Microsoft Defender for Identity 센서 설정 구성
이 문서에서는 Microsoft Defender for Identity 센서 설정을 올바르게 구성하여 데이터 보기를 시작하는 방법을 알아봅니다. Defender for Identity의 전체 기능을 활용하려면 추가 구성 및 통합을 수행해야 합니다.
센서 설정 보기 및 구성
Defender for Identity 센서가 설치되면 다음을 수행하여 Defender for Identity 센서 설정을 보고 구성합니다.
Microsoft Defender XDR에서 설정>ID>센서로 이동합니다. 예시:
센서 페이지에는 센서당 다음 세부 정보가 나열된 모든 Defender for Identity 센서가 표시됩니다.
- 센서 이름
- 센서 도메인 멤버 자격
- 센서 버전 번호
- 업데이트를 지연해야 하는지 여부
- 센서 서비스 상태
- 센서 상태
- 센서 상태
- 상태 문제 수
- 센서를 만든 경우
자세한 내용은 센서 세부 정보를 참조하세요.
필터를 선택하여 표시할 필터를 선택합니다. 예시:
표시된 필터를 사용하여 표시할 센서를 결정합니다. 예시:
센서를 선택하여 센서 및 해당 상태에 대한 자세한 정보가 포함된 세부 정보 창을 표시합니다. 예시:
아래로 스크롤하여 센서 관리를 선택하여 센서 세부 정보를 구성할 수 있는 창을 표시합니다. 예시:
다음 센서 세부 정보를 구성합니다.
속성 Description 설명 선택 사항입니다. Defender for Identity 센서에 대한 설명을 입력합니다. FQDN(도메인 컨트롤러) AD FS/AD CS 서버에 설치된 Defender for Identity 독립 실행형 센서 및 센서에 필요하며 Defender for Identity 센서에 대해 수정할 수 없습니다.
도메인 컨트롤러의 전체 FQDN을 입력하고 더하기 기호를 선택하여 목록에 추가합니다. 예를 들어 DC1.domain1.test.local입니다.
도메인 컨트롤러 목록에서 정의하는 모든 서버의 경우:
- Defender for Identity 독립 실행형 센서에서 포트 미러링을 통해 트래픽을 모니터링하는 모든 도메인 컨트롤러가 도메인 컨트롤러 목록에 나열되어야 합니다. 도메인 컨트롤러 목록에 도메인 컨트롤러가 나열되지 않은 경우 의심스러운 활동 검색이 예상대로 작동하지 않을 수 있습니다.
- 목록에서 하나 이상의 도메인 컨트롤러는 글로벌 카탈로그여야 합니다. 이를 통해 Defender for Identity는 포리스트의 다른 도메인에 있는 컴퓨터 및 사용자 개체를 확인할 수 있습니다.네트워크 어댑터 캡처 필수입니다.
- Defender for Identity 센서의 경우 조직의 다른 컴퓨터와의 통신에 사용되는 모든 네트워크 어댑터입니다.
- 전용 서버의 Defender for Identity 독립 실행형 센서의 경우 대상 미러 포트로 구성된 네트워크 어댑터를 선택합니다. 이러한 네트워크 어댑터는 미러된 도메인 컨트롤러 트래픽을 수신합니다.센서 페이지에서 내보내기를 선택하여 센서 목록을 .csv 파일로 내보냅니다. 예시:
설치 유효성 검사
다음 절차를 사용하여 Defender for Identity 센서 설치의 유효성을 검사합니다.
참고 항목
AD FS 또는 AD CS 서버에 설치하는 경우 다른 유효성 검사 집합을 사용합니다. 자세한 내용은 AD FS/AD CS 서버에서 성공적인 배포 유효성 검사를 참조 하세요.
성공적인 배포 유효성 검사
Defender for Identity 센서가 성공적으로 배포되었는지 확인하려면 다음을 수행합니다.
Azure Advanced Threat Protection 센서 서비스가 센서 머신에서 실행되고 있는지 확인합니다. Defender for Identity 센서 설정을 저장한 후 서비스를 시작하는 데 몇 초 정도 걸릴 수 있습니다.
서비스가 시작되지 않으면 기본적으로 배포한 버전이 있는
<sensor version>
Microsoft.Tri.sensor-Errors.log 파일을 검토%programfiles%\Azure Advanced Threat Protection sensor\<sensor version>\Logs
합니다.
보안 경고 기능 확인
이 섹션에서는 보안 경고가 예상대로 트리거되는지 확인하는 방법을 설명합니다.
다음 단계의 예제를 사용하는 경우 Defender for Identity 센서 및 contoso.azure
도메인 이름의 FQDN을 각각 바꾸어 contosodc.contoso.azure
야 합니다.
멤버 조인 디바이스에서 명령 프롬프트를 열고
nslookup
Defender for Identity 센서가 설치된 도메인 컨트롤러의 FQDN 또는 IP 주소를 입력
server
합니다. 예:server contosodc.contoso.azure
ls -d contoso.azure
을 입력합니다.테스트하려는 각 센서에 대해 이전 두 단계를 반복합니다.
디바이스 페이지, 디바이스 이름 검색 또는 Defender 포털의 다른 위치에서와 같이 연결 테스트를 실행한 컴퓨터의 디바이스 세부 정보 페이지에 액세스합니다.
디바이스 세부 정보 탭에서 타임라인 탭을 선택하여 다음 작업을 확인합니다.
- 이벤트: 지정된 도메인 이름으로 수행된 DNS 쿼리
- 작업 형식 MdiDnsQuery
테스트 중인 도메인 컨트롤러 또는 AD FS/AD CS가 배포한 첫 번째 센서인 경우 해당 도메인 컨트롤러에 대한 논리적 활동을 확인하기 전에 15분 이상 기다린 후 데이터베이스 백 엔드가 초기 마이크로 서비스 배포를 완료할 수 있도록 합니다.
사용 가능한 최신 센서 버전 확인
Defender for Identity 버전은 자주 업데이트됩니다. Microsoft Defender XDR 설정>ID 정보 페이지에서 최신 버전을 확인합니다.>
관련 콘텐츠
이제 초기 구성 단계를 구성했으므로 더 많은 설정을 구성할 수 있습니다. 자세한 내용은 아래 페이지 중 어느 페이지로 이동하세요.