끝점용 Microsoft Defender를 사용하여 Linux 및 macOS 끝점 보호

2024년 10월 14일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Linux 및 macOS 운영 체제에서 MDE(Microsoft Defender for Endpoint)를 배포하고 구성하도록 안내하는 것을 목표로 합니다. 점점 더 다양해지는 기업 환경에서 엔드포인트 보호는 Windows 환경 그 이상입니다. MDE는 위협 감지 및 대응(EDR) 기능을 Windows가 아닌 플랫폼으로 확장하여 조직의 기술 파크 전반에 걸쳐 보안 상태에 대한 통합된 보기와 사이버 공격에 대한 강력한 방어를 제공합니다[1].

소개

개발자, 디자이너 및 기타 전문가가 주도하는 기업 환경에서 Linux 및 macOS 장치의 확산은 보안 팀에 새로운 과제를 안겨주었습니다. 이러한 시스템은 덜 취약한 것으로 인식되는 경우가 많지만 점점 더 정교한 공격의 대상이 되고 있습니다. 모든 주요 플랫폼을 포괄하는 엔드포인트 보안 솔루션의 필요성은 일관되고 효과적인 보안 상태를 유지하는 데 매우 중요합니다. Microsoft Defender for Endpoint는 Linux 및 macOS에 대한 고급 보호, 검색 및 대응 기능을 제공하고 중앙 집중식 관리를 위해 Microsoft Defender XDR 포털과 원활하게 통합되어 이러한 격차를 해소합니다[2].

이 실용적인 가이드에서는 전제 조건, Linux 및 macOS 장치를 MDE에 온보딩하는 프로세스, 보안 정책 구성, 제외 관리, 탐지 테스트 수행 및 보호 유효성 검사를 다룹니다. 독자가 이기종 환경에서 엔드포인트용 Microsoft Defender를 배포 및 관리하여 엔드포인트의 보안을 강화하고 기업 보안 정책을 준수할 수 있도록 단계별 지침, 예제 터미널 명령 및 지침이 제공됩니다.

Microsoft Defender for Endpoint가 Linux 및 macOS에 중요한 이유는 무엇입니까?

• 포괄적인 보호: Linux 및 macOS를 위한 차세대 바이러스 백신, EDR(엔드포인트 탐지 및 대응), 취약성 관리, 액세스 제어 기능을 제공합니다.
• 통합 가시성: Microsoft Defender XDR 포털에서 모든 엔드포인트(Windows, Linux, macOS, Android, iOS)의 보안 모니터링 및 관리를 중앙 집중화합니다.
• 고급 위협 감지: Microsoft 위협 인텔리전스와 기계 학습을 활용하여 정교한 플랫폼별 위협을 식별하고 완화합니다.
• 신속한 사고 대응: 보안 팀이 모든 플랫폼에서 보안 사고를 빠르고 효과적으로 조사하고 대응할 수 있습니다.
• 규정 준수 및 거버넌스: 운영 체제에 관계없이 모든 엔드포인트가 보안 정책 및 규정을 준수하는지 확인하는 데 도움이 됩니다.
• Microsoft 에코시스템 통합: 전체적인 보안 접근 방식을 위해 Microsoft Sentinel 및 Microsoft Intune과 같은 다른 Microsoft 솔루션과 통합됩니다.

전제조건

Linux 및 macOS에 Microsoft Defender for Endpoint를 배포하려면 다음 항목이 필요합니다.

1. 라이선스: Microsoft Defender for Endpoint 라이선스(예: Microsoft 365 E5, 보안 추가 기능이 포함된 Microsoft 365 E3 또는 MDE 독립 실행형 라이선스) [3].
2. 관리 액세스: Microsoft Defender XDR 포털('https://security.microsoft.com')에서 '보안 관리자' 또는 '글로벌 관리자' 역할을 가진 계정입니다.
3. 루트/Sudo 액세스: 설치 및 구성을 위한 대상 장치에 대한 루트(Linux) 또는 sudo(macOS) 권한입니다.
4. 네트워크 연결: 장치는 통신 및 정의 업데이트를 위해 MDE 서비스 엔드포인트에 연결되어 있어야 합니다.
5. 지원되는 운영 체제: 지원되는 Linux 및 macOS 배포판의 특정 버전은 Microsoft 설명서를 확인하세요[4].

