Microsoft Defender for Identity 질문과 대답

Defender for Identity는 알려진 악의적인 공격 및 기술, 보안 문제 및 네트워크에 대한 위험을 검색합니다. Defender for Identity 검색의 전체 목록은 Defender for Identity Security 경고를 참조 하세요.

Defender for Identity는 구성된 서버(예: do기본 컨트롤러, 멤버 서버 등)에서 정보를 수집하고 저장합니다. 데이터는 관리, 추적 및 보고 목적으로 서비스와 관련된 데이터베이스에 저장됩니다.

수집된 정보에는 다음이 포함됩니다.

• Kerberos 인증, NTLM 인증 또는 DNS 쿼리와 같은 컨트롤러와 기본 네트워크 트래픽
• Windows 보안 이벤트와 같은 보안 로그입니다.
• 구조체, 서브넷 또는 사이트와 같은 Active Directory 정보입니다.
• 이름, 전자 메일 주소 및 전화 번호와 같은 엔터티 정보입니다.

Microsoft는 이 데이터를 사용하여 다음을 수행합니다.

• 조직에서 IOA(공격 지표)를 사전에 식별합니다.
• 가능한 공격이 감지되면 경고를 생성합니다.
• 네트워크의 위협 신호와 관련된 엔터티에 대한 보기를 사용하여 보안 작업을 제공하여 네트워크에서 보안 위협이 있는지 조사하고 탐색할 수 있습니다.

Microsoft는 사용자에게 서비스를 제공하는 것 외에 광고 또는 기타 용도로 데이터를 마이닝하지 않습니다.

Defender for Identity는 현재 신뢰할 수 없는 포리스트가 있는 Active Directory 환경을 지원하기 위해 최대 30개의 다른 디렉터리 서비스 자격 증명 추가를 지원합니다. 더 많은 계정이 필요한 경우 지원 티켓을 엽니다.

심층 패킷 검사 기술을 사용하여 Active Directory 트래픽을 분석하는 것 외에도 Defender for Identity는 할 일기본 컨트롤러에서 관련 Windows 이벤트를 수집하고 Active Directory 도메인 Services의 정보를 기반으로 엔터티 프로필을 만듭니다. 또한 Defender for Identity는 다양한 공급업체(Microsoft, Cisco, F5 및 Checkpoint)로부터 VPN 로그의 RADIUS 계정 수신을 지원합니다.

아니요. Defender for Identity는 비 Windows 및 모바일 디바이스를 포함하여 Active Directory에 대한 인증 및 권한 부여 요청을 수행하는 네트워크의 모든 디바이스를 모니터링합니다.

예. 컴퓨터 계정 및 기타 엔터티를 사용하여 악의적인 활동을 수행할 수 있으므로 Defender for Identity는 모든 컴퓨터 계정 동작 및 환경의 다른 모든 엔터티를 모니터링합니다.

ATA는 온-프레미스 전용 하드웨어가 필요한 ATA 센터와 같은 여러 구성 요소가 있는 독립 실행형 온-프레미스 솔루션입니다.

Defender for Identity는 온-프레미스 Active Directory 신호를 사용하는 클라우드 기반 보안 솔루션입니다. 솔루션은 확장성이 뛰어나며 자주 업데이트됩니다.

ATA의 최종 릴리스는 일반적으로 사용할 수 있습니다. ATA는 2021년 1월 12일에 주류 지원을 종료했습니다. 추가 지원은 2026년 1월까지 계속됩니다. 자세한 내용은 블로그를 참조하세요.

ATA 센서와 달리 Defender for Identity 센서는 ETW(Windows용 이벤트 추적)와 같은 데이터 원본을 사용하여 Defender for Identity가 추가 검색을 제공할 수 있도록 합니다.

Defender for Identity의 빈번한 업데이트에는 다음과 같은 기능과 기능이 포함됩니다.

• 다중 포리스트 환경 지원: 조직에서 AD 포리스트에 대한 가시성을 제공합니다.

• Microsoft 보안 점수 상태 평가: 일반적인 잘못된 구성 요소 및 악용 가능한 구성 요소를 식별하고 공격 표면을 줄이기 위한 수정 경로를 제공합니다.

