다음을 통해 공유


Microsoft Defender for Identity 파일럿 및 배포

적용 대상:

  • Microsoft Defender XDR

이 문서에서는 조직에서 Microsoft Defender for Identity를 파일럿하고 배포하기 위한 워크플로를 제공합니다. 이러한 권장 사항을 사용하여 Microsoft Defender for Identity를 개별 사이버 보안 도구 또는 Microsoft Defender XDR을 사용하는 엔드 투 엔드 솔루션의 일부로 온보딩할 수 있습니다.

이 문서에서는 프로덕션 Microsoft 365 테넌트가 있으며 이 환경에서 Microsoft Defender for Identity를 파일럿하고 배포하고 있다고 가정합니다. 이 방법은 전체 배포를 위해 파일럿 중에 구성하는 모든 설정 및 사용자 지정을 유지 관리합니다.

Office 365용 Defender는 위반으로 인한 비즈니스 피해를 방지하거나 줄여 제로 트러스트 아키텍처에 기여합니다. 자세한 내용은 Microsoft 제로 트러스트 채택 프레임워크의 위반 비즈니스로 인한 비즈니스 손상 방지 또는 줄이기 시나리오를 참조하세요.

Microsoft Defender XDR용 엔드 투 엔드 배포

인시던트 조사 및 대응을 포함하여 Microsoft Defender XDR의 구성 요소를 배포하는 데 도움이 되는 시리즈의 문서 6 중 2입니다.

파일럿에서 Microsoft Defender for Identity를 보여 주는 다이어그램 및 Microsoft Defender XDR 프로세스 배포

이 시리즈의 문서는 엔드 투 엔드 배포의 다음 단계에 해당합니다.

단계 링크
대답. 파일럿 시작 파일럿 시작
B. Microsoft Defender XDR 구성 요소 파일럿 및 배포 - Defender for Identity 파일럿 및 배포 (이 문서)

- Office 365용 Defender 파일럿 및 배포

- 엔드포인트용 Defender 파일럿 및 배포

- 클라우드용 Microsoft Defender 앱 파일럿 및 배포
C. 위협 조사 및 대응 인시던트 조사 및 대응 연습

Defender for Identity에 대한 파일럿 및 배포 워크플로

다음 다이어그램에서는 IT 환경에 제품 또는 서비스를 배포하는 일반적인 프로세스를 보여 줍니다.

파일럿, 평가 및 전체 배포 채택 단계의 다이어그램

먼저 제품 또는 서비스를 평가하고 조직 내에서 어떻게 작동하는지 평가합니다. 그런 다음 테스트, 학습 및 사용자 지정을 위해 프로덕션 인프라의 작은 하위 집합으로 제품 또는 서비스를 파일럿합니다. 그런 다음 전체 인프라 또는 조직이 적용될 때까지 배포 범위를 점진적으로 늘입니다.

프로덕션 환경에서 Defender for Identity를 파일럿하고 배포하기 위한 워크플로는 다음과 같습니다.

Microsoft Defender for Identity를 파일럿하고 배포하는 단계를 보여 주는 다이어그램

다음 단계를 따릅니다.

  1. Defender for Identity 인스턴스 설정
  2. 센서 설치 및 구성
  3. 센서를 사용하여 머신에서 이벤트 로그 및 프록시 설정 구성
  4. Defender for Identity가 다른 컴퓨터에서 로컬 관리자를 식별하도록 허용
  5. ID 환경에 대한 벤치마크 권장 사항 구성
  6. 기능 사용해 보기

각 배포 단계에 권장되는 단계는 다음과 같습니다.

배포 단계 설명
평가 Defender for Identity에 대한 제품 평가를 수행합니다.
파일럿 프로덕션 환경에서 센서가 있는 서버의 적절한 하위 집합에 대해 1-6단계를 수행합니다.
배포 후 나머지 서버에 대해 2-5단계를 수행하여 파일럿을 넘어 모든 서버를 포함합니다.

해커로부터 조직 보호

Defender for Identity는 자체적으로 강력한 보호를 제공합니다. 그러나 Microsoft Defender XDR의 다른 기능과 결합된 경우 Defender for Identity는 공유 신호에 데이터를 제공하여 공격을 중지하는 데 도움이 됩니다.

다음은 사이버 공격의 예와 Microsoft Defender XDR의 구성 요소가 이를 감지하고 완화하는 데 도움이 되는 방법입니다.

