AD FS 및 AD CS에 대한 센서 구성

AD FS(Active Directory Federation Services) 및 AD CS(Active Directory Certificate Services) 서버에 Defender for Identity 센서를 설치하여 온-프레미스 공격으로부터 보호합니다.

이 문서에서는 AD FS 또는 AD CS 서버에 Defender for Identity 센서를 설치할 때 필요한 단계를 설명합니다.

참고 항목

AD FS 환경의 경우 Defender for Identity 센서는 페더레이션 서버에서만 지원되며 WAP(웹 애플리케이션 프록시) 서버에서는 필요하지 않습니다. AD CS 환경의 경우 오프라인인 AD CS 서버에 센서를 설치할 필요가 없습니다.

필수 조건

AD FS 또는 AD CS 서버에 Defender for Identity 센서를 설치하기 위한 필수 조건은 do기본 컨트롤러에 센서를 설치하는 경우와 동일합니다. 자세한 내용은 Microsoft Defender for Identity 필수 구성 요소를 참조하세요.

또한 AD CS용 Defender for Identity 센서는 인증 기관 역할 서비스를 사용하는 AD CS 서버만 지원합니다.

AD FS 이벤트에 대한 자세한 정보 로깅 구성

AD FS 서버에서 실행되는 센서는 관련 이벤트에 대한 감사 수준을 자세한 정보 표시로 설정해야 합니다. 예를 들어 다음 명령을 사용하여 감사 수준을 자세한 정보 표시로 구성합니다.

Set-AdfsProperties -AuditLevel Verbose

자세한 내용은 다음을 참조하세요.

• 필수 AD FS(Active Directory Federation Services) 이벤트
• AD FS(Active Directory Federation Services)에 대한 감사 구성
• 이벤트 및 로깅을 사용하여 Active Directory Federation Services 문제 해결

AD FS 데이터베이스에 대한 읽기 권한 구성

AD FS 서버에서 실행되는 센서가 AD FS 데이터베이스에 액세스할 수 있도록 하려면 구성된 관련 Directory Services 계정에 대한 읽기(db_datareader) 권한을 부여해야 합니다.

둘 이상의 AD FS 서버가 있는 경우 데이터베이스 권한이 서버 간에 복제본(replica) 없기 때문에 모든 서버에서 이 권한을 부여해야 합니다.

AdfsConfiguration 데이터베이스에 대한 다음 권한이 있는 디렉터리 서비스 계정을 허용하도록 SQL Server를 구성합니다.

• connect
• 로그인
• read
• select

참고 항목

AD FS 데이터베이스가 로컬 AD FS 서버 대신 전용 SQL 서버에서 실행되고 gMSA(그룹 관리 서비스 계정)를 DSA(디렉터리 서비스 계정)로 사용하는 경우 SQL Server에 gMSA의 암호를 검색하는 데 필요한 권한을 부여해야 합니다.

AD FS 데이터베이스에 대한 액세스 권한 부여

SQL Server Management Studio, TSQL 또는 PowerShell을 사용하여 데이터베이스에 대한 액세스 권한을 부여합니다.

예를 들어 아래 나열된 명령은 WID(Windows 내부 데이터베이스) 또는 외부 SQL 서버를 사용하는 경우에 유용할 수 있습니다.

다음 샘플 코드에서는 다음을 수행합니다.

• [DOMAIN1\mdiSvc01] 는 작업 영역의 디렉터리 서비스 사용자입니다. gMSA로 작업하는 경우 사용자 이름의 끝에 추가 $ 합니다. 예: [DOMAIN1\mdiSvc01$]
• AdfsConfigurationV4 는 AD FS 데이터베이스 이름의 예이며 다를 수 있습니다.
• server=.\pipe\MICROSOFT##WID\tsql\query - WID를 사용하는 경우 데이터베이스에 대한 연결 문자열.

팁

연결 문자열 모르는 경우 Windows 서버 설명서의 단계를 따르세요.

TSQL을 사용하여 AD FS 데이터베이스에 대한 센서 액세스 권한을 부여하려면 다음을 수행합니다.

USE [master]
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
USE [AdfsConfigurationV4]
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]
GRANT CONNECT TO [DOMAIN1\mdiSvc01]
GRANT SELECT TO [DOMAIN1\mdiSvc01]
GO

PowerShell을 사용하여 AD FS 데이터베이스에 대한 센서 액세스 권한을 부여하려면 다음을 수행합니다.