단계별: Linux 및 macOS에서 MDE 온보딩 및 구성

두 플랫폼 모두에 대한 온보딩 프로세스와 기본 설정을 살펴보겠습니다.

1. Microsoft Defender for Endpoint에서 장치 온보딩

온보딩 프로세스에는 Microsoft Defender XDR 포털에서 통합 패키지를 가져와 장치에 배포하는 과정이 포함됩니다.

1. Microsoft Defender X 포털에 액세스합니다.DR:

   • 브라우저를 열고 https://security.microsoft.com으로 이동하세요.
   • 필수 권한이 ​​있는 계정으로 로그인하세요.

2. 온보딩 패키지 받기:

   • 왼쪽 탐색 창에서 설정 > 엔드포인트를 선택합니다.
   • '장치 관리'에서 통합을 선택하세요.
   • 1. 통합 프로세스를 시작할 운영 체제를 선택하고Linux Server또는macOS`를 선택합니다.
   • `2. 배포 방법 선택'을 선택하고, 수동 설치의 경우 '로컬 스크립트'를 선택하고, 대규모 배포의 경우 '구성 관리 도구'(예: Linux용 Puppet, Ansible, macOS용 Intune, JAMF)를 선택합니다.
   • '통합 패키지 다운로드'를 클릭하세요.

1.1. Linux 온보딩(수동)

1. 전제조건 설치: 필수 패키지가 설치되어 있는지 확인하세요. 대부분의 배포판에는 curl, wget, gnupg, apt-transport-https(Debian/Ubuntu) 또는 yum-utils(RHEL/CentOS)가 포함됩니다. ``배쉬 # 우분투/데비안의 예 sudo apt-get 업데이트 sudo apt-get 설치 -y 컬 wget apt-transport-https gnupg

   RHEL/CentOS의 예

   sudo yum install -y 컬 wget yum-utils gnupg ````

2. Microsoft Repository 추가: 배포판의 패키지 관리자를 사용하여 MDE를 설치할 수 있습니다. ``배쉬 # 우분투/데비안의 예 wget -qO- https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > packages.microsoft.gpg sudo 설치 -o 루트 -g 루트 -m 644 packages.microsoft.gpg /etc/apt/trusted.gpg.d/ sudo sh -c 'echo "deb [arch=amd64,armhf,arm64] https://packages.microsoft.com/ubuntu/22.04/prod jammy main" > /etc/apt/sources.list.d/microsoft-prod.list' sudo rm packages.microsoft.gpg sudo apt-get 업데이트

   RHEL/CentOS의 예

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/8/prod.repo ````

3. MDE 설치: mdatp 패키지를 설치합니다. ``배쉬 # 우분투/데비안의 예 sudo apt-get 설치 -y mdatp

   RHEL/CentOS의 예

   sudo yum install -y mdatp ````

4. 온보딩 패키지로 MDE 구성: 다운로드한 WindowsDefenderATPOnboardingPackage.zip 파일을 Linux 서버에 복사하고 압축을 풀고 온보딩 스크립트를 사용합니다. ``배쉬 # .zip 파일을 Linux 서버에 복사합니다. # scp WindowsDefenderATPOnboardingPackage.zip user@your_linux_server:~/

   WindowsDefenderATPOnboardingPackage.zip -d mde_onboarding 압축 풀기 sudo mdatp 상위 수준 작업 온보드 --path mde_onboarding/MicrosoftDefenderATPOnboardingScript.sh ````

5. 상태 확인: MDE가 실행 중이고 온보딩되었는지 확인합니다. ``배쉬 mdatp 건강 ````

1.2. macOS 온보딩(수동)

1. MDE 설치: 다운로드한 MicrosoftDefenderATPOnboardingPackage.zip 파일을 macOS 장치에 복사합니다. 압축을 푼다. .pkg 파일(예: wdav.pkg)을 찾을 수 있습니다.

2. 패키지 설치: .pkg 설치 프로그램을 실행합니다. ``배쉬 sudo 설치 프로그램 -pkg wdav.pkg -target / ````

   • 화면의 지시를 따르십시오. 시스템 환경설정 > 보안 및 개인 정보 보호에서 MDE에 전체 디스크 액세스 권한과 시스템 확장 권한을 부여해야 합니다.

