Microsoft Defender for Identity 센서에 대한 엔드포인트 프록시 및 인터넷 연결 설정 구성
각 Microsoft Defender for Identity 센서는 센서 데이터를 보고하고 성공적으로 작동하려면 Defender for Identity 클라우드 서비스에 대한 인터넷 연결이 필요합니다. 일부 조직에서는 도메인 컨트롤러가 인터넷에 직접 연결되지 않고 웹 프록시 연결을 통해 연결됩니다. SSL 검사 및 가로채기 프록시는 보안상의 이유로 지원되지 않습니다. 프록시 서버는 데이터가 Defender for Identity 센서에서 가로채기 없이 관련 URL로 직접 전달되도록 허용해야 합니다.
참고
Microsoft는 프록시 서버를 제공하지 않습니다. 구성한 프록시 서버를 통해 URL에 액세스할 수 있습니다.
명령줄을 사용하여 프록시 서버 구성
다음 명령줄 스위치를 사용하여 센서를 설치하는 동안 프록시 서버를 구성할 수 있습니다.
Syntax
"Azure ATP 센서 Setup.exe" [/quiet] [/Help] [ProxyUrl="http://proxy.internal.com"] [ProxyUserName="domain\proxyuser"] [ProxyUserPassword="ProxyPassword"]
스위치 설명
| Name | 구문 | 자동 설치에 필수인가요? | 설명 |
|---|---|---|---|
| ProxyUrl | ProxyUrl="http://proxy.contoso.com:8080" | 아니요 | Defender for Identity 센서의 ProxyUrl 및 포트 번호를 지정합니다. |
| ProxyUserName | ProxyUserName="Contoso\ProxyUser" | 아니요 | 프록시 서비스에 인증이 필요한 경우 DOMAIN\user 형식으로 사용자 이름을 입력합니다. |
| ProxyUserPassword | ProxyUserPassword="P@ssw0rd" | 아니요 | 프록시 사용자 이름의 암호를 지정합니다. *자격 증명은 Defender for Identity 센서에 의해 암호화되고 로컬로 저장됩니다. |
참고
위에서 설명한 대로 명령줄을 통해 설치된 경우 센서의 프록시 구성을 변경하려면 센서를 제거하고 다시 설치해야 하므로 프록시 서버에 대한 사용자 지정 DNS A 레코드를 만들고 사용하는 것이 좋습니다. 사용자 지정 DNS A 레코드를 사용하면 필요할 때 프록시 서버의 주소를 변경하고 테스트에 호스트 파일을 사용할 수도 있습니다.
프록시 서버를 구성하는 대체 방법
다음 대체 방법 중 하나를 사용하여 프록시 서버를 구성할 수 있습니다. 이러한 방법을 사용하여 프록시 설정을 구성하는 경우 컨텍스트에서 로컬 시스템 또는 로컬 서비스로 실행 중인 다른 서비스도 프록시를 통해 트래픽을 전송합니다.
WinINet을 사용하여 프록시 서버 구성
컴퓨터가 인터넷에 연결할 수 없는 경우 Defender for Identity 센서가 진단 데이터를 보고하고 Defender for Identity 클라우드 서비스와 통신할 수 있도록 Microsoft Windows Internet(WinINet) 프록시 구성을 사용하여 프록시 서버를 구성할 수 있습니다. 프록시 구성에 WinHTTP를 사용하는 경우에도 센서와 Defender for Identity 클라우드 서비스 간의 통신을 위해 WinINet(Windows Internet) 브라우저 프록시 설정을 구성해야 합니다.
프록시를 구성할 때 포함된 Defender for Identity 센서 서비스는 LocalService 계정을 사용하여 시스템 컨텍스트에서 실행되고 Defender for Identity Sensor Updater 서비스는 LocalSystem 계정을 사용하여 시스템 컨텍스트에서 실행됩니다.
참고
네트워크 토폴로지에서 투명 프록시 또는 WPAD를 사용하는 경우 프록시에 대해 WinINet을 구성할 필요가 없습니다.
레지스트리를 사용하여 프록시 서버 구성
또한 레지스트리 기반 정적 프록시를 사용하여 프록시 서버를 수동으로 구성하여 컴퓨터가 인터넷에 연결할 수 없는 경우 Defender for Identity 센서가 진단 데이터를 보고하고 Defender for Identity 클라우드 서비스와 통신할 수 있도록 할 수 있습니다.
참고
레지스트리 변경 사항은 LocalService 및 LocalSystem에만 적용됩니다.
정적 프록시는 레지스트리를 통해 구성할 수 있습니다. 사용자 컨텍스트에서 사용하는 프록시 구성을 LocalSystem 및 LocalService에 복사해야 합니다. 사용자 컨텍스트 프록시 설정을 복사하려면 다음을 수행하세요.
레지스트리 키를 수정하기 전에 백업해야 합니다.