$ConnectionString = 'server=\\.\pipe\MICROSOFT##WID\tsql\query;database=AdfsConfigurationV4;trusted_connection=true;'
$SQLConnection= New-Object System.Data.SQLClient.SQLConnection($ConnectionString)
$SQLConnection.Open()
$SQLCommand = $SQLConnection.CreateCommand()
$SQLCommand.CommandText = @"
USE [master]; 
CREATE LOGIN [DOMAIN1\mdiSvc01] FROM WINDOWS WITH DEFAULT_DATABASE=[master];
USE [AdfsConfigurationV4]; 
CREATE USER [DOMAIN1\mdiSvc01] FOR LOGIN [DOMAIN1\mdiSvc01]; 
ALTER ROLE [db_datareader] ADD MEMBER [DOMAIN1\mdiSvc01]; 
GRANT CONNECT TO [DOMAIN1\mdiSvc01]; 
GRANT SELECT TO [DOMAIN1\mdiSvc01];
"@
$SqlDataReader = $SQLCommand.ExecuteReader()
$SQLConnection.Close()

AD FS/AD CS 서버에 대한 이벤트 컬렉션 구성

AD FS/AD CS 서버를 사용하는 경우 필요에 따라 감사를 구성했는지 확인합니다. 자세한 내용은 다음을 참조하세요.

• AD FS:

  • 필수 AD FS(Active Directory Federation Services) 이벤트
  • AD FS(Active Directory Federation Services)에 대한 감사 구성

• AD CS:

  • 필수 AD CS(Active Directory 인증서 서비스) 이벤트
  • AD CS(Active Directory Certificate Services)에 대한 감사 구성

AD FS/AD CS 서버에서 성공적인 배포 유효성 검사

Defender for Identity 센서가 AD FS 서버에 성공적으로 배포되었는지 확인하려면 다음을 수행합니다.

1. Azure Advanced Threat Protection 센서 서비스가 실행 중인지 확인합니다. Defender for Identity 센서 설정을 저장한 후 서비스를 시작하는 데 몇 초 정도 걸릴 수 있습니다.

2. 서비스가 시작되지 않으면 기본적으로 다음 위치에 있는 파일을 검토 Microsoft.Tri.sensor-Errors.log 합니다. %programfiles%\Azure Advanced Threat Protection sensor\Version X\Logs

3. AD FS 또는 AD CS를 사용하여 모든 애플리케이션에 사용자를 인증한 다음, Defender for Identity에서 인증이 관찰되었는지 확인합니다.

   예를 들어 헌팅 고급 헌팅>을 선택합니다. 쿼리 창에서 다음 쿼리 중 하나를 입력하고 실행합니다.

   AD FS의 경우:

   IdentityLogonEvents | where Protocol contains 'Adfs'
   

   결과 창에는 ADFS 인증을 사용하는 LogonType 로그 온이 포함된 이벤트 목록이 포함되어야 합니다.

   AD CS의 경우:

   IdentityDirectoryEvents | where Protocol == "Adcs"
   

   결과 창에는 실패하고 성공한 인증서 발급의 이벤트 목록이 포함되어야 합니다. 레코드 검사 왼쪽 창에서 추가 세부 정보를 보려면 특정 행을 선택합니다. 예시:

   

AD FS/AD CS 서버에 대한 설치 후 단계(선택 사항)

AD FS/AD CS 서버에 센서를 설치하면 가장 가까운 작업기본 컨트롤러가 자동으로 선택됩니다. 다음 단계를 사용하여 선택한 do기본 컨트롤러를 검사 수정합니다.

1. Microsoft Defender XDR에서 설정> ID>센서로 이동하여 모든 Defender for Identity 센서를 봅니다.

2. AD FS/AD CS 서버에 설치한 센서를 찾아 선택합니다.

3. 열리는 창의 FQDN(Do기본 Controller) 필드에 확인자 do기본 컨트롤러의 FQDN을 입력합니다. + 추가를 선택하여 FQDN을 추가한 다음 저장을 선택합니다. 예시:

   

센서를 초기화하는 데 몇 분 정도 걸릴 수 있으며, 이때 AD FS/AD CS 센서 서비스 상태 중지에서 실행으로 변경해야 합니다.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.

• Microsoft Defender for Identity 필수 구성 요소
• Microsoft Defender for Identity 센서 설치