포트 미러링 유효성 검사
이 문서는 Defender for Identity Sensor 대신 독립 실행형 센서를 Microsoft Defender for Identity 배포하는 경우에만 관련이 있습니다.
참고
Defender for Identity 독립 실행형 센서는 여러 검색을 위한 데이터를 제공하는 ETW(Windows용 이벤트 추적) 로그 항목의 수집을 지원하지 않습니다. 환경 전체에 적용하기 위해서는 Defender for Identity 센서를 배포하는 것이 좋습니다.
다음 단계에서는 포트 미러링이 올바르게 구성되었는지 확인하는 프로세스를 안내합니다. Defender for Identity가 제대로 작동하려면 Defender for Identity 독립 실행형 센서가 도메인 컨트롤러로의 트래픽을 볼 수 있어야 합니다. Defender for Identity에서 사용하는 기본 데이터 원본은 도메인 컨트롤러와 도메인 컨트롤러의 네트워크 트래픽에 대한 심층 패킷 검사입니다. Defender for Identity가 네트워크 트래픽을 보려면 포트 미러링을 구성해야 합니다. 포트 미러링은 하나의 포트(원본 포트)에서 다른 포트(대상 포트)로 트래픽을 복사합니다.
네트워크 모니터를 사용하여 포트 미러링 유효성 검사
유효성을 검사하려는 Defender for Identity 독립 실행형 센서에 Microsoft 네트워크 모니터 3.4 를 설치합니다.
중요
포트 미러링의 유효성을 검사하기 위해 Wireshark를 설치하도록 선택한 경우 유효성 검사 후 Defender for Identity 독립 실행형 센서 서비스를 다시 시작합니다.
네트워크 모니터를 열고 새 캡처 탭을 만듭니다.
캡처 네트워크 어댑터 또는 포트 미러링 대상으로 구성된 스위치 포트에 연결된 네트워크 어댑터만 선택합니다.
P 모드가 설정되어 있는지 확인합니다.
새 캡처를 선택합니다.
디스플레이 필터 창에서 KerberosV5 또는 LDAP 필터를 입력한 다음 적용을 선택합니다.
시작을 선택하여 캡처 세션을 시작합니다. 도메인 컨트롤러로 들어오고 나가는 트래픽이 보이지 않는 경우 포트 미러링 구성을 검토합니다.
참고
도메인 컨트롤러로 들어오고 나가는 트래픽이 보이지는 확인해야 합니다.
한 방향의 트래픽만 보이는 경우 네트워킹 또는 가상화 팀과 함께 포트 미러링 구성 문제를 해결합니다.