Microsoft Defender for Identity 필수 구성 요소
이 문서에서는 환경에 Microsoft Defender for Identity를 성공적으로 배포하기 위한 요구 사항을 설명합니다.
참고
리소스 및 용량을 계획하는 방법에 대한 자세한 내용은 Defender for Identity 용량 계획을 참조하세요.
Defender for Identity는 Defender for Identity 클라우드 서비스, Microsoft 365 Defender 포털, Defender for Identity 센서로 구성됩니다. 각 Defender for Identity 구성 요소에 대한 자세한 내용은 Defender for Identity 아키텍처를 참조하세요.
Defender for Identity는 온-프레미스 Active Directory 사용자 및/또는 Azure Active Directory(Azure AD)에 동기화된 사용자를 보호합니다. Azure AD 사용자로만 구성된 환경을 보호하려면 Azure AD ID 보호를 참조하세요.
이 문서에는 Defender for Identity 센서 요구 사항 과 Defender for Identity 독립 실행형 센서 요구 사항이 모두 포함되어 있습니다. Defender for Identity 독립 실행형 센서는 전용 서버에 설치되며, 네트워크 트래픽을 수신하려면 도메인 컨트롤러의 포트 미러링 구성이 필요합니다.
시작하기 전에
이 섹션에서는 Defender for Identity 설치를 시작하기 전에 수집해야 하는 정보와 계정 및 네트워크 엔터티 정보가 나열되어 있습니다.
라이선스
- Enterprise Mobility + Security E5(EMS E5/A5), Microsoft 365 E5(M365 E5/A5/G5) 또는 Microsoft 365 E5/A5/G5 Security에 대한 라이선스를 Microsoft 365 포털을 통해 직접 얻거나, CSP(클라우드 솔루션 파트너) 라이선스 모델을 사용합니다. 독립 실행형 Defender for Identity 라이선스를 사용할 수도 있습니다. 라이선스 요구 사항에 대한 자세한 내용은 라이선스 및 개인 정보를 참조하세요.
계정
- 모니터링되는 도메인의 모든 개체에 대한 읽기 권한이 있는 디렉터리 서비스 계정이 하나 이상 있습니다. 디렉터리 서비스 계정을 만드는 방법에 대한 지침은 디렉터리 서비스 계정 권장 사항을 참조하세요.
사용 권한
Defender for Identity 인스턴스를 만들려면 하나 이상의 전역/보안 관리자가 있는 Azure AD 테넌트가 필요합니다. 각 Defender for Identity 인스턴스는 Windows 2003 이상의 여러 Active Directory 포리스트 경계와 FFL(포리스트 기능 수준)을 지원합니다.
Microsoft 365 Defender 포털의 ID 섹션에 액세스하고 작업 영역을 생성하려면 테넌트에서 전역 관리자 또는 보안 관리자여야 합니다.
필요한 권한에 대한 자세한 내용은 역할 그룹을 참조하세요.
Microsoft 365 Defender 포털 요구 사항
Microsoft Edge, Internet Explorer 11 또는 HTML 5 호환 웹 브라우저를 사용하여 Microsoft 365 Defender Portal에서 Defender for Identity에 액세스합니다.
Defender for Identity 방화벽 요구 사항
참고
미국 정부 제품에 대한 네트워크 요구 사항은 미국 정부 제품에 대한 Microsoft Defender for Identity에서 찾을 수 있습니다.
Defender for Identity 센서를 설치하려는 서버가 Defender for Identity 클라우드 서비스에 연결할 수 있는지 확인합니다. 에 액세스할
https://*your-instance-name*sensorapi.atp.azure.com수 있어야 합니다. 예들 들어https://*contoso-corp*sensorapi.atp.azure.com입니다.
포트 443을 통해 인터넷에 대한 직접 아웃바운드 연결을 허용하고 Defender for Identity 센서가 해당 프록시를 통해서만 전용 Defender for Identity Cloud Service에 액세스할 수 있도록 허용하는 대신 프록시 서버를 사용하는 것이 좋습니다. 프록시 구성에 대한 자세한 내용은 Defender for Identity 프록시 구성을 참조하세요.
인스턴스 이름을 가져오려면 https://security.microsoft.com/settings/identities의 ID 설정 섹션에서 정보 페이지를 참조하세요.참고
- ExpressRoute 공용 피어링을 사용하고 Microsoft Defender for Identity(12076:5520) 서비스 BGP 커뮤니티를 경로 필터에 추가하여 ExpressRoute를 통해 Defender for Identity 클라우드 서비스로 향하는 네트워크 트래픽을 라우팅할 수 있습니다. 자세한 내용은 BGP에 대한 서비스 커뮤니티 값을 참조하세요.
