LIST
사용 할 수 있는 조건 : Defender CSPM(클라우드 보안 상태 관리) 또는 서버 플랜 2용 Microsoft Defender가 필요합니다.
에이전트 없는 컴퓨터 검사 작동방식 및 설명
에이전트 없는 검사의 경우 클라우드 API를 사용하여 데이터를 수집합니다.
(에이전트를 사용 검사 : 런타임에 운영 체제 API를 사용하여 보안 관련 데이터를 지속적으로 수집합니다.)
클라우드용 Defender는 VM 디스크의 스냅샷을 만들고 스냅샷에 저장된 운영 체제 구성 및 파일 시스템에 대한 대역 외의 심층 분석을 수행합니다. 복사된 스냅샷은 VM에 동일한 지역에 유지되며 VM은 검사의 영향을 받지 않습니다.
에이전트 없는 검사 테스트
Microsoft docs에는 24시간 이내에 보안 경고를 볼 수 있다고 나와있지만, 정확한 확인을 위해 새로 VM을 생성하여 에이전트 없는 검사로 구성 후 테스트를 진행하였습니다. 결론은 12시간 입니다.
MDC, MDE 포탈 탐지 시간 확인 목록 시간
| VM 생성 시간 | 6월 4일 14:16 |
| 에이전트 없는 검사 스크립트 실행 시간 1 | 6월 4일 15:31 |
| MDC 포탈 탐지 시간 | 6월 5일 3:19 |
공격 스크립트 실행 후 Microsoft Defender for Cloud 포탈에서 확인할 수 있는 보안 경고
공격 스크립트 실행 후 Microsoft Defender for Endpoint 포탈에서 확인할 수 있는 보안 경고
반응형
LIST
'AZURE > 보안' 카테고리의 다른 글
| [Microsoft Sentinel] 비용에 대한 이해_ 2024 8월_최신 (0) | 2024.08.07 |
|---|---|
| [Defender for Cloud] Just in Time 사용 방법 (0) | 2024.08.05 |
| [Defender for Cloud] 사용자 지정 작업 영역으로 로그 내보내기 (0) | 2024.01.30 |
| [Microsoft Sentinel] AMA로 Syslog 보내기 (2) | 2023.12.29 |
| [Microsoft Sentinel] 메뉴 설명 2 - 콘텐츠 관리 및 구성 (0) | 2023.12.14 |
댓글