질문과 대답 Microsoft Defender for Identity

이 문서에서는 다음 범주로 구분된 Microsoft Defender for Identity 대한 질문과 대답 목록을 제공합니다.

Defender for Identity란?

Defender for Identity에서 검색할 수 있는 것은 무엇인가요?

Defender for Identity는 알려진 악의적인 공격 및 기술, 보안 문제 및 네트워크에 대한 위험을 검색합니다. Defender for Identity 검색의 전체 목록은 Defender for Identity가 수행하는 검색을 참조하세요.

Defender for Identity는 어떤 데이터를 수집하나요?

Defender for Identity는 관리, 추적 및 보고를 위해 구성된 서버(도메인 컨트롤러, 구성원 서버 등)의 정보를 서비스와 관련한 데이터베이스에 수집하고 저장합니다. 수집된 정보에는 도메인 컨트롤러 간의 네트워크 트래픽(예: Kerberos 인증, NTLM 인증, DNS 쿼리), 보안 로그(예: Windows 보안 이벤트), Active Directory 정보(구조, 서브넷, 사이트) 및 엔터티 정보(예: 이름, 이메일 주소 및 전화 번호)가 포함됩니다.

Microsoft는 이 데이터를 다음과 같이 사용합니다.

  • 조직에서 IOA(공격 표시기) 사전에 식별
  • 가능한 공격이 검색된 경우 경고 생성
  • 네트워크에서 위협 신호와 관련된 엔터티에 대한 보기를 사용하여 보안 작업을 제공합니다. 그러면 네트워크에서 보안 위협의 존재를 조사하고 탐색할 수 있습니다.

Microsoft는 광고 또는 서비스를 제공하는 것 이외의 다른 목적을 위해 데이터를 마이닝하지 않습니다.

Defender for Identity에서 지원하는 디렉터리 서비스 자격 증명은 몇 개인가요?

Defender for Identity는 현재 신뢰할 수 없는 포리스트가 있는 Active Directory 환경을 지원하기 위해 최대 30개의 다른 디렉터리 서비스 자격 증명을 추가할 수 있도록 지원합니다. 계정이 더 필요한 경우 지원 티켓을 여세요.

Defender for Identity는 Active Directory의 트래픽만 활용하나요?

Defender for Identity는 심층 패킷 검사 기술을 사용하여 Active Directory 트래픽을 분석하는 것 외에도 도메인 컨트롤러에서 관련 Windows 이벤트를 수집하고 Active Directory Domain Services 정보를 기반으로 엔터티 프로필을 만듭니다. Defender for Identity는 다양한 공급업체(Microsoft, Cisco, F5 및 Checkpoint)로부터 VPN 로그의 RADIUS 계정 수신도 지원합니다.

Defender for Identity는 도메인에 가입된 디바이스만 모니터링하나요?

아니요. Defender for Identity는 비 Windows 및 모바일 디바이스를 포함하여 Active Directory에 대한 인증 및 권한 부여 요청을 수행하는 네트워크의 모든 디바이스를 모니터링합니다.

Defender for Identity는 사용자 계정뿐만 아니라 컴퓨터 계정을 모니터링하나요?

예. 컴퓨터 계정(및 다른 엔터티)을 사용하여 악의적인 활동을 수행할 수 있기 때문에 Defender for Identity는 환경의 모든 컴퓨터 계정 동작 및 기타 모든 엔터티를 모니터링합니다.

ATA(Advanced Threat Analytics)와 Defender for Identity의 차이점은 무엇인가요?

ATA는 전용 하드웨어 온-프레미스를 필요로 하는 ATA 센터와 같은 여러 구성 요소를 포함하는 독립 실행형 온-프레미스 솔루션입니다.

Defender for Identity는 Azure AD(온-프레미스 Active Directory) 신호를 활용하는 클라우드 기반 보안 솔루션입니다. 이 솔루션은 확장성이 뛰어나고 자주 업데이트됩니다.

ATA의 최종 릴리스는 일반적으로 사용할 수 있습니다. ATA는 2021년 1월 12일에 일반 지원을 종료합니다. 연장 지원은 2026년 1월까지 계속됩니다. 자세한 내용은 블로그를 참조하세요.