- Azure 서비스 태그(AzureAdvancedThreatProtection)를 사용하여 Defender for Identity에 액세스할 수도 있습니다. 서비스 태그에 대한 자세한 내용은 가상 네트워크 서비스 태그 또는 서비스 태그 파일 다운로드를 참조하세요.
포트
아래 표에는 Defender for Identity 센서에 필요한 최소한의 포트가 나열됩니다.
| 프로토콜 | 전송 | 포트 | From | 대상 |
|---|---|---|---|---|
| 인터넷 포트 | ||||
| SSL(*.atp.azure.com) | TCP | 443 | Defender for Identity 센서 | Defender for Identity 클라우드 서비스 |
| 내부 포트 | ||||
| DNS | TCP 및 UDP | 53 | Defender for Identity 센서 | DNS 서버 |
| Netlogon(SMB, CIFS, SAM-R) | TCP/UDP | 445 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity 센서 |
| Localhost 포트* | 센서 서비스 업데이트 프로그램에 필요 | |||
| SSL(localhost) | TCP | 444 | 센서 서비스 | 센서 업데이트 프로그램 서비스 |
| NNR 포트** | ||||
| NTLM over RPC | TCP | 포트 135 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| NetBIOS | UDP | 137 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| RDP | TCP | 3389(클라이언트 hello의 첫 번째 패킷만) | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
* 기본적으로 사용자 지정 방화벽 정책에서 차단하지 않는 한 localhost에 대한 localhost 트래픽이 허용됩니다.
** 이 포트 중 하나가 필요하지만 모든 포트를 여는 것이 좋습니다.
참고
Defender for Identity 센서는 LDAP 연결 유지 메커니즘의 일부로 도메인 컨트롤러 간에 ICMP 트래픽을 만들 수 있지만 방화벽에서 ICMP를 열 필요는 없습니다.
Defender for Identity NNR(네트워크 이름 확인) 요구 사항
NNR(네트워크 이름 확인)은 Defender for Identity 기능의 주요 구성 요소입니다. IP 주소를 컴퓨터 이름으로 확인하기 위해 Defender for Identity 센서는 다음 메서드를 사용하여 IP 주소를 조회합니다.
- NTLM over RPC(TCP 포트 135)
- NetBIOS(UDP 포트 137)
- RDP(TCP 포트 3389) - 클라이언트 hello의 유일한 첫 번째 패킷
- IP 주소의 역방향 DNS 조회를 사용하여 DNS 서버 쿼리(UDP 53)
처음 3개의 메서드가 작동하려면 Defender for Identity 센서에서 네트워크의 디바이스로의 관련 포트를 인바운드로 열어야 합니다. Defender for Identity 및 NNR에 대해 자세히 알아보려면 Defender for Identity NNR 정책을 참조하세요.
최상의 결과를 위해서는 모든 메서드를 사용하는 것이 좋습니다. 가능하지 않은 경우 DNS 조회 방법과 다른 방법들 중 하나 이상을 사용해야 합니다.
Defender for Identity 센서 요구 사항
이 섹션에는 Defender for Identity 센서 요구 사항이 나와 있습니다.
참고
2022년 6월 15일부터 Microsoft는 Windows Server 2008 R2를 실행하는 디바이스에서 Defender for Identity 센서를 더 이상 지원하지 않습니다. Windows Server 2008 R2를 운영 체제로 계속 실행 중인 나머지 DC(도메인 컨트롤러) 또는 AD FS 서버를 식별하고 이를 지원되는 운영 체제로 업데이트하는 것이 좋습니다.