• UEBA 기능: 사용자 조사 우선 순위 점수를 통해 개별 사용자 위험에 대한 인사이트입니다. 점수는 SecOps의 조사를 지원하고 분석가가 사용자 및 조직에 대한 비정상적인 활동을 이해하는 데 도움이 될 수 있습니다.

• 네이티브 통합: 클라우드용 Microsoft Defender 앱 및 Azure AD ID 보호와 통합되어 온-프레미스 및 하이브리드 환경 모두에서 수행되는 작업의 하이브리드 보기를 제공합니다.

• Microsoft Defender XDR에 기여: Microsoft Defender XDR에 경고 및 위협 데이터를 제공합니다. Microsoft Defender XDR은 Microsoft 365 보안 포트폴리오(ID, 엔드포인트, 데이터 및 애플리케이션)를 사용하여 교차 작업기본 위협 데이터를 자동으로 분석하여 단일 대시보드에서 각 공격에 대한 전체 그림을 작성합니다.

  이 범위와 깊이의 명확성을 통해 Defender는 중요한 위협에 집중하고 정교한 위반을 찾아낼 수 있습니다. Defender는 Microsoft Defender XDR의 강력한 자동화가 킬 체인의 어느 곳에서나 공격을 중지하고 조직을 안전한 상태로 반환한다고 신뢰할 수 있습니다.

Defender for Identity는 EMS E5(Enterprise Mobility + Security 5 제품군)의 일부로 독립 실행형 라이선스로 사용할 수 있습니다. Microsoft 365 포털 또는 CSP(클라우드 솔루션 파트너) 라이선스 모델을 통해 직접 라이선스를 획득할 수 있습니다.

Defender for Identity 라이선스 요구 사항에 대한 자세한 내용은 Defender for Identity 라이선스 지침을 참조 하세요.

예, 데이터는 고객 식별자에 따라 액세스 인증 및 논리적 분리를 통해 격리됩니다. 각 고객은 Microsoft에서 제공하는 자체 조직 및 일반 데이터에서 수집된 데이터에만 액세스할 수 있습니다.

아니요. Defender for Identity 작업 영역을 만들면 Microsoft Entra 테넌트의 지리적 위치에 가장 가까운 Azure 지역에 자동으로 저장됩니다. Defender for Identity 작업 영역을 만든 후에는 Defender for Identity 데이터를 다른 지역으로 이동할 수 없습니다.

Microsoft 개발자와 관리자는 기본적으로 할당된 업무를 수행하여 서비스를 운영하고 발전할 수 있는 충분한 권한을 부여 받았습니다. Microsoft는 권한 없는 개발자 및/또는 관리 활동으로부터 보호하는 데 도움이 되는 다음 메커니즘을 포함하여 예방, 형사 및 사후 제어의 조합을 배포합니다.

• 중요한 데이터에 대한 엄격한 액세스 제어
• 악의적인 활동의 독립적인 검색을 크게 향상시키는 컨트롤의 조합
• 모니터링, 로깅 및 보고의 여러 수준

또한 Microsoft는 특정 운영 담당자에 대한 백그라운드 확인 검사 수행하고 백그라운드 확인 수준에 비례하여 애플리케이션, 시스템 및 네트워크 인프라에 대한 액세스를 제한합니다. 운영 담당자는 업무 수행 시 고객의 계정 또는 관련 정보에 액세스해야 하는 경우 공식적인 프로세스를 따릅니다.

각 할 일기본 컨트롤러에 대한 Defender for Identity 센서 또는 독립 실행형 센서를 사용하는 것이 좋습니다. 자세한 내용은 Defender for Identity 센서 크기를 참조 하세요.

AtSvc 및 WMI와 같이 암호화된 트래픽을 사용하는 네트워크 프로토콜은 암호 해독되지 않지만 센서는 여전히 트래픽을 분석합니다.

Defender for Identity는 FAST(유연한 인증 보안 터널링)라고도 하는 Kerberos 아머링을 지원합니다. 이 지원의 예외는 Kerberos 아머링에서 작동하지 않는 해시 검색을 오버패스하는 것입니다.

