다음을 통해 공유


Microsoft Defender for Identity 센서 관리 및 업데이트

이 문서에서는 Microsoft Defender XDR에서 Microsoft Defender for Identity 센서를 구성하고 관리하는 방법을 설명합니다.

Defender for Identity 센서 설정 및 상태 보기

  1. Microsoft Defender XDR에서 설정으로 이동한 다음 ID이동합니다.

    설정으로 이동한 다음 ID로 이동합니다.

  2. 모든 Defender for Identity 센서를 표시하는 센서 페이지를 선택합니다. 각 센서의 이름, 도메인 멤버 자격, 버전 번호, 업데이트가 지연되어야 하는 경우 서비스 상태, 센서 상태, 상태, 상태 문제 수 및 센서가 만들어진 시점이 표시됩니다. 각 열에 대한 자세한 내용은 센서 세부 정보를 참조하세요.

    센서 페이지입니다.

  3. 필터를 선택하는 경우 사용할 수 있는 필터를 선택할 수 있습니다. 그런 다음 각 필터를 사용하여 표시할 센서를 선택할 수 있습니다.

    센서 필터.

    필터링된 센서입니다.

  4. 센서 중 하나를 선택하면 센서 및 해당 상태에 대한 정보가 포함된 창이 표시됩니다.

    센서 세부 정보입니다.

  5. 상태 문제를 선택하면 해당 문제에 대한 자세한 내용이 포함된 창이 표시됩니다. 닫힌 문제를 선택하는 경우 여기에서 다시 열 수 있습니다.

    문제 세부 정보

  6. 센서 관리를 선택하면 센서 세부 정보를 구성할 수 있는 창이 열립니다.

    센서를 관리합니다.

    센서 세부 정보를 구성합니다.

  7. 센서 페이지에서 내보내기를 선택하여 센서 목록을 .csv 파일로 내보낼 수 있습니다.

    센서의 내보내기 목록입니다.

센서 세부 정보

센서 페이지는 각 센서에 대한 다음 정보를 제공합니다.

  • 센서: 센서의 NetBIOS 컴퓨터 이름을 표시합니다.

  • 형식: 센서의 유형을 표시합니다. 가능한 값은 다음과 같습니다.

    • 도메인 컨트롤러 센서

    • AD FS 센서 (Active Directory Federation Services)

    • 독립 실행형 센서

    • ADCS 센서 (Active Directory 인증서 서비스). 테스트 환경과 같이 AD CS가 구성된 도메인 컨트롤러 서버에 센서가 설치된 경우 센서 유형이 도메인 컨트롤러 센서대신 표시됩니다.

  • 도메인: 센서가 설치된 Active Directory 도메인의 정규화된 도메인 이름을 표시합니다.

  • 서비스 상태: 서버의 센서 서비스 상태를 표시합니다. 가능한 값은 다음과 같습니다.

    • 실행 중: 센서 서비스가 실행 중입니다.

    • 시작: 센서 서비스가 시작됩니다.

    • 사용 안 함: 센서 서비스를 사용할 수 없음

    • 중지됨: 센서 서비스가 중지됨

    • 알 수 없음: 센서 연결이 끊어지거나 연결할 수 없음

  • 센서 상태: 센서의 전체 상태를 표시합니다. 가능한 값은 다음과 같습니다.

    • 최신: 센서가 현재 버전의 센서를 실행하고 있습니다.

    • 오래된 버전: 센서가 현재 버전 뒤에 3개 이상의 버전이 있는 소프트웨어 버전을 실행하고 있습니다.

    • 업데이트: 센서 소프트웨어가 업데이트되고 있습니다.

    • 업데이트 실패: 센서를 새 버전으로 업데이트하지 못했습니다.

    • 구성되지 않음: 센서가 완전히 작동하려면 더 많은 구성이 필요합니다. 이는 AD FS/AD CS 서버 또는 독립 실행형 센서에 설치된 센서에 적용됩니다.

    • 시작 실패: 센서가 30분 넘게 구성을 끌어오지 않았습니다.

    • 동기화: 센서에 구성 업데이트가 보류 중이지만 아직 새 구성을 끌어오지 않았습니다.

    • 연결 끊김: Defender for Identity 서비스는 10분 동안 이 센서의 통신을 못했습니다.

    • 연결할 수 없음: 도메인 컨트롤러가 Active Directory에서 삭제되었습니다. 그러나 센서 설치는 서비스 해제되기 전에 도메인 컨트롤러에서 제거되지 않았습니다. 이 항목을 안전하게 삭제할 수 있습니다.