일반
Defender for Identity 센서는 다음 표에 설명된 대로 다양한 운영 체제 버전에서 설치를 지원합니다.
| 운영 체제 버전 | 데스크톱 환경을 포함하는 서버 | Server Core | Nano 서버 | 지원되는 설치 |
|---|---|---|---|---|
| Windows Server 2012* | ✔ | ✔ | 적용할 수 없음 | 도메인 컨트롤러 |
| Windows Server 2012 R2* | ✔ | ✔ | 적용할 수 없음 | 도메인 컨트롤러 |
| Windows Server 2016 | ✔ | ✔ | ❌ | 도메인 컨트롤러, AD FS |
| Windows Server 2019** | ✔ | ✔ | ❌ | 도메인 컨트롤러, AD FS |
| Windows Server 2022 | ✔ | ✔ | ❌ | 도메인 컨트롤러, AD FS |
* Windows Server 2012 및 Windows Server 2012 R2는 2023년 10월 10일에 추가 지원 종료에 도달합니다. Microsoft가 더 이상 Windows Server 2012 및 Windows Server 2012 R2를 실행하는 디바이스에서 Defender for Identity 센서를 지원하지 않게 되므로 해당 서버를 업그레이드할 계획입니다.
** KB4487044 이상 누적 업데이트가 필요합니다. 시스템 디렉터리에 있는 ntdsai.dll 파일의 버전이 10.0.17763.316보다 오래된 경우 이 업데이트 없이 Server 2019에 설치된 센서는 자동으로 중지됩니다.
도메인 컨트롤러는 RODC(읽기 전용 도메인 컨트롤러)만 될 수 있습니다.
AD FS 팜에 설치하는 경우 센서를 각 AD FS 서버 또는 적어도 주 노드에 설치하는 것이 좋습니다.
설치하는 동안 .NET Framework 4.7 이상이 설치되어 있지 않으면 .NET Framework 4.7이 설치되며 서버를 다시 부팅해야 할 수 있습니다. 다시 시작이 이미 보류 중인 경우에도 다시 부팅해야 할 수 있습니다. 따라서 센서를 설치할 때 도메인 컨트롤러에 대한 유지 관리 기간을 예약하는 것이 좋습니다.
서버 사양
Defender for Identity 센서는 도메인 컨트롤러에 최소 2개의 코어와 6GB의 RAM이 설치되어 있어야 합니다.
최소 6GB의 디스크 공간이 필요하며 10GB가 권장됩니다. 여기에는 Defender for Identity 이진, Defender for Identity 로그, 성능 로그에 필요한 공간이 포함됩니다.
성능을 최적화하려면 Defender for Identity 센서를 실행하는 머신의 전원 옵션을 고성능으로 설정합니다.
Defender for Identity 센서는 서버에서 들어오고 나가는 네트워크 트래픽 양과 설치된 리소스 양에 따라 다양한 로드 및 크기의 도메인 컨트롤러 또는 AD FS 서버에 배포할 수 있습니다.
Windows Server 2012의 경우 Defender for Identity 센서는 다중 프로세서 그룹 모드에서 지원되지 않습니다. 다중 프로세서 그룹 모드에 대한 자세한 내용은 문제 해결을 참조하세요.
참고
가상 머신으로 실행하는 경우 항상 모든 메모리를 가상 머신에 할당해야 합니다.
Defender for Identity 센서 하드웨어 요구 사항에 대한 자세한 내용은 Defender for Identity 용량 계획을 참조하세요.
시간 동기화
서버가 설치된 서버 및 도메인 컨트롤러는 시간차가 5분을 초과하지 않도록 동기화해야 합니다.
네트워크 어댑터
Defender for Identity 센서는 모든 도메인 컨트롤러의 네트워크 어댑터에서 로컬 트래픽을 모니터링합니다.
배포 후 Microsoft 365 Defender 포털을 사용하여 모니터링할 네트워크 어댑터를 수정합니다.
NIC 팀 어댑터 및 Winpcap 드라이버로 구성된 컴퓨터에 Defender for Identity 센서를 설치하면 설치 오류가 발생합니다. NIC 팀으로 구성된 컴퓨터에 Defender for Identity 센서를 설치하려면 여기의 지침에 따라 Winpcap 드라이버를 Npcap으로 바꿔야 합니다.
Windows 이벤트 로그
Defender for Identity 검색은 센서가 도메인 컨트롤러에서 구문 분석하는 다음과 같은 특정 Windows 이벤트 로그를 사용합니다. 올바른 이벤트가 감사되어 Windows 이벤트 로그에 포함되도록 하려면 도메인 컨트롤러에 정확한 고급 감사 정책 설정이 있어야 합니다. 올바른 정책을 설정하는 방법에 대한 자세한 내용은 고급 감사 정책 검사를 참조하세요. 서비스의 필요에 따라 Windows 이벤트 8004를 감사하는지 확인하려면NTLM 감사 설정을 검토하세요.
