Microsoft Defender for Identity 아키텍처 요구 사항 및 주요 개념 검토
적용 대상:
- Microsoft Defender XDR
이 문서는 Microsoft Defender for Identity 대한 평가 환경을 설정하는 프로세스의 3단계 중 1단계입니다. 이 프로세스에 대한 자세한 내용은 개요 문서를 참조하세요.
Microsoft Defender for Identity 사용하도록 설정하기 전에 아키텍처를 이해하고 요구 사항을 충족할 수 있는지 확인합니다.
Microsoft Defender for Identity Microsoft Defender XDR 완전히 통합되며 온-프레미스 Active Directory 및 클라우드 ID의 신호를 활용하여 사용자를 대상으로 하는 고급 위협을 더 잘 식별, 탐지 및 조사할 수 있습니다. organization.
SecOp 팀이 다음을 포함하여 하이브리드 환경에서 최신 ITDR(ID 위협 탐지) 솔루션을 제공할 수 있도록 Microsoft Defender for Identity 배포합니다.
- 사전 ID 보안 태세 평가를 사용하여 위반 방지
- 실시간 분석 및 데이터 인텔리전스를 사용하여 위협 검색
- 명확하고 실행 가능한 인시던트 정보를 사용하여 의심스러운 활동 조사
- 손상된 ID에 대한 자동 응답을 사용하여 공격에 대응합니다. 자세한 내용은 Microsoft Defender for Identity?을 참조하세요.
Defender for Identity는 Microsoft Entra ID 동기화된 온-프레미스 Active Directory 사용자 및/또는 사용자를 보호합니다. Microsoft Entra 사용자로만 구성된 환경을 보호하려면 Microsoft Entra ID Protection 참조하세요.
아키텍처 이해
다음 다이어그램에서는 Defender for Identity의 기준 아키텍처를 보여 줍니다.
이 그림의 내용:
- AD DS(Active Directory Domain Services) 도메인 컨트롤러 및 AD CS(Active Directory Certificate Services) 서버에 설치된 센서는 로그 및 네트워크 트래픽을 구문 분석하고 분석 및 보고를 위해 Microsoft Defender for Identity 보냅니다.
- 또한 센서는 타사 ID 공급자에 대한 AD FS(Active Directory Federation Services) 인증을 구문 분석할 수 있으며, 페더레이션 인증을 사용하도록 Microsoft Entra ID 구성된 경우(그림의 점선).
- Microsoft Defender for Identity XDR(확장 검색 및 응답)을 위해 Microsoft Defender XDR 신호를 공유합니다.
Defender for Identity 센서는 다음 서버에 직접 설치할 수 있습니다.
AD DS 도메인 컨트롤러
센서는 전용 서버 또는 포트 미러링 구성 없이 도메인 컨트롤러 트래픽을 직접 모니터링합니다.
AD CS 서버
AD FS 서버
센서는 네트워크 트래픽 및 인증 이벤트를 직접 모니터링합니다.
Defender for Identity의 아키텍처에 대한 자세한 내용은 Microsoft Defender for Identity 아키텍처를 참조하세요.
주요 개념 이해
다음 표에서는 Microsoft Defender for Identity 평가, 구성 및 배포할 때 이해하는 데 중요한 주요 개념을 식별했습니다.
| 개념 | 설명 | 추가 정보 |
|---|---|---|
| 모니터링된 활동 | Defender for Identity는 organization 내에서 생성된 신호를 모니터링하여 의심스럽거나 악의적인 활동을 검색하고 각 잠재적 위협의 유효성을 확인하여 효과적으로 심사하고 대응할 수 있도록 합니다. | 모니터링된 활동 Microsoft Defender for Identity |
| 보안 경고 | Defender for Identity 보안 경고는 네트워크의 센서에서 감지한 의심스러운 활동과 각 위협에 관련된 행위자 및 컴퓨터를 설명합니다. | Microsoft Defender for Identity 보안 경고 |
| 엔터티 프로필 | 엔터티 프로필은 액세스 기록과 함께 사용자, 컴퓨터, 디바이스 및 리소스에 대한 포괄적인 심층 조사를 제공합니다. | 엔터티 프로필 이해 |
| 횡적 이동 경로 | MDI 보안 인사이트의 주요 구성 요소는 공격자가 중요하지 않은 계정을 사용하여 네트워크 전체에서 중요한 계정 또는 컴퓨터에 액세스하는 횡적 이동 경로를 식별하는 것입니다. | Microsoft Defender for Identity 횡적 이동 경로(LPS) |
| 네트워크 이름 확인 | NNR(네트워크 이름 확인)은 네트워크 트래픽, Windows 이벤트, ETW 등을 기반으로 활동을 캡처하고 이 원시 데이터를 각 활동에 관련된 관련 컴퓨터와 상호 연결하는 MDI 기능의 구성 요소입니다. | 네트워크 이름 확인이란? |
| 보고서 | Defender for Identity 보고서를 사용하면 시스템 및 엔터티 상태 정보를 제공하는 보고서를 예약하거나 즉시 생성하고 다운로드할 수 있습니다. 사용자 환경에서 감지된 시스템 상태, 보안 경고 및 잠재적인 횡적 이동 경로에 대한 보고서를 만들 수 있습니다. | Microsoft Defender for Identity 보고서 |
| 역할 그룹 | Defender for Identity는 역할 기반 그룹 및 위임된 액세스를 제공하여 관리자, 사용자 및 뷰어를 포함하는 organization 특정 보안 및 규정 준수 요구 사항에 따라 데이터를 보호합니다. | ID용 Microsoft Defender 역할 그룹 |
| 관리 포털 | Microsoft Defender 포털 외에도 Defender for Identity 포털을 사용하여 의심스러운 활동을 모니터링하고 대응할 수 있습니다. | Microsoft Defender for Identity 포털에서 작업 |
| Microsoft Defender for Cloud Apps 통합 | Microsoft Defender for Cloud Apps Microsoft Defender for Identity 통합되어 하이브리드 환경(클라우드 앱 및 온-프레미스 모두)에서 UEBA(사용자 엔터티 동작 분석)를 제공합니다. | Microsoft Defender for Identity 통합 |
필수 구성 요소 검토
Defender for Identity에는 온-프레미스 ID 및 네트워킹 구성 요소가 최소 요구 사항을 충족하는지 확인하기 위한 몇 가지 필수 구성 요소 작업이 필요합니다. 이 문서를 검사 목록으로 사용하여 환경이 준비되었는지 확인합니다. Microsoft Defender for Identity 필수 구성 요소입니다.
다음 단계
2/3단계: 평가 환경 Defender for Identity 사용
평가 Microsoft Defender for Identity 개요로 돌아갑니다.
평가 및 파일럿 Microsoft Defender XDR 대한 개요로 돌아갑니다.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기