ATA 센서와 달리 Defender for Identity 센서는 ETW(Event Tracing for Windows)와 같은 데이터 원본을 사용하여 Defender for Identity가 추가 검색을 제공할 수 있도록 합니다.

Defender for Identity의 잦은 업데이트에는 다음과 같은 특징과 기능이 포함됩니다.

  • 다중 포리스트 환경 지원: 조직에 AD 포리스트의 가시성을 제공합니다.

  • ID 보안 상태 평가 : 일반적인 잘못된 구성 및 악용 가능한 구성 요소를 식별하고, 공격 노출 영역을 줄이기 위해 수정 경로를 제공합니다.

  • UEBA 기능 : 사용자 조사 우선 순위 평가를 통해 개별 사용자 위험에 대한 정보를 파악합니다. 점수는 해당 조사에서 SecOps를 지원할 수 있으며, 분석가가 사용자 및 조직의 비정상적인 활동을 이해하는 데 도움을 줍니다.

  • 네이티브 통합: Microsoft Cloud App Security와 Azure AD Identity Protection을 통합하여 온-프레미스와 하이브리드 환경에서 발생하는 작업의 하이브리드 보기를 제공합니다.

  • Microsoft 365 Defender 기여: Microsoft 365 Defender 경고 및 위협 데이터를 제공합니다. Microsoft 365 Defender Microsoft 365 보안 포트폴리오(ID, 엔드포인트, 데이터 및 애플리케이션)를 활용하여 도메인 간 위협 데이터를 자동으로 분석하여 각 공격에 대한 전체 그림을 단일 대시보드에 작성합니다. 이러한 폭넓고 깊이 있는 명확성을 통해 방어는 중요한 위협에 집중하고 정교한 위반을 헌팅할 수 있으며, Microsoft 365 Defender 강력한 자동화가 킬 체인의 모든 곳에서 공격을 중지하고 조직을 안전한 상태로 되감는 것을 신뢰합니다.

라이선스 및 개인 정보

Microsoft Defender for Identity 라이선스는 어디서 얻을 수 있나요?

Defender for Identity는 EMS E5(Enterprise Mobility + Security 5 제품군)의 일부로 독립 실행형 라이선스로 사용할 수 있습니다. Microsoft 365 포털에서 또는 CSP(클라우드 솔루션 파트너) 라이선스 모델을 통해 직접 라이선스를 얻을 수 있습니다.

Defender for Identity에는 단일 라이선스만 필요합니까 아니면 보호하려는 모든 사용자에 대한 라이선스가 필요한가요?

Defender for Identity 라이선스 요구 사항에 대한 자세한 내용은 Defender for Identity 라이선스 지침을 참조하세요.

내 데이터가 다른 고객 데이터에서 격리되나요?

예, 데이터는 고객 식별자에 따라 액세스 인증 및 논리 분리를 통해 격리됩니다. 각 고객은 고유한 조직 및 Microsoft에서 제공하는 제네릭 데이터로부터 수집된 데이터에만 액세스할 수 있습니다.

내 데이터를 저장할 위치를 선택할 수 있나요?

아니요. Defender for Identity 인스턴스가 만들어지면 AAD 테넌트 지리적 위치에 가장 가까운 국가 데이터 센터에 자동으로 저장됩니다. Defender for Identity 인스턴스를 만든 후에는 Defender for Identity 데이터를 다른 데이터 센터로 이동할 수 없습니다.

Microsoft가 악의적인 내부자 활동 및 권한이 높은 역할의 남용을 방지하려면 어떻게 해야 하나요?

Microsoft 개발자와 관리자에게는 기본적으로 서비스를 작동하고 발전시키는 할당된 임무를 수행할 수 있기 충분한 권한이 있습니다. Microsoft는 권한이 없는 개발자 및/또는 관리 활동으로부터 보호하기 위해 다음과 같은 메커니즘을 포함한 예방, 검색 및 반응성 컨트롤의 조합을 배포합니다.

