으면 강사에게 테넌트 관리 사용자 자격 증명을 사용하여 Azure 구독을 만드는 방법을 문의하세요. 참고: 구독 만들기 프로세스에는 최대 10분이 걸릴 수 있습니다.

  8. 액세스 제어(IAM) 를 선택한 다음 이 리소스에 대한 액세스 권한 부여 상자에서 역할 할당 추가를 선택합니다.

  9. 권한이 있는 관리자 역할 탭을 선택한 다음 소유자를 선택합니다. 다음을 선택하여 작업을 계속할 수 있습니다.

  10. 멤버 탭에서 + 멤버 선택을 선택하고 MOD 관리자 계정을 선택한 다음 선택을 선택하여 계속합니다.

    참고: 조건 탭에 빨간색 점이 표시되면 다음을 선택하고 위임 형식이 표시되면 제한 없음을 선택하거나 사용자가 할 수 있는 작업이 표시되면 사용자가 모든 역할을 할당하도록 허용(높은 권한) 을 선택합니다.

  11. 관리자 계정에 소유자 역할을 할당하려면 검토 + 할당을 두 번 선택합니다.

중요: 이러한 랩은 강의 중에 USD $10 미만의 Azure 서비스를 사용하도록 설계되었습니다.

작업 2: Log Analytics 작업 영역 만들기

이 작업에서는 Azure 모니터링, 클라우드용 Microsoft Defender에서 사용할 Log Analytics 작업 영역을 만듭니다.

  1. Azure Portal의 검색 창에 Log Analytics 작업 영역을 입력하고 동일한 서비스 이름을 선택합니다.**

  2. 명령 모음에서 +만들기를 선택합니다.

  3. 리소스 그룹의 새로 만들기를 선택합니다.

  4. RG-Defender를 입력하고 확인을 선택합니다.

  5. uniquenameAzureDefender와 같은 고유한 이름을 입력합니다.

  6. 검토 + 생성를 선택합니다.

  7. 작업 영역 유효성 검사에 통과하면 만들기를 선택합니다. 새 작업 영역이 프로비전될 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.

작업 3: 클라우드용 Microsoft Defender 사용

이 작업에서는 클라우드용 Microsoft Defender를 사용하도록 설정하고 구성합니다.

  1. Azure Portal의 검색 창에 Defender를 입력하고 클라우드용 Microsoft Defender를 선택합니다.

  2. 시작 페이지의 업그레이드 탭 아래에서 구독이 선택되어 있는지 확인한 다음, 페이지 아래쪽에서 업그레이드 단추를 선택합니다. 평가판 시작 알림이 표시될 때까지 기다립니다. 약 2분이 걸립니다.**

    힌트: 위쪽 막대에서 종 모양 단추를 클릭하여 Azure Portal 알림을 검토할 수 있습니다.

    참고: “구독에서 Azure Defender 평가판을 시작할 수 없음” 오류가 표시되면 다음 단계를 계속하여 5단계의 모든 Defender 플랜을 사용하도록 설정합니다.

  3. 클라우드용 Microsoft Defender의 왼쪽 메뉴의 관리에서 환경 설정을 선택합니다.

  4. “Azure Pass - 스폰서쉽” 구독(또는 사용 중인 언어로 동일한 이름)을 선택합니다.

  5. 이제 클라우드용 Microsoft Defender 플랜으로 보호되는 Azure 리소스를 검토합니다.

    중요: 모든 Defender 플랜이 끄기인 경우 모든 계획 사용을 선택합니다. 월 200달러 Microsoft Defender for API 계획 1을 선택한 다음 저장을 선택합니다. 페이지 상단에서 저장을 선택하고 “사용자의 Defender 플랜 구독이 성공적으로 저장되었습니다.” 메시지가 나타날 때까지 기다립니다. 알림이 표시됩니다.

  6. 설정 영역(저장 옆)에서 설정 및 모니터링 탭을 선택합니다.

  7. 모니터링 확장을 검토합니다. 여기에는 Virtual Machines, 컨테이너 및 스토리지 계정에 대한 구성이 포함됩니다. 페이지 오른쪽 위에 있는 ‘X’를 선택하여 “설정 및 모니터링” 페이지를 닫습니다.

  8. 페이지 오른쪽 위에 있는 ‘X’를 선택하여 설정 페이지를 닫고 환경 설정으로 돌아가서 구독 왼쪽에서 ‘>’을 선택합니다.

