다음을 통해 공유

도메인 컨트롤러에서 직접 Microsoft Defender for Identity 기능 활성화

  • 아티클

이미 엔드포인트용 Defender에 도메인 컨트롤러를 온보딩한 엔드포인트용 Microsoft Defender 고객은 를 사용하는 대신 도메인 컨트롤러에서 직접 Microsoft Defender for Identity 기능을 활성화할 수 있습니다.Microsoft Defender for Identity 센서.

이 문서에서는 도메인 컨트롤러에서 Microsoft Defender for Identity 기능을 활성화하고 테스트하는 방법을 설명합니다.

중요

Windows Server 2019 이상을 실행하는 새 도메인 컨트롤러에 핵심 ID 보호를 배포하려는 고객에게 새 센서를 사용하는 것이 좋습니다. 다른 모든 ID 인프라 또는 현재 Microsoft Defender for Identity 사용할 수 있는 가장 강력한 ID 보호를 배포하려는 고객의 경우 여기에 클래식 센서를 배포하는 것이 좋습니다.

필수 구성 요소

도메인 컨트롤러에서 Defender for Identity 기능을 활성화하기 전에 환경이 이 섹션의 필수 구성 요소를 준수하는지 확인합니다.

Defender for Identity 센서 충돌

이 문서에 설명된 구성은 기존 Defender for Identity 센서와의 병렬 설치를 지원하지 않으며 Defender for Identity 센서의 대체품으로 권장되지 않습니다.

Defender for Identity 기능을 활성화하려는 도메인 컨트롤러에 Defender for Identity 센서 가 배포되지 않았는지 확인합니다.

시스템 요구 사항

Direct Defender for Identity 기능은 다음 운영 체제 중 하나를 사용하여 도메인 컨트롤러에서만 지원됩니다.

중요

2024년 3월 누적 업데이트를 설치한 후 온-프레미스 및 클라우드 기반 Active Directory 도메인 Controllers 서비스 Kerberos 인증 요청 시 LSASS에서 도메인 컨트롤러에 메모리 누수가 발생할 수 있습니다.

이 문제는 대역 외 업데이트 KB5037422 해결됩니다.

엔드포인트용 Defender 온보딩

엔드포인트용 Microsoft Defender 도메인 컨트롤러를 온보딩해야 합니다.

자세한 내용은 Windows 서버 온보딩을 참조하세요.

사용 권한 요구 사항

Defender for Identity 활성화 페이지에 액세스하려면 보안 관리자이거나 다음 통합 RBAC 권한이 있어야 합니다.

  • Authorization and settings / System settings (Read and manage)
  • Authorization and settings / Security setting (All permissions)

자세한 내용은 다음 항목을 참조하세요.

연결 요구 사항

도메인 컨트롤러에서 직접 Defender for Identity 기능은 간소화된 URL을 포함하여 통신을 위해 엔드포인트용 Defender URL 엔드포인트를 사용합니다.

자세한 내용은 엔드포인트용 Defender와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.

Windows 감사 구성

Defender for Identity 검색은 특정 Windows 이벤트 로그 항목을 사용하여 검색을 향상시키고 NTLM 로그인 및 보안 그룹 수정과 같은 특정 작업을 수행하는 사용자에 대한 추가 정보를 제공합니다.

Defender for Identity 검색을 지원하도록 도메인 컨트롤러에서 Windows 이벤트 컬렉션을 구성합니다. 자세한 내용은 Microsoft Defender for Identity 있는 이벤트 컬렉션Windows 이벤트 로그에 대한 감사 정책 구성을 참조하세요.

Defender for Identity PowerShell 모듈을 사용하여 필요한 설정을 구성할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

예를 들어 다음 명령은 도메인에 대한 모든 설정을 정의하고, 그룹 정책 개체를 만들고, 연결합니다.

Set-MDIConfiguration -Mode Domain -Configuration All

Defender for Identity 기능 활성화

환경이 완전히 구성되었는지 확인한 후 도메인 컨트롤러에서 Microsoft Defender for Identity 기능을 활성화합니다.

Microsoft Defender 포털에서 Defender for Identity를 활성화합니다.

  1. 시스템>설정>ID 활성화로> 이동합니다.

    활성화 페이지에는 디바이스 인벤토리에서 검색되고 적격 도메인 컨트롤러로 식별된 서버가 나열됩니다.

  2. Defender for Identity 기능을 활성화할 도메인 컨트롤러를 선택한 다음 활성화를 선택합니다. 메시지가 표시되면 선택 항목을 확인합니다.

    참고

    적격 도메인 컨트롤러를 자동으로 활성화하도록 선택할 수 있습니다. 여기서 Defender for Identity는 검색되는 즉시 활성화하거나, 적격 서버 목록에서 특정 도메인 컨트롤러를 선택하는 수동으로 활성화할 수 있습니다.

  3. 활성화가 완료되면 녹색 성공 배너가 표시됩니다. 배너에서 여기를 클릭하여 온보딩된 서버를 확인하여 센서 상태를 검사 수 있는 설정 > ID > 센서 페이지로 이동합니다.

온보딩 확인

센서가 온보딩되었는지 확인하려면 다음을 수행합니다.

  1. 시스템>설정>ID>센서로 이동합니다.

  2. 온보딩된 도메인 컨트롤러가 나열되어 있는지 확인합니다.

참고

활성화에는 다시 시작/다시 부팅이 필요하지 않습니다. 도메인 컨트롤러에서 Defender for Identity 기능을 처음 활성화할 때 첫 번째 센서가 센서 페이지에서 실행 중으로 표시되는 데 최대 1시간이 걸릴 수 있습니다 . 후속 활성화는 5분 내에 표시됩니다.