  • 중요한 데이터에 대한 긴밀한 액세스 제어
  • 악의적인 활동의 독립적인 검색을 크게 강화하는 컨트롤의 조합
  • 여러 수준의 모니터링, 로깅 및 보고

또한 Microsoft는 특정 운영 담당자에 대한 배경 확인 검사를 수행하고, 배경 확인 수준에 비례하여 애플리케이션, 시스템 및 네트워크 인프라에 대한 액세스를 제한합니다. 운영 담당자는 고객의 계정 또는 업무 성능과 관련된 정보에 액세스해야 하는 경우 정식 프로세스를 따릅니다.

배포

필요한 Defender for Identity 센서는 몇 개인가요?

환경의 모든 도메인 컨트롤러에는 Defender for Identity 센서 또는 독립 실행형 센서가 있어야 합니다. 자세한 내용은 Defender for Identity 센서 크기 조정을 참조하세요.

Defender for Identity가 암호화된 트래픽에서 작동하나요?

암호화된 트래픽이 있는 네트워크 프로토콜(예: AtSvc 및 WMI)은 암호 해독되지 않지만 센서에서 분석됩니다.

Defender for Identity는 Kerberos 아머링(Armoring)과 함께 작동하나요?

Kerberos 아머링(FAST(유연한 인증 보안 터널링))으로도 알려진 Kerberos 아머링(Armoring)을 사용하도록 설정하는 것은 Kerberos 아머링(Armoring)에서 작동하지 않는 해시 검색을 과도하게 전달하는 것을 제외하고 Defender for Identity에서 지원됩니다.

Defender for Identity를 사용하여 가상 도메인 컨트롤러를 모니터링할 어떻게 할까요? 있나요?

Defender for Identity 센서에서 대부분의 가상 도메인 컨트롤러를 검사하여 Defender for Identity 센서가 사용자 환경에 적합한지 여부를 확인할 수 있습니다. Defender for Identity Capacity Planning을참조하세요.

Defender for Identity 센서에서 가상 도메인 컨트롤러를 다룰 수 없는 경우 포트 미러링 구성에설명된 대로 가상 또는 물리적 Defender for Identity 독립 실행형 센서를 사용할 수 있습니다. 가장 쉬운 방법은 가상 도메인 컨트롤러가 있는 모든 호스트에 가상 Defender for Identity 독립 실행형 센서를 두는 것입니다. 가상 도메인 컨트롤러가 호스트 간에 이동하는 경우에는 다음 단계 중 하나를 수행해야 합니다.

  • 가상 도메인 컨트롤러가 다른 호스트로 이동하면 최근에 이동한 가상 도메인 컨트롤러에서 트래픽을 수신하도록 해당 호스트에서 Defender for Identity 독립 실행형 센서를 미리 구성합니다.
  • 가상 도메인 컨트롤러와 가상 Defender for Identity 독립 실행형 센서를 이동하면 Defender for Identity 독립 실행형 센서가 가상 도메인 컨트롤러와 관련되어 있는지 확인합니다.
  • 호스트 간에 트래픽을 보낼 수 있는 일부 가상 스위치를 사용합니다.

프록시가 있는 경우 Defender for Identity 클라우드 서비스와 통신하도록 Defender for Identity 센서를 구성해야 어떻게 할까요??

도메인 컨트롤러가 클라우드 서비스와 통신하도록 하려면 방화벽/프록시에서 *.atp.azure.com 포트 443을 열어야 합니다. 이 작업을 수행하는 방법에 대한 지침은 Defender for Identity 센서와의 통신을 사용하도록 프록시 또는 방화벽 구성을 참조하세요.

Defender for Identity 모니터링 도메인 컨트롤러를 IaaS 솔루션에서 가상화할 수 있나요?

예, Defender for Identity 센서를 사용하여 모든 IaaS 솔루션에 있는 도메인 컨트롤러를 모니터링할 수 있습니다.

Defender for Identity가 다중 도메인 및 다중 포리스트를 지원할 수 있나요?

Defender for Identity는 다중 도메인 환경 및 여러 포리스트를 지원합니다. 자세한 정보와 트러스트 요구 사항은 다중 포리스트 지원을 참고하세요.

배포의 전반적인 상태를 확인할 수 있나요?