AD FS 서버에서 실행되는 센서의 경우 감사 수준을 자세히로 구성합니다. 감사 수준을 구성하는 방법에 대한 자세한 내용은 AD FS에 대한 이벤트 감사 정보를 참조하세요.
참고
센서는 디렉터리 서비스 사용자 계정을 사용하여 횡적 이동 경로 그래프를 빌드하기 위해 SAM-R(네트워크 로그온)을 사용하여 로컬 관리자의 조직에서 엔드포인트를 쿼리합니다. 자세한 내용은 SAM-R 필수 권한 구성을 참조하세요.
Defender for Identity 독립 실행형 센서 요구 사항
이 섹션에는 Defender for Identity 독립 실행형 센서 요구 사항이 나와 있습니다.
참고
Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 모든 도메인 컨트롤러에 배포하는 것이 좋습니다.
독립 실행형 센서를 배포할 때 Windows 이벤트를 Defender for Identity에 전달하여 Defender for Identity 인증 기반의 검색, 중요 그룹에 대한 추가, 의심스러운 서비스 생성 탐지를 강화해야 합니다. Defender for Identity 센서는 이러한 이벤트를 자동으로 수신합니다. Defender for Identity 독립 실행형 센서에서 이러한 이벤트는 SIEM에서 수신될 수도 있고, 도메인 컨트롤러에서 Windows 이벤트 전달을 설정하여 수신할 수도 있습니다. 수집된 이벤트는 도메인 컨트롤러 네트워크 트래픽을 통해서는 사용할 수 없는 추가 정보를 Defender for Identity에 제공합니다.
독립 실행형 센서 일반 요구 사항
Defender for Identity 독립 실행형 센서는 Windows Server 2012 R2 또는 Windows Server 2016, Windows Server 2019 및 Windows Server 2022(서버 코어 포함)을 실행 중인 서버에 설치할 수 있습니다. Defender for Identity 독립 실행형 센서는 도메인이나 작업 그룹의 구성원인 서버에 설치할 수 있습니다. Defender for Identity 독립 실행형 센서를 사용하여 Windows 2003 이상의 도메인 기능 수준에서 도메인 컨트롤러를 모니터링할 수 있습니다.
독립 실행형 센서가 클라우드 서비스와 통신하도록 하려면 your-instance-namesensorapi.atp.azure.com에 대한 방화벽 및 프록시에서 포트 443이 열려 있어야 합니다. 자세한 내용은 Defender for Identity 방화벽 요구 사항 섹션을 참조하세요.
Defender for Identity 독립 실행형 센서가 설치된 가상 머신을 사용하는 방법에 대한 자세한 내용은 포트 미러링 구성을 참조하세요.
참고
최소 5GB의 디스크 공간이 필요하며 10GB가 권장됩니다. 여기에는 Defender for Identity 이진, Defender for Identity 로그, 성능 로그에 필요한 공간이 포함됩니다.
독립 실행형 센서에 대한 서버 사양
성능을 최적화하려면 Defender for Identity 독립 실행형 센서를 실행하는 머신의 전원 옵션을 고성능으로 설정합니다.
도메인 컨트롤러에서 들어오고 나가는 네트워크 트래픽 양에 따라 Defender for Identity 독립 실행형 센서가 여러 도메인 컨트롤러를 모니터링할 수 있습니다.
참고
가상 머신으로 실행하는 경우 항상 모든 메모리를 가상 머신에 할당해야 합니다.
Defender for Identity 독립 실행형 센서 하드웨어 요구 사항에 대한 자세한 내용은 Defender for Identity 용량 계획을 참조하세요.
독립 실행형 센서에 대한 시간 동기화
서버가 설치된 서버 및 도메인 컨트롤러는 시간차가 5분을 초과하지 않도록 동기화해야 합니다.
독립 실행형 센서용 네트워크 어댑터
Defender for Identity 독립 실행형 센서에는 관리 어댑터와 캡처 어댑터가 각각 하나 이상 필요합니다.
관리 어댑터 - 회사 네트워크 통신에 사용됩니다. 센서는 이 어댑터를 사용하여 컴퓨터 계정의 이름을 확인하고 보호하는 DC를 쿼리합니다.
다음 설정을 사용하여 이 어댑터를 구성해야 합니다.
기본 게이트웨이를 포함하는 고정 IP 주소
기본 설정 DNS 서버와 대체 DNS 서버
이 연결의 DNS 접미사는 모니터링 중인 각 도메인의 도메인 DNS 이름이어야 합니다.
