포트 미러 구성
이 문서에서는 Microsoft Defender for Identity에 대한 포트 미러 옵션에 대해 설명하며 독립 실행형 센서에만 적합합니다. Defender for Identity는 기본 컨트롤러와 기본 네트워크 트래픽에 대한 심층 패킷 검사를 사용합니다. Defender for Identity 독립 실행형 센서가 네트워크 트래픽을 보려면 포트 미러 구성하거나 네트워크 TAP를 사용해야 합니다. 포트 미러 한 포트(원본 포트)에서 다른 포트(대상 포트)로 트래픽을 복사합니다.
포트 미러 사용하는 경우 네트워크 트래픽의 원본으로 모니터링하는 각 do기본 컨트롤러에 대해 포트 미러 구성합니다. 네트워킹 또는 가상화 팀과 협력하여 포트 미러 구성하는 것이 좋습니다.
Important
Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.
포트 미러 메서드 선택
do기본 컨트롤러 및 Defender for Identity 독립 실행형 센서는 물리적 또는 가상 센서일 수 있습니다. 다음은 포트 미러 및 몇 가지 고려 사항에 대한 일반적인 방법입니다. 자세한 내용은 스위치 또는 가상화 서버 제품 설명서를 참조하세요. 스위치 제조업체는 다른 용어를 사용할 수 있습니다.
| 메서드 | 설명 |
|---|---|
| 스위치 포트 분석기(SPAN) | 하나 이상의 스위치 포트에서 동일한 스위치의 다른 스위치 포트로 네트워크 트래픽을 복사합니다. Defender for Identity 독립 실행형 센서와 do기본 컨트롤러는 모두 동일한 물리적 스위치에 연결되어야 합니다. |
| RSPAN(원격 스위치 포트 분석기) | 여러 물리적 스위치에 분산된 원본 포트의 네트워크 트래픽을 모니터링할 수 있습니다. RSPAN은 원본 트래픽을 특수 RSPAN 구성된 VLAN에 복사합니다. 이 VLAN은 관련된 다른 스위치로 트렁크되어야 합니다. RSPAN은 계층 2에서 작동합니다. |
| 캡슐화된 원격 스위치 포트 분석기(ERSPAN) | 계층 3에서 작동하는 Cisco 독점 기술입니다. ERSPAN을 사용하면 VLAN 트렁크 없이 스위치 간 트래픽을 모니터링하고 GRE(일반 라우팅 캡슐화)를 사용하여 모니터링되는 네트워크 트래픽을 복사할 수 있습니다. Defender for Identity는 현재 ERSPAN 트래픽을 직접 받을 수 없습니다. 대신: 1. 트래픽을 캡슐화할 수 있는 스위치 또는 라우터로 트래픽이 캡슐화되는 ERSPAN 대상을 구성합니다. 1. SPAN 또는 RSPAN을 사용하여 캡슐화되지 않은 트래픽을 Defender for Identity 독립 실행형 센서로 전달하도록 스위치 또는 라우터를 구성합니다. |
참고 항목
포트가 미러 기본 컨트롤러가 WAN 링크를 통해 연결된 경우 WAN 링크가 ERSPAN 트래픽의 추가 부하를 처리할 수 있는지 확인합니다.
Defender for Identity는 트래픽이 동일한 방식으로 NIC 및 do기본 컨트롤러에 도달할 때만 트래픽 모니터링을 지원합니다. Defender for Identity는 트래픽이 다른 포트로 나뉘어질 때 트래픽 모니터링을 지원하지 않습니다.
지원되는 포트 미러 옵션
다음 표에서는 포트 미러 구성에 대한 Defender for Identity의 지원에 대해 설명합니다.
| Defender for Identity 독립 실행형 센서 | 도메인 컨트롤러 | 고려 사항 |
|---|---|---|
| 가상 | 동일한 호스트의 가상 | 가상 스위치는 포트 미러 지원해야 합니다. 가상 머신 중 하나를 다른 호스트로 단독으로 이동하면 포트 미러 중단이 발생할 수 있습니다. |
| 가상 | 다른 호스트의 가상 | 가상 스위치가 이 시나리오를 지원하는지 확인합니다. |
| 가상 | 물리적 | 전용 네트워크 어댑터가 필요합니다. 그렇지 않으면 Defender for Identity는 Defender for Identity 클라우드 서비스로 전송되는 트래픽까지도 호스트에서 들어오고 나가는 모든 트래픽을 확인합니다. |
| 물리적 | 가상 | 가상 스위치가 이 시나리오를 지원하는지 확인하고 시나리오에 따라 물리적 스위치의 포트 미러 구성을 지원합니다. 가상 호스트가 동일한 물리적 스위치에 있는 경우 스위치 수준 범위를 구성해야 합니다. 가상 호스트가 다른 스위치에 있는 경우 RSPAN 또는 ERSPAN*을 구성해야 합니다. |
| 물리적 | 동일한 스위치의 물리적 | 물리적 스위치는 SPAN/포트 미러링을 지원해야 합니다. |
| 물리적 | 다른 스위치의 물리적 | RSPAN 또는 ERSPAN을 지원하려면 물리적 스위치가 필요합니다. ERSPAN은 Defender for Identity에서 트래픽을 분석하기 전에 캡슐화가 수행될 때만 지원됩니다. |
참고 항목
할 일기본 컨트롤러 및 연결된 Defender for Identity 센서의 시간은 각 컨트롤러에서 5분 이내에 동기화되어야 합니다.
관련 콘텐츠
자세한 내용은 다음을 참조하세요.