예, 배포의 전반적인 상태와 구성, 연결 등과 관련된 특정 문제를 볼 수 있으며 Defender for Identity 상태 경고가 발생하면 경고가 표시됩니다.

WinPcap 및 Npcap 드라이버

WinPcap 및 Npcap 드라이버에 대한 권장 사항은 무엇인가요?

Microsoft Defender for Identity 팀은 현재 모든 고객이 도메인 컨트롤러에 센서를 배포하기 전에 Npcap 드라이버를 배포하는 것이 좋습니다. 이렇게 하면 WinPcap 드라이버 대신 Npcap 드라이버가 사용됩니다.

WinPcap에서 벗어나는 이유는 무엇인가요?

WinPcap은 더 이상 지원되지 않으며 더 이상 개발되지 않아 Defender for Identity 센서에 대해 드라이버를 더 이상 최적화할 수 없습니다. 또한 나중에 WinPcap 드라이버에 문제가 있는 경우 수정할 수 있는 옵션이 없습니다.

Npcap가 무엇 인가요?

Npcap는 지원 되지만 WinPcap는 더 이상 지원 되지 않는 제품입니다.

어떤 버전의 Npcap가 지원 되나요?

Npcap의 권장 되는 공식적으로 지원 되는 버전은 1.00입니다. 다른 버전은 지원되지 않습니다.

Npcap를 사용 하 여 얻을 수 있는 추가 혜택은 무엇 인가요?

Id 팀의 Defender는 지난 달 동안 Npcap 팀과 긴밀 하 게 협력 하 여 센서의 최적 성능을 보장 합니다. Npcap 드라이버는 WinPcap 드라이버 보다 더 나은 성능 및 안정성을 제공 합니다.

조직에 5 개 이상의 도메인 컨트롤러가 있습니다. 이러한 도메인 컨트롤러에서 Npcap를 사용 하는 경우 Npcap 라이선스를 구입 해야 하나요?

아니요, Npcap에는 일반적으로 5 개의 설치에 대 한 예외가 있습니다. Id 센서의 경우 Defender와만 사용 되는 무제한 시스템에 설치할 수 있습니다.

여기에서 Npcap 사용권 계약을 확인 하 고 Microsoft Defender에서 id를 검색 합니다.

Npcap 배포를 스크립팅하려면 OEM 버전을 구입 해야 하나요?

아니요, OEM 버전을 구입할 필요가 없습니다. OEM 버전의 Npcap를 포함 하는 "XXX 날짜" 뒤에 id 콘솔의 Defender에서 센서 설치 패키지를 다운로드 합니다.

Npcap를 어떻게 배포 해야 하나요?

Npcap 드라이버 설치의 지침을 따릅니다.

작업

Id에 대 한 Defender에서 SIEMs를 사용 하는 통합의 종류는 무엇 인가요?

Id에 대 한 Defender는 CEF 형식을 사용 하 여 모든 SIEM 서버로 Syslog 경고를 보내도록 구성할 수 있습니다. 자세한 내용은 SIEM 로그 참조를 참조하세요.

특정 계정을 중요하게 고려하는 이유는 무엇인가요?

계정이 중요한 그룹으로 지정된 그룹(예: “Domain Admins”)의 멤버인 경우에 발생합니다.

특정 계정이 중요한 이유를 파악하려면 해당 계정의 그룹 등록을 검토해 계정이 속하는 중요 그룹을 확인할 수 있습니다. 계정이 속해 있는 그룹 역시 다른 중요 그룹에 속해 있어 중요한 그룹으로 간주될 수 있으므로, 최상위 중요 그룹을 찾을 때까지 같은 과정을 수행해야 합니다. 수동으로 계정을 중요한 정보로 태그할 수도 있습니다.

규칙을 직접 작성하고 임계값/기준을 만들어야 하나요?

Id 용 Defender를 사용 하 여 규칙, 임계값 또는 기준을 만든 다음 미세 조정할 필요가 없습니다. Defender는 Id에 대 한 사용자, 장치 및 리소스 간의 동작을 분석 하 고, 의심 스러운 활동과 알려진 공격을 신속 하 게 검색할 수 있습니다. 배포 후 3 주가 지나면 Id에 대 한 Defender는 동작 의심 스러운 활동을 검색 하기 시작 합니다. 반면, Id 용 Defender는 배포 후에 즉시 알려진 악의적인 공격 및 보안 문제를 검색 하기 시작 합니다.