3. 온보딩 패키지로 MDE 구성: 온보딩 스크립트를 사용합니다. ``배쉬 # .zip 파일을 Mac에 복사합니다. # .zip 파일의 압축을 푼다 sudo /Library/Application\ Support/Microsoft/Defender/uninstall/install.sh --install sudo /Library/Application\ Support/Microsoft/Defender/install.sh --onboard /path/to/MicrosoftDefenderATPOnboardingScript.sh ````

   • 참고: 온보딩 스크립트의 정확한 경로는 다를 수 있습니다. .zip 파일의 내용을 확인하세요.

4. 상태 확인: MDE가 실행 중이고 온보딩되었는지 확인합니다. ``배쉬 mdatp 건강 ````

2. 보안 정책 구성(Linux 및 macOS)

Linux 및 macOS의 MDE에 대한 보안 정책은 JSON 파일(수동/스크립트 배포용) 또는 Intune, JAMF, Puppet, Ansible 등과 같은 도구를 통해 관리할 수 있습니다.

바이러스 백신 제어를 위해 JSON 파일을 통한 구성 예시를 사용해 보겠습니다.

1. JSON 구성 파일 생성: 원하는 설정으로 mdatp_config.json 파일을 생성합니다. ``json { "antivirusEngine": { "활성화됨": 사실, "스캔": { "빠른 스캔": { "활성화됨": 사실, "일정": { "유형": "매일", "시간": "02:00" } }, "풀스캔": { "활성화됨": 거짓 } }, "realTimeProtection": { "활성화됨": 사실, "scanOnAccess": 사실, "scanOnModify": 참 }, "제외": [ { "경로": "/var/log", "유형": "디렉토리" }, { "경로": "/opt/app/data.db", "유형": "파일" } ] }, "클라우드서비스": { "활성화됨": 사실, "diagnosticLevel": "전체" } } ````

   • 이 예에서는 실시간 보호를 활성화하고 일일 빠른 검사를 구성하며 로그 디렉터리 및 데이터베이스 파일에 대한 제외 항목을 설정합니다.

2. 구성 적용: mdatp config 명령을 사용합니다. ``배쉬 sudo mdatp config set --path mdatp_config.json ````

3. 적용된 구성 확인: 활성 구성을 확인할 수 있습니다. ``배쉬 mdatp 구성 get --json ````

중앙 집중식 관리를 위한 팁(Intune/JAMF)

• Microsoft Intune(macOS): macOS의 경우 Intune은 MDE 배포 및 관리에 선호되는 도구입니다. 구성 프로필을 생성하여 MDE 패키지를 배포하고 보안 설정(실시간 보호, 제외 등)을 구성할 수 있습니다.

• 구성 관리 도구(Linux): Linux의 경우 Puppet, Ansible 또는 Chef와 같은 도구는 일반적으로 대규모 MDE 배포 및 구성 관리를 자동화하는 데 사용됩니다.

3. 제외 관리

제외는 합법적인 응용 프로그램과의 충돌을 방지하거나 I/O 로드가 높은 시스템의 성능을 향상시키는 데 중요합니다. 그러나 보안상의 허점이 생기지 않도록 주의해서 사용해야 합니다.