참고
Defender for Identity 독립 실행형 센서가 도메인의 구성원이면 자동으로 구성될 수 있습니다.
캡처 어댑터 - 도메인 컨트롤러에서 보내고 받는 트래픽을 캡처하는 데 사용됩니다.
중요
- 캡처 어댑터용 포트 미러링은 도메인 컨트롤러 네트워크 트래픽의 대상으로 구성합니다. 자세한 내용은 포트 미러링 구성을 참조하세요. 일반적으로는 네트워킹 또는 가상화 팀과 협의하여 포트 미러링을 구성해야 합니다.
- 기본 센서 게이트웨이 및 DNS 서버 주소가 없는 라우팅 불가능 정적 IP 주소(/32 마스크 포함)를 환경에 대해 구성합니다. 예: 10.10.0.10/32 이렇게 하면 캡처 네트워크 어댑터가 트래픽을 최대한 캡처할 수 있으며, 관리 네트워크 어댑터를 사용하여 필요한 네트워크 트래픽을 보내고 받을 수 있습니다.
참고
Defender for Identity 독립 실행형 센서에서 Wireshark를 실행하는 경우 Wireshark 캡처를 중지한 후에 Defender for Identity 센서 서비스를 다시 시작합니다. 센서 서비스를 다시 시작하지 않으면 센서가 트래픽 캡처를 중지합니다.
NIC 팀 어댑터를 사용하여 구성된 시스템에서 Defender for Identity 센서를 설치하려고 하면 설치 오류가 표시됩니다. NIC 팀으로 구성된 머신에 Defender for Identity 센서를 설치하려면 Defender for Identity 센서 NIC 팀 문제를 참조하세요.
독립 실행형 센서용 포트
다음 표에는 관리 어댑터에 구성된 Defender for Identity 독립 실행형 센서에 필요한 최소한의 포트가 나와 있습니다.
| 프로토콜 | 전송 | 포트 | From | 대상 |
|---|---|---|---|---|
| 인터넷 포트 | ||||
| SSL(*.atp.azure.com) | TCP | 443 | Defender for Identity 센서 | Defender for Identity 클라우드 서비스 |
| 내부 포트 | ||||
| LDAP | TCP 및 UDP | 389 | Defender for Identity 센서 | 도메인 컨트롤러 |
| 보안 LDAP(LDAPS) | TCP | 636 | Defender for Identity 센서 | 도메인 컨트롤러 |
| 글로벌 카탈로그에 대한 LDAP | TCP | 3268 | Defender for Identity 센서 | 도메인 컨트롤러 |
| 글로벌 카탈로그에 대한 LDAPS | TCP | 3269 | Defender for Identity 센서 | 도메인 컨트롤러 |
| Kerberos | TCP 및 UDP | 88 | Defender for Identity 센서 | 도메인 컨트롤러 |
| Netlogon(SMB, CIFS, SAM-R) | TCP 및 UDP | 445 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| Windows 시간 | UDP | 123 | Defender for Identity 센서 | 도메인 컨트롤러 |
| DNS | TCP 및 UDP | 53 | Defender for Identity 센서 | DNS 서버 |
| syslog(선택 사항) | TCP/UDP | 514, 구성에 따라 | SIEM 서버 | Defender for Identity 센서 |
| RADIUS | UDP | 1813 | RADIUS | Defender for Identity 센서 |
| Localhost 포트* | 센서 서비스 업데이트 프로그램에 필요 | |||
| SSL(localhost) | TCP | 444 | 센서 서비스 | 센서 업데이트 프로그램 서비스 |
| NNR 포트** | ||||
| NTLM over RPC | TCP | 135 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| NetBIOS | UDP | 137 | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
| RDP | TCP | 3389(클라이언트 hello의 첫 번째 패킷만) | Defender for Identity 센서 | 네트워크의 모든 디바이스 |
* 기본적으로 사용자 지정 방화벽 정책에서 차단하지 않는 한 localhost에 대한 localhost 트래픽이 허용됩니다.
** 이 포트 중 하나가 필요하지만 모든 포트를 여는 것이 좋습니다.
참고
- 센서는 디렉터리 서비스 사용자 계정을 사용하여 횡적 이동 경로 그래프를 빌드하기 위해 SAM-R(네트워크 로그온)을 사용하여 로컬 관리자의 조직에서 엔드포인트를 쿼리합니다. 자세한 내용은 SAM-R 필수 권한 구성을 참조하세요.