Defender가 도메인 컨트롤러에서 네트워크에 생성 하는 트래픽 및 이유는 무엇입니까?

Id 용 Defender는 다음 세 가지 시나리오 중 하나로 도메인 컨트롤러에서 조직의 컴퓨터로 트래픽을 생성 합니다.

  1. 네트워크 이름 확인 Id 용 Defender는 트래픽 및 이벤트를 캡처하고 네트워크에서 사용자 및 컴퓨터 활동을 학습 하 고 프로 파일링 합니다. 조직의 컴퓨터에 따라 작업을 학습 하 고 프로 파일링 하려면 Id 용 Defender에서 컴퓨터 계정에 대 한 Ip를 확인 해야 합니다. Id 센서에 대 한 ip를 컴퓨터 이름 Defender로 확인 하려면 IP 주소 에 컴퓨터 이름에 대 한 ip 주소를 요청 합니다.

    요청은 네 가지 방법 중 하나를 사용하여 수행됩니다.

    • NTLM over RPC(TCP 포트 135)
    • NetBIOS(UDP 포트 137)
    • RDP(TCP 포트 3389)
    • IP 주소의 역방향 DNS 조회를 사용하여 DNS 서버 쿼리(UDP 53)

    컴퓨터 이름을 가져온 후 Id 센서에 대 한 Defender는 Active Directory의 세부 정보를 교차 확인 하 여 동일한 컴퓨터 이름을 가진 상관 관계가 지정 된 컴퓨터 개체가 있는지 확인 합니다. 일치하는 컴퓨터가 있으면 IP 주소와 일치하는 컴퓨터 개체가 연결이 수행됩니다.

  2. 측면 이동 경로 (LMP) 중요 한 사용자에 게 잠재적 LMPs을 빌드하려면 Id에 대해 Defender는 컴퓨터의 로컬 관리자에 대 한 정보를 요구 합니다. 이 시나리오에서 Id 센서에 대 한 Defender는 SAM-R (TCP 445)을 사용 하 여 네트워크 트래픽에 식별 된 IP 주소를 쿼리하여 컴퓨터의 로컬 관리자를 확인 합니다. Id 및 SAM-R에 대 한 Defender에 대 한 자세한 내용은 sam-r 필수 권한 구성을 참조 하세요.

  3. 엔터티 데이터 Defender에 대 한 LDAP를 사용 하 여 Active Directory 쿼리 id 센서의 경우 엔터티가 속한 도메인에서 도메인 컨트롤러를 쿼리 합니다. 이 센서는 동일한 센서이거나 해당 도메인의 다른 도메인 컨트롤러일 수 있습니다.

프로토콜 서비스 포트 원본 방향
LDAP TCP 및 UDP 389 도메인 컨트롤러 아웃바운드
보안 LDAP(LDAPS) TCP 636 도메인 컨트롤러 아웃바운드
글로벌 카탈로그에 대한 LDAP TCP 3268 도메인 컨트롤러 아웃바운드
글로벌 카탈로그에 대한 LDAPS TCP 3269 도메인 컨트롤러 아웃바운드

활동에 항상 원본 사용자와 컴퓨터가 모두 표시되지 않는 이유는 무엇인가요?

Id 용 Defender는 다양 한 프로토콜에 대 한 작업을 캡처합니다. 경우에 따라 Defender for Identity는 트래픽에서 원본 사용자의 데이터를 받지 않습니다. Defender에서 Id에 대 한 사용자 세션의 상관 관계를 확인 하려고 시도 하면 작업의 원본 사용자가 표시 됩니다. 사용자 상관관계 시도가 실패하면 원본 컴퓨터만 표시됩니다.

문제 해결

Id 센서 또는 독립 실행형 센서에 대 한 Defender가 시작 되지 않는 경우 어떻게 해야 하나요?

현재 오류 로그 에서 가장 최근의 오류를 확인 합니다. 여기에서 Id 용 Defender는 "Logs" 폴더 아래에 설치 됩니다.