Defender for Identity 센서는 대부분의 가상 기본 컨트롤러를 커버할 수 있습니다. 자세한 내용은 Defender for Identity Capacity Planning을 참조하세요.

Defender for Identity 센서가 가상 do기본 컨트롤러를 커버할 수 없는 경우 가상 또는 물리적 Defender for Identity 독립 실행형 센서를 대신 사용합니다. 자세한 내용은 포트 미러 구성을 참조하세요.

가장 쉬운 방법은 가상이 기본 컨트롤러가 있는 모든 호스트에 가상 Defender for Identity 독립 실행형 센서를 사용하는 것입니다.

가상 기본 컨트롤러가 호스트 간에 이동하는 경우 다음 단계 중 하나를 수행해야 합니다.

• 가상 do기본 컨트롤러가 다른 호스트로 이동하면 해당 호스트에서 Defender for Identity 독립 실행형 센서를 미리 구성하여 최근에 이동한 가상 do기본 컨트롤러에서 트래픽을 수신합니다.

• 가상 Defender for Identity 독립 실행형 센서를 가상 do기본 컨트롤러와 연결하여 이동하면 Defender for Identity 독립 실행형 센서가 해당 센서와 함께 이동되도록 합니다.

• 호스트 간에 트래픽을 보낼 수 있는 몇 가지 가상 스위치가 있습니다.

할 일기본 컨트롤러가 클라우드 서비스와 통신하려면 방화벽/프록시에서 *.atp.azure.com 포트 443을 열어야 합니다. 자세한 내용은 Defender for Identity 센서와의 통신을 사용하도록 프록시 또는 방화벽 구성을 참조하세요.

예, Defender for Identity 센서를 사용하여 모든 IaaS 솔루션에 있는 do기본 컨트롤러를 모니터링할 수 있습니다.

Defender for Identity는 다중 기본 환경 및 여러 포리스트를 지원합니다. 자세한 내용 및 신뢰 요구 사항은 다중 포리스트 지원을 참조하세요.

예, 전체 배포 상태 및 구성, 연결 등과 관련된 특정 문제를 볼 수 있습니다. 이러한 이벤트가 Defender for Identity 상태 문제와 함께 발생함에 따라 경고가 표시됩니다.

Microsoft Defender for Identity는 Microsoft Entra ID와 동기화되지 않은 계정을 포함하여 모든 Active Directory 계정에 대한 보안 값을 제공합니다. Microsoft Entra ID와 동기화된 사용자 계정은 Microsoft Entra ID(라이선스 수준 기준)와 조사 우선 순위 점수 매기기에서 제공하는 보안 값의 혜택을 누릴 수도 있습니다.

Microsoft Defender for Identity 팀은 모든 고객이 WinPcap 드라이버 대신 Npcap 드라이버를 사용하는 것이 좋습니다. Defender for Identity 버전 2.184부터 설치 패키지는 WinPcap 4.1.3 드라이버 대신 Npcap 1.0 OEM을 설치합니다.

WinPcap은 더 이상 지원되지 않으며 더 이상 개발되지 않으므로 Defender for Identity 센서에 대해 드라이버를 더 이상 최적화할 수 없습니다. 또한 나중에 WinPcap 드라이버에 문제가 있는 경우 수정할 수 있는 옵션이 없습니다.

Npcap은 지원되지만 WinPcap은 더 이상 지원되지 않는 제품입니다.

MDI 센서에는 Npcap 1.0 이상이 필요합니다. 다른 Npcap 버전이 설치되지 않은 경우 센서 설치 패키지는 버전 1.0을 설치합니다. Npcap이 이미 설치되어 있는 경우(다른 소프트웨어 요구 사항 또는 기타 이유로 인해) 버전 1.0 이상을 확인하고 MDI에 필요한 설정과 함께 설치되었는지 확인하는 것이 중요합니다.

예. WinPcap 드라이버를 제거하려면 센서를 수동으로 제거해야 합니다. 최신 패키지를 사용하여 다시 설치하면 Npcap 드라이버가 설치됩니다.