활성화된 기능 테스트

도메인 컨트롤러에서 Defender for Identity 기능을 처음 활성화할 때 첫 번째 센서가 센서 페이지에서 실행 중으로 표시되는 데 최대 1시간이 걸릴 수 있습니다 . 후속 활성화는 5분 이내에 표시됩니다.

도메인 컨트롤러의 Defender for Identity 기능은 현재 다음 Defender for Identity 기능을 지원합니다.

다음 절차를 사용하여 도메인 컨트롤러에서 Defender for Identity 기능에 대한 환경을 테스트합니다.

ITDR dashboard 확인

Defender 포털에서 ID대시보드> 선택하고 표시된 세부 정보를 검토하여 사용자 환경의 예상 결과를 확인합니다.

자세한 내용은 Defender for Identity의 ITDR dashboard 작업을 참조하세요.

엔터티 페이지 세부 정보 확인

도메인 컨트롤러, 사용자 및 그룹과 같은 엔터티가 예상대로 채워져 있는지 확인합니다.

Defender 포털에서 다음 세부 정보를 검사.

  • 디바이스 엔터티: 자산 디바이스를 >선택하고 새 센서에 대한 머신을 선택합니다. Defender for Identity 이벤트는 디바이스 타임라인 표시됩니다.

  • 사용자 엔터티: 자산 > 사용자 및 새로 온보딩된 도메인의 사용자에 대한 검사 선택합니다. 또는 전역 검색 옵션을 사용하여 특정 사용자를 검색합니다. 사용자 세부 정보 페이지에는 개요, organization 관찰됨 및 타임라인 데이터가 포함되어야 합니다.

  • 그룹 엔터티: 전역 검색 사용하여 사용자 그룹을 찾거나 그룹 세부 정보가 표시되는 사용자 또는 디바이스 세부 정보 페이지에서 피벗합니다. 그룹 멤버 자격, 그룹 사용자 보기 및 그룹 타임라인 데이터에 대한 세부 정보를 확인합니다.

    그룹 타임라인 이벤트 데이터를 찾을 수 없는 경우 수동으로 만들어야 할 수 있습니다. 예를 들어 Active Directory의 그룹에서 사용자를 추가하고 제거하여 이 작업을 수행합니다.

자세한 내용은 자산 조사를 참조하세요.

고급 헌팅 테이블 테스트

Defender 포털의 고급 헌팅 페이지에서 다음 샘플 쿼리를 사용하여 해당 데이터가 사용자 환경에 예상대로 관련 테이블에 표시되는지 검사.

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

자세한 내용은 Microsoft Defender 포털에서 고급 헌팅을 참조하세요.

ISPM(Identity Security Posture Management) 권장 사항 테스트

테스트 환경에서 위험한 동작을 시뮬레이션하여 지원되는 평가를 트리거하고 예상대로 표시되는지 확인하는 것이 좋습니다. 예시:

  1. Active Directory 구성을 비준수 상태로 설정한 다음 규격 상태로 반환하여 안전하지 않은 도메인 구성 해결 권장 사항을 새로 트리거합니다. 예를 들어 다음 명령을 실행합니다.

    비준수 상태를 설정하려면

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}

    규격 상태로 되돌리려면 다음을 수행합니다.

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}

    로컬 구성을 검사:

    Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota

  2. Microsoft 보안 점수에서 권장 작업을 선택하여 새 안전하지 않은 도메인 구성 해결 권장 사항을 검사. Defender for Identity 제품으로 권장 사항을 필터링할 수 있습니다.

자세한 내용은 Microsoft Defender for Identity 보안 상태 평가를 참조하세요.

경고 기능 테스트

테스트 환경에서 위험한 활동을 시뮬레이션하여 경고 기능을 테스트합니다. 예시:

  • 계정에 honeytoken 계정으로 태그를 지정한 다음 활성화된 도메인 컨트롤러에 대해 honeytoken 계정에 로그인해 봅니다.
  • 도메인 컨트롤러에서 의심스러운 서비스를 만듭니다.
  • 관리자가 워크스테이션에서 로그인할 때 도메인 컨트롤러에서 원격 명령을 실행합니다.

자세한 내용은 Microsoft Defender XDR Defender for Identity 보안 경고 조사를 참조하세요.

수정 작업 테스트

테스트 사용자에 대한 수정 작업을 테스트합니다. 예시:

  1. Defender 포털에서 테스트 사용자의 사용자 세부 정보 페이지로 이동합니다.

  2. 옵션 메뉴에서 사용 가능한 수정 작업을 선택합니다.

  3. Active Directory에서 예상되는 활동을 확인합니다.

자세한 내용은 Microsoft Defender for Identity 수정 작업을 참조하세요.

도메인 컨트롤러에서 Defender for Identity 기능 비활성화

도메인 컨트롤러에서 Defender for Identity 기능을 비활성화하려면 센서 페이지에서 삭제 합니다 .

  1. Defender 포털에서 설정 > ID > 센서를 선택합니다.
  2. Defender for Identity 기능을 비활성화할 도메인 컨트롤러를 선택하고 삭제를 선택하고 선택 항목을 확인합니다.

도메인 컨트롤러에서 Defender for Identity 기능을 비활성화해도 엔드포인트용 Defender에서 도메인 컨트롤러가 제거되지는 않습니다. 자세한 내용은 엔드포인트용 Defender 설명서를 참조하세요.

다음 단계

자세한 내용은 Microsoft Defender for Identity 센서 관리 및 업데이트를 참조하세요.