Windows 이벤트 수집 구성

Microsoft Defender for Identity 검색은 특정 Windows 이벤트 로그 항목을 사용하여 일부 검색을 향상시키고 NTLM 로그온, 보안 그룹 수정 및 유사한 이벤트와 같은 특정 작업을 수행한 사용자에 대한 추가 정보를 제공합니다. 올바른 이벤트가 감사되어 Windows 이벤트 로그에 포함되도록 하려면 도메인 컨트롤러에 정확한 고급 감사 정책 설정이 있어야 합니다. 잘못된 고급 감사 정책 설정으로 인해 필요한 이벤트가 이벤트 로그에 기록되지 않아 불완전한 Defender for Identity 적용 범위가 발생할 수 있습니다.

위협 탐지 기능을 향상하기 위해 Defender for Identity는 다음 Windows 이벤트를 구성 하고 Defender for Identity에서 수집 해야 합니다.

관련 Windows 이벤트

AD FS(Active Directory Federation Services) 이벤트의 경우

  • 1202 - 페더레이션 서비스가 새 자격 증명의 유효성을 검사함
  • 1203 - 페더레이션 서비스가 새 자격 증명의 유효성 검사에 실패함
  • 4624 - 계정 로그온에 성공함
  • 4625 - 계정 로그온에 실패함

기타 이벤트의 경우

  • 1644 - LDAP 검색
  • 4662 -개체에 대한 작업이 수행됨
  • 4726 -사용자 계정이 삭제됨
  • 4728 - 구성원이 글로벌 보안 그룹에 추가됨
  • 4729 - 구성원이 글로벌 보안 그룹에서 제거됨
  • 4730 - 글로벌 보안 그룹이 삭제됨
  • 4732 - 구성원이 로컬 보안 그룹에 추가됨
  • 4733 - 구성원이 로컬 보안 그룹에서 제거됨
  • 4741 - 컴퓨터 계정이 추가됨
  • 4743 - 컴퓨터 계정이 삭제됨
  • 4753 - 글로벌 배포 목록이 삭제됨
  • 4756 - 구성원이 유니버설 보안 그룹에 추가됨
  • 4757 - 구성원이 유니버설 보안 그룹에서 제거됨
  • 4758 - 유니버설 보안 그룹이 삭제됨
  • 4763 - 유니버설 배포 목록이 삭제됨
  • 4776 - 도메인 컨트롤러가 계정에 대한 자격 증명의 유효성을 검사하려고 함(NTLM)
  • 5136 - 디렉터리 서비스 개체가 수정되었습니다.
  • 7045 - 새 서비스가 설치됨
  • 8004 - NTLM 인증

감사 정책 구성

다음 지침을 사용하여 도메인 컨트롤러의 고급 감사 정책을 수정합니다.

  1. 도메인 관리자로 서버에 로그인합니다.

  2. 서버 관리자>도구>그룹 정책 관리에서 그룹 정책 관리 편집기를 엽니다.

  3. 도메인 컨트롤러 조직 구성 단위를 확장하고 기본 도메인 컨트롤러 정책을 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

    참고

    기본 도메인 컨트롤러 정책 또는 전용 GPO를 사용하여 해당 정책을 설정할 수 있습니다.

    도메인 컨트롤러 정책 편집

  4. 열리는 창에서 컴퓨터 구성>정책>Windows 설정>보안 설정으로 이동한 후 사용 설정하려는 정책에 따라 다음을 수행합니다.

    고급 감사 정책 구성의 경우

    1. 고급 감사 정책 구성>감사 정책으로 이동합니다. 고급 감사 정책 구성.

    2. 감사 정책에서 다음 각 정책을 편집하고 성공실패 이벤트 둘 다에 대해 다음 감사 이벤트 구성을 선택합니다.

      감사 정책 하위 범주 트리거 이벤트 ID
      계정 로그온 자격 증명 유효성 검사 감사 4776
      계정 관리 컴퓨터 계정 관리 감사 4741, 4743
      계정 관리 메일 그룹 관리 감사 4753, 4763
      계정 관리 보안 그룹 관리 감사 4728, 4729, 4730, 4732, 4733, 4756, 4757, 4758
      계정 관리 사용자 계정 관리 감사 4726
      DS 액세스 디렉터리 서비스 액세스 감사 4662 - 이 이벤트의 경우 개체 감사를 구성해야 합니다.
      DS 액세스 디렉터리 서비스 변경 감사 5136
      시스템 보안 시스템 확장 감사 7045

      예를 들어 감사 보안 그룹 관리를 구성하려면 계정 관리에서 감사 보안 그룹 관리를 두 번 클릭하고, 성공실패 이벤트 둘 다에 대해 다음 감사 이벤트 구성을 선택합니다.

      보안 그룹 관리 감사

  5. 관리자 권한 명령 프롬프트에 gpupdate를 입력합니다.

