Microsoft Defender XDR을 사용하여 Microsoft Defender for Identity 배포

이 문서에서는 특정 시나리오에 대한 준비, 배포 및 추가 단계를 포함하여 Microsoft Defender for Identity의 전체 배포 프로세스에 대한 개요를 제공합니다.

Defender for Identity는 Microsoft Defender XDR을 사용한 제로 트러스트 전략 및 ITDR(ID 위협 감지 및 대응) 또는 XDR(확장 검색 및 대응) 배포의 주요 구성 요소입니다. Defender for Identity는 Active Directory 신호를 사용하여 권한 상승 또는 고위험 횡적 이동과 같은 갑작스런 계정 변경을 감지하고 보안 팀의 수정을 위해 제약이 없는 Kerberos 위임과 같은 쉽게 악용된 ID 문제에 대한 보고서를 검색합니다.

배포 하이라이트의 빠른 집합은 빠른 설치 가이드를 참조하세요.

필수 조건

시작하기 전에 최소한 보안 관리자 권한으로 Microsoft Defender XDR에 액세스할 수 있고 다음 라이선스 중 하나가 있는지 확인합니다.

• Enterprise Mobility + Security E5(EMS E5/A5)
• Microsoft 365 E5(Microsoft E5/A5/G5)
• Microsoft 365 E5/A5/G5/F5* 보안
• Microsoft 365 F5 보안 + 규정 준수*
• 독립 실행형 Defender for Identity 라이선스

* 두 F5 라이선스 모두 Microsoft 365 F1/F3 또는 Office 365 F3 및 Enterprise Mobility + Security E3가 필요합니다.

Microsoft 365 포털을 통해 직접 라이선스를 획득하거나 CSP(클라우드 솔루션 파트너) 라이선스 모델을 사용합니다.

자세한 내용은 라이선스 및 개인 정보 FAQ 및Defender for Identity 역할 및 사용 권한을 참조하세요.

Microsoft Defender XDR 사용 시작

이 섹션에서는 Defender for Identity에 온보딩을 시작하는 방법을 설명합니다.

1. Microsoft Defender 포털에 로그인합니다.
2. 탐색 메뉴에서 인시던트 및 경고, 헌팅, 알림 센터 또는 위협 분석과 같은 항목을 선택하여 온보딩 프로세스를 시작합니다.

그러면 Microsoft Defender for Identity를 포함하여 지원되는 서비스를 배포하는 옵션이 제공됩니다. Defender for Identity 설정 페이지를 열면 Defender for Identity에 필요한 클라우드 구성 요소가 자동으로 추가됩니다.

자세한 내용은 다음을 참조하세요.

• Microsoft Defender XDR의 Microsoft Defender for Identity
• Microsoft Defender XDR 시작
• Microsoft Defender XDR 켜기
• 지원되는 서비스 배포
• Microsoft Defender XDR을 설정할 때 자주 묻는 질문

Important

현재 Defender for Identity 데이터 센터는 유럽, 영국, 북아메리카/중앙 아메리카/카리브해, 오스트레일리아 동부 및 아시아에 배포됩니다. 작업 영역(인스턴스)은 Microsoft Entra 테넌트 지리적 위치에 가장 가까운 Azure 지역에 자동으로 만들어집니다. 만든 후에는 Defender for Identity 작업 영역을 움직일 수 없습니다.

계획 및 준비

다음 단계를 사용하여 Defender for Identity 배포를 준비합니다.

1. 필요한 모든 필수 구성 요소가 있는지 확인합니다 .

2. Defender for Identity 용량을 계획합니다.

팁

Test-MdiReadiness.ps1 스크립트를 실행하여 테스트하고 환경에 필요한 필수 구성 요소가 있는지 확인하는 것이 좋습니다.

Test-MdiReadiness.ps1 스크립트에 대한 링크는 Microsoft Defender XDR의 ID > 도구 페이지(미리 보기)에서도 사용할 수 있습니다.

Defender for Identity 배포

시스템을 준비한 후 다음 단계를 사용하여 Defender for Identity를 배포합니다.

1. Defender for Identity 서비스에 대한 연결을 확인합니다.
2. Defender for Identity 센서를 다운로드합니다.
3. Defender for Identity 센서를 설치합니다.
4. 데이터 수신을 시작하도록 Defender for Identity 센서 를 구성합니다.

배포 후 구성

다음 절차는 배포 프로세스를 완료하는 데 도움이 됩니다.

• Windows 이벤트 컬렉션을 구성합니다. 자세한 내용은 Microsoft Defender for Identity 를 사용한 이벤트 컬렉션 및 Windows 이벤트 로그에 대한 감사 정책 구성을 참조하세요.

• Defender for Identity에 대한 RBAC(통합 역할 기반 액세스 제어) 를 사용하도록 설정하고 구성합니다.

• Defender for Identity와 함께 사용할 디렉터리 서비스 계정(DSA)을 구성합니다. 일부 시나리오에서는 DSA가 선택 사항이지만 전체 보안 범위를 위해 Defender for Identity용 DSA를 구성하는 것이 좋습니다.

• 필요에 따라 SAM 에 대한 원격 호출을 구성합니다. 이 단계는 선택 사항이지만 Defender for Identity를 사용하여 횡적 이동 경로 검색을 위해 SAM-R에 대한 원격 호출을 구성하는 것이 좋습니다.

Important

AD FS/AD CS 서버에 Defender for Identity 센서를 설치하려면 추가 단계가 필요합니다. 자세한 내용은 AD FS 및 AD CS에 대한 센서 구성을 참조하세요.

다음 단계

Defender for Identity 필수 구성 요소 »