Microsoft Defender for Identity 독립 실행형 센서 필수 구성 요소
이 문서에서는 기본 배포 필수 구성 요소와 다른 Microsoft Defender for Identity 독립 실행형 센서를 배포하기 위한 필수 구성 요소를 나열합니다.
자세한 내용은 Microsoft Defender for Identity 배포에 대한 용량 계획을 참조하세요.
Important
Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.
독립 실행형 센서에 대한 추가 시스템 요구 사항
독립 실행형 센서는 다음과 같이 Defender for Identity 센서 필수 구성 요소와 다릅니다.
독립 실행형 센서에는 최소 5GB의 디스크 공간이 필요합니다.
독립 실행형 센서는 작업 그룹에 있는 서버에도 설치할 수 있습니다.
독립 실행형 센서는 할 일기본 컨트롤러와 기본 네트워크 트래픽의 양에 따라 여러 할 일 컨트롤러 모니터링을 지원할 수 있습니다.
여러 포리스트로 작업하는 경우 독립 실행형 센서 컴퓨터는 LDAP를 사용하여 모든 원격 포리스트와 통신할 수 있어야 합니다기본 컨트롤러.
Defender for Identity 독립 실행형 센서가 설치된 가상 머신을 사용하는 방법에 대한 자세한 내용은 포트 미러링 구성을 참조하세요.
독립 실행형 센서용 네트워크 어댑터
독립 실행형 센서에는 다음 네트워크 어댑터 중 하나 이상이 필요합니다.
관리 어댑터 - 회사 네트워크의 통신에 사용됩니다. 센서는 이 어댑터를 사용하여 보호 중인 DC를 쿼리하고 컴퓨터 계정에 대한 확인을 수행합니다.
기본 게이트웨이 및 기본 및 대체 DNS 서버를 포함하여 고정 IP 주소를 사용하여 관리 어댑터를 구성합니다.
이 연결에 대한 DNS 접미사는 모니터링되는 각 do기본 대해 할 일기본 DNS 이름이어야 합니다.
참고 항목
Defender for Identity 독립 실행형 센서가 도메인의 구성원이면 자동으로 구성될 수 있습니다.
캡처 어댑터 - do기본 컨트롤러에서 트래픽을 캡처하는 데 사용됩니다.
Important
- 캡처 어댑터에 대한 포트 미러 do기본 컨트롤러 네트워크 트래픽의 대상으로 구성합니다. 일반적으로 네트워킹 또는 가상화 팀과 협력하여 포트 미러 구성해야 합니다.
- 기본 센서 게이트웨이가 없고 DNS 서버 주소가 없는 환경에 대해 라우팅할 수 없는 고정 IP 주소(/32 마스크 포함)를 구성합니다. 예: '10.10.0.10/32. 이 구성을 사용하면 캡처 네트워크 어댑터가 최대 트래픽 양을 캡처할 수 있고 관리 네트워크 어댑터를 사용하여 필요한 네트워크 트래픽을 보내고 받을 수 있습니다.
참고 항목
Defender for Identity 독립 실행형 센서에서 Wireshark를 실행하는 경우 Wireshark 캡처를 중지한 후에 Defender for Identity 센서 서비스를 다시 시작합니다. 센서 서비스를 다시 시작하지 않으면 센서가 트래픽 캡처를 중지합니다.
NIC 팀 어댑터로 구성된 컴퓨터에 Defender for Identity 센서를 설치하려고 하면 설치 오류가 발생합니다. NIC 팀으로 구성된 머신에 Defender for Identity 센서를 설치하려면 Defender for Identity 센서 NIC 팀 문제를 참조하세요.
독립 실행형 센서용 포트
다음 표에는 Defender for Identity 센서에 대해 나열된 포트 외에도 Defender for Identity 독립 실행형 센서가 관리 어댑터에 구성해야 하는 추가 포트가 나와 있습니다.
프로토콜 | 전송 | 포트 | 보낸 사람 | 수행할 작업 |
---|---|---|---|---|
내부 포트 | ||||
LDAP | TCP 및 UDP | 389 | Defender for Identity 센서 | 도메인 컨트롤러 |
LDAPS(보안 LDAP) | TCP | 636 | Defender for Identity 센서 | 도메인 컨트롤러 |
LDAP에서 글로벌 카탈로그로 | TCP | 3268 | Defender for Identity 센서 | 도메인 컨트롤러 |
LDAPS에서 글로벌 카탈로그로 | TCP | 3269 | Defender for Identity 센서 | 도메인 컨트롤러 |
Kerberos | TCP 및 UDP | 88 | Defender for Identity 센서 | 도메인 컨트롤러 |
Windows 시간 | UDP | 123 | Defender for Identity 센서 | 도메인 컨트롤러 |
Syslog (선택 사항) | TCP/UDP | 구성에 따라 514 | SIEM 서버 | Defender for Identity 센서 |
Windows 이벤트 로그 요구 사항
Defender for Identity 검색은 센서가 도메인 컨트롤러에서 구문 분석하는 다음과 같은 특정 Windows 이벤트 로그를 사용합니다. 올바른 이벤트를 감사하고 Windows 이벤트 로그에 포함하려면 do기본 컨트롤러에 정확한 Windows 고급 감사 정책 설정이 필요합니다.
자세한 내용은 Windows 설명서의 고급 감사 정책 검사 및 고급 보안 감사 정책을 참조하세요.
서비스에서 필요에 따라 Windows 이벤트 8004를 감사하는지 확인하려면 NTLM 감사 설정을 검토합니다.
AD FS/AD CS 서버에서 실행되는 센서의 경우 감사 수준을 자세한 정보 표시로 구성합니다. 자세한 내용은 AD FS에 대한 이벤트 감사 정보 및 AD CS에 대한 이벤트 감사 정보를 참조하세요.