레지스트리의 레지스트리 키
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings에서 REG_BINARY로DefaultConnectionSettings값을 검색하여 복사합니다.LocalSystem에 올바른 프록시 설정이 없는 경우(구성되지 않았거나 Current_User 다른 경우) Current_User 프록시 설정을 LocalSystem으로 복사합니다. 레지스트리 키
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings의 Current_User에서 LocalSystem으로 프록시 설정을 복사합니다.Current_user
DefaultConnectionSettings의 값을 REG_BINARY로 붙여넣습니다.LocalService에 올바른 프록시 설정이 없는 경우 Current_User 프록시 설정을 LocalService로 복사합니다. 레지스트리 키
HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings의 Current_User에서 LocalService로 프록시 설정을 복사합니다.Current_User
DefaultConnectionSettings의 값을 REG_BINARY로 붙여넣습니다.
참고
이렇게 하면 LocalService, LocalSytem 컨텍스트에서 WinINET을 사용하는 Windows 서비스를 비롯한 모든 애플리케이션에 영향을 줍니다.
프록시 서버에서 Defender for Identity 서비스 URL에 대한 액세스를 사용하도록 설정
Defender for Identity에 대한 액세스를 사용하도록 설정하려면 다음 URL에 대한 트래픽을 허용해야 합니다. URL은 Defender for Identity instance 대한 올바른 서비스 위치에 자동으로 매핑됩니다.
<your-instance-name>sensorapi.atp.azure.com-예를 들어contoso-corpsensorapi.atp.azure.com
Azure 서비스 태그(AzureAdvancedThreatProtection)의 IP 주소 범위를 사용하여 Defender for Identity에 대한 액세스를 사용하도록 설정할 수도 있습니다. 서비스 태그에 대한 자세한 내용은 가상 네트워크 서비스 태그를 참조하세요.
"Azure IP 범위 및 서비스 태그 - 퍼블릭 클라우드" 파일을 다운로드하려면 여기에서 다운로드할 수 있습니다. 미국 정부 제품의 경우 미국 정부 제품 시작을 참조하세요.
참고
- 최대 보안 및 데이터 개인 정보를 보장하기 위해 Defender for Identity는 각 Defender for Identity 센서와 Defender for Identity 클라우드 백 엔드 간에 인증서 기반 상호 인증을 사용합니다. SSL 검사 및 가로채기는 인증 프로세스를 방해하므로 지원되지 않습니다.
- 경우에 따라 Defender for Identity 서비스 IP 주소가 변경 될 수 있습니다. 따라서 IP 주소를 수동으로 구성하거나 프록시가 IP 주소의 DNS 이름을 자동으로 확인하고 사용하는 경우에는 구성된 IP 주소가 계속 최신 상태인지 주기적으로 확인해야 합니다.
프록시 연결 테스트
Defender for Identity 센서는 Azure에서 실행되는 Defender for Identity 서비스에 대한 네트워크 연결이 필요합니다. 대부분의 조직은 방화벽 또는 프록시를 통해 인터넷에 대한 액세스를 제어합니다. 프록시를 사용하는 경우 단일 URL을 통해 액세스 포트 443을 허용할 수 있습니다. Defender for Identity에 필요한 포트에 대한 자세한 내용은 필수 포트를 참조하세요.
Defender for Identity 서비스에 대한 센서 액세스를 허용하도록 프록시를 구성한 후 아래 단계에 따라 모든 것이 예상대로 작동하는지 확인합니다. 이 작업은 다음을 수행할 수 있습니다.
- 센서를 배포하기 전에
- 설치 후 센서에 연결 문제가 발생하는 경우
센서에서 사용하는 것과 동일한 프록시 설정을 사용하여 브라우저를 엽니다.
참고
로컬 시스템에 대해 프록시 설정이 정의된 경우 PSExec를 사용하여 세션을 로컬 시스템으로 열고 해당 세션에서 브라우저를 열어야 합니다.
다음 URL
https://<your_workspace_name>sensorapi.atp.azure.com.로 이동합니다. 을 Defender for Identity 작업 영역의 이름으로 바꿉<your_workspace_name>니다.중요
연결을 제대로 테스트하려면 HTTP가 아닌 HTTPS를 지정해야 합니다.
결과: Defender for Identity HTTPS 엔드포인트로 성공적으로 라우팅할 수 있음을 나타내는 오류 503 서비스를 사용할 수 없습니다. 이는 원하는 결과입니다.
오류 503 서비스를 사용할 수 없는 경우 프록시 구성에 문제가 있을 수 있습니다. 네트워크 및 프록시 설정을 확인합니다.
인증서 오류가 발생하는 경우 계속하기 전에 필요한 신뢰할 수 있는 루트 인증서가 설치되어 있는지 확인합니다. 자세한 내용은 프록시 인증 문제가 연결 오류로 표시됨을 참조하세요. 인증서 세부 정보는 다음과 같습니다.
