Microsoft Defender for Identity 살펴보기
Microsoft Defender for Identity, 이전의 Azure ATP(이전 이름: Azure Advanced Threat Protection)는 클라우드 기반 보안 솔루션입니다. Defender for Identity는 온-프레미스 Active Directory 신호를 사용하여 조직을 향한 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 탐지, 조사합니다. Defender for Identity를 사용하면 SecOp 분석가 및 보안 전문가가 하이브리드 환경에서 고급 공격을 검색하는 데 노력을 기울일 수 있습니다.
- 모니터링 사용자, 엔터티 동작 및 학습 기반 분석을 사용한 활동
- Active Directory에 저장된 사용자 ID 및 자격 증명 보호
- 킬 체인 전체에 걸친 고급 공격 및 의심스러운 사용자 활동을 식별 및 조사
- 신속한 심사를 위해 단순한 타임라인에 대한 명확한 인시던트 정보 제공
Defender for Identity에 대한 프로세스 흐름
Defender for Identity는 다음 구성 요소로 이루어져 있습니다.
Defender for Identity 포털 - Defender for Identity 포털을 사용하면 Defender for Identity 인스턴스를 만들고, Defender for Identity 센서에서 받은 데이터를 표시하며, 네트워크 환경에서 위협을 모니터링, 관리 및 조사할 수 있습니다.
Defender for Identity 센서 - Defender for Identity 센서는 다음 서버에 직접 설치할 수 있습니다.
- 도메인 컨트롤러: 전용 서버 또는 포트 미러링을 구성하지 않아도 센서가 도메인 컨트롤러 트래픽을 직접 모니터링합니다.
- AD FS(Active Directory Federated Services): 이 센서는 네트워크 트래픽 및 인증 이벤트를 직접 모니터링합니다.
Defender for Identity 클라우드 서비스 - Defender for Identity 클라우드 서비스는 Azure 인프라에서 실행되며 현재 미국, 유럽 및 아시아에 배포됩니다. Defender for Identity 클라우드 서비스는 Microsoft 인텔리전트 보안 그래프에 연결됩니다.