포트 미러링 구성
이 문서에서는 Microsoft Defender for Identity 포트 미러링 옵션에 대해 설명하며 독립 실행형 센서에만 관련됩니다. Defender for Identity는 주로 도메인 컨트롤러와 도메인 컨트롤러의 네트워크 트래픽에 대한 심층 패킷 검사를 사용합니다. Defender for Identity 독립 실행형 센서가 네트워크 트래픽을 보려면 포트 미러링을 구성하거나 네트워크 TAP를 사용해야 합니다. 포트 미러링에서는 트래픽을 한 포트(원본 포트)에서 다른 포트(대상 포트)로 복사합니다.
포트 미러링을 사용하는 경우 네트워크 트래픽의 원본으로 모니터링하는 각 도메인 컨트롤러에 대한 포트 미러링을 구성합니다. 네트워킹 또는 가상화 팀과 협력하여 포트 미러링을 구성하는 것이 좋습니다.
중요
Defender for Identity 독립 실행형 센서는 여러 검색에 대한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 컬렉션을 지원하지 않습니다. 환경을 전체적으로 검사하려면 Defender for Identity 센서를 배포하는 것이 좋습니다.
포트 미러링 방법 선택
도메인 컨트롤러 및 Defender for Identity 독립 실행형 센서는 물리적 또는 가상일 수 있습니다. 다음은 포트 미러링에 대한 일반적인 방법과 몇 가지 고려 사항입니다. 자세한 내용은 스위치 또는 가상화 서버 제품 설명서를 참조하세요. 스위치 제조업체는 다른 용어를 사용할 수 있습니다.
| 방법 | 설명 |
|---|---|
| 스위치된 포트 분석기(SPAN) | 하나 이상의 스위치 포트에서 동일한 스위치의 다른 스위치 포트로 네트워크 트래픽을 복사합니다. Defender for Identity 독립 실행형 센서와 도메인 컨트롤러는 모두 동일한 물리적 스위치에 연결되어야 합니다. |
| RSPAN(원격 스위치 포트 분석기) | 여러 물리적 스위치에 분산된 원본 포트의 네트워크 트래픽을 모니터링할 수 있습니다. RSPAN은 원본 트래픽을 특수 RSPAN 구성된 VLAN에 복사합니다. 이 VLAN은 관련된 다른 스위치로 트렁크되어야 합니다. RSPAN은 계층 2에서 작동합니다. |
| 캡슐화된 원격 스위치 포트 분석기(ERSPAN) | 계층 3에서 작동하는 Cisco 독점 기술입니다. ERSPAN을 사용하면 VLAN 트렁크 없이 스위치 간 트래픽을 모니터링하고 GRE(일반 라우팅 캡슐화)를 사용하여 모니터링되는 네트워크 트래픽을 복사할 수 있습니다. Defender for Identity는 현재 ERSPAN 트래픽을 직접 수신할 수 없습니다. 대신에: 1. 트래픽을 캡슐화할 수 있는 스위치 또는 라우터로 트래픽이 캡슐화되는 ERSPAN 대상을 구성합니다. 1. SPAN 또는 RSPAN을 사용하여 캡슐화되지 않은 트래픽을 Defender for Identity 독립 실행형 센서로 전달하도록 스위치 또는 라우터를 구성합니다. |
참고
포트 미러링되는 도메인 컨트롤러가 WAN 링크를 통해 연결된 경우 WAN 링크가 ERSPAN 트래픽의 추가 부하를 처리할 수 있는지 확인합니다.
Defender for Identity는 트래픽이 동일한 방식으로 NIC 및 도메인 컨트롤러에 도달하는 경우에만 트래픽 모니터링을 지원합니다. Defender for Identity는 트래픽이 다른 포트로 나뉘어질 때 트래픽 모니터링을 지원하지 않습니다.
지원되는 포트 미러링 옵션
다음 표에서는 포트 미러링 구성에 대한 Defender for Identity의 지원에 대해 설명합니다.
| Defender for Identity 독립 실행형 센서 | 도메인 컨트롤러 | 고려 사항 |
|---|---|---|
| 사실상의 | 동일한 호스트의 가상 | 가상 스위치는 포트 미러링을 지원해야 합니다. 가상 머신 중 하나를 다른 호스트로 단독으로 이동하면 포트 미러링이 중단됩니다. |
| 사실상의 | 다른 호스트의 가상 | 가상 스위치가 이 시나리오를 지원하는지 확인합니다. |
| 사실상의 | 육체의 | 전용 네트워크 어댑터가 필요하면 Defender for Identity는 호스트에서 들어오고 나가는 모든 트래픽, 심지어 Defender for Identity 클라우드 서비스로 전송되는 트래픽도 볼 수 있습니다. |
| 육체의 | 사실상의 | 가상 스위치가 이 시나리오를 지원하고 시나리오에 따라 물리적 스위치의 포트 미러링 구성을 지원하는지 확인합니다. 가상 호스트가 동일한 물리적 스위치에 있는 경우 스위치 수준 범위를 구성해야 합니다. 가상 호스트가 다른 스위치에 있는 경우 RSPAN 또는 ERSPAN*을 구성해야 합니다. |
| 육체의 | 동일한 스위치의 물리적 | 물리적 스위치는 SPAN/포트 미러링을 지원해야 합니다. |
| 육체의 | 다른 스위치의 물리적 | RSPAN 또는 ERSPAN을 지원하려면 물리적 스위치가 필요합니다. ERSPAN은 Defender for Identity에서 트래픽을 분석하기 전에 캡슐화가 수행되는 경우에만 지원됩니다. |
참고
도메인 컨트롤러 및 연결된 Defender for Identity 센서의 시간은 각 컨트롤러에서 5분 이내에 동기화되어야 합니다.
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.