1. 명령줄을 통해 제외 추가(Linux/macOS): ``배쉬 # 파일 삭제 sudo mdatp 제외 추가 --path /path/to/file.log --type 파일

   디렉토리 삭제

   sudo mdatp 제외 추가 --path /path/to/directory --type 디렉토리

   확장자로 삭제

   sudo mdatp 제외 추가 --extension .tmp --type 확장 ````

2. 제외 목록: 구성된 제외를 확인합니다. ``배쉬 mdatp 제외 목록 ````

3. 제외 제거: 더 이상 필요하지 않은 경우 제외를 제거합니다. ``배쉬 sudo mdatp 제외 제거 --path /path/to/file.log ````

검증 및 테스트

솔루션이 예상대로 작동하는지 확인하려면 Linux 및 macOS에서 MDE 보호를 검증하는 것이 필수적입니다.

1. Microsoft Defender XDR 포털에서 상태 확인

1. Microsoft Defender XDR 포털(https://security.microsoft.com)에서 자산 > 장치로 이동합니다.
2. 온보딩된 Linux 및 macOS 장치가 목록에 나타나고 '상태'가 '활성'인지 확인합니다.
3. '보호 상태' 및 '보안 권장 사항'을 포함한 세부 정보를 보려면 장치를 클릭하세요.

2. 바이러스 백신 탐지 테스트(EICAR)

EICAR(European Institute for Computer Antivirus Research) 테스트 파일을 사용하여 바이러스 백신이 제대로 작동하는지 확인하세요.

1. EICAR 파일 생성: 다음과 같은 내용이 포함된 텍스트 파일을 만듭니다(추가 공백이나 줄 바꿈 없음). X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-표준-안티바이러스-테스트-파일!$H+H*

   • Linux: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com
   • macOS: echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > eicar.com

2. 탐지 관찰: 실시간 보호가 활성화된 경우 MDE는 즉시 EICAR 파일을 감지하고 차단해야 합니다.

3. MDE 포털에서 경고 확인: Microsoft Defender XDR 포털에서 사고 및 경고 > 경고로 이동합니다. Linux/macOS 장치에서 EICAR 감지와 관련된 경고가 표시됩니다.

3. EDR 탐지 테스트(공격 시뮬레이션)

Microsoft는 테 스크립트를 제공합니다공격 시나리오를 시뮬레이션하고 MDE의 EDR 기능을 확인합니다.

1. Linux의 경우: Linux용 MDE 감지 테스트 스크립트를 다운로드하고 실행합니다. ``배쉬 컬 -o ~/mde_linux_test.sh https://aka.ms/LinuxMDEtest chmod +x ~/mde_linux_test.sh ~/mde_linux_test.sh ````

2. macOS의 경우: macOS용 MDE 감지 테스트 스크립트를 다운로드하고 실행합니다. ``배쉬 컬 -o ~/mde_macos_test.sh https://aka.ms/macMDEtest chmod +x ~/mde_macos_test.sh ~/mde_macos_test.sh ````

3. MDE 포털에서 경고 확인: 스크립트를 실행한 후 사고 및 경고 > 경고에서 Microsoft Defender XDR 포털을 확인합니다. '의심스러운 명령 실행' 또는 '의심스러운 스크립트 활동'과 같은 시뮬레이션된 활동과 관련된 경고가 표시됩니다.

보안 팁 및 모범 사례

• 중앙 집중식 관리: 구성 관리 도구(Intune, JAMF, Puppet, Ansible)를 사용하여 MDE를 대규모로 배포 및 관리하여 정책의 일관성을 보장합니다.
• MDE 업데이트 유지: 최신 위협으로부터 보호할 수 있도록 MDE 클라이언트 및 보안 정의가 항상 최신 상태인지 확인하세요.
• 제외 항목을 신중하게 관리: 보안 허점을 방지하려면 제외 항목을 검토하고 최소화하세요. 모든 제외 사항과 그 정당성을 문서화하십시오.
• SIEM/SOAR 통합: 향상된 가시성 및 사고 대응을 위해 MDE 경고를 SIEM(보안 정보 및 이벤트 관리) 또는 SOAR(보안 오케스트레이션, 자동화 및 대응)(예: Microsoft Sentinel)과 통합합니다.
• 지속적 모니터링: Microsoft Defender XDR 포털을 적극적으로 모니터링하여 Linux 및 macOS 엔드포인트에 대한 보안 경고 및 권장 사항을 확인하세요.
• 사용자 교육: 사용자에게 엔드포인트 보안의 중요성과 의심스러운 활동을 보고하는 방법을 교육합니다.
• 변조 방지: Windows에서 더욱 두드러지지만 악의적인 사용자가 Linux/macOS에서 MDE 설정을 비활성화하거나 변경하지 못하도록 동등한 제어 기능이 있는지 확인하십시오.