'Npcap OEM'은 추가/제거 프로그램(appwiz.cpl)을 통해 설치되고 이에 대한 개방형 상태 문제가 있는 경우 자동으로 닫힙니다.

아니요, Npcap은 일반적인 5개 설치 제한에서 제외됩니다. Defender for Identity 센서에서만 사용되는 무제한 시스템에 설치할 수 있습니다.

여기에서 Npcap 라이선스 계약을 참조하고 Microsoft Defender for Identity를 검색합니다.

아니요, Microsoft Defender for Identity 센서만 Npcap 버전 1.00을 지원합니다.

아니요, OEM 버전을 구매할 필요가 없습니다. Npcap의 OEM 버전을 포함하는 Defender for Identity 콘솔에서 센서 설치 패키지 버전 2.156 이상을 다운로드합니다.

• Defender for Identity 센서의 최신 배포 패키지를 다운로드하여 Npcap 실행 파일을 가져올 수 있습니다.

• 센서를 아직 설치하지 않은 경우 버전 2.184 이상을 사용하여 센서를 설치합니다.

• WinPcap을 사용하여 센서 를 이미 설치했으며 Npcap을 사용하도록 업데이트해야 하는 경우:

  1. 센서를 제거합니다. Windows 제어판(appwiz.cpl)에서 프로그램 추가/제거를 사용하거나 다음 제거 명령을 실행합니다.".\Azure ATP Sensor Setup.exe" /uninstall /quiet

  2. 필요한 경우 WinPcap을 제거합니다. 이 단계는 센서를 설치하기 전에 WinPcap을 수동으로 설치한 경우에만 관련이 있습니다. 이 경우 WinPcap을 수동으로 제거해야 합니다.

  3. 버전 2.184 이상을 사용하여 센서를 다시 설치합니다.

• Npcap을 수동으로 설치하려면 다음 옵션을 사용하여 Npcap을 설치합니다.

  • GUI 설치 관리자를 사용하는 경우 루프백 지원 옵션을 지우고 WinPcap 모드를 선택합니다. Npcap 드라이버의 관리이스트레이터 전용 옵션에 대한 액세스 제한 옵션이 선택 취소되었는지 확인합니다.
  • 명령줄을 사용하는 경우 다음을 실행합니다. npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

• Npcap을 수동으로 업그레이드하려는 경우:

  1. Defender for Identity 센서 서비스, AATPSensorUpdater 및 AATPSensor를 중지합니다. Stop-Service -Name AATPSensorUpdater -Force; Stop-Service -Name AATPSensor -Force를 실행합니다.

  2. Windows 제어판(appwiz.cpl)에서 프로그램 추가/제거를 사용하여 Npcap을 제거합니다.

  3. 다음 옵션을 사용하여 Npcap을 설치합니다.

     • GUI 설치 관리자를 사용하는 경우 루프백 지원 옵션을 지우고 WinPcap 모드를 선택합니다. Npcap 드라이버의 관리이스트레이터 전용 옵션에 대한 액세스 제한 옵션이 선택 취소되었는지 확인합니다.

     • 명령줄을 사용하는 경우 다음을 실행합니다. npcap-1.00-oem.exe /loopback_support=no /winpcap_mode=yes /admin_only=no /S

  4. Defender for Identity 센서 서비스, AATPSensorUpdater 및 AATPSensor를 시작합니다. Start-Service -Name AATPSensorUpdater; Start-Service -Name AATPSensor를 실행합니다.

Defender for Identity는 상태 문제 및 보안 경고가 검색될 때 CEF 형식을 사용하여 모든 SIEM 서버에 Syslog 경고를 보내도록 구성할 수 있습니다. 자세한 내용은 SIEM 로그 참조를 참조하세요.

계정은 계정이 중요한 것으로 지정된 그룹의 구성원인 경우 중요한 것으로 간주됩니다(예: "do기본 관리s").

