다음을 통해 공유


도메인 컨트롤러에서 직접 Microsoft Defender for Identity 기능 활성화

도메인 컨트롤러를 엔드포인트용 Defender에 이미 온보딩한 엔드포인트용 Microsoft Defender 고객은 를 사용하는 대신 도메인 컨트롤러에서 직접 Microsoft Defender for Identity 기능을 활성화할 수 있습니다.Microsoft Defender for Identity 센서.

이 문서에서는 도메인 컨트롤러에서 Microsoft Defender for Identity 기능을 활성화하고 테스트하는 방법을 설명합니다.

Important

이 문서의 정보는 선택한 사용 사례 집합에 대해 현재 사용이 제한된 기능과 관련이 있습니다. Defender for Identity Activation 페이지를 사용하도록 지시받지 않은 경우 대신 기본 배포 가이드사용하세요.

필수 조건

도메인 컨트롤러에서 Defender for Identity 기능을 활성화하기 전에 환경이 이 섹션의 필수 구성 요소를 준수하는지 확인합니다.

Defender for Identity 센서 충돌

이 문서에 설명된 구성은 기존 Defender for Identity 센서와 함께 설치를 지원하지 않으며 Defender for Identity 센서의 대체로 권장되지 않습니다.

Defender for Identity 기능을 활성화하려는 도메인 컨트롤러에 Defender for Identity 센서가 배포되지 않았는지 확인합니다.

시스템 요구 사항

Direct Defender for Identity 기능은 다음 운영 체제 중 하나를 사용하여 도메인 컨트롤러에서만 지원됩니다.

  • Windows Server 2019
  • Windows Server 2022

2024년 3월 누적 업데이트 도 설치되어 있어야 합니다.

Important

2024년 3월 누적 업데이트를 설치한 후 온-프레미스 및 클라우드 기반 Active Directory 도메인 Controllers 서비스 Kerberos 인증 요청 시 LSASS에서 도메인 컨트롤러에 메모리 누수 발생이 발생할 수 있습니다.

이 문제는 대역 외 업데이트 KB5037422 해결됩니다.

엔드포인트용 Defender 온보딩

도메인 컨트롤러를 온보딩하여 엔드포인트용 Microsoft Defender 합니다.

자세한 내용은 Windows 서버 등록을 참조 하세요.

필요한 사용 권한

Defender for Identity Activation 페이지에 액세스하려면 보안 관리자이거나 다음 통합 RBAC 권한이 있어야 합니다.

  • Authorization and settings / System settings (Read and manage)
  • Authorization and settings / Security setting (All permissions)

자세한 내용은 다음을 참조하세요.

연결 요구 사항

도메인 컨트롤러에서 직접 Defender for Identity 기능은 간소화된 URL을 포함하여 통신을 위해 엔드포인트용 Defender URL 엔드포인트를 사용합니다.

자세한 내용은 엔드포인트용 Defender와의 연결을 보장하도록 네트워크 환경 구성을 참조하세요.

Windows 감사 구성

Defender for Identity 검색은 특정 Windows 이벤트 로그 항목을 사용하여 검색을 향상시키고 NTLM 로그인 및 보안 그룹 수정과 같은 특정 작업을 수행하는 사용자에 대한 추가 정보를 제공합니다.

Defender for Identity 검색을 지원하도록 도메인 컨트롤러에서 Windows 이벤트 컬렉션을 구성합니다. 자세한 내용은 Microsoft Defender for Identity 를 사용한 이벤트 컬렉션 및 Windows 이벤트 로그에 대한 감사 정책 구성을 참조하세요.

Defender for Identity PowerShell 모듈을 사용하여 필요한 설정을 구성할 수 있습니다. 자세한 내용은 다음을 참조하세요.

예를 들어 다음 명령은 도메인에 대한 모든 설정을 정의하고, 그룹 정책 개체를 만들고, 연결합니다.

Set-MDIConfiguration -Mode Domain -Configuration All

Defender for Identity 기능 활성화

환경이 완전히 구성되었는지 확인한 후 도메인 컨트롤러에서 Microsoft Defender for Identity 기능을 활성화합니다.

  1. Defender 포털에서 설정 > ID 활성화를 >선택합니다.

    활성화 페이지에는 검색된 도메인 컨트롤러와 적격 도메인 컨트롤러가 나열됩니다.

  2. Defender for Identity 기능을 활성화할 도메인 컨트롤러를 선택한 다음 활성화를 선택합니다. 메시지가 표시되면 선택 항목을 확인합니다.

활성화가 완료되면 녹색 성공 배너가 표시됩니다. 배너에서 여기를 클릭하여 온보딩된 서버를 확인하여 센서 상태를 확인할 수 있는 설정 > ID > 센서 페이지로 이동합니다.

활성화된 기능 테스트

도메인 컨트롤러에서 Defender for Identity 기능을 처음 활성화하면 첫 번째 센서가 센서 페이지에서 실행 중으로 표시되는 데 최대 1시간이 걸릴 수 있습니다. 이후 활성화는 5분 이내에 표시됩니다.

도메인 컨트롤러의 Defender for Identity 기능은 현재 다음 Defender for Identity 기능을 지원합니다.

다음 절차를 사용하여 도메인 컨트롤러에서 Defender for Identity 기능에 대한 환경을 테스트합니다.

ITDR 대시보드 확인

Defender 포털에서 ID 대시보드를 > 선택하고 표시된 세부 정보를 검토하여 사용자 환경의 예상 결과를 확인합니다.

자세한 내용은 Defender for Identity의 ITDR 대시보드 작업(미리 보기)을 참조하세요.