일반적인 문제 해결

• MDE가 설치/온보딩되지 않습니다: 전제 조건(배포/OS 버전, 필수 패키지)을 확인합니다. 설치 로그에서 오류를 확인하세요. 온보딩 패키지가 정확하고 만료되지 않았는지 확인하세요. Microsoft 끝점에 대한 네트워크 연결을 확인합니다.
• MDE는 포털에 보고하지 않습니다: 'onboarded' 및 'healthy' 상태에 대한 'mdatp health' 명령을 확인하세요. 장치가 인터넷 및 MDE 서비스에 연결되어 있는지 확인합니다. 통신을 차단할 수 있는 프록시 또는 방화벽 설정을 확인하세요.
• 높은 CPU/메모리 사용량: MDE 로그를 확인하여 높은 사용량을 유발할 수 있는 프로세스를 식별합니다. 구성된 제외를 검토합니다. 검사 설정을 최적화합니다(예: 사용량이 적은 시간에 전체 검사 예약).
• 다른 보안 솔루션과의 충돌: 다른 바이러스 백신 또는 엔드포인트 보안 솔루션이 설치되어 있는 경우 충돌이 발생할 수 있습니다. Microsoft에서는 MDE를 설치하기 전에 다른 솔루션을 제거할 것을 권장합니다.
• 오탐지 경고: MDE가 많은 오탐지 경고를 생성하는 경우 경고를 트리거한 활동을 조사합니다. 합법적인 프로세스나 파일에 대한 제외를 추가하거나(주의해서) 탐지 정책을 조정하는 것이 좋습니다.
• 권한 문제(macOS): macOS에서는 '시스템 환경설정' > '보안 및 개인 정보 보호'에서 모든 시스템 확장 및 전체 디스크 액세스 권한이 MDE에 부여되었는지 확인하세요.

결론

Microsoft Defender for Endpoint는 Linux 및 macOS 환경으로 효과적으로 확장되는 차세대 엔드포인트 보안 솔루션을 제공합니다. 단일 플랫폼에서 위협 보호, 탐지 및 대응을 통합함으로써 조직은 보안 관리를 단순화하고 전체 기술 파크에서 사이버 공격에 대한 태세를 강화할 수 있습니다. MDE 이점을 극대화하려면 신중한 구현, 적절한 정책 구성 및 지속적인 모니터링이 중요합니다. 이 실용적인 가이드를 통해 보안 전문가는 Linux 및 macOS 엔드포인트를 보호할 수 있는 준비를 갖추게 됩니다.운영 체제에 관계없이 모든 장치는 보다 안전하고 탄력적인 기업 환경에 기여합니다.

---

참고자료:

[1] 마이크로소프트 런. Linux의 엔드포인트용 Microsoft Defender. 사용 가능: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-linux [2] 마이크로소프트 런. macOS의 엔드포인트용 Microsoft Defender. 사용 가능: https://learn.microsoft.com/pt-br/defender-endpoint/microsoft-defender-endpoint-mac [3] 마이크로소프트 런. Microsoft Defender for Endpoint 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/defender-endpoint/licensing [4] 마이크로소프트 런. Linux의 엔드포인트용 Microsoft Defender에 대한 전제 조건. 사용 가능: https://learn.microsoft.com/pt-br/defender-endpoint/linux-prerequisites [5] EICAR. EICAR 테스트 파일. 다운로드 가능: https://www.eicar.org/download-anti-malware-testfile/