Microsoft Defender XDR이 위협 체인을 중지하는 방법을 보여 주는 다이어그램

Defender for Identity는 AD DS(Active Directory Domain Services) 도메인 컨트롤러 및 AD FS(Active Directory Federation Services) 및 AD CS(Active Directory Certificate Services)를 실행하는 서버에서 신호를 수집합니다. 이러한 신호를 사용하여 손상된 계정을 사용하여 온-프레미스 환경의 워크스테이션 간에 횡적으로 이동하는 해커로부터 보호하는 등 하이브리드 ID 환경을 보호합니다.

Microsoft Defender XDR은 모든 Microsoft Defender 구성 요소의 신호를 상호 연결하여 전체 공격 스토리를 제공합니다.

Defender for Identity 아키텍처

Microsoft Defender for Identity는 Microsoft Defender XDR과 완전히 통합되어 있으며 온-프레미스 Active Directory ID의 신호를 활용하여 조직을 대상으로 하는 고급 위협을 더 잘 식별, 감지 및 조사할 수 있습니다.

Microsoft Defender for Identity를 배포하여 SecOps(보안 운영) 팀이 다음을 비롯한 하이브리드 환경에서 최신 ITDR(ID 위협 탐지 및 대응) 솔루션을 제공할 수 있도록 지원합니다.

  • 사전 ID 보안 태세 평가를 사용하여 위반 방지
  • 실시간 분석 및 데이터 인텔리전스를 사용하여 위협 검색
  • 명확하고 실행 가능한 인시던트 정보를 사용하여 의심스러운 활동 조사
  • 손상된 ID에 대한 자동 응답을 사용하여 공격에 대응합니다. 자세한 내용은 Microsoft Defender for Identity란?을 참조하세요.

Defender for Identity는 Microsoft Entra ID 테넌트와 동기화된 온-프레미스 AD DS 사용자 계정 및 사용자 계정을 보호합니다. Microsoft Entra 사용자 계정으로만 구성된 환경을 보호하려면 Microsoft Entra ID Protection을 참조하세요.

다음 다이어그램에서는 Defender for Identity의 아키텍처를 보여 줍니다.

Microsoft Defender for Identity의 아키텍처를 보여 주는 다이어그램

이 그림의 내용:

  • AD DS 도메인 컨트롤러 및 AD CS 서버에 설치된 센서는 로그 및 네트워크 트래픽을 구문 분석하고 분석 및 보고를 위해 Microsoft Defender for Identity로 보냅니다.
  • 센서는 타사 ID 공급자 및 Microsoft Entra ID가 페더레이션 인증을 사용하도록 구성된 경우(그림의 점선) AD FS 인증을 구문 분석할 수도 있습니다.
  • Microsoft Defender for Identity는 Microsoft Defender XDR에 신호를 공유합니다.

Defender for Identity 센서는 다음 서버에 직접 설치할 수 있습니다.

  • AD DS 도메인 컨트롤러

    센서는 전용 서버 또는 포트 미러링 구성 없이 도메인 컨트롤러 트래픽을 직접 모니터링합니다.

  • AD CS 서버

  • AD FS 서버

    센서는 네트워크 트래픽 및 인증 이벤트를 직접 모니터링합니다.

Defender for Identity의 아키텍처에 대한 자세한 내용은 Microsoft Defender for Identity 아키텍처를 참조하세요.

1단계: Defender for Identity 인스턴스 설정

먼저 Defender for Identity에는 온-프레미스 ID 및 네트워킹 구성 요소가 최소 요구 사항을 충족하는지 확인하기 위한 몇 가지 필수 구성 요소 작업이 필요합니다. Microsoft Defender for Identity 필수 구성 요소 문서를 검사 목록으로 사용하여 환경이 준비되었는지 확인합니다.

다음으로 Defender for Identity 포털에 로그인하여 인스턴스를 만든 다음 이 인스턴스를 Active Directory 환경에 연결합니다.

단계 설명 추가 정보
1 Defender for Identity 인스턴스 만들기 빠른 시작: Microsoft Defender for Identity 인스턴스 만들기
2 Defender for Identity 인스턴스를 Active Directory 포리스트에 연결 빠른 시작: Active Directory 포리스트에 연결

2단계: 센서 설치 및 구성

다음으로, 온-프레미스 환경의 도메인 컨트롤러, AD FS 및 AD CS 서버에서 Defender for Identity 센서를 다운로드, 설치 및 구성합니다.

