Microsoft Defender for Identity의 네트워크 이름 확인

  • 아티클

NNR(네트워크 이름 확인)은 Microsoft Defender for Identity 기능의 기본 구성 요소입니다. Defender for Identity는 네트워크 트래픽, Windows 이벤트 및 ETW를 기반으로 활동을 캡처합니다. 이러한 활동에는 일반적으로 IP 데이터가 포함됩니다.

NNR을 사용하여 Defender for Identity는 원시 활동(IP 주소 포함)과 각 활동에 관련된 관련 컴퓨터 간에 상관 관계를 지정할 수 있습니다. 원시 활동에 따라 Defender for Identity는 컴퓨터를 포함한 엔터티를 프로파일하고 의심스러운 활동에 대한 보안 경고를 생성합니다.

IP 주소를 컴퓨터 이름으로 확인하기 위해 Defender for Identity 센서는 다음 메서드를 사용하여 IP 주소를 조회합니다.

기본 메서드:

  • RPC를 통한 NTLM(TCP 포트 135)
  • NetBIOS(UDP 포트 137)
  • RDP(TCP 포트 3389) - 클라이언트 hello의 첫 번째 패킷만

보조 메서드:

  • IP 주소의 역방향 DNS 조회를 사용하여 DNS 서버를 쿼리합니다(UDP 53)

최상의 결과를 위해 기본 메서드 중 하나 이상을 사용하는 것이 좋습니다. IP 주소의 역방향 DNS 조회는 다음 경우에만 수행됩니다.

  • 기본 메서드의 응답은 없습니다.
  • 응답에 두 개 이상의 기본 메서드에서 받은 충돌이 있습니다.

참고 항목

포트에서 인증이 수행되지 않습니다.

Defender for Identity는 네트워크 트래픽에 따라 디바이스 운영 체제를 평가하고 결정합니다. 컴퓨터 이름을 검색한 후 Defender for Identity 센서는 Active Directory를 검사 TCP 지문을 사용하여 동일한 컴퓨터 이름을 가진 상관 관계가 있는 컴퓨터 개체가 있는지 확인합니다. TCP 지문을 사용하면 등록되지 않은 디바이스와 Windows 이외의 디바이스를 식별하여 조사 프로세스를 지원합니다. Defender for Identity 센서가 상관 관계를 찾으면 센서는 IP를 컴퓨터 개체에 연결합니다.

이름이 검색 되지 않는 경우 IP 및 관련 검색된 활동을 사용하여 IP 로 해결되지 않은 컴퓨터 프로필이 만들어집니다.

NNR 데이터는 다음 위협을 감지하는 데 중요합니다.

  • 의심되는 신원 도용(티켓 전달)
  • 의심되는 DCSync 공격(디렉터리 서비스 복제본(replica))
  • 네트워크 매핑 정찰(DNS)

경고가 TP(True Positive) 또는 FP(가양성)인지 확인하는 기능을 향상시키기 위해 Defender for Identity에는 각 보안 경고의 증거로 확인되는 컴퓨터 명명의 확실성 정도가 포함됩니다.

예를 들어 컴퓨터 이름이 확실하게 확인되면 결과 보안 경고에 대한 신뢰도가 True Positive 또는 TP증가합니다.

증거에는 IP가 확인된 시간, IP 및 컴퓨터 이름이 포함됩니다. 해상도의 확실성이 으면 이 정보를 사용하여 현재 IP의 실제 원본인 디바이스를 조사하고 확인합니다. 디바이스를 확인한 후 다음 예제와 유사하게 경고가 가양성 또는 FP인지 확인할 수 있습니다.

  • 의심되는 ID 도용(pass-the-ticket) – 동일한 컴퓨터에 대해 경고가 트리거되었습니다.

  • 의심되는 DCSync 공격(디렉터리 서비스 복제본(replica)) - 경고가 do기본 컨트롤러에서 트리거되었습니다.

  • DNS(네트워크 매핑 정찰) – DNS 서버에서 경고가 트리거되었습니다.

    증거 확실성.

구성 권장 사항

  • RPC를 통한 NTLM:

    • 환경의 모든 컴퓨터에서 Id 센서용 Defender의 인바운드 통신을 위해 TCP 포트 135가 열려 있는지 확인합니다.
    • 모든 네트워크 구성(방화벽)을 확인합니다. 이렇게 하면 관련 포트에 대한 통신이 차단됩니다.

  • Netbios:

    • 환경의 모든 컴퓨터에서 Defender for Identity Sensors의 인바운드 통신을 위해 UDP 포트 137이 열려 있는지 확인합니다.
    • 모든 네트워크 구성(방화벽)을 확인합니다. 이렇게 하면 관련 포트에 대한 통신이 차단됩니다.

  • RDP:

    • 환경의 모든 컴퓨터에서 Id 센서용 Defender의 인바운드 통신을 위해 TCP 포트 3389가 열려 있는지 확인합니다.
    • 모든 네트워크 구성(방화벽)을 확인합니다. 이렇게 하면 관련 포트에 대한 통신이 차단됩니다.

    참고 항목

    • 이러한 프로토콜 중 하나만 필요하지만 모든 프로토콜을 사용하는 것이 좋습니다.
    • 사용자 지정된 RDP 포트는 지원되지 않습니다.

  • 역방향 DNS:

    • 센서가 DNS 서버에 연결할 수 있고 역방향 조회 영역이 사용하도록 설정되어 있는지 확인합니다.

상태 문제

Defender for Identity가 이상적으로 작동하고 환경이 올바르게 구성되었는지 확인하기 위해 Defender for Identity는 각 센서의 해상도 상태 검사 메서드당 상태 경고를 발행하여 각 방법을 사용하는 활성 이름 확인의 성공률이 낮은 Defender for Identity 센서 목록을 제공합니다.

참고 항목

사용자 환경의 요구에 맞게 Defender for Identity에서 선택적 NNR 메서드를 사용하지 않도록 설정하려면 지원 사례를 엽니다.

각 상태 경고는 방법, 센서, 문제가 있는 정책 및 구성 권장 사항에 대한 특정 세부 정보를 제공합니다. 상태 문제에 대한 자세한 내용은 Microsoft Defender for Identity 센서 상태 문제를 참조하세요.

참고 항목