다음을 통해 공유

ID 아키텍처용 Microsoft Defender

  • 아티클

Microsoft Defender for Identity 네트워크 트래픽을 캡처 및 구문 분석하고, 도메인 컨트롤러에서 직접 Windows 이벤트를 활용하여 도메인 컨트롤러를 모니터링한 다음, 공격 및 위협에 대한 데이터를 분석합니다.

다음 이미지는 Defender for Identity가 Microsoft Defender XDR 계층화되고 다른 Microsoft 서비스 및 타사 ID 공급자와 함께 작동하여 도메인 컨트롤러 및 Active Directory 서버에서 들어오는 트래픽을 모니터링하는 방법을 보여 줍니다.

Defender for Identity 아키텍처의 다이어그램

도메인 컨트롤러, Active Directory Federation Services(AD FS) 또는 AD CS(Active Directory Certificate Services) 서버에 직접 설치된 Defender for Identity 센서는 서버에서 직접 필요한 이벤트 로그에 액세스합니다. 센서에서 로그 및 네트워크 트래픽을 구문 분석한 후 Defender for Identity는 구문 분석된 정보만 Defender for Identity 클라우드 서비스로 보냅니다.

Defender for Identity 구성 요소

Defender for Identity는 다음 구성 요소로 구성됩니다.

  • Microsoft Defender 포털
    Microsoft Defender 포털은 Defender for Identity 작업 영역을 만들고, Defender for Identity 센서에서 받은 데이터를 표시하며, 네트워크 환경에서 위협을 모니터링, 관리 및 조사할 수 있도록 합니다.

  • Defender for Identity 센서 Defender for Identity 센서는 다음 서버에 직접 설치할 수 있습니다.

    • 도메인 컨트롤러: 센서는 전용 서버 또는 포트 미러링 구성 없이 도메인 컨트롤러 트래픽을 직접 모니터링합니다.
    • AD FS/AD CS: 센서는 네트워크 트래픽 및 인증 이벤트를 직접 모니터링합니다.

  • Defender for Identity 클라우드 서비스
    Defender for Identity 클라우드 서비스는 Azure 인프라에서 실행되며 현재 유럽, 영국, 스위스, 북아메리카/중앙 아메리카/카리브해, 오스트레일리아 동부, 아시아 및 인도에 배포됩니다. Defender for Identity 클라우드 서비스는 Microsoft의 지능형 보안 그래프에 연결됩니다.

Microsoft Defender 포털

Microsoft Defender 포털을 사용하여 다음을 수행합니다.

  • Defender for Identity 작업 영역을 만듭니다.
  • 다른 Microsoft 보안 서비스와 통합합니다.
  • Defender for Identity 센서 구성 설정을 관리합니다.
  • Defender for Identity 센서에서 받은 데이터를 봅니다.
  • 공격 킬 체인 모델을 기반으로 검색된 의심스러운 활동 및 의심스러운 공격을 모니터링합니다.
  • 선택 사항: 보안 경고 또는 상태 문제가 검색될 때 메일 및 이벤트를 보내도록 포털을 구성할 수도 있습니다.

참고

60일 이내에 Defender for Identity 작업 영역에 센서가 설치되지 않은 경우 작업 영역이 삭제될 수 있으며 다시 만들어야 합니다.

Defender for Identity 센서

Defender for Identity 센서에는 다음과 같은 핵심 기능이 있습니다.

  • 도메인 컨트롤러 네트워크 트래픽(도메인 컨트롤러의 로컬 트래픽) 캡처 및 검사
  • 도메인 컨트롤러에서 직접 Windows 이벤트 받기
  • VPN 공급자에서 RADIUS 계정 정보 수신
  • Active Directory 도메인에서 사용자 및 컴퓨터에 대한 데이터 검색
  • 네트워크 엔터티(사용자, 그룹 및 컴퓨터)의 해결 수행
  • Defender for Identity 클라우드 서비스로 관련 데이터 전송

Defender for Identity 센서는 추가 하드웨어 또는 구성을 구매하고 유지 관리할 필요 없이 이벤트를 로컬로 읽습니다. Defender for Identity 센서는 여러 검색에 대한 로그 정보를 제공하는 ETW(Windows용 이벤트 추적)도 지원합니다. ETW 기반 검색에는 도메인 컨트롤러 복제 요청 및 도메인 컨트롤러 승격을 사용하여 시도한 의심되는 DCShadow 공격이 포함됩니다.

도메인 동기화 장치 프로세스

도메인 동기화기 프로세스는 특정 Active Directory 도메인의 모든 엔터티를 사전에 동기화하는 작업을 담당합니다(복제를 위해 도메인 컨트롤러 자체에서 사용하는 메커니즘과 유사). 하나의 센서는 도메인 동기화기로 사용할 수 있는 모든 적격 센서에서 임의로 자동으로 선택됩니다.

도메인 동기화 장치가 30분 이상 오프라인 상태이면 다른 센서가 자동으로 선택됩니다.

리소스 제한 사항

Defender for Identity 센서에는 실행 중인 서버에서 사용 가능한 컴퓨팅 및 메모리 용량을 평가하는 모니터링 구성 요소가 포함되어 있습니다. 모니터링 프로세스는 10초마다 실행되며 Defender for Identity 센서 프로세스에서 CPU 및 메모리 사용률 할당량을 동적으로 업데이트합니다. 모니터링 프로세스는 서버에서 항상 사용 가능한 무료 컴퓨팅 및 메모리 리소스의 15% 이상을 사용할 수 있도록 합니다.

서버에서 어떤 일이 발생하든 모니터링 프로세스는 지속적으로 리소스를 확보하여 서버의 핵심 기능에 영향을 주지 않도록 합니다.

모니터링 프로세스로 인해 Defender for Identity 센서에 리소스가 부족해지면 부분 트래픽만 모니터링되고 상태 경고 "포트 미러링된 네트워크 트래픽 삭제"가 Defender for Identity 센서 페이지에 표시됩니다.

Windows Events(Windows 이벤트)

NTLM 인증, 중요한 그룹 수정 및 의심스러운 서비스 만들기와 관련된 Defender for Identity 검색 범위를 향상시키기 위해 Defender for Identity는 특정 Windows 이벤트의 로그를 분석합니다.

로그를 읽으려면 Defender for Identity 센서에 고급 감사 정책 설정이 올바르게 구성되어 있는지 확인합니다. Windows 이벤트 8004가 서비스에서 필요에 따라 감사되는지 확인하려면 NTLM 감사 설정을 검토합니다.

다음 단계

Microsoft Defender XDR 사용하여 Microsoft Defender for Identity 배포