단계 설명 추가 정보
1 필요한 Microsoft Defender for Identity 센서 수를 결정합니다. Microsoft Defender for Identity 용량 계획
2 센서 설치 패키지 다운로드 빠른 시작: Microsoft Defender for Identity 센서 설치 패키지 다운로드
3 Defender for Identity 센서 설치 빠른 시작: Microsoft Defender for Identity 센서 설치
4 센서 구성 Microsoft Defender for Identity 센서 설정 구성

3단계: 센서를 사용하여 머신에서 이벤트 로그 및 프록시 설정 구성

센서를 설치한 컴퓨터에서 검색 기능을 사용하도록 Windows 이벤트 로그 수집 및 인터넷 프록시 설정을 구성합니다.

단계 설명 추가 정보
1 Windows 이벤트 로그 컬렉션 구성 Windows 이벤트 컬렉션 구성
2 인터넷 프록시 설정 구성 Microsoft Defender for Identity Sensor에 대한 엔드포인트 프록시 및 인터넷 연결 설정 구성

4단계: Defender for Identity가 다른 컴퓨터에서 로컬 관리자를 식별하도록 허용

Microsoft Defender for Identity 횡적 이동 경로 검색은 특정 컴퓨터에서 로컬 관리자를 식별하는 쿼리를 사용합니다. 이러한 쿼리는 Defender for Identity Service 계정을 사용하여 SAM-R 프로토콜을 사용하여 수행됩니다.

Windows 클라이언트 및 서버에서 Defender for Identity 계정이 SAM-R을 수행할 수 있도록 하려면 네트워크 액세스 정책에 나열된 구성된 계정 외에도 Defender for Identity 서비스 계정을 추가하도록 그룹 정책을 수정해야 합니다. 도메인 컨트롤러를 제외한 모든 컴퓨터에 그룹 정책을 적용 해야 합니다.

이 작업을 수행하는 방법에 대한 지침은 SAM에 대한 원격 호출을 수행하도록 Microsoft Defender for Identity 구성을 참조하세요.

5단계: ID 환경에 대한 벤치마크 권장 사항 구성

Microsoft는 Microsoft 클라우드 서비스를 사용하는 고객을 위한 보안 벤치마크 권장 사항을 제공합니다. ASB( Azure Security Benchmark )는 Azure에서 워크로드, 데이터 및 서비스의 보안을 개선하는 데 도움이 되는 규범적인 모범 사례 및 권장 사항을 제공합니다.

이러한 권장 사항을 구현하는 데는 계획하고 구현하는 데 다소 시간이 걸릴 수 있습니다. 이러한 권장 사항은 ID 환경의 보안을 크게 향상하지만 Microsoft Defender for Identity를 계속 평가하고 구현하는 것을 방해해서는 안 됩니다. 이러한 권장 사항은 인지를 위해 여기에 제공됩니다.

6단계: 기능 사용해 보기

Defender for Identity 설명서에는 다양한 공격 유형을 식별하고 수정하는 프로세스를 안내하는 다음 자습서가 포함되어 있습니다.

SIEM 통합

Defender for Identity를 Microsoft Sentinel 또는 일반 SIEM(보안 정보 및 이벤트 관리) 서비스와 통합하여 연결된 앱의 경고 및 활동을 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel을 사용하면 조직 전체에서 보안 이벤트를 보다 포괄적으로 분석하고 효과적이고 즉각적인 대응을 위해 플레이북을 빌드할 수 있습니다.

SIEM 통합을 사용하는 Microsoft Defender for Identity의 아키텍처를 보여 주는 다이어그램

Microsoft Sentinel에는 Defender for Identity 커넥터가 포함되어 있습니다. 자세한 내용은 Microsoft Sentinel용 Microsoft Defender for Identity 커넥터를 참조하세요.

타사 SIEM 시스템과의 통합에 대한 자세한 내용은 일반 SIEM 통합을 참조하세요.

다음 단계

SecOps 프로세스에 다음을 통합합니다.

Microsoft Defender XDR의 엔드 투 엔드 배포를 위한 다음 단계

파일럿을 사용하여 Microsoft Defender XDR의 엔드 투 엔드 배포를 계속하고 Office 365용 Defender를 배포합니다.

파일럿 및 Microsoft Defender XDR 프로세스 배포의 Office 365용 Microsoft Defender를 보여 주는 다이어그램

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.