Microsoft Defender for Identity 센서 설정 구성

  • 아티클
  • 읽는 데 7분 걸림

이 문서에서는 데이터 보기를 시작하도록 Microsoft Defender for Identity 센서 설정을 올바르게 구성하는 방법을 알아봅니다. Defender for Identity의 전체 기능을 활용하려면 추가 구성 및 통합을 수행해야 합니다.

센서 설정 보기 및 구성

Defender for Identity 센서가 설치된 후 다음을 수행하여 Defender for Identity 센서 설정을 보고 구성합니다.

  1. Microsoft 365 Defender설정으로 이동한 다음 ID로 이동합니다.

    설정 페이지의 ID 옵션

  2. 모든 Defender for Identity 센서 를 표시하는 센서 페이지를 선택합니다. 각 센서의 이름, 도메인 멤버 자격, 버전 번호, 업데이트가 지연되어야 하는 경우, 서비스 상태, 센서 상태, 상태 상태, 상태 문제 수 및 센서가 만들어진 시점이 표시됩니다.

    센서 페이지입니다.

  3. 필터를 선택하는 경우 사용할 필터를 선택할 수 있습니다. 그런 다음 각 필터를 사용하여 표시할 센서를 선택할 수 있습니다.

    센서 필터.

    필터링된 센서

  4. 센서 중 하나를 선택하면 센서 및 해당 상태에 대한 정보가 포함된 창이 표시됩니다.

    센서 세부 정보입니다.

  5. 센서 관리를 선택하면 센서 세부 정보를 구성할 수 있는 창이 열립니다.

    센서 관리 옵션

    센서에 대한 설정을 구성하는 페이지

    다음 센서 세부 정보를 구성할 수 있습니다.

    • 설명: Defender for Identity 센서에 대한 설명을 입력합니다(선택 사항).

    • FQDN(도메인 컨트롤러): Defender for Identity 독립 실행형 및 AD FS 센서에 필요합니다. (Defender for Identity 센서에는 변경할 수 없습니다.) 도메인 컨트롤러의 전체 FQDN을 입력하고 더하기 기호를 선택하여 목록에 추가합니다. 예를 들어 DC1.domain1.test.local입니다.

      도메인 컨트롤러를 추가합니다.

    다음 정보는 도메인 컨트롤러 목록에 입력한 서버에 적용됩니다.

    • Defender for Identity 독립 실행형 센서에서 포트 미러링을 통해 트래픽을 모니터링하는 모든 도메인 컨트롤러가 도메인 컨트롤러 목록에 나열되어야 합니다. 도메인 컨트롤러가 도메인 컨트롤러 목록에 나열되지 않은 경우 의심스러운 작업 검색이 예상대로 작동하지 않을 수 있습니다.

    • 목록에 있는 하나 이상의 도메인 컨트롤러는 글로벌 카탈로그여야 합니다. 이를 통해 Defender for Identity는 포리스트의 다른 도메인에서 컴퓨터 및 사용자 개체를 확인할 수 있습니다.

    • 네트워크 어댑터 캡처(필수):

    • Defender for Identity 센서의 경우 조직의 다른 컴퓨터와의 통신에 사용되는 모든 네트워크 어댑터입니다.

    • 전용 서버의 Defender for Identity 독립 실행형 센서의 경우 대상 미러 포트로 구성된 네트워크 어댑터를 선택합니다. 이러한 네트워크 어댑터는 미러링된 도메인 컨트롤러 트래픽을 수신합니다.

  6. 센서 페이지에서 내보내기를 선택하여 센서 목록을 .csv 파일로 내보낼 수 있습니다.

    센서 내보내기 목록

설치 유효성 검사

Defender for Identity 센서가 성공적으로 배포되었는지 확인하려면 다음을 확인합니다.

  1. Azure Advanced Threat Protection 센서라는 서비스가 실행 중인지 확인합니다. Defender for Identity 센서 설정을 저장한 후 서비스가 시작되는 데 몇 초 정도 걸릴 수 있습니다.

  2. 서비스가 시작되지 않을 경우 기본 폴더 “%programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs”에 있는 “Microsoft.Tri.sensor-Errors.log” 파일을 검토합니다.

    참고

    Defender for Identity 버전은 자주 업데이트되어 최신 버전을 확인하려면 Defender for Identity 포털에서 구성 으로 이동한 다음 정보로 이동합니다.

  3. Defender for Identity 인스턴스 URL로 이동합니다. Defender for Identity 포털의 검색 창에서 도메인의 사용자 또는 그룹과 같은 항목을 검색합니다.

  4. 다음 단계를 사용하여 도메인 디바이스에서 Defender for Identity 연결을 확인합니다.

    1. 명령 프롬프트 열기
    2. nslookup 입력
    3. Defender for Identity 센서가 설치된 도메인 컨트롤러의 서버 및 FQDN 또는 IP 주소를 입력합니다. 예를 들어 server contosodc.contoso.azure
    4. ls -d contoso.azure 입력
      • contosodc.contoso.azure 및 contoso.azure를 각각 Defender for Identity 센서 및 도메인 이름의 FQDN으로 바꿔야 합니다.
    5. 테스트하려는 각 센서에 대해 3단계와 4단계를 반복합니다.
    6. Defender for Identity 콘솔에서 연결 테스트를 실행한 컴퓨터의 엔터티 프로필을 엽니다.
    7. 관련된 논리적 활동을 검사하고 연결을 확인합니다.

    참고

    테스트하려는 도메인 컨트롤러가 첫 번째로 배포한 센서인 경우 해당 도메인 컨트롤러에 관련된 논리적 활동을 확인하기 전에 데이터베이스 백 엔드에서 필요한 마이크로 서비스의 초기 배포를 완료할 때까지 15분 이상 기다립니다.

다음 단계

이제 초기 구성 단계를 구성했으므로 더 많은 설정을 구성할 수 있습니다. 자세한 내용은 아래 페이지로 이동하세요.