계정이 중요한 이유를 이해하려면 해당 그룹 멤버 자격을 검토하여 계정이 속한 중요한 그룹을 이해할 수 있습니다. 속한 그룹은 다른 그룹으로 인해 민감할 수도 있으므로 가장 높은 수준의 중요한 그룹을 찾을 때까지 동일한 프로세스를 수행해야 합니다. 또는 수동으로 계정에 중요한 태그를 지정합니다.

Defender for Identity를 사용하면 규칙, 임계값 또는 기준을 만든 다음 미세 조정할 필요가 없습니다. Defender for Identity는 사용자, 디바이스 및 리소스 간의 동작과 서로의 관계를 분석하고 의심스러운 활동 및 알려진 공격을 신속하게 검색할 수 있습니다. 배포 후 3주 후에 Defender for Identity가 동작 의심스러운 활동을 검색하기 시작합니다. 반면에 Defender for Identity는 배포 직후 알려진 악의적인 공격 및 보안 문제를 검색하기 시작합니다.

Defender for Identity는 다음 세 가지 시나리오 중 하나에서 do기본 컨트롤러에서 조직의 컴퓨터로 트래픽을 생성합니다.

• Id용 네트워크 이름 확인 Defender는 네트워크에서 트래픽 및 이벤트, 학습 및 프로파일링 사용자 및 컴퓨터 활동을 캡처합니다. 조직의 컴퓨터에 따라 활동을 학습하고 프로파일을 지정하려면 Defender for Identity에서 IP를 컴퓨터 계정으로 확인해야 합니다. IP를 컴퓨터 이름 Defender for Identity 센서로 확인하려면 IP 주소 뒤에 있는 컴퓨터 이름에 대한 IP 주소를 요청합니다.

  요청은 다음 네 가지 방법 중 하나를 사용하여 수행됩니다.

  • RPC를 통한 NTLM(TCP 포트 135)
  • NetBIOS(UDP 포트 137)
  • RDP(TCP 포트 3389)
  • IP 주소의 역방향 DNS 조회를 사용하여 DNS 서버 쿼리(UDP 53)

  컴퓨터 이름을 얻은 후 Defender for Identity 센서는 Active Directory의 세부 정보를 검사 교차하여 동일한 컴퓨터 이름을 가진 상관 관계가 있는 컴퓨터 개체가 있는지 확인합니다. 일치하는 항목이 발견되면 IP 주소와 일치하는 컴퓨터 개체 간에 연결이 만들어집니다.

• LMP(횡적 이동 경로) 를 사용하여 중요한 사용자에게 잠재적인 LMP를 빌드하려면 Defender for Identity에는 컴퓨터의 로컬 관리자에 대한 정보가 필요합니다. 이 시나리오에서 Defender for Identity 센서는 컴퓨터의 로컬 관리자를 결정하기 위해 SAM-R(TCP 445)을 사용하여 네트워크 트래픽에서 식별된 IP 주소를 쿼리합니다. Defender for Identity 및 SAM-R에 대한 자세한 내용은 SAM-R 필수 권한 구성을 참조 하세요.

• 엔터티 데이터 Defender for Identity 센서에 대해 LDAP를 사용하여 Active Directory를 쿼리하면 엔터티가 속한 do기본에서 do기본 컨트롤러를 쿼리합니다. 동일한 센서일 수도 있고, 또 다른 센서일 수도 있고기본 컨트롤러도 마찬가지입니다기본.

Defender for Identity는 다양한 프로토콜을 통해 활동을 캡처합니다. 경우에 따라 Defender for Identity는 트래픽에서 원본 사용자의 데이터를 수신하지 않습니다. Defender for Identity는 사용자의 세션과 활동의 상관 관계를 지정하려고 시도하고, 시도가 성공하면 활동의 원본 사용자가 표시됩니다. 사용자 상관 관계 시도가 실패하면 원본 컴퓨터만 표시됩니다.

현재 오류 로그 에서 가장 최근의 오류를 확인합니다(여기서 Defender for Identity는 "로그" 폴더 아래에 설치됨).

관련 콘텐츠

• Defender for Identity 필수 구성 요소
• Defender for Identity 용량 계획
• 이벤트 컬렉션 구성
• Windows 이벤트 전달 구성
• 문제 해결
• Defender for Identity 포럼 확인