Microsoft Defender for Identity 아키텍처

  • 아티클

Microsoft Defender for Identity는 네트워크 트래픽을 캡처 및 구문 분석하고, 사용자의 do기본 컨트롤러에서 직접 Windows 이벤트를 활용하여 기본 컨트롤러를 모니터링한 다음, 공격 및 위협에 대한 데이터를 분석합니다.

다음 이미지는 Microsoft Defender XDR을 통해 Defender for Identity를 계층화하고 다른 Microsoft 서비스 및 타사 ID 공급자와 함께 작동하여 할 일기본 컨트롤러 및 Active Directory 서버에서 들어오는 트래픽을 모니터링하는 방법을 보여 줍니다.

Diagram of the Defender for Identity architecture.

do기본 컨트롤러, AD FS(Active Directory Federation Services) 또는 AD CS(Active Directory Certificate Services) 서버에 직접 설치된 Defender for Identity 센서는 서버에서 직접 필요한 이벤트 로그에 액세스합니다. 센서에서 로그 및 네트워크 트래픽을 구문 분석한 후 Defender for Identity는 구문 분석된 정보만 Defender for Identity 클라우드 서비스로 보냅니다.

Defender for Identity 구성 요소

Defender for Identity는 다음 구성 요소로 이루어져 있습니다.

  • Microsoft Defender 포털
    Microsoft Defender 포털은 Defender for Identity 작업 영역을 만들고, Defender for Identity 센서에서 받은 데이터를 표시하며, 네트워크 환경에서 위협을 모니터링, 관리 및 조사할 수 있도록 합니다.

  • Defender for Identity 센서 Defender for Identity 센서는 다음 서버에 직접 설치할 수 있습니다.

    • 할기본 컨트롤러: 센서는 전용 서버나 포트 미러 구성 없이도 컨트롤러 트래픽을 직접 모니터링합니다기본.
    • AD FS/AD CS: 센서는 네트워크 트래픽 및 인증 이벤트를 직접 모니터링합니다.

  • Defender for Identity 클라우드 서비스
    Defender for Identity 클라우드 서비스는 Azure 인프라에서 실행되며 현재 미국, 유럽, 오스트레일리아 동부 및 아시아에 배포되어 있습니다. Defender for Identity 클라우드 서비스는 Microsoft 인텔리전트 보안 그래프에 연결됩니다.

Microsoft Defender 포털

Microsoft Defender 포털을 사용하여 다음을 수행합니다.

  • Defender for Identity 작업 영역을 만듭니다.
  • 다른 Microsoft 보안 서비스와 통합합니다.
  • Defender for Identity 센서 구성 설정을 관리합니다.
  • Defender for Identity 센서에서 받은 데이터를 봅니다.
  • 공격 킬 체인 모델을 기반으로 검색된 의심스러운 활동 및 의심스러운 공격을 모니터링합니다.
  • 선택 사항: 보안 경고 또는 상태 문제가 감지되면 메일 및 이벤트를 보내도록 포털을 구성할 수도 있습니다.

참고 항목

60일 이내에 Defender for Identity 작업 영역에 센서가 설치되지 않은 경우 작업 영역이 삭제될 수 있으며 이를 다시 만들어야 합니다.

Defender for Identity 센서

Defender for Identity 센서는 다음과 같은 핵심 기능을 갖추고 있습니다.

  • do기본 컨트롤러 네트워크 트래픽(do기본 컨트롤러의 로컬 트래픽)을 캡처하고 검사합니다.
  • do기본 컨트롤러에서 직접 Windows 이벤트 받기
  • VPN 공급자로부터 RADIUS 계정 정보 받기
  • Active Directory에서 사용자 및 컴퓨터에 대한 데이터를 검색합니다기본
  • 네트워크 엔터티(사용자, 그룹 및 컴퓨터)의 확인 수행
  • Defender for Identity 클라우드 서비스에 관련 데이터 전송

Defender for Identity 센서는 로컬에서 이벤트를 읽기 때문에 추가 하드웨어 또는 구성을 구입하고 유지 관리할 필요가 없습니다. Defender for Identity 센서는 여러 검색에 대한 로그 정보를 제공하는 ETW(Windows용 이벤트 추적)도 지원합니다. ETW 기반 검색에는 do기본 controller 복제본(replica)tion 요청 및 do기본 컨트롤러 승격을 사용하여 시도한 의심되는 DCShadow 공격이 포함됩니다.

동기화 장치 프로세스 기본

do기본 동기화 장치 프로세스는 특정 Active Directory do기본의 모든 엔터티를 사전에 동기화하는 작업을 담당합니다(do기본 컨트롤러 자체에서 사용하는 메커니즘과 유사하게 복제본(replica). 한 센서는 적합한 모든 센서에서 임의로 자동으로 선택되어 할 일기본 동기화 장치 역할을 합니다.

do기본 동기화 장치가 30분 이상 오프라인 상태이면 다른 센서가 자동으로 선택됩니다.

리소스 제한

Defender for Identity 센서에는 실행 중인 서버에서 사용 가능한 컴퓨팅 및 메모리 용량을 평가하는 모니터링 구성 요소가 포함되어 있습니다. 모니터링 프로세스는 10초마다 실행되어 Defender for Identity 센서 프로세스의 CPU 및 메모리 사용률 할당량을 동적으로 업데이트합니다. 모니터링 프로세스를 통해 서버는 항상 사용 가능한 무료 컴퓨팅 및 메모리 리소스의 15% 이상을 사용할 수 있습니다.

서버에서 어떤 일이 발생하든 모니터링 프로세스는 지속적으로 리소스를 확보하여 서버의 핵심 기능이 영향을 받지 않도록 합니다.

모니터링 프로세스로 인해 Defender for Identity 센서의 리소스가 부족해지면 일부 트래픽만 모니터링되고 Defender for Identity 센서 페이지에 “Dropped port mirrored network traffic”(포트 미러된 네트워크 트래픽이 삭제됨)이라는 상태 경고가 표시됩니다.

Windows 이벤트

NTLM 인증, 중요한 그룹 수정 및 의심스러운 서비스 만들기와 관련된 Defender for Identity 검색 범위를 향상시키기 위해 Defender for Identity는 특정 Windows 이벤트의 로그를 분석합니다.

로그를 읽도록 하려면 Defender for Identity 센서에 고급 감사 정책 설정이 올바르게 구성되어 있는지 확인합니다. 서비스에서 필요에 따라 Windows 이벤트 8004를 감사하는지 확인하려면 NTLM 감사 설정을 검토합니다.

다음 단계

Microsoft Defender XDR을 사용하여 Microsoft Defender for Identity 배포