엔터티 페이지 세부 정보 확인

도메인 컨트롤러, 사용자 및 그룹과 같은 엔터티가 예상대로 채워져 있는지 확인합니다.

Defender 포털에서 다음 세부 정보를 확인합니다.

  • 디바이스 엔터티: 자산 디바이스를 > 선택하고 새 센서에 대한 컴퓨터를 선택합니다. Defender for Identity 이벤트는 디바이스 타임라인에 표시됩니다.

  • 사용자 엔터티. 자산 사용자를 선택하고 새로 온보딩된 도메인에서 사용자를 확인합니다>. 또는 전역 검색 옵션을 사용하여 특정 사용자를 검색합니다. 사용자 세부 정보 페이지에는 개요, 조직에서 관찰됨 및 타임라인 데이터가 포함되어야 합니다.

  • 그룹 엔터티: 전역 검색을 사용하여 사용자 그룹을 찾거나 그룹 세부 정보가 표시되는 사용자 또는 디바이스 세부 정보 페이지에서 피벗합니다. 그룹 멤버 자격에 대한 세부 정보, 그룹 사용자 보기 및 그룹 타임라인 데이터를 확인합니다.

    그룹 타임라인에 이벤트 데이터가 없는 경우 수동으로 만들어야 할 수 있습니다. 예를 들어 Active Directory의 그룹에서 사용자를 추가하고 제거하여 이 작업을 수행합니다.

자세한 내용은 자산 조사를 참조 하세요.

고급 헌팅 테이블 테스트

Defender 포털의 고급 헌팅 페이지에서 다음 샘플 쿼리를 사용하여 데이터가 사용자 환경에 예상대로 관련 테이블에 표시되는지 확인합니다.

IdentityDirectoryEvents
| where TargetDeviceName contains "DC_FQDN" // insert domain controller FQDN

IdentityInfo 
| where AccountDomain contains "domain" // insert domain

IdentityQueryEvents 
| where DeviceName contains "DC_FQDN" // insert domain controller FQDN

자세한 내용은 Microsoft Defender 포털의 고급 헌팅을 참조하세요.

ISPM(Test Identity Security Posture Management) 권장 사항

도메인 컨트롤러의 Defender for Identity 기능은 다음 ISPM 평가를 지원합니다.

테스트 환경에서 위험한 동작을 시뮬레이션하여 지원되는 평가를 트리거하고 예상대로 표시되는지 확인하는 것이 좋습니다. 예시:

  1. Active Directory 구성을 비준수 상태로 설정한 다음 규격 상태로 반환하여 안전하지 않은 도메인 구성 해결 권장 사항을 트리거합니다. 예를 들어 다음 명령을 실행합니다.

    비준수 상태를 설정하려면

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="10"}
    

    규격 상태로 되돌리려면 다음을 수행합니다.

    Set-ADObject -Identity ((Get-ADDomain).distinguishedname) -Replace @{"ms-DS-MachineAccountQuota"="0"}
    

    로컬 구성을 확인하려면 다음을 수행합니다.

    Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
    
  2. Microsoft 보안 점수에서 권장 작업을 선택하여 안전하지 않은 새 해결 도메인 구성 권장 사항을 확인합니다. Defender for Identity 제품별로 권장 사항을 필터링할 수 있습니다.

자세한 내용은 Id용 Microsoft Defender의 보안 상태 평가를 참조 하세요.

경고 기능 테스트

다음 경고는 도메인 컨트롤러의 Defender for Identity 기능에서 지원됩니다.

테스트 환경에서 위험한 활동을 시뮬레이션하여 경고 기능을 테스트합니다. 예시:

  • 계정에 허니토켄 계정으로 태그를 지정한 다음 활성화된 도메인 컨트롤러에 대해 honeytoken 계정에 로그인해 봅니다.
  • 도메인 컨트롤러에서 의심스러운 서비스를 만듭니다.
  • 워크스테이션에서 로그인한 관리자로 도메인 컨트롤러에서 원격 명령을 실행합니다.

자세한 내용은 Microsoft Defender XDR에서 Defender for Identity 보안 경고 조사를 참조하세요.

수정 작업 테스트

테스트 사용자에 대한 수정 작업을 테스트합니다. 예시:

  1. Defender 포털에서 테스트 사용자의 사용자 세부 정보 페이지로 이동합니다.

  2. 옵션 메뉴에서 다음 중 하나 또는 전부를 한 번에 하나씩 선택합니다.

    • AD에서 사용자 사용 안 함
    • AD에서 사용자 사용
    • 암호 재설정 강제 적용
  3. Active Directory에서 예상되는 활동을 확인합니다.

참고 항목

현재 버전이 UAC(사용자 계정 컨트롤) 플래그를 올바르게 수집하지 않습니다. 따라서 사용하지 않도록 설정된 사용자는 포털에서 계속 사용으로 표시됩니다.

자세한 내용은 Microsoft Defender for Identity의 수정 작업을 참조 하세요.

도메인 컨트롤러에서 Defender for Identity 기능 비활성화

도메인 컨트롤러에서 Defender for Identity 기능을 비활성화하려면 센서 페이지에서 삭제 합니다 .

  1. Defender 포털에서 설정 > ID > 센서를 선택합니다.
  2. Defender for Identity 기능을 비활성화할 도메인 컨트롤러를 선택하고 삭제를 선택하고 선택 항목을 확인합니다.

도메인 컨트롤러에서 Defender for Identity 기능을 비활성화해도 엔드포인트용 Defender에서 도메인 컨트롤러가 제거되지는 않습니다. 자세한 내용은 엔드포인트용 Defender 설명서를 참조 하세요.

다음 단계

자세한 내용은 Microsoft Defender for Identity 센서 관리 및 업데이트를 참조 하세요.