Share via

Microsoft Defender for Identity 센서 설정 구성

  • 아티클

이 문서에서는 Microsoft Defender for Identity 센서 설정을 올바르게 구성하여 데이터 보기를 시작하는 방법을 알아봅니다. Defender for Identity의 전체 기능을 활용하려면 추가 구성 및 통합을 수행해야 합니다.

다음 비디오에서는 Defender for Identity 센서 설정에 대한 검토를 보여 줍니다.


센서 설정 보기 및 구성

Defender for Identity 센서가 설치되면 다음을 수행하여 Defender for Identity 센서 설정을 보고 구성합니다.

  1. Microsoft Defender XDR에서 설정> Identities>센서로 이동합니다. 예시:

    센서 페이지의 스크린샷.

    센서 페이지에는 센서당 다음 세부 정보가 나열된 모든 Defender for Identity 센서가 표시됩니다.

    • 센서 이름
    • 센서 do기본 멤버 자격
    • 센서 버전 번호
    • 업데이트를 지연해야 하는지 여부
    • 센서 서비스 상태
    • 센서 상태
    • 센서 상태 상태
    • 상태 문제 수
    • 센서를 만든 경우

    자세한 내용은 센서 세부 정보를 참조하세요.

  2. 필터를 선택하여 표시할 필터를 선택합니다. 예시:

    센서 필터의 스크린샷

  3. 표시된 필터를 사용하여 표시할 센서를 결정합니다. 예시:

    필터링된 센서 목록의 스크린샷

  4. 센서를 선택하여 센서 및 해당 상태 상태 대한 자세한 정보가 포함된 세부 정보 창을 표시합니다. 예시:

    센서 세부 정보 창의 스크린샷

  5. 아래로 스크롤하여 센서 관리를 선택하여 센서 세부 정보를 구성할 수 있는 창을 표시합니다. 예시:

    센서 관리 옵션의 스크린샷.

  6. 다음 센서 세부 정보를 구성합니다.

    속성 Description
    설명 선택 사항입니다. Defender for Identity 센서에 대한 설명을 입력합니다.
    FQDN(컨트롤러 기본) AD FS/AD CS 서버에 설치된 Defender for Identity 독립 실행형 센서 및 센서에 필요하며 Defender for Identity 센서에 대해 수정할 수 없습니다.

    do기본 컨트롤러의 전체 FQDN을 입력하고 더하기 기호를 선택하여 목록에 추가합니다. 예를 들어 DC1.do기본1.test.local입니다.

    Do기본 Controllers 목록에 정의한 서버의 경우:

    - Defender for Identity 독립 실행형 센서가 포트 미러 통해 트래픽을 모니터링하는 모든 do기본 컨트롤러는 Do기본 컨트롤러 목록에 나열되어야 합니다. do기본 컨트롤러가 Do기본 컨트롤러 목록에 나열되지 않으면 의심스러운 활동 검색이 예상대로 작동하지 않을 수 있습니다.

    - 목록에서 하나 이상의 기본 컨트롤러는 글로벌 카탈로그여야 합니다. 이렇게 하면 Defender for Identity가 포리스트의 다른 할 일기본 컴퓨터 및 사용자 개체를 확인할 수 있습니다.
    네트워크 어댑터 캡처 필수입니다.

    - Defender for Identity 센서의 경우 조직의 다른 컴퓨터와의 통신에 사용되는 모든 네트워크 어댑터입니다.

    - 전용 서버의 Defender for Identity 독립 실행형 센서의 경우 대상 미러 포트로 구성된 네트워크 어댑터를 선택합니다. 이러한 네트워크 어댑터는 미러 do기본 컨트롤러 트래픽을 받습니다.

  7. 센서 페이지에서 내보내기를 선택하여 센서 목록을 .csv 파일로 내보냅니다. 예시:

    센서 목록을 내보내는 스크린샷

설치 유효성 검사

다음 절차를 사용하여 Defender for Identity 센서 설치의 유효성을 검사합니다.

참고 항목

AD FS 또는 AD CS 서버에 설치하는 경우 다른 유효성 검사 집합을 사용합니다. 자세한 내용은 AD FS/AD CS 서버에서 성공적인 배포 유효성 검사를 참조 하세요.

성공적인 배포 유효성 검사

Defender for Identity 센서가 성공적으로 배포되었는지 확인하려면 다음을 수행합니다.

  1. Azure Advanced Threat Protection 센서 서비스가 센서 머신에서 실행되고 있는지 확인합니다. Defender for Identity 센서 설정을 저장한 후 서비스를 시작하는 데 몇 초 정도 걸릴 수 있습니다.

  2. 서비스가 시작되지 않으면 기본적으로 배포한 버전이 있는 <sensor version> Microsoft.Tri.sensor-Errors.log 파일을 검토%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs합니다.

보안 경고 기능 확인

이 섹션에서는 보안 경고가 예상대로 트리거되는지 확인하는 방법을 설명합니다.

다음 단계의 예제를 사용하는 경우 Defender for Identity 센서의 FQDN을 바꾸고 contosodc.contoso.azurecontoso.azure 각각 이름을 기본 합니다.

  1. 멤버 조인 디바이스에서 명령 프롬프트를 열고 nslookup

  2. Defender for Identity 센서가 설치된 do기본 컨트롤러의 FQDN 또는 IP 주소를 입력 server 합니다. 예: server contosodc.contoso.azure

  3. ls -d contoso.azure을 입력합니다.

  4. 테스트하려는 각 센서에 대해 이전 두 단계를 반복합니다.

  5. 디바이스 페이지, 디바이스 이름 검색 또는 Defender 포털의 다른 위치에서와 같이 연결 테스트를 실행한 컴퓨터의 디바이스 세부 정보 페이지에 액세스합니다.

  6. 디바이스 세부 정보 탭에서 타임라인 탭을 선택하여 다음 작업을 확인합니다.

    • 이벤트: 지정된 do기본 이름으로 수행되는 DNS 쿼리
    • 작업 형식 MdiDnsQuery

테스트하는 할기본 컨트롤러 또는 AD FS/AD CS가 배포한 첫 번째 센서인 경우 15분 이상 기다린 후 컨트롤러에기본 대한 논리적 작업을 확인하여 데이터베이스 백 엔드가 초기 마이크로 서비스 배포를 완료할 수 있도록 합니다.

사용 가능한 최신 센서 버전 확인

Defender for Identity 버전은 자주 업데이트됩니다. Microsoft Defender XDR 설정>Identities>정보 페이지에서 최신 버전을 확인합니다.

관련 콘텐츠

이제 초기 구성 단계를 구성했으므로 더 많은 설정을 구성할 수 있습니다. 자세한 내용은 아래 페이지 중 어느 페이지로 이동하세요.

다음 단계

Microsoft Defender for Identity를 사용하는 이벤트 컬렉션 »