  9. 이전 uniquenameDefender를 만든 Log Analytics 작업 영역을 선택하여 사용 가능한 옵션과 가격을 검토합니다.

  10. 모든 플랜 사용(Defender 플랜 선택 오른쪽)를 선택한 다음 저장을 선택합니다. “작업 영역 uniquenameDefender에 대한 Microsoft Defender 플랜이 성공적으로 저장되었습니다.” 알림이 표시될 때까지 기다립니다.** 기다립니다.

    참고: 페이지가 표시되지 않으면 Edge 브라우저를 새로 고치고 다시 시도합니다.

  11. 페이지 오른쪽 위에 있는 ‘X’를 선택하여 Defender 플랜 페이지를 닫고 환경 설정으로 돌아갑니다.

작업 4: 온-프레미스 서버에 Azure Arc 설치

이 작업에서는 더 쉽게 온보딩할 수 있도록 온-프레미스 서버에 Azure Arc를 설치합니다.

중요: 다음 단계는 이전에 작업한 컴퓨터와는 다른 컴퓨터에서 수행합니다. 가상 머신 이름 참조를 찾습니다.

  1. WINServer 가상 머신에 Administrator로 로그인합니다. 암호로는 Passw0rd! 를 사용합니다. 다시 장착합니다.

  2. Microsoft Edge 브라우저를 열고 https://portal.azure.com에 있는 Azure Portal로 이동합니다.

  3. 랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.

  4. 랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.

  5. Azure Portal의 검색 창에 Arc를 입력하고 Azure Arc를 선택합니다.

  6. 탐색 창의 Azure Arc 리소스에서 머신을 선택합니다.

  7. + 추가/만들기를 선택한 다음 컴퓨터 추가를 선택합니다.

  8. “단일 서버 추가” 섹션에서 스크립트 생성을 선택합니다.

  9. Azure Arc를 사용하여 서버 추가 페이지의 프로젝트 세부 정보에서 이전에 만든 리소스 그룹을 선택합니다. 힌트: RG-Defender

    참고: 리소스 그룹을 아직 만들지 않은 경우 다른 탭을 열고, 리소스 그룹을 만들고, 다시 시작합니다.

  10. 지역의 경우 드롭다운 목록에서 (US) 미국 동부를 선택합니다.

  11. 서버 세부 정보 및 연결 방법 옵션을 검토합니다.** 기본값을 유지하고 **다음을 선택하여 태그 탭으로 이동합니다.

  12. 사용 가능한 기본 태그를 검토합니다. 다음을 선택하여 스크립트 다운로드 및 실행 탭으로 이동합니다.

  13. 아래로 스크롤하여 다운로드 단추를 선택합니다. 힌트: 브라우저에서 다운로드를 차단하는 경우 브라우저에서 다운로드를 허용하도록 설정합니다. Edge 브라우저에서 필요한 경우 줄임표 단추(…)를 선택한 다음, 유지를 선택합니다.

  14. Windows 시작 단추를 마우스 오른쪽 단추로 클릭하고 Windows PowerShell(관리자) 을 선택합니다.

  15. UAC 프롬프트가 표시되면 “사용자 이름”으로 Administrator를 입력하고 “암호”로 Passw0rd를 입력합니다.

  16. 입력: cd C:\Users\Administrator\Downloads

    중요: 이 디렉터리가 없는 경우에는 잘못된 머신에서 수행하고 있을 가능성이 큽니다. 작업 4의 시작 부분으로 돌아가서 WINServer로 변경하고 다시 시작합니다.

  17. Set-ExecutionPolicy -ExecutionPolicy Unrestricted를 입력하고 Enter 키를 누릅니다.

  18. 모두 예에 해당하는 A 키를 누른 다음 Enter 키를 누릅니다.

  19. .\OnboardingScript.ps1을 입력하고 Enter 키를 누릅니다.

    중요: “.\OnboardingScript.ps1 용어가 인식되지 않음…”이라는 오류가 표시되는 경우 WINServer 가상 머신에서 작업 4에 대한 단계를 수행하고 있는지 확인합니다.** 여러 다운로드로 인해 파일 이름이 변경되는 다른 문제가 있을 수 있습니다. 실행 중인 디렉터리에서 “.\OnboardingScript (1).ps1” 또는 다른 파일 번호를 검색합니다.

