Microsoft Defender for Identity 아키텍처
Microsoft Defender for Identity는 네트워크 트래픽을 캡처 및 구문 분석하고 도메인 컨트롤러에서 직접 Windows 이벤트를 활용하여 도메인 컨트롤러를 모니터링한 다음, 공격 및 위협에 대한 데이터를 분석합니다. Defender for Identity는 프로파일링, 결정적 검색, 기계 학습 및 동작 알고리즘을 활용하여 네트워크에 대해 학습하고, 변칙을 검색하고, 의심스러운 활동에 대해 경고합니다.
Defender for Identity 아키텍처:
이 섹션에서는 Defender for Identity의 네트워크 및 이벤트 캡처 흐름이 작동하는 원리를 설명하고, 주요 구성 요소인 Microsoft 365 Defender, Defender for Identity 센서 및 Defender for Identity 클라우드 서비스의 기능을 자세히 알아봅니다.
도메인 컨트롤러 또는 AD FS 서버에 직접 설치되는 Defender for Identity 센서는 서버에서 직접 요구하는 이벤트 로그에 액세스합니다. 센서가 로그 및 네트워크 트래픽을 구문 분석한 후, Defender for Identity는 구문 분석된 정보만 Defender for Identity 클라우드 서비스로 보냅니다(로그의 일부만 전송됨).
Defender for Identity 구성 요소
Defender for Identity는 다음 구성 요소로 이루어져 있습니다.
Microsoft 365 Defender 포털
Microsoft 365 Defender 포털은 Defender for Identity 인스턴스를 만들고 Defender for Identity 센서에서 받은 데이터를 표시하며, 사용자는 네트워크 환경에서 위협을 모니터링, 관리 및 조사할 수 있습니다.Defender for Identity 센서
Defender for Identity 센서는 다음 서버에 직접 설치할 수 있습니다.- 도메인 컨트롤러: 전용 서버 또는 포트 미러링을 구성하지 않아도 센서가 도메인 컨트롤러 트래픽을 직접 모니터링합니다.
- AD FS: 센서는 네트워크 트래픽 및 인증 이벤트를 직접 모니터링합니다.
Defender for Identity 클라우드 서비스
Defender for Identity 클라우드 서비스는 Azure 인프라에서 실행되며 현재 미국, 유럽, 오스트레일리아 동부 및 아시아에 배포되어 있습니다. Defender for Identity 클라우드 서비스는 Microsoft 인텔리전트 보안 그래프에 연결됩니다.
Microsoft 365 Defender 포털
참고
모든 주요 Microsoft Defender for Identity 기능을 Microsoft 365 Defender 포털에서 사용할 수 있으므로 2023년 1월 31일부터 각 테넌트에서 포털 리디렉션 설정이 자동으로 사용하도록 설정됩니다. 자세한 내용은 계정을 Microsoft Defender for Identity Microsoft 365 Defender 리디렉션을 참조하세요.
Microsoft 365 Defender 포털 사용하여 다음 작업을 수행합니다.
- Defender for Identity 인스턴스 만들기
- 다른 Microsoft 보안 서비스와 통합
- Defender for Identity 센서 구성 설정 관리
- Defender for Identity 센서에서 받은 데이터 보기
- 공격 킬 체인 모델을 기반으로 검색된 의심스러운 활동 및 의심스러운 공격 모니터링
- 선택 사항: 보안 경고 또는 상태 문제가 검색되면 이메일 및 이벤트를 보내도록 포털을 구성할 수도 있습니다.
참고
60일 이내에 Defender for Identity 인스턴스에 센서가 설치되지 않으면 인스턴스가 삭제될 수 있으며, 이 경우에는 다시 만들어야 합니다.
Defender for Identity 센서
Defender for Identity 센서는 다음과 같은 핵심 기능을 갖추고 있습니다.
- 도메인 컨트롤러 네트워크 트래픽(도메인 컨트롤러의 로컬 트래픽)을 캡처 및 검사
- 도메인 컨트롤러에서 직접 Windows 이벤트 수신
- VPN 공급자에서 RADIUS 계정 정보 수신
- Active Directory 도메인에서 사용자 및 컴퓨터에 대한 데이터 검색
- 네트워크 엔터티(사용자, 그룹, 컴퓨터) 확인 수행
- Defender for Identity 클라우드 서비스에 관련 데이터 전송
Defender for Identity 센서 기능
Defender for Identity 센서는 로컬에서 이벤트를 읽기 때문에 추가 하드웨어 또는 구성을 구입하고 유지 관리할 필요가 없습니다. Defender for Identity 센서는 여러 검색에 대한 로그 정보를 제공하는 ETW(Windows용 이벤트 추적)도 지원합니다. ETW 기반 검색에는 도메인 컨트롤러 복제 요청 및 도메인 컨트롤러 프로모션을 사용하여 시도된 의심되는 DCShadow 공격이 포함됩니다.
도메인 동기화 디바이스 프로세스
도메인 동기화 디바이스 프로세스는 특정 Active Directory 도메인의 모든 엔터티를 적극적으로 동기화합니다(도메인 컨트롤러 자체에서 복제에 사용하는 메커니즘과 유사). 모든 적격한 센서 중에서 센서 하나가 도메인 동기화 디바이스로 작동하도록 자동으로 임의로 선택됩니다.
도메인 동기화 디바이스가 30분 이상 오프라인 상태인 경우 다른 센서가 대신 자동으로 선택됩니다.
리소스 제한
실행 중인 도메인 컨트롤러에서 사용 가능한 컴퓨팅 및 메모리 용량을 평가하는 모니터링 구성 요소가 Defender for Identity 센서에 포함됩니다. 모니터링 프로세스는 10초마다 실행되어 Defender for Identity 센서 프로세스의 CPU 및 메모리 사용률 할당량을 동적으로 업데이트합니다. 모니터링 프로세스는 도메인 컨트롤러의 컴퓨팅 및 메모리 가용 리소스를 항상 15% 이상으로 유지합니다.
도메인 컨트롤러에서 어떤 일이 발생하든, 모니터링 프로세스는 도메인 컨트롤러의 핵심 기능에 절대로 영향을 주지 않도록 지속적으로 리소스를 확보합니다.
모니터링 프로세스로 인해 Defender for Identity 센서의 리소스가 부족해지면 일부 트래픽만 모니터링되고 Defender for Identity 센서 페이지에 “Dropped port mirrored network traffic”(포트 미러된 네트워크 트래픽이 삭제됨)이라는 상태 경고가 표시됩니다.
Windows 이벤트
NTLM 인증, 중요한 그룹에 대한 수정 및 의심스러운 서비스 만들기와 관련된 Defender for Identity 검색 범위를 향상하기 위해 Defender for Identity는 다음과 같은 Windows 이벤트의 로그를 분석해야 합니다. 이러한 이벤트는 올바른 고급 감사 정책 설정을 사용하여 Defender for Identity 센서에서 자동으로 읽습니다. 서비스의 필요에 따라 Windows 이벤트 8004를 감사하는지 확인하려면NTLM 감사 설정을 검토하세요.