이번 포스팅은 Microsoft Defender for Endpoint (MDE) Deploy에 대해서 작성하고자 합니다.
이전에 EDR 프로필이나 온보딩 관련해서 작성한 적이 있습니다. 그 글들을 수정하기 보다는 지금 제가 이해한 수준에서 새로 작성하는 것이 좋다고 생각하였습니다. 애초에 블로그에 글을 작성하는 가장 첫번째 저의 목적은 내 수준이 얼마나 향상하고 있는지 가늠하기 위한 일기장 개념이었습니다.
MS Learns 자료 및 아래의 MVP 블로그를 공부 및 참고하여 작성하였습니다.
MDE Series blogs - Jeffrey Appel - Microsoft Security blog
I. 주의사항
1. 다른 포스팅된 글들도 마찬가지만, 작성일 기준 시점에서 이렇게 Deploy 하는 방향이 가장 좋을 것이라는 "개인적인 생각"으로 작성합니다. 배포하는 방법, 제한 사항, 기능들은 Cloud 제품 특성상 계속 업데이트 되기 때문에 시간이 지남에 따라서 최선의 방법은 변경될 것이라고 생각합니다. 이 글만 유독 경고를 작성하는 이유는 Security 제품 특성상, 실제 운영환경에서 배포할 경우에는 이슈가 발생할 가능성이 높기 때문입니다.
2. 여기서 사용되는 용어 중 일부는 고객에게 편하게 전달하기 위하여 제가 임의로 정의한 내용이 있습니다. 개념의 정확성보다는 제품에 대하여 쉽게 전달하는 방향으로 작성하였습니다.
3. 완벽한 솔루션은 없습니다. 3rd Party에서는 제공되지 않는 기능이 MDE에서 제공될 수도 있지만, 반대로 3rd Party에서 제공되는 기능이 MDE에서는 제공되지 않을 수 있습니다.
There are no "perfect" solutions. MS Principal Technical Architect 의 글을 인용한 표현입니다.
To identity and beyond—One architect's viewpoint | Microsoft Learn
4. 3rd Party Security 제품을 사용하지 않는다는 전제로 작성하였습니다.
5. 필요한 라이선스 및 라이선스 간의 기능 차이에 대해서 다루지 않습니다.
6. Azure AD라는 용어가 Entra ID로 변경되었기 때문에, Azure AD 대신 Entra ID라는 용어를 사용합니다.
II. 3rd Party Security Solution과의 비교
현재 유사한 Security Solution들은 많이 존재하고, 그 Solution들의 탐지율은 크게 차이 없으며 도입하면 분명히 비슷한 효과를 거둘 것이라고 생각합니다. 그래서 등수 비교나 성능 비교는 의미가 없다고 생각합니다. 각 솔루션마다 유리한 기준을 가지고 비교하며, 가격 정책은 매우 복잡하기 때문에 기업 입장에서는 비교하여 어떠한 솔루션을 도입한다라고 결정하는 것은 매우 힘이 들 것입니다. 이 얘기가 MDE 성능은 다른 제품과 별차이가 없다 라는 것은 아닙니다. 단지 뭐가 더 좋은지 제가 입증을 못하는 것 뿐입니다.
그렇다면 MDE가 다른 제품에 비해 무엇이 장점이냐 라는 것을 설명이 필요할 때, 가격이나 성능을 기준으로 안내를 하는 것은 비효율적이라고 생각합니다. 어떠한 솔루션이든 간에 내 제품이 좋다고 광고를 하지, 단점을 설명할 가능성은 매우 희박합니다.
제가 생각 했을 때의 MDE의 장점은 다음과 같습니다.
1. 이미 M365를 도입하였을 경우에 배포의 난이도가 낮다.
M365를 사용한다는 의미는 AD or Entra ID Joined 기반으로 관리할 것이며, 그룹핑이나 라이선스 관리에 있어서 추가적인 작업이 많이 필요로 하지 않습니다.
2. Windows OS입장에서 3rd Party가 아니다.
기업에서 어떠한 솔루션을 도입할 때, 가장 피곤하게 생각하는 멘트 중 하나는 "~~~때문에 영향을 받는 것 같다. 제거해보고 비교하자." 일 것입니다. 어떠한 솔루션을 쓰던 간에 Windows 가 하나의 플랫폼이라고 가정하면, 보통 3rd Party에서 windows 와의 호환성을 테스트하고 3rd Party에서 수정을 하야 합니다. 이러한 것들은 생각해보면, Anti virus 솔루션을 MS 제품으로 한다는 것이 많은 경우의 수를 줄일 수 있습니다. 만약에 MS 제품간의 충돌이 발생하면, Case Open을 진행하여 MS에서 알아서 해결하라고 요청하면 될 것입니다.
3. M365의 기능들을 같이 배포할 때, 시너지를 낼 수 있다.
순서가 어떻게 되든 Intune 기능을 쉽게 배포함으로써, 장기적으로는 AD나 온프렘 기반의 솔루션들을 많이 대체할 수 있습니다. 또한 Endpoint DLP를 도입할 때, 별도의 온보딩 절차를 진행하지 않아도 됩니다.
4. M365를 이미 도입했다면, 관리 포인트를 줄일 수 있다.
보안의 끝은 로그라는 얘기가 있습니다. 그 기록을 한 곳을 바라보고 SIEM 솔루션 등의 연계도 한 곳만 바라본다면, 관리자 입장에서 장점일 것이라고 생각합니다.
MDE Deployment 목차
2023.10.14 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (0). Introduction
2023.11.19 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (6) Tagging
2023.12.17 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (8) Web Protection
2023.12.17 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (9) Live Response