    참고

    이 단계는 도메인의 모든 도메인 컨트롤러에서 수행되거나 다음 새로 고침 주기가 업데이트될 때까지 기다릴 수 있습니다(기본적으로 90분 이내).

  6. GPO를 통해 적용한 후 새 이벤트는 windows 로그 ->보안 아래의 이벤트 뷰어 표시됩니다.

참고

그룹 정책을 사용하는 대신 로컬 보안 정책을 사용하도록 선택하는 경우 로컬 정책에서 계정 로그온, 계정 관리보안 옵션 감사 로그를 추가해야 합니다. 고급 감사 정책을 구성하는 경우 감사 정책 하위 범주를 적용해야 합니다.

이벤트 ID 8004

이벤트 ID 8004을 감사하려면 추가 구성 단계가 필요합니다.

참고

  • Windows Event 8004를 수집하는 도메인 그룹 정책은 도메인 컨트롤러에 적용되어야 합니다.
  • Defender for Identity Sensor에서 Windows 이벤트 8004를 구문 분석하면 Defender for Identity NTLM 인증 작업이 서버 액세스 데이터로 보강됩니다.
  1. 위에서 언급한 초기 단계에 따라 그룹 정책 관리를 열고 기본 도메인 컨트롤러 정책으로 이동합니다.

  2. 로컬 정책>보안 옵션으로 이동합니다.

  3. 보안 옵션에서 다음과 같이 지정된 보안 정책을 구성합니다.

    보안 정책 설정
    네트워크 보안: NTLM 제한: 원격 서버로 나가는 NTLM 트래픽 모두 감사
    네트워크 보안: NTLM 제한: 이 도메인에서 NTLM 인증 감사 모두 사용
    네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽 감사 모든 계정에 대해 감사 사용

    예를 들어 원격 서버로 나가는 NTLM 트래픽을 구성하려면 보안 옵션에서 네트워크 보안: NTLM 제한: 원격 서버로 나가는 NTLM 트래픽을 두 번 클릭한 다음 모두 감사를 선택합니다.

    원격 서버로 나가는 NTLM 트래픽 감사

이벤트 ID 1644

Microsoft Defender for Identity 네트워크에서 추가 LDAP 쿼리를 모니터링할 수 있습니다. 이러한 LDAP 활동은 Active Directory 웹 서비스 프로토콜을 통해 전송되며 일반 LDAP 쿼리처럼 작동합니다. 이러한 활동을 확인하려면 도메인 컨트롤러에서 이벤트 1644를 사용하도록 설정해야 합니다. 이 이벤트는 도메인의 LDAP 활동을 다루며 주로 Active Directory 도메인 컨트롤러에서 서비스하는 비용이 많이 들고 비효율적이거나 느린 LDAP(Lightweight Directory Access Protocol) 검색을 식별하는 데 사용됩니다.

참고

1644 이벤트를 로깅하면 서버 성능에 영향을 미칠 수 있습니다. 리소스 제한 기능은 서버가 리소스가 부족한 경우 Defender for Identity 서비스를 중지할 수 있지만 운영 체제 수준에서 이벤트 감사를 중지하지는 않습니다. 따라서 성능 문제를 방지하려면 서버에 충분한 메모리, CPU 및 디스크 리소스가 있는지 확인합니다.

Windows 이벤트 1644는 도메인 컨트롤러에서 기본적으로 수집되지 않으며 이 기능을 지원하려면 수동으로 활성화해야 합니다. 이 작업은 다음 값을 사용하여 이러한 레지스트리 키를 만들어 수행합니다.


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics]
"15 Field Engineering"=dword:00000005

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Expensive Search Results Threshold"=dword:00000001
"Inefficient Search Results Threshold"=dword:00000001
"Search Time Threshold (msecs)"=dword:00000001

개체 감사 구성

4662 이벤트를 수집하려면 사용자, 그룹 및 컴퓨터 개체에 대한 개체 감사를 구성해야 합니다. 다음은 Active Directory 도메인 내 모든 사용자, 그룹 및 컴퓨터에 감사를 사용하는 방법에 대한 예시입니다. 감사는 OU로 범위를 지정할 수도 있습니다(조직 구성 단위).

참고

도메인 컨트롤러가 필요한 이벤트를 기록하도록 제대로 구성되어 있는지 확인하기 위해 이벤트 컬렉션을 사용하도록 설정하기 전에 감사 정책을 검토하고 확인해야 합니다.

제대로 구성된 경우 이 감사는 서버 성능에 최소한의 영향을 주어야 합니다.

  1. Active Directory 사용자 및 컴퓨터 콘솔로 이동합니다.

  2. 감사하려는 사용자, 그룹 또는 컴퓨터가 있는 도메인이나 OU를 선택합니다.

  3. 컨테이너(도메인 또는 OU)를 마우스 오른쪽 단추로 클릭하고, 속성을 선택합니다.

    컨테이너 속성

  4. 보안 탭으로 이동하여 고급을 선택합니다.

    고급 보안 속성

  5. 고급 보안 설정에서 감사 탭을 선택하고 추가를 선택합니다.