  • 버전: 설치된 센서 버전을 표시합니다.

  • 업데이트 지연: 센서의 지연된 업데이트 메커니즘 상태를 표시합니다. 가능한 값은 다음과 같습니다.

    • 사용

    • 사용 안 함

  • 상태: 가장 높은 심각도 열기 상태 경고를 나타내는 색 아이콘이 있는 센서의 전체 상태를 표시합니다. 가능한 값은 다음과 같습니다.

    • 정상(녹색 아이콘): 열린 상태 문제 없음

    • 정상이 아님(노란색 아이콘): 가장 높은 심각도 열기 상태 문제가 낮음

    • 건강하지 않음(주황색 아이콘): 가장 높은 심각도 열기 상태 문제는 보통입니다.

    • 정상이 아님(빨간색 아이콘): 가장 높은 심각도 열기 상태 문제가 높습니다.

  • 상태 문제: 센서에서 열린 상태 문제의 수를 표시합니다.

  • 만든 날짜: 센서가 설치된 날짜를 표시합니다.

센서 업데이트

Microsoft Defender for Identity 센서를 최신 상태로 유지하면 조직에 최상의 보호를 제공합니다.

Microsoft Defender for Identity 서비스는 일반적으로 새 검색, 기능 및 성능 향상으로 한 달에 몇 번 업데이트됩니다. 일반적으로 이러한 업데이트에는 센서에 대한 해당 사소한 업데이트가 포함됩니다. 센서 업데이트 패키지는 Defender for Identity 센서 및 센서 감지 기능만 제어합니다.

Defender for Identity 센서 업데이트 유형

Defender for Identity 센서는 다음 두 가지 종류의 업데이트를 지원합니다.

  • 부 버전 업데이트:

    • 자주
    • MSI 설치 및 레지스트리 변경 필요 없음
    • 다시 시작: Defender for Identity 센서 서비스
  • 주 버전 업데이트:

    • 희귀
    • 중요한 변경 내용 포함
    • 다시 시작: Defender for Identity 센서 서비스

참고 항목

  • Defender for Identity 센서는 항상 설치된 도메인 컨트롤러에서 사용 가능한 메모리 및 CPU의 15% 이상을 예약합니다. Defender for Identity 서비스가 너무 많은 메모리를 사용하는 경우 Defender for Identity 센서 업데이트 관리자 서비스에 의해 서비스가 자동으로 중지되고 다시 시작됩니다.

지연된 센서 업데이트

지속적인 Defender for Identity 개발 및 릴리스 업데이트의 빠른 속도를 감안할 때 센서의 하위 집합 그룹을 지연된 업데이트 링으로 정의하여 점진적인 센서 업데이트 프로세스를 허용하도록 결정할 수 있습니다. Defender for Identity를 사용하면 센서를 업데이트하는 방법을 선택하고 각 센서를 지연 업데이트 후보로 설정할 수 있습니다.

지연된 업데이트에 대해 선택되지 않은 센서는 Defender for Identity 서비스가 업데이트될 때마다 자동으로 업데이트됩니다. 지연 업데이트로 설정된 센서는 각 서비스 업데이트 의 공식 릴리스 이후 72시간 지연 시 업데이트됩니다.

지연된 업데이트 옵션을 사용하면 특정 센서를 자동 업데이트 링으로 선택할 수 있으며, 모든 업데이트가 자동으로 롤아웃되고 나머지 센서가 지연 시 업데이트되도록 설정하여 자동으로 업데이트된 센서가 성공했는지 확인할 수 있습니다.

참고 항목

오류가 발생하고 센서가 업데이트되지 않으면 지원 티켓을 엽니다. 작업 영역과만 통신하도록 프록시를 더욱 강화하려면 프록시 구성을 참조하세요.

센서와 Azure 클라우드 서비스 간의 인증은 강력한 인증서 기반 상호 인증을 사용합니다. 클라이언트 인증서는 센서 설치 시 2년 동안 유효한 자체 서명된 인증서로 만들어집니다. 센서 Updater 서비스는 기존 인증서가 만료되기 전에 새 자체 서명된 인증서를 생성해야 합니다. 롤링 인증서가 인증을 중단하는 상황을 방지하기 위해 인증서는 백 엔드에 대해 2단계 유효성 검사 프로세스와 함께 롤됩니다.

각 업데이트는 네트워크 및 운영 체제에 미치는 영향을 최소화하기 위해 지원되는 모든 운영 체제에서 테스트 및 유효성을 검사합니다.

센서를 지연 업데이트로 설정하려면 다음을 수행합니다.