  20. R 키를 눌러 한 번 실행하고 Enter 키를 누릅니다(몇 분 정도 걸릴 수 있음).

  21. 설정 프로세스에서 새 Edge 브라우저 탭을 열어 Azure Arc 에이전트를 인증합니다. 관리자 계정을 선택하고 “인증 완료” 메시지가 표시되기를 기다린 후 Windows PowerShell 창으로 돌아갑니다.

  22. 설치가 완료되면 스크립트를 다운로드한 Azure Portal 페이지로 돌아가서 닫기를 선택합니다. Azure Arc를 사용하여 서버 추가를 닫고 Azure Arc 컴퓨터 페이지로 돌아갑니다.

  23. WINServer 서버 이름이 표시되고 상태가 연결될 때까지새로 고침을 선택합니다.**

    참고: 이 과정은 몇 분 정도 걸릴 수 있습니다.

작업 5: 온-프레미스 서버 보호

이 작업에서는 WINServer 가상 머신에 DCR(데이터 수집 규칙) 을 추가하여 Azure Monitor 에이전트를 수동으로 설치합니다.

  1. 클라우드용 Microsoft Defender로 이동하여 왼쪽 메뉴에서 시작 페이지를 선택합니다.

  2. 시작 탭을 선택합니다.

  3. 아래로 스크롤하고 비 Azure 서버 추가 섹션에서 구성을 선택합니다.**

  4. 앞에서 만든 작업 영역 옆의 업그레이드를 선택합니다. 몇 분 정도 걸릴 수 있습니다. “작업 영역 uniquenameDefender에 대한 Microsoft Defender 플랜이 성공적으로 저장되었습니다.” 알림이 표시될 때까지 기다립니다.

  5. 앞에서 만든 작업 영역 옆의 + 서버 추가를 선택합니다.

  6. 데이터 수집 규칙을 선택합니다.

  7. + 만들기를 선택합니다.

  8. 규칙 이름에 WINServer를 입력합니다.

  9. Azure Pass - 스폰서쉽 구독을 선택하고 리소스 그룹을 선택합니다. 힌트: RG-Defender

  10. 기본 미국 동부 지역을 유지하거나 선호하는 다른 위치를 선택할 수 있습니다.

  11. 플랫폼 형식에 대해 Windows 라디오 단추를 선택하고 다음:리소스를 선택합니다.

  12. 리소스 탭에서 + 리소스 추가를 클릭합니다.

  13. 범위 선택 페이지에서 RG-Defender(또는 만든 리소스 그룹)의 범위 열을 확장한 다음 WINServer를 선택하고 적용을 선택합니다.

    참고: WINServer가 표시되지 않으면 리소스 종류에 대한 열 필터를 Server-Azure Arc로 설정해야 할 수도 있습니다.

  14. 다음: 수집 및 제공을 선택합니다.

  15. 수집 및 제공 탭에서 + 데이터 원본 추가를 선택합니다.

  16. 데이터 원본 추가 페이지의 데이터 원본 형식에서 성능 카운터를 선택합니다.

    참고: 이 랩의 목적에 따라 Windows 이벤트 로그를 선택할 수 있습니다. 이러한 선택 사항은 나중에 수정될 수 있습니다.

  17. 대상을 선택합니다.

  18. 대상 유형 드롭다운에서 Azure Monitor 로그를 선택합니다.

  19. 구독 드롭다운에서 Azure Pass - 스폰서쉽 구독을 선택합니다.

  20. 계정 또는 네임스페이스 드롭다운에서 작업 영역 이름 힌트: RG-Defender를 선택합니다.

  21. 데이터 원본 추가를 선택하고 검토 + 만들기를 선택합니다.

  22. 유효성 검사 통과가 표시되면 만들기를 선택합니다.

  23. 데이터 수집 규칙을 만들면 WINServerAzureMonitorWindowsAgent 확장 설치가 시작됩니다.

  24. 데이터 수집 규칙 만들기가 완료되면 리소스, 서비스 및 문서 검색 검색 창에 WINServer를 입력하고 리소스에서 WINServer를 선택합니다.

  25. WINServer에서 왼쪽 메뉴를 통해 아래로 스크롤하여 설정확장을 찾습니다.

  26. AzureMonitorWindowsAgent상태성공으로 나열되어야 합니다.

  27. 다음 랩으로 넘어갔다가 나중에 돌아와서 클라우드용 Microsoft Defender인벤토리 섹션을 검토하여 WINServer가 포함되어 있는지 확인할 수 있습니다.

연습 2 계속 진행