데이터 수집 혜택 사용

2025-05-26

Microsoft Defender for Cloud에서 서버용 Defender 플랜 2를 사용하도록 설정하면 매일 500MB의 무료 데이터 수집을 활용할 수 있습니다. 작동 방식은 다음과 같습니다.

Defender for Servers 플랜 2는 Defender for Cloud에서 직접 수집한 특정 보안 데이터 형식에 대해 노드당 매일 500MB의 허용량을 제공합니다.
데이터 수집은 컴퓨터당, 보고된 작업 영역별 및 매일 계산됩니다.
총 일일 사용 가능 한도는 [컴퓨터 수] x 500MB와 같습니다.
수당은 모든 컴퓨터에서 평균되는 일일 요금입니다.
일부 컴퓨터가 100MB를 보내고 다른 컴퓨터가 800MB를 보내는 경우에도 총 요금이 일일 무료 한도를 초과하지 않는 경우 추가 요금이 부과되지 않습니다.
이 혜택은 컴퓨터가 보고하는 Log Analytics 작업 영역에 부여됩니다.
청구서에는 비용이 0이므로 혜택이 표시되지 않을 수 있습니다. 이 혜택은 제품 및 Microsoft Cost Management의 내보내기에서 볼 수 있습니다. 데이터 할당 혜택을 보는 방법을 알아봅니다.

필수 조건

Defender for Servers 플랜 2를 사용하도록 설정된 구독에서 AMA(Azure Monitor 에이전트)를 실행하는 모든 머신이 이점을 얻습니다.
컴퓨터가 보고하는 모든 작업 영역에는 Defender for Servers 플랜 2를 사용하도록 설정해야 합니다.
둘 이상의 작업 영역에 보고하는 모든 컴퓨터는 해당 작업 영역 중 하나에만 부여된 혜택을 받습니다.

이 혜택을 위해 지원되는 보안 데이터 형식의 하위 집합은 다음과 같습니다.

SecurityAlert
SecurityBaseline
SecurityBaselineSummary
SecurityDetection
SecurityEvent
WindowsFirewall
ProtectionStatus
업데이트 관리 솔루션이 작업 영역에서 실행되고 있지 않거나 솔루션 대상 지정을 사용하는 경우 Update 및 UpdateSummary 데이터 형식.
MDC파일무결성모니터링이벤트 (MDC 파일 무결성 모니터링 이벤트)
WindowsEvent
LinuxAuditLog

보안 이벤트에 대한 사용자 지정 DCR(데이터 수집 규칙) 만들기(500MB/일 혜택)

보안 이벤트는 하루에 서버당 최대 500MB까지 무료이지만 SecurityEvent 테이블에 도달할 때만 가능합니다. 따라서 DCR은 Microsoft-SecurityEvent 스트림을 사용하여 데이터 수집 이점을 준수해야 합니다.

DCR을 만드는 빠른 단계

Azure Portal로 이동 - 모니터 - 데이터 수집 규칙 | + 만들기.
데이터 원본 추가
- 형식: Windows 이벤트 로그
- 로그 이름: Security
- 스트림: Microsoft-SecurityEvent
- (선택 사항) XPath를 사용한 필터(예:
```
*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]
```
대상 ▸ 서버용 Defender 플랜 2가 사용하도록 설정된 Log Analytics 작업 영역을 선택합니다.
검토 + 만들기 - AMA(Azure Monitor 에이전트)를 실행하는 Windows 머신에 규칙을 할당 합니다.

샘플 JSON 조각

{
  "dataSources": {
    "windowsEventLogs": [
      {
        "name": "SecurityEvents",
        "streams": ["Microsoft-SecurityEvent"],
        "xPathQueries": [
          "*[System[(EventID=4624 or EventID=4625 or EventID=4688)]]"
        ]
      }
    ]
  },
  "destinations": {
    "logAnalytics": [
      { "workspaceId": "<workspace-id>" }
    ]
  }
}

준수 검사 목록

요구 사항	중요한 이유
`Microsoft-SecurityEvent` DCR의 스트림	허용이 적용되는 SecurityEvent 테이블로 데이터를 라우팅합니다.
작업 영역에서 사용하도록 설정된 보안 솔루션	수집 혜택이 적용되었는지 확인합니다(서버용 Defender 플랜 2와 동일하게).
서버용 Defender 플랜 2	노드당 일일 500MB 허용량을 부여합니다.
AMA(Azure Monitor 에이전트) 가 설치됨	사용자 지정 DCR을 적용하는 데 필요합니다.

대규모 배포

Azure Policy 이니셔티브 Deploy AMA DCR for Security Events 컬렉션을 사용하여 구독 간에 호환 DCR의 생성 및 할당을 자동화합니다.

작업 영역 구성

Azure Monitor는 Log Analytics 작업 영역을 만드는 방법을 설명합니다.

작업 영역에서 Defender for Servers 계획 2 사용

Azure Portal에서 클라우드용 Microsoft Defender 검색하고 선택합니다.
클라우드용 Defender 메뉴에서 환경 설정을 선택하고 관련 작업 영역을 선택합니다.
관련 작업 영역을 선택합니다.
서버 계획을 켜기로 전환한 후 저장을 선택합니다.

참고

서버용 Defender 계획 2를 사용하지 않도록 설정하려면 사용하도록 설정된 Log Analytics 작업 영역에서 계획을 명시적으로 사용하지 않도록 설정합니다.

피드백

이 페이지가 도움이 되었나요?