  1. 센서 페이지에서 지연된 업데이트에 대해 설정할 센서를 선택합니다.

  2. 지연된 업데이트 사용 단추를 선택합니다.

    지연된 업데이트를 사용하도록 설정합니다.

  3. 확인 창에서 [사용]을 선택합니다.

지연된 업데이트를 사용하지 않도록 설정하려면 센서를 선택한 다음, 지연된 업데이트 사용 안 함 단추를 선택합니다.

센서 업데이트 프로세스

몇 분마다 Defender for Identity 센서는 최신 버전이 있는지 확인합니다. Defender for Identity 클라우드 서비스가 최신 버전으로 업데이트되면 Defender for Identity 센서 서비스가 업데이트 프로세스를 시작합니다.

  1. Defender for Identity 클라우드 서비스가 최신 버전으로 업데이트됩니다.

  2. Defender for Identity 센서 업데이트 관리자 서비스는 업데이트된 버전이 있음을 알아봅니다.

  3. 지연 업데이트설정되지 않은 센서는 센서별로 업데이트 프로세스를 시작합니다.

    1. Defender for Identity 센서 업데이트 관리자 서비스는 클라우드 서비스(cab 파일 형식)에서 업데이트된 버전을 가져옵니다.
    2. Defender for Identity 센서 업데이트는 파일 서명의 유효성을 검사합니다.
    3. Defender for Identity 센서 업데이트 관리자 서비스는 센서의 설치 폴더에 있는 새 폴더로 cab 파일을 추출합니다. 기본적으로 C:\Program Files\Azure Advanced Threat Protection 센서<버전 번호로 추출됩니다.>
    4. Defender for Identity 센서 서비스는 cab 파일에서 추출된 새 파일을 가리킵니다.
    5. Defender for Identity 센서 업데이트 관리자 서비스가 Defender for Identity 센서 서비스를 다시 시작합니다.

      참고 항목

      부 센서 업데이트는 MSI를 설치하지 않고 레지스트리 값이나 시스템 파일을 변경하지 않습니다. 보류 중인 다시 시작조차도 센서 업데이트에 영향을 주지 않습니다.

    6. 센서는 새로 업데이트된 버전에 따라 실행됩니다.
    7. 센서는 Azure 클라우드 서비스에서 허가를 받습니다. 센서 페이지에서 센서 상태를 확인할 수 있습니다 .
    8. 다음 센서는 업데이트 프로세스를 시작합니다.
  4. 지연된 업데이트선택한 센서는 Defender for Identity 클라우드 서비스가 업데이트된 후 72시간 후에 업데이트 프로세스를 시작합니다. 그러면 이러한 센서는 자동으로 업데이트된 센서와 동일한 업데이트 프로세스를 사용합니다.

업데이트 프로세스를 완료하지 못하는 센서의 경우 관련 상태 경고 가 트리거되고 알림으로 전송됩니다.

센서 업데이트 실패.

Defender for Identity 센서 자동 업데이트

다음 명령을 사용하여 Defender for Identity 센서를 자동으로 업데이트합니다.

구문:

"Azure ATP sensor Setup.exe" [/quiet] [/Help] [NetFrameworkCommandLineArguments="/q"]

설치 옵션:

속성 구문 Mandatory for silent installation? 설명
Quiet /quiet UI와 프롬프트를 표시하지 않고 설치 관리자를 실행합니다.
도움말 /help 아니요 Provides help and quick reference. 모든 옵션 및 동작 목록을 비롯한 설정 명령의 올바른 사용법을 표시합니다.
NetFrameworkCommandLineArguments="/q" NetFrameworkCommandLineArguments="/q" .Net Framework 설치에 대한 매개 변수를 지정합니다. .Net Framework의 자동 설치를 적용하려면 설정해야 합니다.

:

Defender for Identity 센서를 자동으로 업데이트하려면 다음을 수행합니다.

"Azure ATP sensor Setup.exe" /quiet NetFrameworkCommandLineArguments="/q"

프록시 설정 구성

명령줄 스위치를 사용하여 설치하는 동안 초기 프록시 설정을 구성하는 것이 좋습니다. 나중에 프록시 설정을 업데이트해야 하는 경우 CLI 또는 PowerShell을 사용합니다.

이전에 WinINet 또는 레지스트리 키를 통해 프록시 설정을 구성하고 업데이트해야 하는 경우 원래 사용한 것과 동일한 방법을 사용해야 합니다.

자세한 내용은 엔드포인트 프록시 및 인터넷 연결 설정 구성을 참조 하세요.

다음 단계