    감사 탭 선택

  6. 보안 주체 선택을 클릭합니다.

    보안 주체 선택

  7. 선택할 개체 이름을 입력하세요모든 사용자를 입력합니다. 이름 확인을 선택하고 확인을 선택합니다.

    모든 사용자 선택

  8. 그런 다음 감사 항목으로 돌아갑니다. 다음과 같은 선택을 합니다.

    • 형식에서 성공을 선택합니다.

    • 적용 대상에서 하위 사용자 개체를 선택합니다.

    • 사용 권한에서 아래로 스크롤하여 모두 지우기 를 선택합니다. 위로 스크롤하여 모든 권한을 선택합니다. 모든 권한이 선택됩니다. 그런 다음 목록 내용, 읽기 권한모든 속성 읽기 권한을 선택 취소합니다. 그런 다음, 확인을 선택합니다. 그러면 모든 속성 설정이 쓰기로 설정됩니다. 이제 트리거되면 디렉터리 서비스에 대한 모든 관련 변경 내용이 4662 이벤트로 표시됩니다.

      사용 권한을 선택합니다.

  9. 그런 다음 위의 단계를 반복하지만 적용 대상에 대해 다음 개체 유형을 선택합니다.

    • 하위 그룹 개체
    • 하위 컴퓨터 개체
    • Descendant msDS-GroupManagedServiceAccount 개체
    • Descendant msDS-ManagedServiceAccount 개체

특정 검색에 대한 감사

일부 검색의 경우 특정 Active Directory 개체에 대한 감사가 필요합니다. 감사를 수행하려면 위의 단계를 따르면 됩니다. 감사해야 할 개체와 포함할 권한에 대해서는 아래의 변경 사항을 참조하세요.

ADFS 개체에 대한 감사 사용

  1. Active Directory 사용자 및 컴퓨터 콘솔로 이동하여 로그온을 사용할 도메인을 선택합니다.

  2. 프로그램 데이터>Microsoft>ADFS로 이동합니다.

    ADFS 컨테이너입니다.

  3. ADFS를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  4. 보안 탭으로 이동하여 고급을 선택합니다.

  5. 고급 보안 설정에서 감사 탭을 선택하고 추가를 선택합니다.

  6. 보안 주체 선택을 클릭합니다.

  7. 선택할 개체 이름을 입력하세요모든 사용자를 입력합니다. 이름 확인을 선택하고 확인을 선택합니다.

  8. 그런 다음 감사 항목으로 돌아갑니다. 다음과 같은 선택을 합니다.

    • 형식에서 모두를 선택합니다.
    • 적용 대상에서 이 개체 및 모든 하위 개체를 선택합니다.
    • 사용 권한에서 아래로 스크롤하여 모두 지우기 를 선택합니다. 위로 스크롤하여 모든 속성 읽기모든 속성 쓰기를 선택합니다.

    ADFS에 대한 감사 설정입니다.

  9. 확인을 선택합니다.

Exchange 개체에 대한 감사 사용

  1. ADSI 편집을 엽니다. 이렇게 하려면 시작실행을 순서대로 선택하고, ADSIEdit.msc를 입력한 다음 확인을 선택합니다.

  2. 작업 메뉴에서 연결 대상을 선택합니다.

  3. 잘 알려진 명명 컨텍스트 선택 아래 연결 설정 대화 상자에서 구성을 선택하고 확인을 선택합니다.

  4. 구성 컨테이너를 확장합니다. 구성 컨테이너 아래에 구성 노드가 표시됩니다. 이름이 “CN=Configuration,DC=..." 로 시작합니다.

  5. 구성 노드를 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

    구성 노드 속성입니다.

  6. 보안 탭으로 이동하여 고급을 선택합니다.

  7. 고급 보안 설정에서 감사 탭을 선택하고 추가를 선택합니다.

  8. 보안 주체 선택을 클릭합니다.

  9. 선택할 개체 이름을 입력하세요모든 사용자를 입력합니다. 이름 확인을 선택하고 확인을 선택합니다.

  10. 그런 다음 감사 항목으로 돌아갑니다. 다음과 같은 선택을 합니다.

    • 형식에서 모두를 선택합니다.
    • 적용 대상에서 이 개체 및 모든 하위 개체를 선택합니다.
    • 사용 권한에서 아래로 스크롤하여 모두 지우기 를 선택합니다. 위로 스크롤하여 모든 속성 쓰기를 선택합니다.

    구성에 대한 감사 설정입니다.

  11. 확인을 선택합니다.

이벤트 수집 구성

이러한 이벤트는 Defender for Identity 센서에서 자동으로 수집하거나 Defender for Identity 센서가 배포되지 않은 경우 다음 방법 중 하나로 Defender for Identity 독립 실행형 센서로 전달할 수 있습니다.

참고

  • Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.

다음 단계

« Microsoft Defender for Identity Directory Service 계정에대한 용량 계획 »